Accord de traitement des données février 2024
Cet Accord de Traitement des Données s'applique à vous si vous vous êtes inscrit à nos Services (y compris par l’intermédiaire de l’une de nos Affiliées) avant, le, ou après le 1er février 2024 à 13h00 CET. Notre Accord de Traitement des Données archivé est disponible ici.
Ce Contrat de traitement des données, y compris les annexes, (« DPA ») fait partie de l'Accord entre nous et le Client pour l'achat de services de communication (en ligne) afin de refléter l'accord des Parties concernant le traitement des Données personnelles du Client. Dans ce DPA, les termes « vous », « votre » ou « Client » se réfèrent à vous en tant que notre Client (sous réserve de l'Article 1.2 ci-dessous), et les termes « nous », « notre » ou « notre » se réfèrent à nous en tant que Fournisseur (comme défini ci-dessous). Les termes en majuscule utilisés dans ce DPA mais non définis ci-dessous sont définis dans nos Conditions générales ou tout autre Accord avec nous régissant votre utilisation des Services.
1.1 Portée
Ce DPA régit le traitement des Données Personnelles des Clients par nous en tant que processeur.
1.2 Affiliés du Client
Le client conclut ce DPA en son nom propre et, dans la mesure requise par les lois sur la protection des données, au nom et pour le compte de ses affiliés (tels que définis dans les conditions générales), si et dans la mesure où vous fournissez à ces affiliés un accès aux services et que nous traitons les données personnelles du client pour lesquelles ces affiliés sont qualifiés en tant que responsable du traitement des données («Customer Affiliates»). Aux fins de ce DPA uniquement, et sauf indication contraire, les termes « Client » et « vous » incluront le client et ses affiliés.
1.3 Terms
Cette DPA restera en vigueur tant que nous traiterons les Données Personnelles du Client soumises à cette DPA, nonobstant l'expiration ou la résiliation de l'Accord.
2. Definitions
Account Data
« Données de Compte » désigne toute donnée personnelle fournie par vous ou pour vous à nous en lien avec la conclusion et l'administration de l'Accord et de votre compte, y compris, mais sans s'y limiter, les informations de contact, les détails de facturation et la correspondance relative à la conclusion et à l'administration de l'Accord et des Services associés.
CCPA
« CCPA » signifie la California Consumer Privacy Act de 2018 et toute réglementation émise en vertu de celle-ci, dans chaque cas, telle que modifiée de temps à autre.
Customer Data
« Données Client » désigne toutes données et autres informations ou contenus soumis par vous ou pour vous (ou par un utilisateur de votre Application Client) en vertu de l'Accord et traités ou stockés par les Services.
Customer Personal Data
« Données Personnelles Client » désigne les Données Personnelles contenues dans les Données Client traitées par nous en tant que processeur, sauf indication contraire dans ce DPA.
Lois sur la Protection des Données
« Lois sur la Protection des Données » désigne toutes les lois et réglementations de toute juridiction applicables à la confidentialité, la vie privée, la sécurité ou le traitement des Données Personnelles en vertu de l'Accord, y compris, par exemple et si applicable, le RGPD ou le CCPA.
EEE
« EEE » signifie, aux fins de ce DPA, l'Espace Économique Européen et la Suisse.
RGPD
« RGPD » signifie soit (i) le Règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement général sur la protection des données); soit (ii) uniquement en ce qui concerne le Royaume-Uni, la Data Protection Act 2018.
Données Personnelles
« Données Personnelles » désigne toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, que ce soit par elle-même ou en combinaison avec d'autres informations.
Violation de Données Personnelles
« Violation de Données Personnelles » signifie toute destruction, perte, modification, divulgation ou accès accidentel, non autorisé ou illégal aux Données Personnelles Client et tout autre terme similaire en vertu des Lois sur la Protection des Données applicables tel que « Violation de Sécurité ».
Services
« Services » désigne tous les produits et services fournis par nous ou nos Affiliés qui sont (a) commandés par vous en vertu de tout Bon de Commande; ou (b) utilisés par vous.
Fournisseur
« Fournisseur » désigne notre entité contractante partie à ce DPA, étant l'entité contractante indiquée à la Section 15 dans les Conditions Générales (Entité Contractante), sauf indication contraire sur votre Bon de Commande. Vous ou le Fournisseur pouvez également être désignés individuellement comme une « Partie » et ensemble comme les « Parties » dans ce DPA.
Clauses Contractuelles Standard
« Clauses Contractuelles Standard » signifie Contrôleur à Processeur (Module Deux) ou Processeur à Processeur (Module Trois), selon le cas, des Clauses Contractuelles Standard pour le transfert de Données Personnelles vers des pays tiers conformément au Règlement (UE) 2016/679 du Parlement européen et du Conseil approuvé par la Décision d'exécution (UE) 2021/914 de la Commission Européenne du 4 juin 2021, telle que présentée actuellement sur https://eurlex.europa.eu/eli/dec_impl/2021/914/oj.
Sous-processeur
« Sous-processeur » désigne une entité tierce qui traite les Données Personnelles Client pour le compte du Fournisseur lorsque celui-ci agit en tant que processeur de données ou sous-processeur.
Clauses Contractuelles Standard du Royaume-Uni
« Clauses Contractuelles Standard du Royaume-Uni » signifie tout ou partie des éléments suivants : (i) l'accord de transfert international de données émis par le Commissaire à l'information du Royaume-Uni en vertu de l'article 119A de la DPA 2018; (ii) l'addendum au transfert international de données aux clauses contractuelles standard de la Commission Européenne pour les transferts de données internationaux émis par le Commissaire à l'information du Royaume-Uni en vertu de l'article 119A de la DPA 2018; ou (iii) de telles dispositions contractuelles standards émises par le Commissaire à l'information du Royaume-Uni ou par la Commission Européenne pour remplacer celles-ci de temps à autre. Les termes tels que « traitement », « contrôleur de données », « processeur de données », « sujet des données », etc. ont la signification qui leur est attribuée en vertu du RGPD. La définition de « contrôleur de données » inclut « entreprise », « consommateur », « contrôleur » et « organisation »; « processeur de données » inclut « prestataire de services », « processeur » et « intermédiaire de données »; « sujet des données » inclut « consommateur » et « individu »; et « Données Personnelles » inclut « informations personnelles », dans chaque cas tel que défini en vertu du CCPA, et d'autres Lois sur la Protection des Données applicables. Les termes « objectif commercial », « objectif commercial », « vendre » et « partager » auront la même signification que dans les Lois sur la Protection des Données applicables et, dans chaque cas, leurs termes apparentés seront interprétés en conséquence.
3. Processing of Customer Personal Data
3.1 Objectifs
Nous traiterons les Données Personnelles des Clients uniquement dans la mesure nécessaire (i) pour fournir les Services, y compris la transmission de communications, assurer la sécurité des services, fournir des rapports techniques et de livraison, fournir un support et développer et mettre en œuvre des améliorations et des mises à jour conformément à vos instructions documentées à nous en tant que sous-traitant de données comme spécifié dans la Section 3.2 de ce DPA, (ii) pour nos objectifs commerciaux légitimes comme spécifié dans la Section 3.4 de ce DPA en tant que responsable du traitement, et (iii) comme autrement requis par la loi applicable.
3.2 Instructions du Client
L'Accord et ce DPA constituent vos instructions complètes envers nous en tant que sous-traitant de données au moment de la signature de ce DPA. Nous respecterons d'autres instructions raisonnablement documentées à condition que ces instructions soient conformes aux termes de l'Accord.
3.3 Détails du Traitement
L'Annexe I, Partie B (Description du transfert) de l'Appendice I à ce DPA spécifie la nature et l'objectif du traitement par nous en tant que sous-traitant de données ou Sous-traitant, les activités de traitement, la durée du traitement, les types de Données Personnelles, et les catégories de personnes concernées.
3.4 Objectifs Commerciaux Légitimes
Vous reconnaissez que nous traitons les Données Personnelles des Clients en tant que responsable du traitement indépendant dans la mesure nécessaire pour les objectifs commerciaux légitimes suivants : facturation, gestion de compte, reporting financier et interne, lutte contre et prévention des menaces de sécurité, des cyberattaques, et de la cybercriminalité qui peuvent vous affecter, nous ou nos services, modélisation commerciale (par exemple prévisions, planification de la capacité et des revenus, et stratégie produit), prévention et détection de la fraude, du spam, et des abus, amélioration de notre gamme de produits et services, et pour nous conformer à nos obligations légales.
4. Customer Obligations
4.1 Licéité
Lorsque vous agissez en tant que responsable du traitement des Données Personnelles du Client, vous garantissez que toutes les activités de traitement sont licites, ont un objectif spécifique, et que tous les avis et consentements requis ou autre base légale appropriée sont en place pour permettre le transfert légal des Données Personnelles du Client. Si vous êtes un sous-traitant (auquel cas nous agirons en tant que Sous-traitant secondaire), vous vous assurerez que le responsable du traitement concerné garantit que les conditions énumérées dans cette Section 4.1 sont remplies.
4.2 Conformité
Vous êtes seul responsable de (a) vous assurer que vous respectez les Lois sur la Protection des Données applicables à votre utilisation des Services et à votre propre traitement des Données Personnelles du Client, (b) faire une évaluation indépendante pour déterminer si les mesures techniques et organisationnelles des Services répondent à vos exigences, et (c) mettre en œuvre et maintenir des mesures de confidentialité et de sécurité pour les composants que vous fournissez ou contrôlez (y compris, mais sans s'y limiter, les mots de passe, les appareils utilisés avec les Services et les Applications du Client).
5. Security
5.1 Mesures de sécurité
Compte tenu de l'état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques de probabilité et de gravité variables pour les droits et libertés des personnes physiques, nous mettrons en œuvre et maintiendrons des mesures de sécurité techniques et organisationnelles appropriées pour protéger les Données personnelles des clients contre les Violations de données personnelles et pour préserver la sécurité, l'intégrité, la disponibilité, la résilience et la confidentialité des Données des clients que nos systèmes utilisent pour traiter les Données personnelles des clients. Les mesures de sécurité appliquées par nous sont décrites dans l'Annexe II.
5.2 Mises à jour des mesures de sécurité
Vous êtes responsable de l'examen des informations mises à disposition par nous concernant la sécurité des Données personnelles des clients et de faire une évaluation indépendante quant à savoir si ces informations répondent à vos exigences et obligations légales en vertu des Lois sur la protection des données. Vous reconnaissez que les mesures de sécurité sont sujettes au progrès technique et au développement, et que nous pouvons mettre à jour ou modifier nos mesures de sécurité de temps à autre, à condition que ces mises à jour et modifications ne dégradent pas la sécurité globale des Données personnelles des clients.
5.3 Contrôles d'accès
Nous appliquons les principes du « besoin de savoir » et du « privilège minimal » en veillant à ce que l'accès aux Données personnelles des clients soit limité au Personnel requis pour la fourniture des Services et conformément à l'Accord, y compris ce DPA.
5.4 Confidentialité du traitement
Nous nous assurerons que toute personne ou partie autorisée par nous à traiter les Données personnelles des clients (y compris notre personnel, nos agents et Sous-traitants) est informée de la nature confidentielle de ces Données personnelles des clients et sera soumise à une obligation de confidentialité appropriée (qu'elle soit contractuelle ou statutaire) qui survit à la fin de leur engagement.
5.5 Réponse et notification en cas de violation de données personnelles
Lorsqu'une violation de données personnelles est portée à notre connaissance, nous procéderons sans retard excessif
(i) à vous en informer,
(ii) à enquêter sur la violation de données personnelles,
(iii) à fournir des informations opportunes concernant la violation de données personnelles au fur et à mesure qu'elles deviennent connues ou que vous les demandez raisonnablement, et (iv) à prendre des mesures raisonnables sur le plan commercial pour atténuer les effets et empêcher la récurrence de la violation de données personnelles.
6. Assistance
6.1 Assistance à la Protection des Données
Nous vous fournirons l'assistance raisonnablement demandée afin de vous permettre de respecter vos obligations en vertu des Lois sur la Protection des Données, y compris la notification d'une Violation de Données Personnelles, l'évaluation du niveau de sécurité approprié du traitement, et l'assistance dans la réalisation d'une évaluation d'impact sur la protection des données pertinente.
6.2 Assistance avec les Droits des Personnes Concernées
Nous vous fournirons une assistance raisonnable afin de vous permettre de respecter vos obligations envers les personnes concernées qui exercent leurs droits en vertu des Lois sur la Protection des Données en mettant à disposition des mesures techniques et organisationnelles via votre compte. Pour éviter tout doute, vous, en tant que responsable du traitement des données, êtes responsables du traitement de toute demande ou plainte des personnes concernées concernant les Données à Caractère Personnel du Client d'une personne concernée.
7. Disclosure and Disclosure Requests
7.1 Limitations sur la Divulgation et l'Accès
Nous ne fournirons pas l'accès aux ou ne divulguerons pas les Données Personnelles du Client sauf (i) selon vos instructions, (ii) comme indiqué dans l'Accord et ce DPA, ou (iii) si la loi l'exige.
7.2 Demandes de Divulgation
Nous vous informerons dès que raisonnablement possible si nous recevons une demande d'un organisme gouvernemental ou de régulation de divulguer les Données Personnelles du Client, sauf si cet avis est interdit par la loi. Nous traiterons les demandes de divulgation conformément à la politique de demande de divulgation, disponible sur notre site Web ici.
8. Sous-traitants
8.1 Liste des sous-traitants actuels
Vous acceptez l'engagement des Sous-traitants en relation avec les Services, listés dans notre aperçu des sous-traitants, qui contient également une procédure pour vous abonner aux notifications de changements concernant notre utilisation des Sous-traitants. Si vous vous abonnez à ces notifications, et en tenant compte de la Section 8.3 de ce DPA, nous partagerons les détails de tout changement de Sous-traitants dès que raisonnablement possible.
8.2 Nomination des sous-traitants
Par le biais de ce DPA, vous nous fournissez une autorisation écrite générale pour engager des Sous-traitants pour le traitement des Données Personnelles du Client, sous réserve des exigences de la Section 8.3 de ce DPA et des conditions suivantes :
Nous limiterons l'accès aux Données Personnelles du Client par les Sous-traitants à ce qui est strictement nécessaire pour fournir les services spécifiés dans l'accord avec le sous-traitant;
Nous conviendrons des obligations de protection des données avec le Sous-traitant qui sont substantiellement les mêmes que les obligations en vertu de ce DPA; et
Nous restons responsables envers vous en vertu de ce DPA pour l'exécution des obligations de protection des données du Sous-traitant.
8.3 Notification des changements de sous-traitants et droit d'opposition
Avant de remplacer ou d'engager de nouveaux Sous-traitants (« Changement de Sous-traitant »), nous vous donnerons la possibilité de vous opposer au Changement de Sous-traitant. Vous pouvez vous opposer à un Changement de Sous-traitant à condition que (i) l'objection soit faite par écrit dans les dix (10) jours ouvrables suivant notre notification du Changement de Sous-traitant et (ii) l'objection soit fondée et explique clairement les raisons raisonnables relatives à la protection des Données Personnelles du Client. Lorsque vous vous opposez à un Changement de Sous-traitant proposé, nous travaillerons de bonne foi avec vous pour réaliser un changement commercialement raisonnable dans la fourniture des Services qui évite l'utilisation du Sous-traitant concerné. Si ce changement ne peut être raisonnablement effectué dans les trente (30) jours ouvrables suivant notre réception de votre avis d'opposition, ou si le changement est commercialement déraisonnable pour nous, chaque partie peut résilier les fonctionnalités applicables des Services qui ne peuvent être fournies sans l'utilisation du Sous-traitant concerné. Ce droit de résiliation est votre seul et exclusif recours si vous vous opposez à un Changement de Sous-traitant.
9. Cross Border Transfers of Customer Personal Data
9.1 Transferts de Données Personnelles des Clients
Nous pouvons transférer des Données Personnelles des Clients à condition que toutes les mesures de protection appropriées requises par les Lois sur la Protection des Données soient en place. Cela peut inclure une évaluation préalable de l'impact du transfert de données, l'adoption, le suivi et l'évaluation de mesures techniques, organisationnelles et juridiques supplémentaires, des droits exécutoires pour les sujets des données, et que des recours juridiques efficaces pour les sujets des données soient disponibles.
9.2 Clauses Contractuelles Standard pour les Sous-traitants
Sauf si une décision d'adéquation ou un autre mécanisme de transfert s'applique, tel que le cadre de protection des données UE-États-Unis, nous avons conclu et maintiendrons des Clauses Contractuelles Standard avec des sous-traitants (y compris nos Affiliés) situés en dehors de l'EEE, sous réserve des termes énoncés dans la Section 9.1 de ce DPA.
9.3 Mécanismes de Transfert pour les Transferts de Données Personnelles des Clients
Dans la mesure où votre utilisation des Services nécessite un mécanisme de transfert transfrontalier de données pour exporter légalement des Données Personnelles des Clients d'une juridiction (par exemple, l'EEE, la Californie, Singapour, la Suisse ou le Royaume-Uni) vers nous situés en dehors de cette juridiction, cette section s'appliquera. Si, dans le cadre de l'exécution des Services, les Données Personnelles des Clients soumises au RGPD ou à toute autre loi relative à la protection ou à la confidentialité des personnes applicable à ce DPA sont transférées à une entité du Fournisseur située dans des pays qui n'assurent pas un niveau de protection des données adéquat au sens des Lois sur la Protection des Données, les mécanismes de transfert énumérés ci-dessous s'appliqueront à ces transferts et pourront être directement appliqués par les parties dans la mesure où ces transferts sont soumis aux Lois sur la Protection des Données.
9.3.1
Les parties conviennent que les Clauses Contractuelles Standard s'appliqueront aux Données Personnelles des Clients transférées via les Services de l'EEE ou de la Suisse, soit directement, soit via un transfert ultérieur, à une entité du Fournisseur située dans un pays en dehors de l'EEE ou de la Suisse qui n'est pas reconnu par la Commission européenne (ou, dans le cas de transferts depuis la Suisse, l'autorité compétente pour la Suisse) comme fournissant un niveau de protection adéquat pour les données personnelles.
9.3.1.1
Lorsque vous agissez en tant que contrôleur de données et que nous sommes un processeur de données, le Module Deux des Clauses Contractuelles Standard UE Contrôleur-à-Processeur s'appliquera à tout tel transfert de Données Personnelles des Clients depuis l'EEE. Lorsque vous agissez en tant que processeur de données et que nous sommes un sous-traitant, le Module Trois des Clauses Contractuelles Standard Processeur-à-Processeur s'appliquera à tout tel transfert de Données Personnelles des Clients depuis l'EEE.
9.3.1.2
Nous serons considérés comme l'importateur de données et vous serez considéré comme l'exportateur de données selon les Clauses Contractuelles Standard. La signature par chaque partie de ce DPA sera considérée comme la signature des Clauses Contractuelles Standard applicables, qui seront réputées être incorporées dans ce DPA. Les détails requis au titre de l'Annexe 1 et Annexe 2 des Clauses Contractuelles Standard sont disponibles dans l'Annexe I et l'Annexe II de ce DPA. En cas de conflit ou d'incohérence entre ce DPA et les Clauses Contractuelles Standard, les Clauses Contractuelles Standard prévaudront uniquement en ce qui concerne un transfert de Données Personnelles des Clients depuis l'EEE.
9.3.1.3
Lorsque les Clauses Contractuelles Standard exigent des parties qu'elles choisissent entre des clauses optionnelles et qu'elles saisissent des informations, les parties l'ont fait comme indiqué ci-dessous :
i. La Clause Optionnelle 7 “Clause d'adhésion” ne sera pas adoptée.
ii. Pour la Clause 9 “Utilisation de sous-traitants”, les parties choisissent l'option suivante : “Option 2 Autorisation écrite générale : l'importateur de données dispose de l'autorisation générale du contrôleur pour le recours à des sous-traitants à partir d'une liste convenue. L'importateur de données devra informer spécifiquement le contrôleur par écrit de toute modification prévue de cette liste à travers l'ajout ou le remplacement de sous-traitants au moins 10 jours ouvrables à l'avance, donnant ainsi au contrôleur suffisamment de temps pour pouvoir s'opposer à ces modifications avant le recours aux sous-traitants. L'importateur de données fournira à l'exportateur de données les informations nécessaires pour permettre à l'exportateur de données d'exercer son droit d'opposition. L'importateur de données informera l'exportateur de données du recours aux sous-traitants.”
iii. Pour la Clause 11 (a) “Réparation”, les parties ne retiennent pas l'Option.
iv. Pour la Clause 17 “Loi applicable”, les parties choisissent l'option suivante : “Option 1. Ces Clauses seront régies par les lois d'un des États membres de l'UE, à condition que cette loi permette les droits de bénéficiaire tiers. Les Parties conviennent que ce sera la loi des Pays-Bas.”
v. Pour la Clause 18 (b) “Choix de la juridiction et du for”: “Les Parties conviennent que ce sera les tribunaux des Pays-Bas.”
9.3.2
Les parties conviennent que les Clauses Contractuelles Standard du Royaume-Uni s'appliqueront aux Données Personnelles des Clients transférées via les Services depuis le Royaume-Uni, soit directement, soit via un transfert ultérieur, à une entité du Fournisseur située dans un pays en dehors du Royaume-Uni qui n'est pas reconnu par l'autorité ou organisme gouvernemental compétent du Royaume-Uni comme fournissant un niveau de protection adéquat pour les données personnelles.
9.3.2.1
Nous serons considérés comme l'importateur de données et vous serez considéré comme l'exportateur de données selon les Clauses Contractuelles Standard du Royaume-Uni. La signature par chaque partie de ce DPA sera considérée comme la signature des Clauses Contractuelles Standard du Royaume-Uni, qui seront réputées être incorporées dans ce DPA. Les détails requis selon les Clauses Contractuelles Standard du Royaume-Uni sont disponibles dans l'Annexe I et l'Annexe II de ce DPA. En cas de conflit ou d'incohérence entre ce DPA et les Clauses Contractuelles Standard du Royaume-Uni, les Clauses Contractuelles Standard du Royaume-Uni prévaudront uniquement en ce qui concerne le transfert de Données Personnelles des Clients depuis le Royaume-Uni.
10. Audit
10.1 Rapport d'Audit
Notre plateforme de communication sera régulièrement auditée conformément à la norme ISO 27001 (ou équivalente). L'audit peut, à notre seule discrétion, être un audit interne ou un audit réalisé par un tiers. Sur demande écrite, nous vous fournirons un résumé du ou des rapports d’audit (« Rapport d'Audit »), afin que vous puissiez vérifier notre conformité aux normes d'audit et au présent DPA. Ces Rapports d'Audit, ainsi que toutes conclusions ou constatations qui y sont spécifiées, sont nos Informations Confidentielles.
10.2 Demandes d'Informations du Client
Nous mettrons à votre disposition toutes les informations raisonnablement nécessaires pour démontrer la conformité aux obligations énoncées dans ce DPA. Nous fournirons des réponses écrites aux demandes raisonnables d'informations que vous formulerez, y compris des réponses à des questionnaires de sécurité de l'information et d'audit qui sont raisonnables en termes d'étendue et nécessaires pour confirmer la conformité à ce DPA, à condition que vous (i) ayez d'abord fait un effort raisonnable pour obtenir les informations demandées à partir de la Documentation, des Rapports d'Audit et d'autres informations fournies ou rendues publiques par nous, et (ii) n'exercez pas ce droit plus d'une fois par an, sauf si une Violation de Données Personnelles ou un changement significatif dans nos activités de traitement des données concernant les Services nécessite l'exécution d'un questionnaire supplémentaire. Toutes les réponses fournies sont nos Informations Confidentielles.
10.3 Audit du Client
Si un Rapport d'Audit fourni par nous vous donne des raisons fondées de croire que nous enfreignons nos obligations en vertu de ce DPA, relatives aux Données Personnelles du Client fournies par vous, nous permettrons à un auditeur tiers indépendant et qualifié, désigné par vous et approuvé par nous, d'auditer les activités de traitement des Données Personnelles pertinentes, sous réserve que, dans la mesure maximale permise par la loi applicable, les exigences suivantes soient respectées :
a) Vous nous donnerez un préavis raisonnable d'au moins soixante (60) jours avant d'exercer le droit d'audit;
b) L'auditeur accepte des obligations de confidentialité selon les normes du marché avec nous;
c) Vous et l'auditeur prenez des mesures pour minimiser les perturbations de nos opérations commerciales;
d) L'audit sera réalisé pendant les heures ouvrables normales;
e) Nous ne serons pas obligés de donner accès aux données des clients d'autres clients ou aux systèmes non impliqués dans la fourniture des Services;
f) et Vous devrez payer tous les coûts de l'audit.
11. Suppression et Retour des Données Personnelles du Client
Upon termination or expiration of the Agreement, we will (at your election) delete or return to you all Customer Personal Data (including copies) in our possession or control, save that this requirement will not apply to the extent we are required by law to retain some or all of the Customer Personal Data. If you instruct us to delete Customer Personal Data, Customer Personal Data archived on our back up systems will be protected from further processing, and deleted when the required retention period has passed.
12. Communication et droits des Affiliés Client
La conclusion de ce DPA au nom et pour le compte d'une Filiale Client telle que décrite dans la section 1.2 constitue un DPA séparé entre nous et cette Filiale Client, sous réserve de ce qui suit :
12.1. Communication
Le Client qui est la partie contractante de l'Accord reste responsable de coordonner toutes les communications avec nous dans le cadre de ce DPA et est habilité à effectuer et recevoir toute communication relative à ce DPA au nom de ses Filiales Client.
12.2 Droits des Filiales Client
Lorsqu'une Filiale Client devient partie au DPA avec nous, elle est, dans la mesure requise par les Lois sur la Protection des Données, autorisée à exercer les droits et à demander des recours en vertu de ce DPA, sous réserve de ce qui suit : (i) Sauf si les Lois sur la Protection des Données exigent que la Filiale Client exerce un droit ou demande un recours en vertu de ce DPA contre nous directement par elle-même, les parties conviennent que
(i) uniquement le Client qui est la partie contractante de l'Accord exercera un tel droit ou demandera un tel recours au nom de la Filiale Client, et
(ii) le Client qui est la partie contractante de l'Accord exercera ces droits en vertu de ce DPA non séparément pour chaque Filiale Client individuellement mais de manière combinée pour lui-même et toutes ses Filiales Client ensemble.(ii) Les parties conviennent que le Client qui est la partie contractante de l'Accord prendra, lors d'un audit sur site des procédures pertinentes à la protection des Données Personnelles du Client, toutes les mesures raisonnables pour limiter tout impact sur nous en combinant, dans la mesure raisonnablement possible, plusieurs demandes d'audit effectuées pour son compte et pour toutes ses Filiales Client en un seul audit.
Pour plus de clarté, une Filiale Client ne devient pas une partie contractante de l'Accord.
13. California Consumer Privacy Act
Dans la mesure où cela est applicable, nous prenons les engagements supplémentaires suivants envers vous en ce qui concerne le traitement des Données Personnelles des Clients dans le cadre du CCPA.
13.1 Nos Obligations Selon les Lois de Protection des Données des États-Unis
Les termes « business purpose » (finalité commerciale), « commercial purpose » (objectif commercial), « consumer » (consommateur), « sell » (vendre) et « share » (partager) utilisés dans cette Section 13.1 ont les significations qui leur sont attribuées dans le CCPA. Dans la mesure où cela est applicable, nous nous conformerons au CCPA et traiterons toutes les Données Personnelles des Clients soumises au CCPA et aux autres Lois de Protection des Données des États-Unis (« Données Personnelles des États-Unis ») conformément aux dispositions du CCPA et des autres Lois de Protection des Données des États-Unis. En ce qui concerne les Données Personnelles des États-Unis, nous sommes un prestataire de services sous le CCPA et un sous-traitant de données selon d'autres Lois de Protection des Données des États-Unis. Nous ne vendrons pas de Données Personnelles des États-Unis. Nous ne conserverons, n'utiliserons ni ne divulguerons aucune Donnée Personnelle des États-Unis (i) pour toute autre finalité que les finalités commerciales spécifiées dans l'Accord (y compris la conservation, l'utilisation ou la divulgation de Données Personnelles des États-Unis à des fins commerciales autres que celles spécifiées dans l'Accord ou autrement permises par le CCPA ou les lois applicables); ou (ii) en dehors de la relation commerciale directe entre vous et nous.
13.2 Obligations du Client
Vous déclarez et garantissez que vous avez informé l'Utilisateur Final que les Données Personnelles sont utilisées ou partagées conformément aux Lois sur la Protection des Données applicables. Vous êtes responsable du respect des exigences des Lois sur la Protection des Données dans la mesure où elles vous sont applicables en tant que responsable du traitement des données.
14. Droit applicable et résolution des litiges
Toute dispute, réclamation ou controverse (« Disputes ») découlant de ou liée à ce DPA sera régie et interprétée conformément aux lois des Pays-Bas. Chaque Partie convient que les tribunaux compétents d'Amsterdam auront la compétence exclusive pour régler toute Dispute découlant de ou liée à ce DPA.
13.1 Nos Obligations Selon les Lois U.S. sur la Protection des Données
Les termes « business purpose », « commercial purpose », « consumer », « sell » et « share » tels qu'utilisés dans cette section 13.1 ont les significations qui leur sont attribuées dans le CCPA. Dans la mesure du possible, nous nous conformerons au CCPA et traiterons toutes les Données Personnelles des Clients soumises au CCPA et aux autres Lois U.S. sur la Protection des Données applicables (« Données Personnelles U.S. ») conformément aux dispositions du CCPA et aux autres Lois U.S. sur la Protection des Données. En ce qui concerne les Données Personnelles U.S., nous sommes un prestataire de services selon le CCPA et un processeur de données selon d'autres Lois U.S. sur la Protection des Données. Nous ne vendrons pas de Données Personnelles U.S. Nous ne conserverons, n’utiliserons ni ne divulguerons aucune Donnée Personnelle U.S. (i) à des fins autres que les business purposes spécifiés dans l'Accord (y compris conserver, utiliser ou divulguer des Données Personnelles U.S. à des fins commerciales autres que le business purpose spécifié dans l'Accord ou autrement permis par le CCPA ou les lois applicables); ou (ii) en dehors de la relation commerciale directe entre vous et nous.
ANNEXE I - DÉTAILS DU TRAITEMENT
Là où applicable, cette Annexe I servira d'Annexe I aux Clauses Contractuelles Standards de l'EEE.
Annexe I, Partie A. Liste des Parties
Les termes « business purpose », « commercial purpose », « consumer », « sell » et « share » tels qu'utilisés dans cette Section 13.1 ont les significations qui leur sont données dans le CCPA. Dans la mesure où il est applicable, nous respecterons le CCPA et traiterons toutes les Données Personnelles des Clients soumises au CCPA et aux autres Lois de Protection des Données applicables des États-Unis (« U.S. Personal Data ») conformément aux dispositions du CCPA et des autres Lois de Protection des Données des États-Unis. En ce qui concerne les U.S. Personal Data, nous sommes un prestataire de services sous le CCPA et un processeur de données sous les autres Lois de Protection des Données des États-Unis. Nous ne vendrons pas les U.S. Personal Data. Nous ne conserverons pas, n'utiliserons pas ni ne divulguerons aucune U.S. Personal Data (i) à des fins autres que les business purposes spécifiés dans le Contrat (y compris conserver, utiliser ou divulguer les U.S. Personal Data à des fins commerciales autres que le business purpose spécifié dans le Contrat ou tel qu'autrement permis par le CCPA ou les lois applicables); ou (ii) en dehors de la relation d’affaires directe avec vous et nous.
Exportateur de données
Customer
Détails de contact de l'exportateur de données
L'adresse indiquée dans le compte de Customer, ou l'adresse e-mail du propriétaire du compte de Customer, ou à l'adresse e-mail pour laquelle Customer choisit de recevoir les notifications sous le Contrat.
Rôle de l'exportateur de données
Le rôle de l'exportateur de données est décrit dans la Section 4 de la DPA.
Signature et date
Si et lorsque applicable, l'exportateur de données est réputé avoir signé les Clauses Contractuelles Standards incorporées ici à compter de la Date d'entrée en vigueur de la DPA.
Importateur de données
Provider
Détails de contact de l'importateur de données
Data Protection Officer - privacy@bird.com
Rôle de l'importateur de données
L'importateur de données agit en tant que processeur de données.
Signature et date
Si et lorsque applicable, l'importateur de données est réputé avoir signé les Clauses Contractuelles Standards incorporées ici à compter de la Date d'entrée en vigueur de la DPA.
Annexe I, Partie B. Description du Transfert
1. Catégories de personnes concernées dont les Données Personnelles sont transférées.
Utilisateurs. Personnes de contact (personnes physiques) ou employés, contractants ou travailleurs temporaires (actuels, potentiels, anciens) de Customer utilisant les Services (« Users »);
End-Users. Toute personne physique (i) dont les coordonnées sont incluses dans la liste(s) de contacts de Customer; (ii) dont les informations sont stockées ou collectées via les Services, ou (ii) à qui Customer envoie des communications ou engage ou communique autrement via les Services (collectivement, « End-Users »). Vous, en tant que Customer, déterminez uniquement les catégories de personnes concernées incluses dans les communications envoyées via notre plateforme de communication.
2. Catégories de Données Personnelles transférées
Données Personnelles de Customer contenues dans le contenu des communications, les données de trafic, les données des End-Users et les données d'utilisation du client.
Contenu des communications, qui peut inclure des Données Personnelles ou d'autres caractéristiques personnalisées, selon le contenu des communications tel que déterminé par vous, en tant que Customer.
Données de trafic, qui peuvent inclure des Données Personnelles de Customer concernant le routage, la durée ou le timing d'une communication telle qu'un appel vocal, un SMS ou un e-mail, qu'il concerne un individu ou une entreprise.
Données des End-Users, telles que le numéro de téléphone, l'adresse e-mail, le prénom, le nom, le nom de profil, le pays, l'identifiant de canal.
Données d'utilisation du client, peuvent contenir des données pouvant être liées à vous en tant qu'individu incluses dans les données statistiques et les informations liées à vos activités de compte et de service, les perspectives de service et les rapports analytiques concernant les communications envoyées et le support client.
3. Données sensibles transférées
Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées qui prennent pleinement en compte la nature des données et les risques encourus, telles que par exemple une limitation stricte de finalité, des restrictions d'accès (y compris un accès uniquement pour le personnel ayant suivi une formation spécialisée), la tenue d'un registre de l'accès aux données, des restrictions de transferts ultérieurs ou des mesures de sécurité supplémentaires.
a) Contenu des communications. Des données sensibles peuvent, de temps à autre, être traitées via les Services lorsque vous ou vos End-Users choisissez d'inclure des données sensibles dans les communications transmises en utilisant les Services. Vous êtes responsable de vous assurer que des garanties appropriées sont en place avant de transmettre ou de traiter, ou avant de permettre à vos End-Users de transmettre ou de traiter des données sensibles via les Services, conformément à la Section 3.2 du Contrat.
b) Données de trafic, données des End-Users et données d'utilisation du client. Aucune donnée sensible n'est contenue dans les données de trafic, les données des End-Users ou les données d'utilisation du client.
4. La fréquence du transfert
La fréquence du transfert (par exemple, si les données sont transférées de manière ponctuelle ou continue) : Les Données Personnelles de Customer sont transférées sur une base continue pendant la durée du Contrat.
5. Nature du traitement
Nous traiterons les Données Personnelles de Customer dans la mesure nécessaire pour fournir les Services sous le Contrat. Nous ne vendons pas de Données Personnelles, y compris les Données Personnelles de Customer, et ne partageons pas de Données Personnelles avec des tiers à des fins de compensation ou pour les intérêts commerciaux propres de ces tiers.
6. Objectif(s) du transfert de données et du traitement ultérieur
Nous traiterons les Données Personnelles de Customer en tant que processeur de données conformément aux instructions de Customer telles que définies dans cette DPA, sauf si le traitement est nécessaire pour se conformer à une obligation légale à laquelle nous sommes soumis, auquel cas nous serons classifiés en tant que contrôleur de données.
Contenu des communications, données de trafic, données des End-Users et données d'utilisation du client. Les Données Personnelles contenues dans le contenu des communications, les données de trafic, les données des End-Users et les données d'utilisation du client seront soumises aux activités de traitement fondamentales suivantes:
a) Contenu des communications. La fourniture de produits et services de communication programmables, proposés sous la forme d'interfaces de programmation d'applications (APIs) ou via le Tableau de bord, à Customer, y compris la transmission vers ou depuis l'application logicielle de Customer à partir de notre plateforme de communication, et d'autres réseaux de communication.
b) Données de trafic. Les données de trafic sont traitées dans le but de transmettre la communication sur un réseau de communications électroniques ou pour la facturation concernant cette communication. Cela peut inclure des Données Personnelles de Customer concernant le routage, la durée ou le timing d'une communication telle qu'un appel vocal, un SMS ou un e-mail, qu'il concerne un individu ou une entreprise.
c) Données des End-Users. Les Données Personnelles des End-Users sont requises afin d'exécuter les Services et ne seront traitées que dans le but de la transmission des communications, du support client et de veiller à la conformité avec nos obligations légales.
d) Données d'utilisation du client. Les Données Personnelles contenues dans les données d'utilisation du client seront soumises aux activités de traitement de la fourniture des Services sous le Contrat, dans le but de fournir à Customer des perspectives de Services et des rapports analytiques concernant les communications envoyées, le support client et l'amélioration continue des Services.
7. Période de rétention des Données Personnelles
La période pendant laquelle les Données Personnelles seront conservées, ou, si cela n'est pas possible, les critères utilisés pour déterminer cette période: Contenu des communications et données de trafic. Pour le contenu des communications et les données de trafic contenues dans les Services SMS et Voice, une période de rétention de six mois s'applique; Pour les Services Vidéo, le contenu des communications et les données de trafic sont conservés pour une durée minimale de 30 jours jusqu'à la durée convenue avec vous; Pour les Services E-mail, le contenu des communications et les données de trafic sont conservés pendant 72 heures; Pour tous les autres services, le contenu des communications et les données de trafic sont conservés pendant la durée des Services, sauf si vous supprimez le contenu des communications ou les données de trafic via les mesures techniques et organisationnelles mises à votre disposition via les Services. Données des End-Users. Les données des End-Users seront traitées pendant la durée déterminée par le Customer, lorsque les données des End-Users sont incluses dans vos profils de contact, la période de rétention par défaut est pour la durée des Services, sous réserve de la Section 6(c) de cette Annexe I, Partie B. Données d'utilisation du client. À la résiliation du Contrat, nous pourrons conserver, utiliser et divulguer les Données d'Utilisation de Customer pour les fins énoncées dans la Section 6(d) de cette Annexe I, Partie B, sous réserve des obligations de confidentialité énoncées dans le Contrat. Nous anonymiserons ou supprimerons les données d'utilisation de client lorsque nous n'en aurons plus besoin pour les fins énoncées dans la Section 6(d) de cette Annexe I, Partie B.
7. Rétention des Données Personnelles
La période pendant laquelle les Données Personnelles seront conservées, ou, si cela n'est pas possible, les critères utilisés pour déterminer cette période :
Contenu des communications et données de trafic;
Pour le contenu des communications et les données de trafic contenus dans les Services SMS et Voice, une période de rétention de six mois s'applique;
Pour les Services Vidéo, le contenu des communications et les données de trafic sont conservés pour une durée minimale de 30 jours jusqu'à la durée convenue avec vous;
Pour les Services E-mail, le contenu des communications et les données de trafic sont conservés pour 72 heures;
Pour tous les autres services, le contenu des communications et les données de trafic sont conservés pendant la durée des Services, sauf si vous supprimez le contenu des communications ou les données de trafic via les mesures techniques et organisationnelles mises à votre disposition via les Services.
Les données des End-Users seront traitées pendant la durée déterminée par le Customer, lorsque les données des End-Users sont incluses dans vos profils de contact, la période de rétention par défaut est pour la durée des Services, sous réserve de la Section 6(c) de cette Annexe I, Partie B.
Données d'utilisation du client: À la résiliation du Contrat, nous pourrons conserver, utiliser et divulguer les Données d'Utilisation de Customer pour les fins énoncées dans la Section 6(d) de cette Annexe I, Partie B, sous réserve des obligations de confidentialité énoncées dans le Contrat. Nous anonymiserons ou supprimerons les données d'utilisation de client lorsque nous n'en aurons plus besoin pour les fins énoncées dans la Section 6(d) de cette Annexe I, Partie B.
8. Pour les transferts à (Sous-)traitants
Pour les transferts à (Sous-)traitants, spécifiez également l'objet, la nature et la durée du traitement : Pour les transferts à des Sous-traitants, l'objet et la nature du traitement sont décrits dans notre aperçu des Sous-traitants et la durée est pour la durée du Contrat.
Annexe I, Partie C. Autorité de Surveillance Compétente
Autoriteit Persoonsgegevens (Autorité Néerlandaise de Protection des Données) sera l'autorité de surveillance compétente.
ANNEXE II - Mesures de sécurité techniques et organisationnelles
Lorsque cela est applicable, cette Annexe II servira d'annexe II aux Clauses Contractuelles Standard. Les informations suivantes fournissent plus d'informations concernant nos mesures de sécurité techniques et organisationnelles décrites ci-dessous.
Mesures de sécurité techniques et organisationnelles
Mesures de pseudonymisation et de protection des Données Personnelles en stockage et en transit :
Toutes les Données Personnelles sont cryptées en transit et au repos, et, dans la mesure où cela est pertinent d'un point de vue de sécurité, traitées comme si elles étaient classées comme données sensibles. Les informations sont toujours transmises via TLS avec des méthodologies de cryptage à jour par défaut.
Mesures pour assurer la confidentialité, l'intégrité, la disponibilité et la résilience continues des systèmes et services de traitement :
Nous concluons des accords contenant des dispositions de confidentialité avec nos employés, contractants, fournisseurs et sous-traitants. Notre politique de continuité d'activité est de préparer notre entreprise et nos services en cas de pannes prolongées causées par des facteurs indépendants de notre volonté et de restaurer les services dans la mesure la plus large possible dans les meilleurs délais. Nous comprenons que les services que nous fournissons sont essentiels pour nos clients et avons donc très peu de tolérance pour les interruptions de service. Nos délais de récupération sont conçus pour garantir que nous pouvons respecter nos obligations envers tous nos clients.
Processus de test, d'évaluation et d'évaluation réguliers de l'efficacité des mesures techniques et organisationnelles afin d'assurer la sécurité du traitement :
L'objectif de la sécurité de l'information et de notre Système de Gestion de la Sécurité de l'Information (ISMS) est de protéger la confidentialité, l'intégrité et la disponibilité des informations à l'organisation, aux employés, aux partenaires, aux clients et aux systèmes d'information (autorisés), et de minimiser le risque de dommages en prévenant les incidents de sécurité et en gérant les menaces et vulnérabilités de sécurité. Notre équipe juridique, notre délégué à la protection des données et notre équipe de sécurité s'assurent que les réglementations et normes applicables sont intégrées dans nos cadres de sécurité.
Mesures pour l'identification et l'autorisation des utilisateurs :
Nous suivons les principes du « besoin de connaître » et du « moindre privilège ». Nous promouvons l'utilisation du contrôle d'accès basé sur les rôles. L'approvisionnement et la désactivation sont supervisés par l'équipe de sécurité, avec l'authentification unique (SSO) et 2FA par défaut. Des propriétaires ont été définis pour chaque actif d'information, responsables de s'assurer que l'accès à leurs systèmes est approprié et revu régulièrement. Chaque fois que nous traitons des informations sensibles ou prenons des actions critiques, nous utilisons le principe des quatre yeux.
Mesures pour assurer la journalisation des événements :
Les journaux d'audit sont stockés et surveillés centralement de manière régulière pour les événements de sécurité et sont conservés en sécurité pour éviter tout risque de falsification. La politique de gestion des incidents impose le plan de réponse aux incidents et ses procédures. Ces directives sont suivies en cas d'incident de sécurité ou technique de tout type.
Mesures pour assurer la configuration des systèmes, y compris la configuration par défaut :
Nous suivons un processus cohérent de gestion du changement pour toutes les modifications de l'environnement de production de la Plateforme de Communication en tant que Service. Pour élaborer davantage, toutes les demandes de changements (RFC) doivent être approuvées par une partie désignée et exécutées conformément au processus formel de contrôle des changements. Le processus de contrôle garantit que les changements proposés sont examinés, autorisés, testés, mis en œuvre et libérés de manière contrôlée; et que le statut de chaque changement proposé est suivi. Les lignes de base de configuration sont suivies pour configurer les systèmes de manière sécurisée en suivant les meilleures pratiques. De plus, au sein du département d'ingénierie, un radar technologique est utilisé pour définir quelles technologies (langages, outils de plateforme, bases de données et outils de gestion des données) peuvent être adoptées ou doivent être évitées pendant le développement.
Mesures pour la sécurité physique
Nous promouvons activement une politique de « Travail de n'importe où » afin que nos employés puissent travailler de l'endroit qu'ils souhaitent. Cependant, nous avons encore nos bureaux. Nous n'avons pas de zones sécurisées/centre de données dans nos locaux car nous sommes une entreprise complètement basée sur le cloud. Nos étages de bureaux sont protégés par des contrôles d'accès physiques, CCTV et une sécurité humaine.
Mesures pour la gouvernance et la gestion internes de l'IT et de la sécurité IT :
Nous maintenons un programme de sécurité basé sur une évaluation des risques, qui comprend des sauvegardes administratives, organisationnelles, techniques et physiques conçues pour protéger les Services et la confidentialité, l'intégrité et la disponibilité des Données Clients. Notre programme de sécurité de l'information est mis en place de manière systématique et bien organisée. De plus, des exigences légales et réglementaires s'appliquent pour garantir la confidentialité, l'intégrité et la disponibilité de l'information à l'organisation, aux employés, aux partenaires et aux clients. Tout cela est traduit dans nos politiques, procédures et directives de sécurité de l'information. Nous avons un Comité de Pilotage de la Sécurité qui est responsable du niveau tactique de la sécurité de l'information. Cela implique la coordination des activités de sécurité de l'information et la traduction des activités stratégiques en activités opérationnelles pour notre sécurité, et notre maintien continu de la conformité réglementaire. Tous les employés sont responsables de la protection des actifs de l'entreprise. Tous nos employés sont contrôlés pour leur expertise, expérience et intégrité. Les employés sont informés sur la sécurité et la protection des données lors de l'intégration, ainsi que par des formations spécifiques à leur équipe régulières, et d'autres présentations en entreprise sur l'importance de la protection des données et de la conformité à la sécurité. Nous sommes certifiés ISO 27001, les normes de sécurité de l'information reconnues mondialement pour les Systèmes de Gestion de la Sécurité de l'Information (ISMS).
Tous nos fournisseurs d'hébergement sont certifiés ISO 27001.
Nous sommes également enregistrés auprès de l'Autorité Néerlandaise pour les Consommateurs et les Marchés. Cela signifie que nous sommes toujours responsables et pleinement transparents avec nos clients.
Nous sommes Membre Associé du Groupe Spécial Mobile Association (GSMA). Le GSMA représente les intérêts des opérateurs mobiles à travers le monde.
Nous sommes toujours à jour avec toutes les lois et réglementations applicables, y compris le Règlement Général sur la Protection des Données, et le Cadre de Protection des Données UE-US.
Mesures pour les certifications/assurance des processus et des produits :
Nous subissons des audits de surveillance rigoureux ainsi que des audits de certification dans le cadre de notre conformité ISO/IEC 27001, et exécutons régulièrement des tests de vulnérabilité des applications et de pénétration.
Mesures pour assurer la responsabilité :
nous mettons en œuvre des politiques de sécurité de l'information et de protection des données conformément aux lois applicables et publions un aperçu des informations pertinentes de notre ISMS (lien). Nous avons nommé un Directeur de la Sécurité dédié, un Responsable de la Sécurité de l'Information, un Responsable de la Conformité et un Délégué à la Protection des Données, et maintenons une documentation de nos activités de traitement, y compris l'enregistrement et le rapport des incidents de sécurité impliquant des Données Personnelles lorsqu'applicable.
Mesures pour assurer l'effacement des données :
Nous assurons l'effacement des données par un processus de suppression automatique dans notre environnement de communication et d'infrastructure. Ce processus de suppression de données garantit que toutes les données qui ne sont plus nécessaires pour remplir un objectif spécifique sont supprimées de nos systèmes après traitement.