Annexe de protection des données SparkPost
Documents
Contenu
Dans le cadre de la fourniture du service SparkPost à nos clients, SparkPost peut traiter des données personnelles pour le compte de nos clients lorsque ces données personnelles sont soumises aux lois de protection des données de l'UE comme le RGPD. À cette fin, nous proposons un avenant de protection des données (DPA) tel que fourni ci-dessous. Le DPA ne sera juridiquement contraignant et effectif que si : (1) il est signé ici ; et (2) vous êtes client de SparkPost à la date à laquelle il est entièrement exécuté. Veuillez noter qu'en raison du grand nombre de clients, nous ne sommes pas en mesure de modifier le DPA pour un client particulier. Cependant, si vous avez des questions concernant le DPA, veuillez nous contacter à privacy@sparkpost.com.
Définitions
“Affiliate” désigne toute entité qui contrôle directement ou indirectement, est contrôlée par ou est sous contrôle commun avec l'entité en question. “Contrôle”, aux fins de cette définition, signifie la propriété ou le contrôle direct ou indirect de plus de 50 % des droits de vote de l'entité en question.
“Accord” désigne les Conditions d'utilisation et la Commande associée, qui régissent ensemble la fourniture et l'utilisation du Service.
“CCPA” désigne la California Consumer Privacy Act de 2018 et tout règlement promulgué en vertu de celle-ci, dans chaque cas, tel que modifié de temps à autre.
“Clauses Contractuelles Types Contrôleur/Sous-Traitant” désigne les modules “Contrôleur à Sous-Traitant” (Module 2) des Clauses Contractuelles Types pour le transfert de données personnelles vers des pays tiers conformément au RGPD et à la Décision d'exécution (UE) 2021/914 de la Commission européenne du 4 juin 2021.
“Lois sur la Protection des Données” désigne toutes les lois et réglementations de toute juridiction applicables à la confidentialité, la vie privée, la sécurité ou le Traitement des Données Personnelles dans le cadre de l'Accord, y compris, le cas échéant, le RGPD, le CCPA et toutes les autres lois et réglementations concernant la vie privée, le marketing direct ou la protection des données. “Contrôleur de Données” désigne une entité qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du Traitement des Données Personnelles.
“Sous-Traitant de Données” désigne une entité qui Traite des Données Personnelles pour le compte d'un Contrôleur de Données. “Personne Concernée par les Données” désigne la personne physique à laquelle se rapportent les Données Personnelles.
“Demande de la Personne Concernée” désigne une demande d'une Personne Concernée visant à exercer les droits de cette personne au titre des Lois sur la Protection des Données en ce qui concerne les Données Personnelles de cette personne, y compris, sans limitation, le droit d'accéder à, de corriger, de modifier, de transférer, d'obtenir une copie de, de s'opposer au traitement, de bloquer, de supprimer ou d'opter pour la non-vente de ces Données Personnelles. “EEE” désigne l'Espace Économique Européen et la Suisse.
“RGPD” désigne soit (i) le Règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des Données Personnelles et à la libre circulation de ces données (Règlement Général sur la Protection des Données); soit (ii) uniquement en ce qui concerne le Royaume-Uni, la Data Protection Act 2018.
“Données Personnelles” désigne toute information qui identifie, se rapporte à, décrit ou est raisonnablement susceptible d'être associée à une personne physique ou à un ménage identifiés ou identifiables.
“Traitement” désigne toute opération ou ensemble d'opérations effectuées sur des Données Personnelles ou sur des ensembles de Données Personnelles, qu'elles soient effectuées ou non par des moyens automatisés, telles que la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, la récupération, la consultation, l'utilisation, la divulgation par transmission, diffusion ou mise à disposition de toute autre manière, l'alignement ou la combinaison, la restriction, l'effacement ou la destruction.
“Clauses Contractuelles Types Sous-Traitant/Sous-Traitant” désigne les modules “Sous-Traitant à Sous-Traitant” (Module 3) des Clauses Contractuelles Types pour le transfert de données personnelles vers des pays tiers conformément au RGPD et à la Décision d'exécution (UE) 2021/914 de la Commission européenne du 4 juin 2021.
“Régulateur” désigne l'autorité de protection des données européenne ou une autre autorité réglementaire, gouvernementale ou de surveillance ayant autorité sur tout ou partie de (a) la fourniture ou la réception du Service ; (b) le Traitement des Données Personnelles en rapport avec le Service ; ou (c) l'activité de SparkPost ou le personnel en rapport avec le Service.
“Incident de Sécurité” désigne toute destruction, perte, altération, divulgation ou accès non autorisé ou illicite aux Données Personnelles.
“Service” désigne tout produit ou service fourni par SparkPost au Client conformément à l'Accord.
“Clauses Contractuelles Types EEE” désigne soit (i) les Clauses Contractuelles Types Contrôleur/Sous-Traitant ; soit (ii) les Clauses Contractuelles Types Sous-Traitant/Sous-Traitant, individuellement ou collectivement, selon le cas.
“Sous-Traitant” désigne l'entité qui Traite des Données Personnelles pour le compte d'une entité agissant en tant que Sous-Traitant ou Sous-Traitant.
“Clauses Contractuelles Types du Royaume-Uni” désigne les clauses contractuelles types pour le transfert de données personnelles vers des sous-traitants établis dans des pays tiers dans la forme définie par la Décision 2010/87/UE de la Commission européenne, qui peut être modifiée, modifiée ou remplacée par la Commission européenne.
Relation avec l'accord
Les parties conviennent que ce DPA remplacera tout avenant de protection des données ou accord similaire que les parties ont pu conclure précédemment dans le cadre des Services.
Ce DPA s'applique là où et uniquement dans la mesure où SparkPost traite les Données Personnelles soumises aux Lois de Protection des Données dans le cadre de la fourniture du Service conformément à l'Accord.
À l'exception des modifications apportées par ce DPA, l'Accord reste inchangé et demeure en vigueur. S'il y a un conflit entre les termes de ce DPA et les termes de l'Accord, ce DPA prévaudra dans la mesure de ce conflit. Dans les circonstances où SparkPost s'appuie sur les Clauses Contractuelles Types de l'EEE ou les Clauses Contractuelles Types du Royaume-Uni (collectivement, «Clauses Contractuelles Types»), selon le cas, pour transférer les Données Personnelles, les Clauses Contractuelles Types applicables prévaudront en cas de conflit avec ce DPA.
Toute réclamation formulée en vertu ou en rapport avec ce DPA sera soumise aux conditions générales, y compris mais sans s'y limiter, les exclusions et limitations définies dans l'Accord. Les parties conviennent qu'aucune limitation de responsabilité stipulée dans l'Accord ne s'appliquera à la responsabilité de toute partie envers les Personnes Concernées en vertu des dispositions pour tiers bénéficiaires des Clauses Contractuelles Types dans la mesure où la limitation de cette responsabilité est interdite par les Lois de Protection des Données.
Ce DPA sera régi par et interprété conformément aux dispositions de loi et de juridiction régissant l'Accord, sauf si les Lois de Protection des Données applicables l'exigent autrement. Ce DPA restera en vigueur aussi longtemps que SparkPost traitera les Données Personnelles, nonobstant l'expiration ou la résiliation de l'Accord. RÔLES ET CHAMP D'APPLICATION DU TRAITEMENT.
Rôle des Parties.
Les parties reconnaissent et conviennent que, entre SparkPost et le Client : En ce qui concerne les Données Personnelles de tout individu accédant et/ou utilisant le Service via le Compte du Client («Utilisateurs»), le Client est le Contrôleur et SparkPost est le Sous-traitant des Données Personnelles des Utilisateurs ; et en ce qui concerne les Données Personnelles de tout individu : (i) dont l'adresse email est incluse dans la ou les listes de destinataires du Client ; (ii) dont les informations sont stockées ou collectées via le Service, ou (ii) auxquelles les Utilisateurs envoient des emails ou avec lesquelles ils s'engagent ou communiquent autrement via le Service (collectivement, «Destinataires»), le Client est le Sous-traitant et SparkPost est le Sous-traitant des Données des Destinataires.
Traitement des Données Personnelles par le Client.
Le Client accepte de se conformer à ses obligations en vertu des Lois de Protection des Données applicables en ce qui concerne son Traitement des Données Personnelles dans le cadre du Service et en ce qui concerne toute instruction de Traitement documentée qu'il émet à SparkPost.
Traitement des Données Personnelles par SparkPost. Le Client instruit SparkPost de Traiter les Données Personnelles conformément à l'Accord (y compris, pour éviter tout doute, de remplir ses autres obligations et d'exercer ses droits en vertu de l'Accord) et de se conformer aux autres instructions raisonnables du Client (par exemple, par email) lorsque ces instructions sont conformes à l'Accord. SparkPost doit : (i) Traiter les Données Personnelles uniquement pour le compte du Client et conformément aux instructions légales documentées du Client et doit traiter les Données Personnelles comme des informations confidentielles soumises aux dispositions de confidentialité de l'Accord ; (ii) notifier immédiatement par écrit au Client si, de l'avis raisonnable de SparkPost, SparkPost estime que toute instruction donnée par le Client enfreint les Lois de Protection des Données ; (iii) exécuter le Service et Traiter les Données Personnelles en conformité avec les Lois de Protection des Données et l'Accord ; (iv) notifier rapidement au Client toute non-conformité avec ce DPA. Les parties conviennent que ce DPA et l'Accord énoncent les instructions complètes et finales du Client à SparkPost en relation avec le traitement des Données Personnelles et que tout traitement en dehors du cadre de ces instructions (le cas échéant) nécessitera un accord écrit préalable entre le Client et SparkPost.
Détails du Traitement des Données.
Sujet: Le sujet du traitement des données en vertu de ce DPA est les Données Personnelles.Durée: Entre SparkPost et le Client, la durée du traitement des données en vertu de ce DPA est jusqu'à la résiliation de l'Accord conformément à ses termes.
But: Le but du traitement des données en vertu de ce DPA est la fourniture du Service au Client et l'exécution de SparkPost conformément à l'Accord (y compris ce DPA) ou tel qu'autrement convenu par les parties.
Nature du traitement: SparkPost offre un service de livraison d'emails, d'analytics, et d'intelligence et d'autres services connexes, comme décrit dans l'Accord.Catégories de personnes concernées: Utilisateurs et Destinataires.
Types de Données Personnelles:
Client et Utilisateurs : données d'identification et de contact (nom, adresse, titre, coordonnées, nom d'utilisateur); informations financières (détails de compte, informations de paiement); détails d'emploi (employeur, titre d'emploi, localisation géographique, domaine de responsabilité);
Destinataires : données d'identification et de contact (nom, adresse email, et autres données démographiques et segmentaires fournies par le Client); informations IT (adresses IP, données d'utilisation, données de cookies, données de navigation en ligne, données de localisation, données de navigateur).
California Consumer Privacy Act.
SparkPost se conformera au CCPA et traitera toutes les Données Personnelles soumises au CCPA («Données Personnelles CCPA») conformément aux dispositions du CCPA. En ce qui concerne les Données Personnelles CCPA, SparkPost est un fournisseur de services en vertu du CCPA. SparkPost ne (a) vendra pas les Données Personnelles CCPA; (b) ne conservera, n'utilisera ni ne divulguera aucune Donnée Personnelle CCPA à d'autres fins que pour la fourniture spécifique des Services, y compris ne pas conserver, utiliser ou divulguer des Données Personnelles CCPA à des fins commerciales autres que la fourniture des Services ; ou (c) ne conservera, n'utilisera ni ne divulguera des Données Personnelles CCPA en dehors de la relation commerciale directe entre SparkPost et le Client. Les parties reconnaissent et conviennent que le Traitement des Données Personnelles CCPA autorisé par les instructions du Client décrites dans l'Accord et ce DPA fait partie intégrante et est englobé par la fourniture des Services de SparkPost et la relation commerciale directe entre les parties. Les parties reconnaissent et conviennent que l'accès de SparkPost aux Données du Client ne constitue pas une partie de la contrepartie échangée par les parties en ce qui concerne l'Accord. Dans la mesure où des Données d'Utilisation sont considérées comme des Données Personnelles CCPA, SparkPost est l'entreprise en ce qui concerne ces données et traitera ces données conformément à sa Politique de Confidentialité, qui peut être consultée à https://www.sparkpost.com/policies/privacy/. Les termes «entreprise», «but commercial», «fournisseur de services», et «vendre» tels qu'utilisés dans cette section ont les significations qui leur sont données dans le CCPA. SparkPost et le Client certifient qu'ils comprennent et se conformeront aux obligations et restrictions énoncées dans ce DPA et l'Accord tel qu'exigé par le CCPA.
Intérêts Légitimes.
Le Client reconnaît que SparkPost aura le droit d'utiliser et de divulguer des données relatives à l'exploitation, au support et/ou à l'utilisation du Service pour ses objectifs commerciaux légitimes, tels que la facturation, la gestion des comptes, le support technique, et le développement de produits. Dans la mesure où de telles données sont considérées comme des Données Personnelles en vertu des Lois de Protection des Données, SparkPost est le Contrôleur de Données de ces données et les traitera conformément à la Politique de Confidentialité de SparkPost et aux Lois de Protection des Données.
Technologies de Suivi.
Le Client reconnaît qu'en lien avec l'exécution du Service, SparkPost utilise des balises web, pixels de suivi, et des technologies de suivi similaires («Technologies de Suivi»). Le Client maintiendra une base légale appropriée pour le traitement tel que requis par les Lois de Protection des Données pour permettre à SparkPost de déployer légalement les Technologies de Suivi sur, et de collecter des données à partir des appareils des Destinataires conformément à et tel que décrit dans la Politique de Confidentialité de SparkPost.
Sous-traitement
Sous-traitants autorisés. Le client accepte que SparkPost puisse engager des sous-traitants pour traiter les données des clients pour le compte du client. Les sous-traitants engagés par SparkPost et autorisés par le client à la date d'entrée en vigueur sont listés sur : https://www.sparkpost.com/policies/subprocessors. Obligations des sous-traitants. SparkPost doit : (i) conclure un accord écrit avec le sous-traitant imposant des termes de protection des données qui exigent du sous-traitant qu'il protège les données des clients selon la norme requise par les lois sur la protection des données ; et (ii) rester responsable de sa conformité aux obligations de ce DPA et de tout acte ou omission du sous-traitant qui amènerait SparkPost à ne pas respecter ses obligations en vertu de ce DPA.
Notification. SparkPost (i) fournira une liste à jour des sous-traitants qu'il a nommés sur demande écrite du client ; et (ii) notifiera le client (pour lequel un email suffira) s'il ajoute un sous-traitant au moins dix (10) jours avant tout changement.
Objection. Le client peut s'opposer par écrit à la nomination par SparkPost d'un nouveau sous-traitant dans un délai de cinq (5) jours après cet avis, à condition que cette objection soit fondée sur des motifs raisonnables liés à la protection des données. Dans ce cas, les parties discuteront de ces préoccupations de bonne foi afin de parvenir à une résolution. Si une résolution n'est pas atteinte dans un délai raisonnable, le client peut résilier la ou les commandes applicables uniquement en ce qui concerne le service spécifique qui ne peut être fourni par SparkPost sans l'utilisation du nouveau sous-traitant contesté, en fournissant un avis écrit à SparkPost.
Sécurité
Politique de Sécurité.
En tenant compte de l'état de l'art, des coûts de mise en œuvre ainsi que de la nature, de la portée, du contexte et des finalités du Traitement, ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques, SparkPost mettra en œuvre et maintiendra des mesures de sécurité techniques et organisationnelles appropriées pour protéger les Données Personnelles contre les Incidents de Sécurité et préserver la sécurité, l'intégrité, la disponibilité, la résilience et la confidentialité des Données Personnelles et des systèmes SparkPost utilisés pour le Traitement des Données Personnelles.
Mises à jour des Mesures de Sécurité.
Le Client est responsable de l'examen des informations mises à disposition par SparkPost concernant la sécurité des données et de la détermination indépendante de la conformité de ces informations aux exigences et obligations légales du Client en vertu des Lois sur la Protection des Données. Le Client reconnaît que la Politique de Sécurité est sujette aux progrès et développements techniques et que SparkPost peut mettre à jour ou modifier la Politique de Sécurité de temps à autre à condition que ces mises à jour et modifications n'entraînent pas une dégradation de la sécurité globale du Service acheté par le Client.
Responsabilités du Client.
Nonobstant ce qui précède, le Client convient qu'il est responsable de sécuriser les informations d'identification d'authentification de son Compte sous la garde ou le contrôle du Client et de protéger la sécurité des Données Personnelles lors de leur transit vers et depuis le Service, dans la mesure où ces Données Personnelles sont sous la garde ou le contrôle du Client.
Personnel de SparkPost.
SparkPost s'assurera que son personnel engagé dans le Traitement des Données Personnelles est informé de la nature confidentielle des Données Personnelles, a reçu une formation appropriée sur ses responsabilités et a signé des accords de confidentialité écrits à l'égard des Données Personnelles qui subsistent après la cessation de l'engagement du personnel.
Rapports d'audit et audits
Rapport d'audit.
SparkPost est régulièrement audité selon les contrôles SOC 2 Type II (ou équivalent) par des auditeurs indépendants tiers. Sur demande, SparkPost fournira un résumé de son rapport d'audit («Rapport d'audit») au Client, afin que le Client puisse vérifier la conformité de SparkPost avec les normes d'audit auxquelles il a été évalué, ainsi que ce DPA. Ces Rapports d'audit, ainsi que toute conclusion ou constatation y figurant, sont des Informations Confidentielles de SparkPost.
Audit.
SparkPost mettra à la disposition du Client toutes les informations nécessaires pour démontrer la conformité avec les obligations des Processeurs de données énoncées à l'Article 28 du RGPD («Exigences de l'Article 28»). À cette fin, SparkPost fournira des réponses écrites à toutes les demandes raisonnables d'informations faites par le Client, y compris les réponses aux questionnaires de sécurité de l'information et d'audit qui sont nécessaires pour confirmer la conformité de SparkPost avec les Exigences de l'Article 28, à condition que le Client n'exerce pas ce droit plus d'une fois par an. Ces réponses sont des Informations Confidentielles de SparkPost. Si SparkPost est dans l'incapacité de fournir toutes les informations nécessaires pour démontrer sa conformité avec les Exigences de l'Article 28 par les réponses écrites, alors SparkPost permettra et contribuera aux audits, y compris les inspections, menés par le Client ou un autre auditeur représentant le Client. Toutes les informations obtenues de SparkPost lors d'un tel audit ou inspection sont des Informations Confidentielles de SparkPost.
Transferts internationaux
Emplacements de traitement.
SparkPost peut transférer et traiter les données client partout dans le monde où SparkPost, ses affiliés ou ses sous-traitants maintiennent des opérations de traitement des données. SparkPost fournira à tout moment un niveau de protection adéquat pour les données client traitées, conformément aux exigences des lois sur la protection des données.
Clauses contractuelles standard.
Dans la mesure où SparkPost traite des données personnelles en vertu de l'Accord qui nécessite un mécanisme de transfert ultérieur pour transférer légalement les données personnelles de l'EEE ou du Royaume-Uni (le « Royaume-Uni ») vers un autre pays ou territoire qui n’a pas été déterminé comme fournissant un niveau adéquat de protection des droits et libertés des personnes par la Commission européenne (ou, spécifiquement en ce qui concerne le Royaume-Uni, tel que peut être déterminé par l'organisme de réglementation britannique compétent) (un « Transfert Restreint »), les parties conviennent comme suit :
Clauses contractuelles standard de l'EEE.
Les parties conviennent de se conformer aux Clauses contractuelles standard de l'EEE pour tout Transfert Restreint de l'EEE (un « Transfert Restreint de l'EEE »). Lorsque le client est un contrôleur et SparkPost est un processeur comme décrit plus loin dans la section 3.1, les clauses contractuelles standard contrôleur/processeur s'appliqueront à tout Transfert Restreint de l'EEE. Lorsque le client est un processeur et SparkPost est un sous-processeur comme décrit plus loin dans la section 3.1, les clauses contractuelles standard processeur/sous-processeur s'appliqueront à tout Transfert Restreint de l'EEE. SparkPost sera considéré comme l'importateur de données et le client sera considéré comme l'exportateur de données en vertu des Clauses contractuelles standard de l'EEE. La signature de ce DPA par chaque partie sera considérée comme une signature des Clauses contractuelles standard de l'EEE applicables, qui seront considérées comme incorporées dans ce DPA. Les détails requis en vertu de l'Annexe 1 et de l'Annexe 2 des Clauses contractuelles standard de l'EEE sont disponibles à l'Annexe 1 et à l'Annexe 2 de ce DPA. En cas de conflit ou d'incohérence entre ce DPA et les Clauses contractuelles standard de l'EEE, les Clauses contractuelles standard de l'EEE prévaudront uniquement en ce qui concerne les Transferts Restreints de l'EEE. Lorsque les Clauses contractuelles standard de l'EEE exigent que les parties choisissent entre des clauses optionnelles et renseignent des informations, les parties l'ont fait comme indiqué ci-dessous :
La Clause Optionnelle 7 « Clause d'embarquement » ne sera pas adoptée.
Pour la Clause 9 « Utilisation de sous-traitants », les parties choisissent l'option suivante : « Option 2 Autorisation générale écrite : L'importateur de données dispose de l'autorisation générale du contrôleur pour le recours à des sous-traitants figurant sur une liste convenue. L'importateur de données informera spécifiquement le contrôleur par écrit de toute modification prévue à cette liste par l'ajout ou le remplacement de sous-traitants au moins 30 jours calendaires à l'avance, ce qui donne au contrôleur suffisamment de temps pour s'opposer à ces modifications avant l'engagement des sous-traitants. L'importateur de données fournira au contrôleur les informations nécessaires pour permettre au contrôleur d'exercer son droit d'opposition. L'importateur de données informera l'exportateur de données de l'engagement des sous-traitants.
Pour la Clause 11 (a) « Droit de recours », les parties n'adoptent pas l'option.
Pour la Clause 17 « Loi applicable », les parties choisissent l'option suivante : « Option 1. Ces clauses seront régies par la loi d'un des États membres de l'UE, à condition que cette loi autorise les droits des bénéficiaires tiers. Les parties conviennent que ce sera la loi des Pays-Bas.
Pour la Clause 18 (b) « Choix du Forum et de la Juridiction » : « Les Parties conviennent que ceux-ci seront les tribunaux des Pays-Bas.
Clauses contractuelles standard du Royaume-Uni. Les parties conviennent de se conformer aux Clauses contractuelles standard du Royaume-Uni pour tout Transfert Restreint du Royaume-Uni (un « Transfert Restreint du Royaume-Uni »). SparkPost sera considéré comme l'importateur de données et le client sera considéré comme l'exportateur de données en vertu des Clauses contractuelles standard du Royaume-Uni. La signature de ce DPA par chaque partie sera considérée comme une signature des Clauses contractuelles standard du Royaume-Uni applicables, qui seront considérées comme incorporées dans ce DPA. Les détails requis en vertu de l'Annexe 1 et de l'Annexe 2 des Clauses contractuelles standard du Royaume-Uni sont disponibles à l'Annexe 1 et à l'Annexe 2 de ce DPA. En cas de conflit ou d'incohérence entre ce DPA et les Clauses contractuelles standard du Royaume-Uni, les Clauses contractuelles standard du Royaume-Uni prévaudront uniquement en ce qui concerne les Transferts Restreints du Royaume-Uni.
Coopération.
Si SparkPost est incapable de se conformer à cette exigence ou si les autorités compétentes ou les tribunaux cessent de reconnaître les Clauses contractuelles standard de l'EEE ou les Clauses contractuelles standard du Royaume-Uni, selon le cas, comme fournissant un niveau adéquat de protection, SparkPost informera le client et coopérera raisonnablement avec le client pour s'assurer que tout traitement de données personnelles est conforme aux lois sur la protection des données et à toute restriction de transfert en vertu de celles-ci, y compris par le biais de certifications alternatives, comme applicable et nécessaire.
Mécanisme de transfert alternatif.
Les parties conviennent que la solution d'exportation de données identifiée à la section 7.2 (Clauses contractuelles standard) ne s'appliquera pas si et dans la mesure où SparkPost adopte ou maintient une solution d'exportation de données alternative pour le transfert légal de données personnelles (comme reconnu en vertu des lois sur la protection des données) en dehors de l'EEE et/ou du Royaume-Uni et qui a été approuvée par le client par écrit avant tout transfert ou autre traitement de données personnelles (« Mécanisme de transfert alternatif »), auquel cas le Mécanisme de transfert alternatif s'appliquera à la place (mais uniquement dans la mesure où ce Mécanisme de transfert alternatif s'étend aux territoires vers lesquels les données personnelles sont transférées).
Sécurité supplémentaire
Confidentialité du traitement.
SparkPost veillera à ce que toute personne autorisée par SparkPost à traiter des données personnelles (y compris son personnel, ses agents et sous-traitants) soit soumise à une obligation appropriée de confidentialité (qu'il s'agisse d'une obligation contractuelle ou légale).
Réponse et notification en cas d'incident de sécurité.
Lorsqu'il aura connaissance d'un incident de sécurité, SparkPost notifiera le client sans retard injustifié et fournira des informations en temps opportun relatives à l'incident de sécurité au fur et à mesure qu'elles seront connues ou raisonnablement demandées par le client.
Retour ou suppression des données
À la résiliation ou à l'expiration de l'Accord, SparkPost supprimera ou retournera (au choix du Client) au Client toutes les Données Personnelles (y compris les copies) en sa possession ou sous son contrôle, sauf si cette obligation ne s'applique pas dans la mesure où SparkPost est tenu par la loi applicable de conserver tout ou partie des Données Personnelles, ou aux Données Personnelles qu'il a archivées sur des systèmes de sauvegarde, lesquelles Données Personnelles SparkPost isolera et protégera de tout traitement ultérieur, sauf dans la mesure requise par la loi applicable. COOPÉRATION.
Indemnisation.
Les deux parties conviennent de défendre et d'indemniser l'autre (y compris ses administrateurs, dirigeants, employés et agents) contre toute réclamation de tiers (y compris des autorités gouvernementales et des Destinataires) et les frais et dépenses connexes (y compris les honoraires d'avocat raisonnables) découlant de sa violation réelle ou alléguée de ce DPA.
Demandes de la Personne Concernée.
Le Service offre au Client un certain nombre de contrôles que le Client peut utiliser pour récupérer, corriger, supprimer ou restreindre les Données Client, que le Client peut utiliser pour l'aider à respecter ses obligations en vertu des Lois sur la Protection des Données, notamment, par exemple, ses obligations relatives à la réponse aux Demandes de Personnes Concernées. Dans la mesure où le Client est incapable d'accéder indépendamment aux Données Client pertinentes au sein du Service, SparkPost fournira une coopération raisonnable pour aider le Client à répondre en temps voulu à toute Demande de Personne Concernée relative au traitement des Données Personnelles en vertu de l'Accord dans les délais imposés par les Lois sur la Protection des Données. Dans le cas où une telle demande serait faite directement à SparkPost, SparkPost notifiera par écrit le Client de cette demande dès sa réception.
Registres du Traitement.
Sur demande du Client, SparkPost mettra à disposition en temps voulu les informations requises par le Client pour démontrer la conformité de SparkPost à ses obligations en vertu des Lois sur la Protection des Données et en vertu de ce DPA.
Demandes Gouvernementales.
Si une agence de la loi envoie à SparkPost une demande de Données Personnelles (par exemple, par subpoena ou injonction), SparkPost tentera de rediriger l'agence de la loi pour qu'elle sollicite directement ces données auprès du Client. Dans le cadre de cet effort, SparkPost peut fournir les informations de contact de base du Client à l'agence de la loi. Si SparkPost est contraint de divulguer des Données Client à une agence de la loi, alors SparkPost donnera un avis raisonnable au Client de la demande afin de permettre au Client de demander une ordonnance de protection ou un autre recours approprié, sauf si SparkPost en est légalement interdit.
Évaluations d'Impact sur la Protection des Données.
Dans la mesure où SparkPost est tenu par les Lois sur la Protection des Données applicables, SparkPost fournira les informations raisonnablement demandées concernant le Service pour permettre au Client de réaliser des évaluations d'impact sur la protection des données ou des consultations préalables avec les autorités de protection des données comme l'exige la loi ou conformément aux Articles 35 et 36 du RGPD, respectivement.
***
ANNEXE 1
ANNEXE I AUX CLAUSES CONTRACTUELLES TYPES DE L'EEE
Le cas échéant, cette Annexe 1 servira d'Annexe I aux Clauses Contractuelles Types de l'EEE.
ANNEXE 1, PARTIE A : LISTE DES PARTIES
Exportateur de données : Client
Détails du contact de l'exportateur de données : L'adresse figurant dans le bloc de signature du Client ci-dessus, ou l'adresse e-mail du propriétaire du compte Client, ou l'adresse e-mail pour laquelle le Client choisit de recevoir des notifications en vertu de l'Accord.
Rôle de l'exportateur de données : Le rôle de l'exportateur de données est décrit dans la Section 3 du DPA.
Signature & Date : L'exportateur de données est réputé avoir signé les Clauses Contractuelles Types de l'EEE intégrées ici à la Date d'entrée en vigueur du DPA.
Importateur de données : Message Systems, Inc. (dba SparkPost)
Détails du contact de l'importateur de données : SparkPost Data Protection Officer – privacy@sparkpost.com
Rôle de l'importateur de données : Le rôle de l'importateur de données est décrit dans la Section 3 du DPA.
Signature & Date : L'importateur de données est réputé avoir signé les Clauses Contractuelles Types de l'EEE intégrées ici à la Date d'entrée en vigueur du DPA.
ANNEXE 1, PARTIE B : DESCRIPTION DU TRANSFERT
Les catégories de personnes concernées dont les données personnelles sont transférées sont décrites à la Section 3.4 du DPA. Les catégories de données personnelles transférées sont décrites à la Section 3.4 du DPA. Données sensibles transférées (le cas échéant) et restrictions ou mesures de protection appliquées qui prennent entièrement en considération la nature des données et les risques encourus, telles que par exemple une limitation stricte des finalités, des restrictions d'accès (y compris l'accès uniquement au personnel ayant suivi une formation spécialisée), la tenue d'un registre d'accès aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires :
AucuneLa fréquence du transfert (par exemple, si les données sont transférées de manière ponctuelle ou continue) : Les données sont transférées de manière continue pour la durée de l'Accord.
La nature du traitement est décrite à la Section 3.4 du DPA. Les finalités du transfert de données et du traitement ultérieur sont décrites à la Section 3.4 du DPA.
La durée de conservation des données personnelles ou, si cela n'est pas possible, les critères utilisés pour déterminer cette période :
Pendant la durée de l'Accord ou plus longtemps si requis par la loi applicable et autorisé par l'Accord.
Pour les transferts aux sous-traitants, spécifiez également l'objet, la nature et la durée du traitement :
Pour les transferts aux sous-traitants, l'objet et la nature du traitement sont décrits sur https://www.sparkpost.com/policies/subprocessors/ et la durée est pour la durée de l'Accord.
ANNEXE 1, PARTIE C : AUTORITÉ DE SUPERVISION COMPÉTENTE
L'Autorité de protection des données néerlandaise (Autoriteit Persoonsgegevens) sera l'autorité de supervision compétente.
***
ANNEXE II DE L'ANNEXE 2 AUX CLAUSES CONTRACTUELLES TYPES DE L'EEE
Là où applicable, ce Plan 2 servira d'Annexe II aux Clauses Contractuelles Standard. Ce qui suit fournit plus d'informations concernant les mesures de sécurité techniques et organisationnelles de SparkPost décrites ci-dessous.
Plus d'informations sur les mesures de sécurité techniques et organisationnelles de SparkPost pour protéger les Données Client, dont un résumé est disponible à : https://www.sparkpost.com/policies/security/ (“Security Policy”).
Mesures de sécurité techniques et organisationnelles :
Mesures de pseudonymisation et de cryptage des données personnelles : SparkPost conserve les données des clients dans un format crypté au repos et en transit en utilisant SSL, HTTPS et TLS opportuniste si applicable.
Mesures pour assurer la confidentialité, l'intégrité, la disponibilité et la résilience continues des systèmes de traitement et services : SparkPost s'engage à respecter les obligations de confidentialité dans ses accords avec ses clients. SparkPost conclut également des accords contenant des dispositions de confidentialité similaires avec les employés, contractuels, fournisseurs et sous-traitants de SparkPost. SparkPost maintient une haute disponibilité et résilience des systèmes et services à travers plusieurs zones de disponibilité de centres de données indépendants de toute défaillance. De plus, SparkPost a mis en place et maintient un Plan de continuité des activités et de reprise après sinistre pour garantir que les données des clients soient préservées et que les services puissent continuer à être fournis.
Mesures pour assurer la restauration de la disponibilité et de l'accès aux données personnelles en temps voulu en cas d'incident physique ou technique : Les données des clients sont hébergées par Amazon Web Services (« AWS »), qui assure la redondance à travers plusieurs zones de disponibilité. Comme indiqué ci-dessus, SparkPost a également mis en œuvre et maintient un Plan de continuité des activités et de reprise après sinistre.
Processus pour tester, évaluer et évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement : SparkPost maintient un programme de sécurité de l'information écrit et complet, qui inclut des contrôles physiques, techniques et administratifs appropriés pour protéger la sécurité, l'intégrité, la confidentialité et la disponibilité des données des clients, y compris, sans limitation, la protection des données des clients contre toute acquisition non autorisée ou illégale, accès, utilisation, divulgation ou destruction. Ce programme de sécurité a été conçu en tenant compte du type de services que SparkPost fournit et de la taille et de la complexité de l'activité de SparkPost. En plus de notre équipe de sécurité interne qui surveille constamment notre sécurité en interne, SparkPost utilise un tiers pour effectuer des tests internes et externes de vulnérabilités et de pénétrations pour valider le périmètre et la posture défensive interne selon un calendrier régulier.
Mesures d'identification et d'autorisation des utilisateurs : Il est exigé des employés de SparkPost qu'ils utilisent des identifiants d'accès utilisateur et des mots de passe uniques pour l'autorisation. SparkPost utilise les principes de privilège d'accès minimal lors de l'octroi de l'accès au système, ce qui prend en compte la fonction, le rôle et les responsabilités de chaque employé lors de la détermination du niveau et de la durée appropriés d'accès. L'accès nécessite une approbation avant l'octroi et l'accès est rapidement supprimé en cas de changement de rôle ou de fin de contrat.
Mesures pour la protection des données en cours de transmission : Les données des clients sont cryptées lors de leur transmission entre le client et les services de SparkPost en utilisant HTTPS. Les données des clients sont cryptées en cours de transmission entre SparkPost et le destinataire en utilisant le TLS opportuniste. Mesures pour la protection des données pendant le stockage : Les données des clients sont stockées cryptées en utilisant la norme de cryptage avancé.
Mesures pour garantir la sécurité physique des lieux où les données personnelles sont traitées : Les sièges et les espaces de bureaux de SparkPost sont dotés (i) de la surveillance et du contrôle de la sécurité physique ; (ii) des contrôles d'entrée pour limiter l'accès physique ; et (iii) des journaux des visiteurs. Tous les contractuels et visiteurs doivent consigner leur entrée et sortie dans les bureaux. Les services fonctionnent sur AWS et sont protégés par les contrôles physiques, techniques, organisationnels et administratifs d'Amazon. Des informations détaillées sur la sécurité AWS sont disponibles sur https://aws.amazon.com/security/, https://aws.amazon.com/security/sharing-the-security-responsibility/, et https://aws.amazon.com/compliance/iso-27001-faqs/. Pour les rapports SOC AWS, consultez https://aws.amazon.com/compliance/soc-faqs/.
Mesures pour garantir l'enregistrement des événements : Les activités du journal d'infrastructure de production de SparkPost sont collectées centralement et sont sécurisées afin de prévenir les altérations et sont surveillées pour les anomalies par une équipe de sécurité formée.
Mesures pour garantir la configuration des systèmes, y compris la configuration par défaut : SparkPost évalue les changements à sa plate-forme, ses applications et son infrastructure de production de manière à minimiser les risques et ces changements sont mis en œuvre uniquement conformément à la politique de sécurité. SparkPost effectue de nombreuses activités liées à la sécurité pour les services à travers différentes phases du cycle de création de produit depuis la création de la documentation des exigences et la conception du produit jusqu'au stade de mise en production. Ces activités incluent la réalisation (i) de revues de sécurité internes avant l'implémentation de nouveaux services; (ii) des tests de pénétration annuels par des tiers indépendants ; et (iii) de l'analyse des menaces pour de nouveaux services afin de détecter toute menace ou vulnérabilité potentielle en matière de sécurité. SparkPost adhère à un processus de gestion des changements pour administrer les changements dans l'environnement de production des services, y compris les changements à ses logiciels sous-jacents, applications et systèmes. Un suivi est en place pour notifier l'équipe de sécurité des changements apportés à l'infrastructure et aux services critiques qui ne respectent pas les processus de gestion des changements.
Mesures de gouvernance et de gestion de la sécurité informatique interne et de la sécurité informatique : SparkPost maintient un programme de sécurité basé sur une évaluation des risques, qui inclut des protections administratives, organisationnelles, techniques et physiques raisonnablement conçues pour protéger les services et la confidentialité, l'intégrité et la disponibilité des données des clients. Le programme de sécurité de SparkPost a été conçu en tenant compte de la nature des services et de la taille et de la complexité de l'activité de SparkPost. SparkPost dispose d'une équipe de sécurité dédiée qui gère le programme de sécurité de l'information de SparkPost et facilite et soutient les audits et évaluations indépendants effectués par des tiers. Le cadre de sécurité de SparkPost est basé sur l'attestation SOC2 Type II et inclut les critères de services de confiance suivants : Sécurité, Disponibilité, Confidentialité et Vie privée. La sécurité est gérée au plus haut niveau de l'entreprise, avec le vice-président de la conformité et de la sécurité informatique se réunissant régulièrement avec la direction exécutive pour discuter des questions et coordonner les initiatives de sécurité et informatiques à l'échelle de l'entreprise. Les politiques et normes de sécurité de l'information sont revues et approuvées par la direction au moins une fois par an et sont mises à la disposition de tous les employés concernés de SparkPost pour leur référence.
Mesures pour les certifications/assurance des processus et des produits : SparkPost effectue divers audits par des tiers pour attester de divers cadres, y compris le SOC 2 Type II et les tests réguliers de vulnérabilité d'application et de pénétration. Mesures pour assurer la minimisation des données : SparkPost ne stocke pas le corps d'un message électronique après qu'il a été soit livré au destinataire, soit rejeté par le fournisseur de messagerie, ce qui se produit généralement en quelques secondes. En cas de rejet ou de rebond, SparkPost conservera le corps du message pour une durée limitée afin de permettre une nouvelle tentative de transmission du courriel. Si la transmission continue d'échouer, le corps du message est supprimé définitivement. SparkPost ne stocke les données personnelles du destinataire sous forme brute que pour une durée limitée après la transmission d'un courriel à un destinataire. Après la période de rétention initiale, les données personnelles sont pseudonymisées au moyen d'un hachage unidirectionnel et ne sont conservées que sous leur forme pseudonymisée. Pour plus d'informations sur ce processus, veuillez consulter notre FAQ sur les données disponible à : https://www.sparkpost.com/policies/data-faq/. De plus, SparkPost a intégré une fonctionnalité en libre-service aux services qui permettent aux clients de supprimer certaines données clients, comme les adresses e-mail des destinataires et les événements de messages associés, sur demande, dont la documentation pour cette fonctionnalité est disponible à : https://developers.sparkpost.com/api/data-privacy/.
Mesures pour garantir la responsabilisation : SparkPost a adopté des mesures pour garantir la responsabilisation, y compris la réalisation d'audits réguliers par des tiers pour assurer la conformité avec nos normes de confidentialité et de sécurité. SparkPost met également en œuvre des politiques de protection des données conformément à la législation applicable et publie un aperçu de la politique de sécurité (liée ci-dessus). SparkPost a nommé un délégué à la protection des données et conserve la documentation de ses activités de traitement, y compris l'enregistrement et la déclaration des incidents de sécurité impliquant des données personnelles si applicable.
Mesures pour permettre la portabilité des données et assurer l'effacement : Les clients ont des relations directes avec leurs destinataires et sont responsables de répondre aux demandes de leurs utilisateurs finaux qui souhaitent exercer leurs droits en vertu des lois sur la protection des données. SparkPost a intégré une fonctionnalité en libre-service aux services qui permettent aux clients de supprimer certaines données clients, comme les adresses e-mail des destinataires et les événements de messages associés sur demande, dont la documentation pour cette fonctionnalité est disponible à : https://developers.sparkpost.com/api/data-privacy/. De plus, SparkPost a intégré une fonctionnalité en libre-service pour bloquer les futurs courriels aux destinataires (c'est-à-dire, se désabonner), dont la documentation pour cette fonctionnalité est disponible à https://developers.sparkpost.com/api/suppression-list/. Dans la mesure où le client est incapable d'accéder indépendamment aux données des clients pertinentes dans le service, SparkPost fournira une coopération raisonnable pour aider le client à répondre rapidement à toute demande de sujet de données concernant le traitement des données personnelles en vertu de l'accord dans les délais imposés par les lois sur la protection des données. Dans le cas d'une telle demande adressée directement à SparkPost, SparkPost conseillera au sujet de données de soumettre sa demande au client, et le client sera responsable de répondre à une telle demande.
Pour les transferts à des [sous]-traitants, décrivez également les mesures techniques et organisationnelles spécifiques qui doivent être prises par le [sous]-traitant pour pouvoir fournir une assistance au responsable du traitement, et, pour les transferts d'un sous-traitant à un [sous]-traitant, à l'exportateur de données : Lorsque SparkPost engage un sous-traitant dans le cadre de ce DPA, SparkPost et le sous-traitant concluent un accord avec des termes de protection des données sensiblement similaires à ceux ci-inclus.
V2.0 2 novembre 2021
