Annexe de protection des données SparkPost
Dans le cadre de la fourniture du service SparkPost à nos clients, SparkPost peut traiter des données personnelles pour le compte de nos clients lorsque ces données personnelles sont soumises aux lois de protection des données de l'UE comme le RGPD. À cette fin, nous proposons un avenant de protection des données (DPA) tel que fourni ci-dessous. Le DPA ne sera juridiquement contraignant et effectif que si : (1) il est signé ici ; et (2) vous êtes client de SparkPost à la date à laquelle il est entièrement exécuté. Veuillez noter qu'en raison du grand nombre de clients, nous ne sommes pas en mesure de modifier le DPA pour un client particulier. Cependant, si vous avez des questions concernant le DPA, veuillez nous contacter à privacy@sparkpost.com.
Définitions
“Affiliate” désigne toute entité qui contrôle directement ou indirectement, est contrôlée par ou est sous contrôle commun avec l'entité en question. “Contrôle”, aux fins de cette définition, signifie la propriété ou le contrôle direct ou indirect de plus de 50 % des droits de vote de l'entité en question.
“Accord” désigne les Conditions d'utilisation et la Commande associée, qui régissent ensemble la fourniture et l'utilisation du Service.
“CCPA” désigne la California Consumer Privacy Act de 2018 et tout règlement promulgué en vertu de celle-ci, dans chaque cas, tel que modifié de temps à autre.
“Clauses Contractuelles Types Contrôleur/Sous-Traitant” désigne les modules “Contrôleur à Sous-Traitant” (Module 2) des Clauses Contractuelles Types pour le transfert de données personnelles vers des pays tiers conformément au RGPD et à la Décision d'exécution (UE) 2021/914 de la Commission européenne du 4 juin 2021.
“Lois sur la Protection des Données” désigne toutes les lois et réglementations de toute juridiction applicables à la confidentialité, la vie privée, la sécurité ou le Traitement des Données Personnelles dans le cadre de l'Accord, y compris, le cas échéant, le RGPD, le CCPA et toutes les autres lois et réglementations concernant la vie privée, le marketing direct ou la protection des données. “Contrôleur de Données” désigne une entité qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du Traitement des Données Personnelles.
“Sous-Traitant de Données” désigne une entité qui Traite des Données Personnelles pour le compte d'un Contrôleur de Données. “Personne Concernée par les Données” désigne la personne physique à laquelle se rapportent les Données Personnelles.
“Demande de la Personne Concernée” désigne une demande d'une Personne Concernée visant à exercer les droits de cette personne au titre des Lois sur la Protection des Données en ce qui concerne les Données Personnelles de cette personne, y compris, sans limitation, le droit d'accéder à, de corriger, de modifier, de transférer, d'obtenir une copie de, de s'opposer au traitement, de bloquer, de supprimer ou d'opter pour la non-vente de ces Données Personnelles. “EEE” désigne l'Espace Économique Européen et la Suisse.
“RGPD” désigne soit (i) le Règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des Données Personnelles et à la libre circulation de ces données (Règlement Général sur la Protection des Données); soit (ii) uniquement en ce qui concerne le Royaume-Uni, la Data Protection Act 2018.
“Données Personnelles” désigne toute information qui identifie, se rapporte à, décrit ou est raisonnablement susceptible d'être associée à une personne physique ou à un ménage identifiés ou identifiables.
“Traitement” désigne toute opération ou ensemble d'opérations effectuées sur des Données Personnelles ou sur des ensembles de Données Personnelles, qu'elles soient effectuées ou non par des moyens automatisés, telles que la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, la récupération, la consultation, l'utilisation, la divulgation par transmission, diffusion ou mise à disposition de toute autre manière, l'alignement ou la combinaison, la restriction, l'effacement ou la destruction.
“Clauses Contractuelles Types Sous-Traitant/Sous-Traitant” désigne les modules “Sous-Traitant à Sous-Traitant” (Module 3) des Clauses Contractuelles Types pour le transfert de données personnelles vers des pays tiers conformément au RGPD et à la Décision d'exécution (UE) 2021/914 de la Commission européenne du 4 juin 2021.
“Régulateur” désigne l'autorité de protection des données européenne ou une autre autorité réglementaire, gouvernementale ou de surveillance ayant autorité sur tout ou partie de (a) la fourniture ou la réception du Service ; (b) le Traitement des Données Personnelles en rapport avec le Service ; ou (c) l'activité de SparkPost ou le personnel en rapport avec le Service.
“Incident de Sécurité” désigne toute destruction, perte, altération, divulgation ou accès non autorisé ou illicite aux Données Personnelles.
“Service” désigne tout produit ou service fourni par SparkPost au Client conformément à l'Accord.
“Clauses Contractuelles Types EEE” désigne soit (i) les Clauses Contractuelles Types Contrôleur/Sous-Traitant ; soit (ii) les Clauses Contractuelles Types Sous-Traitant/Sous-Traitant, individuellement ou collectivement, selon le cas.
“Sous-Traitant” désigne l'entité qui Traite des Données Personnelles pour le compte d'une entité agissant en tant que Sous-Traitant ou Sous-Traitant.
“Clauses Contractuelles Types du Royaume-Uni” désigne les clauses contractuelles types pour le transfert de données personnelles vers des sous-traitants établis dans des pays tiers dans la forme définie par la Décision 2010/87/UE de la Commission européenne, qui peut être modifiée, modifiée ou remplacée par la Commission européenne.
Relation avec l'accord
Les parties conviennent que ce DPA remplacera tout avenant existant sur la protection des données ou accord similaire auquel les parties auraient pu auparavant souscrire en lien avec les Services.
Ce DPA s'applique là où et seulement dans la mesure où SparkPost traite des Données Personnelles soumises aux Lois sur la Protection des Données dans le cadre de la fourniture du Service conformément à l'Accord.
Sauf pour les modifications apportées par ce DPA, l'Accord reste inchangé et en vigueur. En cas de conflit entre les termes de ce DPA et ceux de l'Accord, ce DPA prévaudra dans la mesure de ce conflit. Dans les cas où SparkPost s'appuie sur les Clauses Contractuelles Types de l'EEE ou les Clauses Contractuelles Types du Royaume-Uni (collectivement, «Clauses Contractuelles Types»), selon le cas, pour transférer des Données Personnelles, les Clauses Contractuelles Types applicables prévaudront en cas de conflit avec ce DPA.
Toute réclamation introduite en vertu ou en rapport avec ce DPA sera soumise aux termes et conditions, y compris, mais sans s'y limiter, les exclusions et limitations définies dans l'Accord. Les parties conviennent qu'aucune limitation de responsabilité énoncée dans l'Accord ne s'appliquera à la responsabilité d'une partie envers les Personnes Concernées en vertu des dispositions en faveur des tiers bénéficiaires des Clauses Contractuelles Types dans la mesure où une telle limitation de responsabilité est interdite par les Lois sur la Protection des Données.
Ce DPA sera régi et interprété conformément aux dispositions de la législation et de la juridiction applicables dans l'Accord, sauf exigence contraire par les Lois sur la Protection des Données en vigueur. Ce DPA restera en vigueur tant que SparkPost traite les Données Personnelles, indépendamment de l'expiration ou de la résiliation de l'Accord. RÔLES ET PORTÉE DU TRAITEMENT.
Rôle des Parties.
Les parties reconnaissent et conviennent qu'entre SparkPost et le Client : En ce qui concerne les Données Personnelles de tout individu accédant et/ou utilisant le Service via le Compte du Client («Utilisateurs»), le Client est le Responsable de Traitement et SparkPost est le Sous-traitant des Données Personnelles des Utilisateurs ; et en ce qui concerne les Données Personnelles de tout individu : (i) dont l'adresse e-mail est incluse dans la ou les listes de destinataires du Client ; (ii) dont les informations sont stockées sur ou collectées via le Service, ou (ii) à qui les Utilisateurs envoient des emails ou engagent autrement une communication via le Service (collectivement, «Destinataires»), le Client est le Sous-traitant et SparkPost est le Sous-sous-traitant des Données Personnelles des Destinataires.
Traitement des Données Personnelles par le Client.
Le Client s'engage à respecter ses obligations en vertu des Lois sur la Protection des Données applicables en ce qui concerne son traitement des Données Personnelles en lien avec le Service et en ce qui concerne toute instruction de traitement documentée qu'il émet à SparkPost.
Traitement des Données Personnelles par SparkPost. Le Client instruit SparkPost de traiter les Données Personnelles conformément à l'Accord (y compris, sans s'y limiter, pour exécuter ses autres obligations et exercer ses droits en vertu de l'Accord) et de respecter les autres instructions raisonnables du Client (par exemple, par e-mail) lorsque ces instructions sont cohérentes avec l'Accord. SparkPost devra : (i) traiter les Données Personnelles uniquement pour le compte du Client et conformément aux instructions légales documentées du Client et traiter les Données Personnelles en tant qu'informations confidentielles soumises aux dispositions de confidentialité de l'Accord ; (ii) notifier par écrit immédiatement au Client si, selon l'avis raisonnable de SparkPost, SparkPost croit que toute instruction donnée par le Client enfreint les Lois sur la Protection des Données ; (iii) exécuter le Service et traiter les Données Personnelles en conformité avec les Lois sur la Protection des Données et l'Accord ; (iv) notifier promptement au Client toute non-conformité avec ce DPA. Les parties conviennent que ce DPA et l'Accord définissent les instructions complètes et finales du Client à SparkPost concernant le traitement des Données Personnelles et tout traitement en dehors de la portée de ces instructions (le cas échéant) nécessitera un accord préalable écrit entre le Client et SparkPost.
Détails du Traitement des Données.
Sujet : La matière du traitement des données en vertu de ce DPA est les Données Personnelles.Durée : Entre SparkPost et le Client, la durée du traitement des données en vertu de ce DPA est jusqu'à la résiliation de l'Accord conformément à ses termes.
Objectif : L'objectif du traitement des données en vertu de ce DPA est la fourniture du Service au Client et l'exécution de SparkPost conformément à l'Accord (y compris ce DPA) ou tel que convenu autrement par les parties.
Nature du traitement : SparkPost fournit un service de livraison d'e-mails, d'analyse et d'intelligence ainsi que d'autres services connexes, comme décrit dans l'Accord. Catégories de personnes concernées : Utilisateurs et Destinataires.
Types de Données Personnelles :
Clients et Utilisateurs : données d'identification et de contact (nom, adresse, titre, coordonnées, nom d'utilisateur) ; informations financières (détails du compte, informations de paiement) ; détails de l'emploi (employeur, poste, localisation géographique, domaine de responsabilité) ;
Destinataires : données d'identification et de contact (nom, adresse e-mail et autres données démographiques et de segment fournies par le Client) ; informations IT (adresses IP, données d'utilisation, données de cookies, données de navigation en ligne, données de localisation, données de navigateur).
California Consumer Privacy Act.
SparkPost respectera le CCPA et traitera toutes les Données Personnelles soumises au CCPA («Données Personnelles CCPA») conformément aux dispositions du CCPA. En ce qui concerne les Données Personnelles CCPA, SparkPost est un prestataire de services en vertu du CCPA. SparkPost ne (a) vendra pas les Données Personnelles CCPA ; (b) ne conservera, n'utilisera ou ne divulguera aucune Donnée Personnelle CCPA à d'autres fins que dans le but spécifique de fournir les Services, y compris conserver, utiliser ou divulguer des Données Personnelles CCPA à des fins commerciales autres que la fourniture des Services ; ou (c) ne conservera, n'utilisera ou ne divulguera des Données Personnelles CCPA en dehors de la relation commerciale directe entre SparkPost et le Client. Les parties reconnaissent et conviennent que le traitement des Données Personnelles CCPA autorisé par les instructions du Client décrites dans l'Accord et ce DPA est une partie intégrante et englobée par la fourniture des Services par SparkPost et la relation commerciale directe entre les parties. Les parties reconnaissent et conviennent que l'accès de SparkPost aux Données du Client ne constitue pas une partie de la contrepartie échangée par les parties en vertu de l'Accord. Dans la mesure où des données d'utilisation sont considérées comme des Données Personnelles CCPA, SparkPost est l'entreprise responsable de ces données et traitera ces données conformément à sa Politique de Confidentialité, disponible à https://www.sparkpost.com/policies/privacy/. Les termes « entreprise », « but commercial », « fournisseur de services » et « vendre » tels qu'utilisés dans cette section ont les significations qui leur sont attribuées dans le CCPA. SparkPost et le Client certifient qu'ils comprennent et respecteront les obligations et restrictions énoncées dans ce DPA et l'Accord comme requis en vertu du CCPA.
Intérêts Légitimes.
Le Client reconnaît que SparkPost aura le droit d'utiliser et de divulguer des données relatives à l'exploitation, l'assistance et/ou l'utilisation du Service pour ses besoins commerciaux légitimes, tels que la facturation, la gestion de compte, le support technique et le développement de produits. Dans la mesure où de telles données sont considérées comme des Données Personnelles en vertu des Lois sur la Protection des Données, SparkPost est le Responsable du Traitement de ces données et les traitera conformément à sa Politique de Confidentialité et aux Lois sur la Protection des Données.
Technologies de Suivi.
Le Client reconnaît qu'en lien avec la performance du Service, SparkPost recourt à l'utilisation de balises web, pixels de suivi, et des technologies de suivi similaires («Technologies de Suivi»). Le Client maintiendra une base légale appropriée de traitement comme requis par les Lois sur la Protection des Données pour permettre à SparkPost d'utiliser légalement les Technologies de Suivi sur, et de collecter des données à partir des appareils des Destinataires conformément à, et tel que décrit dans la Politique de Confidentialité de SparkPost.
Sous-traitement
Sous-traitants autorisés. Le client accepte que SparkPost puisse engager des sous-traitants pour traiter les données du client au nom de celui-ci. Les sous-traitants engagés par SparkPost et autorisés par le client à la date d'entrée en vigueur sont listés à l'adresse suivante : https://www.sparkpost.com/policies/subprocessors. Obligations du sous-traitant. SparkPost s’engage à : (i) conclure un accord écrit avec le sous-traitant imposant des conditions de protection des données qui obligent le sous-traitant à protéger les données du client conformément à la norme requise par les lois sur la protection des données ; et (ii) rester responsable de sa conformité avec les obligations du présent DPA et de tout acte ou omission du sous-traitant qui amène SparkPost à violer l'une de ses obligations en vertu de ce DPA.
Notification. SparkPost (i) fournira une liste à jour des sous-traitants qu'il a nommés sur demande écrite du client ; et (ii) notifiera le client (un e-mail suffira) s'il ajoute un sous-traitant au moins dix (10) jours avant tout changement de ce type.
Objection. Le client peut s'opposer par écrit à la nomination par SparkPost d'un nouveau sous-traitant dans les cinq (5) jours suivant cette notification, à condition que cette objection soit fondée sur des motifs raisonnables liés à la protection des données. Dans ce cas, les parties discuteront de ces préoccupations de bonne foi en vue de trouver une solution. Si une solution n'est pas trouvée dans un délai raisonnable, le client peut résilier les commandes applicables uniquement en ce qui concerne le service spécifique qui ne peut être fourni par SparkPost sans l'utilisation du nouveau sous-traitant contesté, en fournissant un avis écrit à SparkPost.
Sécurité
Politique de Sécurité.
En tenant compte de l'état de l'art, des coûts de mise en œuvre ainsi que de la nature, de la portée, du contexte et des finalités du Traitement, ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques, SparkPost mettra en œuvre et maintiendra des mesures de sécurité techniques et organisationnelles appropriées pour protéger les Données Personnelles contre les Incidents de Sécurité et préserver la sécurité, l'intégrité, la disponibilité, la résilience et la confidentialité des Données Personnelles et des systèmes SparkPost utilisés pour le Traitement des Données Personnelles.
Mises à jour des Mesures de Sécurité.
Le Client est responsable de l'examen des informations mises à disposition par SparkPost concernant la sécurité des données et de la détermination indépendante de la conformité de ces informations aux exigences et obligations légales du Client en vertu des Lois sur la Protection des Données. Le Client reconnaît que la Politique de Sécurité est sujette aux progrès et développements techniques et que SparkPost peut mettre à jour ou modifier la Politique de Sécurité de temps à autre à condition que ces mises à jour et modifications n'entraînent pas une dégradation de la sécurité globale du Service acheté par le Client.
Responsabilités du Client.
Nonobstant ce qui précède, le Client convient qu'il est responsable de sécuriser les informations d'identification d'authentification de son Compte sous la garde ou le contrôle du Client et de protéger la sécurité des Données Personnelles lors de leur transit vers et depuis le Service, dans la mesure où ces Données Personnelles sont sous la garde ou le contrôle du Client.
Personnel de SparkPost.
SparkPost s'assurera que son personnel engagé dans le Traitement des Données Personnelles est informé de la nature confidentielle des Données Personnelles, a reçu une formation appropriée sur ses responsabilités et a signé des accords de confidentialité écrits à l'égard des Données Personnelles qui subsistent après la cessation de l'engagement du personnel.
Rapports d'audit et audits
Rapport d'audit.
SparkPost est régulièrement audité selon les contrôles SOC 2 Type II (ou équivalent) par des auditeurs indépendants tiers. Sur demande, SparkPost fournira un résumé de son rapport d'audit («Rapport d'audit») au Client, afin que le Client puisse vérifier la conformité de SparkPost avec les normes d'audit auxquelles il a été évalué, ainsi que ce DPA. Ces Rapports d'audit, ainsi que toute conclusion ou constatation y figurant, sont des Informations Confidentielles de SparkPost.
Audit.
SparkPost mettra à la disposition du Client toutes les informations nécessaires pour démontrer la conformité avec les obligations des Processeurs de données énoncées à l'Article 28 du RGPD («Exigences de l'Article 28»). À cette fin, SparkPost fournira des réponses écrites à toutes les demandes raisonnables d'informations faites par le Client, y compris les réponses aux questionnaires de sécurité de l'information et d'audit qui sont nécessaires pour confirmer la conformité de SparkPost avec les Exigences de l'Article 28, à condition que le Client n'exerce pas ce droit plus d'une fois par an. Ces réponses sont des Informations Confidentielles de SparkPost. Si SparkPost est dans l'incapacité de fournir toutes les informations nécessaires pour démontrer sa conformité avec les Exigences de l'Article 28 par les réponses écrites, alors SparkPost permettra et contribuera aux audits, y compris les inspections, menés par le Client ou un autre auditeur représentant le Client. Toutes les informations obtenues de SparkPost lors d'un tel audit ou inspection sont des Informations Confidentielles de SparkPost.
Transferts internationaux
Emplacements de traitement.
SparkPost peut transférer et traiter les données client partout dans le monde où SparkPost, ses affiliés ou ses sous-traitants maintiennent des opérations de traitement des données. SparkPost fournira à tout moment un niveau de protection adéquat pour les données client traitées, conformément aux exigences des lois sur la protection des données.
Clauses contractuelles standard.
Dans la mesure où SparkPost traite des données personnelles en vertu de l'Accord qui nécessite un mécanisme de transfert ultérieur pour transférer légalement les données personnelles de l'EEE ou du Royaume-Uni (le « Royaume-Uni ») vers un autre pays ou territoire qui n’a pas été déterminé comme fournissant un niveau adéquat de protection des droits et libertés des personnes par la Commission européenne (ou, spécifiquement en ce qui concerne le Royaume-Uni, tel que peut être déterminé par l'organisme de réglementation britannique compétent) (un « Transfert Restreint »), les parties conviennent comme suit :
Clauses contractuelles standard de l'EEE.
Les parties conviennent de se conformer aux Clauses contractuelles standard de l'EEE pour tout Transfert Restreint de l'EEE (un « Transfert Restreint de l'EEE »). Lorsque le client est un contrôleur et SparkPost est un processeur comme décrit plus loin dans la section 3.1, les clauses contractuelles standard contrôleur/processeur s'appliqueront à tout Transfert Restreint de l'EEE. Lorsque le client est un processeur et SparkPost est un sous-processeur comme décrit plus loin dans la section 3.1, les clauses contractuelles standard processeur/sous-processeur s'appliqueront à tout Transfert Restreint de l'EEE. SparkPost sera considéré comme l'importateur de données et le client sera considéré comme l'exportateur de données en vertu des Clauses contractuelles standard de l'EEE. La signature de ce DPA par chaque partie sera considérée comme une signature des Clauses contractuelles standard de l'EEE applicables, qui seront considérées comme incorporées dans ce DPA. Les détails requis en vertu de l'Annexe 1 et de l'Annexe 2 des Clauses contractuelles standard de l'EEE sont disponibles à l'Annexe 1 et à l'Annexe 2 de ce DPA. En cas de conflit ou d'incohérence entre ce DPA et les Clauses contractuelles standard de l'EEE, les Clauses contractuelles standard de l'EEE prévaudront uniquement en ce qui concerne les Transferts Restreints de l'EEE. Lorsque les Clauses contractuelles standard de l'EEE exigent que les parties choisissent entre des clauses optionnelles et renseignent des informations, les parties l'ont fait comme indiqué ci-dessous :
La Clause Optionnelle 7 « Clause d'embarquement » ne sera pas adoptée.
Pour la Clause 9 « Utilisation de sous-traitants », les parties choisissent l'option suivante : « Option 2 Autorisation générale écrite : L'importateur de données dispose de l'autorisation générale du contrôleur pour le recours à des sous-traitants figurant sur une liste convenue. L'importateur de données informera spécifiquement le contrôleur par écrit de toute modification prévue à cette liste par l'ajout ou le remplacement de sous-traitants au moins 30 jours calendaires à l'avance, ce qui donne au contrôleur suffisamment de temps pour s'opposer à ces modifications avant l'engagement des sous-traitants. L'importateur de données fournira au contrôleur les informations nécessaires pour permettre au contrôleur d'exercer son droit d'opposition. L'importateur de données informera l'exportateur de données de l'engagement des sous-traitants.
Pour la Clause 11 (a) « Droit de recours », les parties n'adoptent pas l'option.
Pour la Clause 17 « Loi applicable », les parties choisissent l'option suivante : « Option 1. Ces clauses seront régies par la loi d'un des États membres de l'UE, à condition que cette loi autorise les droits des bénéficiaires tiers. Les parties conviennent que ce sera la loi des Pays-Bas.
Pour la Clause 18 (b) « Choix du Forum et de la Juridiction » : « Les Parties conviennent que ceux-ci seront les tribunaux des Pays-Bas.
Clauses contractuelles standard du Royaume-Uni. Les parties conviennent de se conformer aux Clauses contractuelles standard du Royaume-Uni pour tout Transfert Restreint du Royaume-Uni (un « Transfert Restreint du Royaume-Uni »). SparkPost sera considéré comme l'importateur de données et le client sera considéré comme l'exportateur de données en vertu des Clauses contractuelles standard du Royaume-Uni. La signature de ce DPA par chaque partie sera considérée comme une signature des Clauses contractuelles standard du Royaume-Uni applicables, qui seront considérées comme incorporées dans ce DPA. Les détails requis en vertu de l'Annexe 1 et de l'Annexe 2 des Clauses contractuelles standard du Royaume-Uni sont disponibles à l'Annexe 1 et à l'Annexe 2 de ce DPA. En cas de conflit ou d'incohérence entre ce DPA et les Clauses contractuelles standard du Royaume-Uni, les Clauses contractuelles standard du Royaume-Uni prévaudront uniquement en ce qui concerne les Transferts Restreints du Royaume-Uni.
Coopération.
Si SparkPost est incapable de se conformer à cette exigence ou si les autorités compétentes ou les tribunaux cessent de reconnaître les Clauses contractuelles standard de l'EEE ou les Clauses contractuelles standard du Royaume-Uni, selon le cas, comme fournissant un niveau adéquat de protection, SparkPost informera le client et coopérera raisonnablement avec le client pour s'assurer que tout traitement de données personnelles est conforme aux lois sur la protection des données et à toute restriction de transfert en vertu de celles-ci, y compris par le biais de certifications alternatives, comme applicable et nécessaire.
Mécanisme de transfert alternatif.
Les parties conviennent que la solution d'exportation de données identifiée à la section 7.2 (Clauses contractuelles standard) ne s'appliquera pas si et dans la mesure où SparkPost adopte ou maintient une solution d'exportation de données alternative pour le transfert légal de données personnelles (comme reconnu en vertu des lois sur la protection des données) en dehors de l'EEE et/ou du Royaume-Uni et qui a été approuvée par le client par écrit avant tout transfert ou autre traitement de données personnelles (« Mécanisme de transfert alternatif »), auquel cas le Mécanisme de transfert alternatif s'appliquera à la place (mais uniquement dans la mesure où ce Mécanisme de transfert alternatif s'étend aux territoires vers lesquels les données personnelles sont transférées).
Sécurité supplémentaire
Confidentialité du traitement.
SparkPost veillera à ce que toute personne autorisée par SparkPost à traiter des données personnelles (y compris son personnel, ses agents et sous-traitants) soit soumise à une obligation appropriée de confidentialité (qu'il s'agisse d'une obligation contractuelle ou légale).
Réponse et notification en cas d'incident de sécurité.
Lorsqu'il aura connaissance d'un incident de sécurité, SparkPost notifiera le client sans retard injustifié et fournira des informations en temps opportun relatives à l'incident de sécurité au fur et à mesure qu'elles seront connues ou raisonnablement demandées par le client.
Retour ou suppression des données
À la résiliation ou à l'expiration de l'Accord, SparkPost supprimera ou retournera (au choix du Client) au Client toutes les Données Personnelles (y compris les copies) en sa possession ou sous son contrôle, sauf si cette obligation ne s'applique pas dans la mesure où SparkPost est tenu par la loi applicable de conserver tout ou partie des Données Personnelles, ou aux Données Personnelles qu'il a archivées sur des systèmes de sauvegarde, lesquelles Données Personnelles SparkPost isolera et protégera de tout traitement ultérieur, sauf dans la mesure requise par la loi applicable. COOPÉRATION.
Indemnisation.
Les deux parties conviennent de défendre et d'indemniser l'autre (y compris ses administrateurs, dirigeants, employés et agents) contre toute réclamation de tiers (y compris des autorités gouvernementales et des Destinataires) et les frais et dépenses connexes (y compris les honoraires d'avocat raisonnables) découlant de sa violation réelle ou alléguée de ce DPA.
Demandes de la Personne Concernée.
Le Service offre au Client un certain nombre de contrôles que le Client peut utiliser pour récupérer, corriger, supprimer ou restreindre les Données Client, que le Client peut utiliser pour l'aider à respecter ses obligations en vertu des Lois sur la Protection des Données, notamment, par exemple, ses obligations relatives à la réponse aux Demandes de Personnes Concernées. Dans la mesure où le Client est incapable d'accéder indépendamment aux Données Client pertinentes au sein du Service, SparkPost fournira une coopération raisonnable pour aider le Client à répondre en temps voulu à toute Demande de Personne Concernée relative au traitement des Données Personnelles en vertu de l'Accord dans les délais imposés par les Lois sur la Protection des Données. Dans le cas où une telle demande serait faite directement à SparkPost, SparkPost notifiera par écrit le Client de cette demande dès sa réception.
Registres du Traitement.
Sur demande du Client, SparkPost mettra à disposition en temps voulu les informations requises par le Client pour démontrer la conformité de SparkPost à ses obligations en vertu des Lois sur la Protection des Données et en vertu de ce DPA.
Demandes Gouvernementales.
Si une agence de la loi envoie à SparkPost une demande de Données Personnelles (par exemple, par subpoena ou injonction), SparkPost tentera de rediriger l'agence de la loi pour qu'elle sollicite directement ces données auprès du Client. Dans le cadre de cet effort, SparkPost peut fournir les informations de contact de base du Client à l'agence de la loi. Si SparkPost est contraint de divulguer des Données Client à une agence de la loi, alors SparkPost donnera un avis raisonnable au Client de la demande afin de permettre au Client de demander une ordonnance de protection ou un autre recours approprié, sauf si SparkPost en est légalement interdit.
Évaluations d'Impact sur la Protection des Données.
Dans la mesure où SparkPost est tenu par les Lois sur la Protection des Données applicables, SparkPost fournira les informations raisonnablement demandées concernant le Service pour permettre au Client de réaliser des évaluations d'impact sur la protection des données ou des consultations préalables avec les autorités de protection des données comme l'exige la loi ou conformément aux Articles 35 et 36 du RGPD, respectivement.
***
ANNEXE 1
ANNEXE I AUX CLAUSES CONTRACTUELLES TYPE DE L'EEE
Le cas échéant, cette Annexe 1 servira d'Annexe I aux Clauses Contractuelles Type de l'EEE.
ANNEXE 1, PARTIE A : LISTE DES PARTIES
Exportateur de données : Client
Détails de contact de l'exportateur de données : L'adresse indiquée dans le bloc de signature du client ci-dessus, ou l'adresse e-mail du propriétaire du compte du client, ou à l'adresse e-mail(s) pour laquelle le client choisit de recevoir des notifications en vertu de l'accord.
Rôle de l'exportateur de données : Le rôle de l'exportateur de données est décrit dans la section 3 du DPA.
Signature & Date : L'exportateur de données est réputé avoir signé les Clauses Contractuelles Type de l'EEE intégrées aux présentes à la date d'entrée en vigueur du DPA.
Importateur de données : Message Systems, Inc. (dba SparkPost)
Détails de contact de l'importateur de données : SparkPost Data Protection Officer – privacy@sparkpost.com
Rôle de l'importateur de données : Le rôle de l'importateur de données est décrit dans la section 3 du DPA.
Signature & Date : L'importateur de données est réputé avoir signé les Clauses Contractuelles Type de l'EEE intégrées aux présentes à la date d'entrée en vigueur du DPA.
ANNEXE 1, PARTIE B : DESCRIPTION DU TRANSFERT
Les catégories de personnes concernées dont les données personnelles sont transférées sont décrites dans la section 3.4 du DPA. Les catégories de données personnelles transférées sont décrites dans la section 3.4 du DPA. Données sensibles transférées (le cas échéant) et restrictions ou mesures de protection appliquées qui prennent pleinement en considération la nature des données et les risques impliqués, telles que, par exemple, des restrictions strictes du but, des restrictions d'accès (y compris un accès exclusivement réservé au personnel ayant suivi une formation spécialisée), la conservation d'un enregistrement des accès aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires :
Aucune La fréquence du transfert (par exemple, si les données sont transférées de manière ponctuelle ou continue) : Les données sont transférées de manière continue pendant la durée de l'accord.
La nature du traitement est décrite dans la section 3.4 du DPA. Les objectifs du transfert de données et du traitement ultérieur sont décrits dans la section 3.4 du DPA.
La période pendant laquelle les données personnelles seront conservées, ou, si cela n'est pas possible, les critères utilisés pour déterminer cette période :
Pour la durée de l'accord ou plus longtemps si requis par la loi applicable et autorisé par l'accord.
Pour les transferts à des sous-traitants, précisez également l'objet, la nature et la durée du traitement :
Pour les transferts à des sous-traitants, l'objet et la nature du traitement sont décrits à https://www.sparkpost.com/policies/subprocessors/ et la durée est celle de l'Accord.
ANNEXE 1, PARTIE C : AUTORITÉ DE CONTRÔLE COMPÉTENTE
L'Autorité néerlandaise de protection des données (Autoriteit Persoonsgegevens) sera l'autorité de contrôle compétente.
***
ANNEXE II DE L'ANNEXE 2 AUX CLAUSES CONTRACTUELLES TYPES DE L'EEE
Là où c'est applicable, cet Annexe 2 servira d'Annexe II aux Clauses Contractuelles Standard. Ce qui suit fournit plus d'informations concernant les mesures de sécurité techniques et organisationnelles de SparkPost décrites ci-dessous.
Plus d'informations sur les mesures de sécurité techniques et organisationnelles de SparkPost pour protéger les Données Client, un résumé desquelles est disponible à : https://www.sparkpost.com/policies/security/ (« Politique de Sécurité »).
Mesures de sécurité techniques et organisationnelles :
Mesures de pseudonymisation et de cryptage des données personnelles : SparkPost maintient les données des clients dans un format crypté au repos et en transit en utilisant SSL, HTTPS et TLS opportuniste selon le cas.
Mesures pour garantir la confidentialité, l'intégrité, la disponibilité et la résilience continues des systèmes et services de traitement : SparkPost s'engage à respecter des obligations de confidentialité dans ses accords avec ses clients. SparkPost conclut également des accords contenant des dispositions de confidentialité substantiellement similaires avec ses employés, ses sous-traitants, ses fournisseurs et ses sous-traitants. SparkPost maintient une haute disponibilité et résilience des systèmes et services grâce à de multiples zones de disponibilité de centres de données indépendants. De plus, SparkPost a mis en œuvre et maintient un plan de continuité des activités et de reprise après sinistre pour garantir que les données des clients sont préservées et que les services peuvent continuer à être fournis.
Mesures pour garantir la capacité de restaurer la disponibilité et l'accès aux données personnelles en temps opportun en cas d'incident physique ou technique : les données des clients sont hébergées par Amazon Web Services (« AWS »), qui offre une redondance sur plusieurs zones de disponibilité. Comme indiqué ci-dessus, SparkPost a également mis en œuvre et maintient un plan de continuité des activités et de reprise après sinistre.
Processus de test, d'évaluation et d'évaluation réguliers de l'efficacité des mesures techniques et organisationnelles afin de garantir la sécurité du traitement : SparkPost maintient un programme de sécurité de l'information écrit et complet, qui comprend des contrôles physiques, techniques et administratifs appropriés pour protéger la sécurité, l'intégrité, la confidentialité et la disponibilité des données des clients, y compris, mais sans s'y limiter, la protection des données des clients contre tout accès, utilisation, divulgation ou destruction non autorisés ou illégaux. Ce programme de sécurité a été conçu en tenant compte du type de services fournis par SparkPost et de la taille et de la complexité de l'entreprise SparkPost. En plus de notre équipe de sécurité interne qui surveille constamment notre sécurité en interne, SparkPost utilise un tiers pour effectuer des tests de vulnérabilité et de pénétration internes et externes afin de valider la posture défensive du périmètre et interne à un rythme régulier.
Mesures pour l'identification et l'autorisation des utilisateurs : Les employés de SparkPost doivent utiliser des identifiants et des mots de passe d'accès utilisateur uniques pour l'autorisation. SparkPost utilise les principes d'accès par le moindre privilège lors de la provision d'accès système, qui prend en compte la fonction professionnelle, le rôle et les responsabilités de chaque employé lors de la détermination du niveau et de la durée d'accès appropriés. L'accès nécessite une approbation préalable à la fourniture et l'accès est rapidement supprimé en cas de changement de rôle ou de résiliation.
Mesures pour la protection des données pendant la transmission : les données des clients sont cryptées lorsqu'elles sont en transit entre le client et les services SparkPost à l'aide de HTTPS. Les données des clients sont cryptées lorsqu'elles sont en transit entre SparkPost et le destinataire en utilisant le TLS opportuniste. Mesures pour la protection des données pendant le stockage : Les données des clients sont stockées cryptées en utilisant la norme de cryptage avancée.
Mesures pour garantir la sécurité physique des emplacements où les données personnelles sont traitées : le siège social et les bureaux de SparkPost disposent de (i) une surveillance et une surveillance physiques de la sécurité ; (ii) des contrôles d'entrée pour limiter l'accès physique ; et (iii) journaux des visiteurs. Tous les entrepreneurs et visiteurs sont tenus de loguer leur entrée et sortie dans les bureaux. Les services fonctionnent sur AWS et sont protégés par les contrôles physiques, techniques, organisationnels et administratifs d'Amazon. Des informations détaillées sur la sécurité AWS sont disponibles sur https://aws.amazon.com/security/, https://aws.amazon.com/security/sharing-the-security-responsibility/, et https://aws.amazon.com/compliance/iso-27001-faqs/. Pour les rapports SOC d'AWS, veuillez consulter https://aws.amazon.com/compliance/soc-faqs/.
Mesures pour garantir la consignation des événements : les activités du SparkPost infrastructure de production sont collectées de manière centralisée et sécurisées dans le but de prévenir toute falsification et sont surveillées pour les anomalies par une équipe de sécurité formée.
Mesures pour garantir la configuration des systèmes, y compris la configuration par défaut : SparkPost évalue les modifications de sa plateforme, de ses applications et de son infrastructure de production d'une manière qui minimise les risques et ces modifications sont mises en œuvre uniquement conformément à la politique de sécurité. SparkPost effectue de nombreuses activités liées à la sécurité pour les services à travers différentes phases du cycle de vie de création de produit, de la création de la documentation des exigences et de la conception du produit jusqu'à la mise en service. Ces activités incluent la réalisation de (i) examens internes de la sécurité avant le déploiement de nouveaux services ; (ii) tests d'intrusion annuels par des tiers indépendants ; et (iii) analyse des menaces pour les nouveaux services afin de détecter toute menace et vulnérabilité de sécurité potentielle. SparkPost adhère à un processus de gestion des modifications pour administrer les modifications dans l'environnement de production des services, y compris les modifications de son logiciel sous-jacent, de ses applications et de ses systèmes. Une surveillance est en place pour informer l'équipe de sécurité des modifications apportées à l'infrastructure et aux services critiques qui ne respectent pas les processus de gestion des modifications.
Mesures pour la gouvernance et la gestion de la sécurité IT interne : SparkPost maintient un programme de sécurité basé sur une évaluation des risques, qui comprend des garanties administratives, organisationnelles, techniques et physiques raisonnablement conçues pour protéger les services et la confidentialité, l'intégrité et la disponibilité des données des clients. Le programme de sécurité de SparkPost a été conçu en tenant compte de la nature des services et de la taille et de la complexité de l'entreprise SparkPost. SparkPost dispose d'une équipe de sécurité dédiée qui gère le programme de sécurité de l'information de SparkPost et facilite et soutient les audits et évaluations indépendants effectués par des tiers. Le cadre de sécurité de SparkPost est basé sur l'attestation SOC2 Type II et comprend les critères de services de confiance suivants : Sécurité, Disponibilité, Confidentialité et Vie privée. La sécurité est gérée au plus haut niveau de l'entreprise, le vice-président de la conformité et de la sécurité informatique rencontrant régulièrement la direction exécutive pour discuter des problèmes et coordonner les initiatives de sécurité et d'informatique de l'entreprise. Les politiques et normes de sécurité de l'information sont examinées et approuvées par la direction au moins une fois par an et sont mises à la disposition de tous les employés pertinents de SparkPost pour leur référence.
Mesures pour les certifications/assurances des processus et produits : SparkPost réalise divers audits tiers pour attester de divers cadres, y compris le SOC 2 Type II et des tests réguliers de vulnérabilité et de pénétration des applications. Mesures pour garantir la minimisation des données : SparkPost ne stocke pas le corps du message d'un e-mail après qu'il a été soit livré au destinataire, soit renvoyé ou autrement rejeté par le fournisseur de la boîte aux lettres, ce qui se produit généralement en quelques secondes. En cas de refus ou de rejet, SparkPost conservera le corps du message pendant une période de temps limitée pour permettre une nouvelle tentative de transmission de l'e-mail. Si la transmission est toujours infructueuse, le corps du message est supprimé définitivement. SparkPost ne conserve les données personnelles des destinataires sous forme brute que pendant une durée limitée après la transmission d'un courriel à un destinataire. Après la période de rétention initiale, les données personnelles sont pseudonymisées par un hachage à sens unique et sont uniquement stockées sous forme pseudonymisée. Pour plus d'informations sur ce processus, veuillez consulter notre FAQ sur les données disponible à l'adresse suivante : https://www.sparkpost.com/policies/data-faq/. De plus, SparkPost a intégré des fonctionnalités en libre-service aux services qui permettent aux clients de supprimer certaines données des clients, telles que les adresses e-mail des destinataires et les événements associés, à la demande, dont la documentation pour cette fonctionnalité est disponible à l'adresse : https://developers.sparkpost.com/api/data-privacy/.
Mesures pour garantir la responsabilisation : SparkPost a adopté des mesures pour garantir la responsabilisation, notamment en réalisant des audits réguliers de tiers pour garantir le respect de nos normes de confidentialité et de sécurité. SparkPost met également en œuvre des politiques de protection des données conformément à la loi applicable et publie un aperçu de la politique de sécurité (liée ci-dessus). SparkPost a nommé un délégué à la protection des données et maintient une documentation de ses activités de traitement, y compris l'enregistrement et le signalement des incidents de sécurité impliquant des données personnelles, le cas échéant.
Mesures permettant la portabilité des données et garantissant leur effacement : les clients ont des relations directes avec leurs destinataires et sont responsables de répondre aux demandes de leurs utilisateurs finaux qui souhaitent exercer leurs droits en vertu des lois sur la protection des données. SparkPost a intégré une fonctionnalité en libre-service aux services qui permet aux clients de supprimer certaines données des clients, telles que les adresses e-mail des destinataires et les événements associés à la demande, dont la documentation pour cette fonctionnalité est disponible à l'adresse : https://developers.sparkpost.com/api/data-privacy/. De plus, SparkPost a intégré une fonctionnalité en libre-service pour supprimer les e-mails futurs aux destinataires (c'est-à-dire, se désabonner), dont la documentation pour cette fonctionnalité est disponible à l'adresse https://developers.sparkpost.com/api/suppression-list/. Dans la mesure où le client est incapable d'accéder indépendamment aux données des clients pertinentes dans le service, SparkPost fournira une coopération raisonnable pour aider le client à répondre en temps utile à toute demande de sujet de données relative au traitement de données personnelles en vertu de l'accord dans les délais impartis par les lois sur la protection des données. Dans le cas où une telle demande est faite directement à SparkPost, SparkPost conseillera au sujet des données de soumettre leur demande au client, et le client sera responsable de répondre à une telle demande.
Pour les transferts aux (sous)-traitants, décrivez également les mesures techniques et organisationnelles spécifiques à prendre par le (sous)-traitant pour pouvoir fournir une assistance au contrôleur et, pour les transferts d'un processeur à un (sous)-traitant, à l'exportateur de données : lorsque SparkPost engage un sous-traitant en vertu de ce DPA, SparkPost et le sous-traitant concluent un accord avec des termes de protection des données substantiellement similaires à ceux contenus ici.
V2.0 2 novembre 2021