Accord de traitement des données
Dernière mise à jour : 21 novembre 2024
Ce Contrat de Traitement des Données s'applique à vous pour tous les Services auxquels vous vous inscrivez (y compris par l'intermédiaire de nos Affiliés) :
À partir du jour où vous vous inscrivez à nos Services, si c'est le ou après le 21 novembre 2024.
À partir du 22 décembre 2024, si vous vous êtes inscrit à nos Services avant le 21 novembre 2024.
Notre Contrat de Traitement des Données archivé est disponible ici.
Ce Data Processing Agreement, y compris les annexes, (« DPA ») fait partie de l'Accord entre nous et le Client pour l'achat de services de communication (en ligne) auprès de nous afin de refléter l'accord des Parties concernant le traitement des Données Personnelles du Client. Dans ce DPA, les termes « vous », « votre », ou « Client » se réfèrent à vous en tant que notre Client (sous réserve de la Section 1.2 ci-dessous), et les termes « nous », « notre », ou « nous » se réfèrent à nous en tant que Fournisseur (tel que défini ci-dessous). Les termes en majuscules utilisés dans ce DPA mais non définis ci-dessous sont définis dans nos Conditions Générales ou dans un autre Accord avec nous régissant votre utilisation des Services.
Les parties conviennent que ce DPA remplacera tout avenant ou accord similaire de protection des données que les parties ont pu conclure précédemment en lien avec les Services.
1. Portée, Filiales du Client et Durée
1.1 Portée. Ce DPA régit le traitement des données personnelles du client par nous en tant que sous-traitant.
1.2 Affiliés du Client. Le client conclut ce DPA en son propre nom et, dans la mesure requise par les lois sur la protection des données, au nom et pour le compte de ses affiliés (tels que définis dans les Conditions), si et dans la mesure où vous fournissez à ces affiliés un accès aux services et où nous traitons les données personnelles du client pour lesquelles ces affiliés qualifient de responsable du traitement des données (« Affiliés du Client »). Aux fins de ce DPA uniquement, et sauf indication contraire, les termes « Client » et « vous » incluront le client et les affiliés du client.
1.3 Durée. Ce DPA restera en vigueur tant que nous traiterons les données personnelles du client soumises à ce DPA, nonobstant l'expiration ou la résiliation de l'accord.
2. Définitions
« Account Data » désigne toutes Données personnelles fournies par ou pour vous à nous en rapport avec la conclusion et l'administration de l'Accord et de votre compte, y compris, mais sans s'y limiter, les coordonnées, les détails de facturation et la correspondance concernant la conclusion et l'administration de l'Accord et des Services associés.
« CCPA » signifie la California Consumer Privacy Act de 2018 et toutes réglementations promulguées en vertu de celle-ci, dans chaque cas, telles que modifiées de temps à autre.
« Customer Data » signifie toutes données et autres informations ou contenus soumis par vous ou pour vous (ou par un utilisateur de votre Application Client) en vertu de l'Accord et traités ou stockés par les Services.
« Customer Personal Data » désigne les Données personnelles contenues dans les Données client traitées par nous en tant que processeur, sauf indication contraire dans ce DPA.
« Data Protection Laws » signifie toutes les lois et réglementations de tout ressort applicables à la confidentialité, la vie privée, la sécurité ou le traitement des Données personnelles en vertu de l'Accord, y compris, par exemple et le cas échéant, le RGPD ou le CCPA.
« EEA » signifie, aux fins de ce DPA, l'Espace économique européen et la Suisse.
« GDPR » signifie soit (i) le Règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des Données personnelles et à la libre circulation de ces données (Règlement général sur la protection des données) ; ou (ii) uniquement en ce qui concerne le Royaume-Uni, la Data Protection Act 2018.
« Personal Data » désigne toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, que ce soit seule ou en combinaison avec d'autres informations.
« Personal Data Breach » désigne toute destruction, perte, altération, divulgation non autorisée, ou accès accidentel ou illégal aux Données personnelles client et tout autre terme similaire en vertu des lois applicables sur la protection des données tel que « Security Breach ».
« Services » désigne tous les produits et services fournis par nous ou nos affiliés qui sont (a) commandés par vous en vertu de tout Formulaire de commande ; ou (b) utilisés par vous.
« Provider » désigne notre entité contractante qui est partie à ce DPA, étant l'entité contractante indiquée dans la Section 15 des Conditions générales (Entité contractante), sauf indication contraire sur votre Formulaire de commande. Vous ou Provider pouvez également être désignés individuellement comme une « Partie » et ensemble comme les « Parties » dans ce DPA.
« Standard Contractual Clauses » signifie les Clauses contractuelles types du Contrôleur au Processeur (Module Deux) ou du Processeur au Processeur (Module Trois), selon le cas, des Clauses contractuelles types pour le transfert de Données personnelles vers des pays tiers en vertu du Règlement (UE) 2016/679 du Parlement européen et du Conseil approuvé par la Décision d'exécution (UE) 2021/914 de la Commission européenne du 4 juin 2021, telles qu'actuellement fixées à https://eurlex.europa.eu/eli/dec_impl/2021/914/oj.
« Sub-processor » désigne une entité tierce qui traite les Données personnelles client au nom du Provider là où le Provider agit en tant que processeur de données ou sous-processeur.
« UK Standard Contractual Clauses » signifie tout ou partie des éléments suivants : (i) l'accord de transfert de données internationales publié par le Commissaire à l'information du Royaume-Uni en vertu de la section 119A du DPA 2018 ; (ii) l'addendum de transfert de données internationales aux Clauses contractuelles standard de la Commission européenne pour les transferts de données internationales publié par le Commissaire à l'information du Royaume-Uni en vertu de la section 119A du DPA 2018 ; ou (iii) les dispositions contractuelles standard publiées par le Commissaire à l'information du Royaume-Uni ou la Commission européenne susceptibles de les remplacer de temps à autre.
Les termes tels que « processing », « data controller », « data processor », « data subject », etc. ont la signification qui leur est attribuée dans le RGPD. La définition de « data controller » inclut « business », « consumer », « controller », et « organisation » ; « data processor » inclut « service provider », « processor », et « data intermediary » ; « data subject » inclut « consumer », et « individual » ; et « Personal Data » inclut « personal information », dans chaque cas tel que défini en vertu du CCPA, et d'autres lois applicables sur la protection des données. Les termes « business purpose », « commercial purpose », « sell », et « share » ont la même signification que dans les lois applicables sur la protection des données et, dans chaque cas, leurs termes connexes doivent être interprétés en conséquence.
3. Traitement des données personnelles du client
3.1 Objectifs. Nous traiterons les Données Personnelles du Client uniquement dans la mesure nécessaire (i) pour fournir les Services, y compris la transmission de communication, assurer la sécurité des services, fournir des rapports techniques et de livraison, fournir un support et développer et mettre en œuvre des améliorations et mises à jour conformément à vos instructions documentées à notre égard en tant que sous-traitant des données tel que spécifié dans la Section 3.2 de ce DPA, (ii) pour nos finalités commerciales légitimes tel que spécifié dans la Section 3.4 de ce DPA en tant que responsable du traitement des données, et (iii) tel que requis par la loi applicable.
3.2 Instructions du Client. Le Contrat et ce DPA constituent vos instructions complètes à notre égard en tant que sous-traitant des données au moment de la signature de ce DPA. Nous nous conformerons aux autres instructions raisonnablement documentées à condition que ces instructions soient conformes aux termes du Contrat.
3.3 Détails du Traitement. L'Annexe I, Partie B (Description du Transfert) de l'Annexe I de ce DPA précise la nature et l'objectif du traitement par nous en tant que sous-traitant ou sous-traitant secondaire, les activités de traitement, la durée du traitement, les types de Données Personnelles, et les catégories de personnes concernées.
3.4 Objectifs Commerciaux Légitimes. Vous reconnaissez que nous traitons les Données Personnelles du Client en tant que responsable du traitement indépendant dans la mesure nécessaire aux objectifs commerciaux légitimes suivants : facturation, gestion des comptes, rapports financiers et internes, lutte et prévention des menaces à la sécurité, cyberattaques et cybercriminalité pouvant vous concerner, nous ou nos services, modélisation commerciale (par ex. prévision, planification de la capacité et des revenus, et stratégie produit), prévention et détection des fraudes, spams et abus, amélioration continue des produits et services que vous utilisez, et pour respecter nos obligations légales.
4. Obligations du client
4.1 Légalité. Lorsque vous agissez en tant que responsable du traitement des Données Personnelles des Clients, vous garantissez que toutes les activités de traitement sont légales, ont un objectif spécifique, et que tous les avis requis et consentements ou autres bases légales appropriées sont en place pour permettre le transfert légal des Données Personnelles des Clients. Si vous êtes un sous-traitant (dans ce cas, nous agirons en tant que Sous-traitant), vous veillerez à ce que le responsable du traitement des données pertinent garantisse que les conditions énumérées dans cette Section 4.1 soient remplies.
4.2 Conformité. Vous êtes seul responsable de (a) vous assurer que vous respectez les Lois sur la Protection des Données applicables à votre utilisation des Services et à votre propre traitement des Données Personnelles des Clients, (b) faire une évaluation indépendante pour savoir si les mesures techniques et organisationnelles des Services répondent à vos exigences, et (c) mettre en œuvre et maintenir des mesures de protection et de sécurité des données pour les composants que vous fournissez ou contrôlez (y compris, mais sans s'y limiter, les mots de passe, les appareils utilisés avec les Services et les Applications Clients).
5. Sécurité
5.1 Mesures de Sécurité. Compte tenu de l'état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques de probabilité et de gravité variables pour les droits et libertés des personnes physiques, nous mettrons en place et maintiendrons des mesures de sécurité techniques et organisationnelles appropriées pour protéger les Données Personnelles du Client contre les Violations de Données Personnelles et pour préserver la sécurité, l'intégrité, la disponibilité, la résilience et la confidentialité des Données du Client que nos systèmes utilisent pour le traitement des Données Personnelles du Client. Les mesures de sécurité appliquées par nous sont décrites dans l'Annexe II.
5.2 Mises à jour des Mesures de Sécurité. Vous êtes responsable de l'examen des informations mises à disposition par nous concernant la sécurité des Données Personnelles du Client et de l'évaluation indépendante pour déterminer si ces informations répondent à vos exigences et obligations légales en vertu des Lois sur la Protection des Données. Vous reconnaissez que les mesures de sécurité sont sujettes à des progrès techniques et à des développements, et que nous pouvons mettre à jour ou modifier nos mesures de sécurité de temps à autre, à condition que ces mises à jour et modifications ne dégradent pas la sécurité globale des Données Personnelles du Client.
5.3 Contrôles d'Accès. Nous appliquons les principes de "besoin de savoir" et "le moindre privilège" afin de garantir que l'accès aux Données Personnelles du Client est limité aux personnes nécessaires pour la fourniture des Services et conformément à l'Accord, y compris cette DPA.
5.4 Confidentialité du Traitement. Nous nous assurerons que toute personne ou partie autorisée par nous à traiter les Données Personnelles du Client (y compris notre personnel, nos agents et Sous-traitants) est informée de la nature confidentielle de ces Données Personnelles du Client et sera soumise à une obligation de confidentialité appropriée (qu'il s'agisse d'une obligation contractuelle ou légale) qui survit à la fin de leur engagement.
5.5 Réponse et Notification en cas de Violation de Données Personnelles. Dès que nous prendrons connaissance d'une Violation de Données Personnelles, nous vous informerons sans retard indu (i) vous, (ii) enquêterons sur la Violation de Données Personnelles, (iii) fournirons des informations en temps opportun relatives à la Violation de Données Personnelles au fur et à mesure qu'elles sont connues ou raisonnablement demandées par vous, et (iv) prendrons des mesures commercialement raisonnables pour atténuer les effets et prévenir la réapparition de la Violation de Données Personnelles.
6. Assistance
6.1 Assistance à la Protection des Données. Nous vous fournirons l'assistance raisonnablement demandée afin de vous permettre de respecter vos obligations en vertu des Lois sur la Protection des Données, y compris la notification d'une Violation de Données Personnelles, l'évaluation du niveau de sécurité approprié du traitement et l'assistance dans la réalisation d'une analyse d'impact relative à la protection des données.
6.2 Assistance avec les Droits des Personnes Concernées. Nous vous fournirons une assistance raisonnable afin de vous permettre de respecter vos obligations envers les personnes concernées exerçant leurs droits en vertu des Lois sur la Protection des Données en mettant à disposition des mesures techniques et organisationnelles via votre compte. Pour éviter toute ambiguïté, vous, en tant que contrôleur de données, êtes responsable du traitement de toute demande ou plainte de la part des personnes concernées concernant les Données Personnelles du Client d'une personne concernée.
7. Divulgation et demandes de divulgation
7.1 Limitations sur la divulgation et l'accès. Nous ne fournirons pas d'accès aux Données personnelles du client ni ne les divulguerons, sauf (i) selon vos directives, (ii) tel qu'indiqué dans l'Accord et ce DPA, ou (iii) si la loi l'exige.
7.2 Demandes de divulgation. Nous vous informerons dès que raisonnablement possible si nous recevons une demande d'un organisme gouvernemental ou réglementaire pour divulguer des Données personnelles du client, sauf si cette notification est interdite par la loi. Nous traiterons les demandes de divulgation conformément à la politique de demande de divulgation, disponible sur notre site web ici.
8. Sous-traitants
8.1 Liste des sous-traitants actuels. Vous acceptez l'engagement des sous-traitants en relation avec les Services, listés dans notre aperçu des sous-traitants, qui contient également une procédure pour vous abonner aux notifications des changements dans notre utilisation des sous-traitants. Si vous vous abonnez à ces notifications, et en tenant compte de la Section 8.3 de ce DPA, nous partagerons les détails de tout changement de sous-traitants dès que raisonnablement possible.
8.2 Nomination de sous-traitants. Par le biais de ce DPA, vous nous autorisez par écrit à engager des sous-traitants pour le traitement des données personnelles des clients, sous réserve de la Section 8.3 de ce DPA et des exigences suivantes :
Nous limiterons l'accès aux données personnelles des clients par le sous-traitant à ce qui est strictement nécessaire pour fournir les services spécifiés dans l'accord de sous-traitance;
Nous conviendrons avec le sous-traitant des obligations en matière de protection des données qui sont substantiellement les mêmes que les obligations en vertu de ce DPA; et
Nous restons responsables envers vous en vertu de ce DPA de l'exécution des obligations de protection des données par le sous-traitant.
8.3 Notification des changements de sous-traitants et droit d'opposition. Avant de remplacer ou d'engager de nouveaux sous-traitants («changement de sous-traitant»), nous vous donnerons la possibilité de vous opposer au changement de sous-traitant. Vous pouvez vous opposer à un changement de sous-traitant à condition que (i) l'opposition soit faite par écrit dans les dix (10) jours ouvrables suivant notre notification du changement de sous-traitant et (ii) l'opposition soit fondée et explique clairement les motifs raisonnables relatifs à la protection des données personnelles des clients. Lorsque vous vous opposez à un changement de sous-traitant proposé, nous travaillerons de bonne foi avec vous pour effectuer un changement commercialement raisonnable dans la fourniture des Services qui évite l'utilisation du sous-traitant concerné. Si un tel changement ne peut être raisonnablement effectué dans les trente (30) jours suivant notre réception de votre notification d'opposition, ou si le changement est commercialement déraisonnable pour nous, chaque partie peut résilier les fonctionnalités applicables des Services qui ne peuvent être fournies sans l'utilisation du sous-traitant concerné. Ce droit de résiliation est votre unique et exclusif recours si vous vous opposez à un changement de sous-traitant.
9. Transferts transfrontaliers de données personnelles des clients
9.1 Transferts de Données Personnelles du Client. Nous pouvons transférer les Données Personnelles du Client à condition que toutes les garanties appropriées requises par les Lois sur la Protection des Données soient en place. Cela peut inclure une évaluation d'impact préalable sur le transfert de données, l'adoption, la surveillance et l'évaluation de mesures techniques, organisationnelles et juridiques supplémentaires, des droits des personnes concernées exécutoires, et que des recours juridiques efficaces pour les personnes concernées soient disponibles.
9.2 Clauses Contractuelles Types des Sous-traitants. À moins qu'une décision d'adéquation ou un autre mécanisme de transfert alternatif ne s'applique, tel que le cadre de confidentialité des données UE-USA, nous avons conclu et maintiendrons des Clauses Contractuelles Types avec les Sous-traitants (y compris nos Affiliés) situés en dehors de l'EEE, sous réserve des conditions énoncées à la Section 9.1 de ce DPA.
9.3 Mécanismes de Transfert pour les Transferts de Données Personnelles du Client. Dans la mesure où votre utilisation des Services nécessite un mécanisme de transfert de données transfrontalières pour exporter légalement les Données Personnelles du Client depuis une juridiction (par exemple, l'EEE, la Californie, Singapour, la Suisse ou le Royaume-Uni) vers nous situés en dehors de cette juridiction, cette section s'appliquera. Si, dans l'exécution des Services, les Données Personnelles du Client soumises au RGPD ou à toute autre loi relative à la protection ou la vie privée des individus applicable à ce DPA sont transférées à une entité du Fournisseur située dans des pays qui n'assurent pas un niveau adéquat de protection des données au sens des Lois sur la Protection des Données, les mécanismes de transfert énumérés ci-dessous s'appliqueront à ces transferts et pourront être directement appliqués par les parties dans la mesure où ces transferts sont soumis aux Lois sur la Protection des Données.
9.3.1 Les parties conviennent que les Clauses Contractuelles Types s'appliqueront aux Données Personnelles du Client transférées via les Services de l'EEE ou de la Suisse, soit directement soit par transfert ultérieur, à une entité du Fournisseur située dans un pays en dehors de l'EEE ou de la Suisse qui n'est pas reconnu par la Commission Européenne (ou, dans le cas des transferts depuis la Suisse, l'autorité compétente pour la Suisse) comme fournissant un niveau de protection adéquat pour les données personnelles.
9.3.1.1 Lorsque vous agissez en tant que responsable du traitement des données et que nous sommes un sous-traitant de données, le Module Deux des Clauses Contractuelles Types UE pour le responsable du traitement au sous-traitant s'appliquera à tout tel transfert de Données Personnelles du Client depuis l'EEE. Lorsque vous agissez en tant que sous-traitant de données et que nous sommes un sous-traitant secondaire, le Module Trois des Clauses Contractuelles Types pour le sous-traitant au sous-traitant s'appliquera à tout tel transfert de Données Personnelles du Client depuis l'EEE.
9.3.1.2 Nous serons réputés être l'importateur de données et vous serez réputé être l'exportateur de données en vertu des Clauses Contractuelles Types. La signature par chaque partie de ce DPA sera considérée comme la signature des Clauses Contractuelles Types applicables, qui seront réputées incorporées dans ce DPA. Les détails requis en vertu des Annexes 1 et 2 des Clauses Contractuelles Types sont disponibles dans l'Appendice I et l'Appendice II de ce DPA. En cas de conflit ou d'incohérence entre ce DPA et les Clauses Contractuelles Types, les Clauses Contractuelles Types prévaudront uniquement en ce qui concerne un transfert de Données Personnelles du Client depuis l'EEE.
9.3.1.3 Lorsque les Clauses Contractuelles Types exigent que les parties choisissent entre des clauses optionnelles et saisissent des informations, les parties l'ont fait comme indiqué ci-dessous :
i. La Clause Optionnelle 7 « Clause d'Amarrage » ne sera pas adoptée.
ii. Pour la Clause 9 « Utilisation des sous-traitants », les parties choisissent l'option suivante : « Option 2 Autorisation écrite générale : l'importateur de données a l'autorisation générale du responsable du traitement pour l'engagement de sous-traitants figurant sur une liste convenue. L'importateur de données devra informer spécifiquement le responsable du traitement par écrit de tout changement prévu à cette liste par l'ajout ou le remplacement de sous-traitants au moins 10 jours ouvrables à l'avance, laissant ainsi au responsable du traitement suffisamment de temps pour pouvoir s'opposer à ces changements avant l'engagement des sous-traitants. L'importateur de données doit fournir à l'exportateur de données les informations nécessaires pour permettre à l'exportateur de données d'exercer son droit d'opposition. L'importateur de données informera l'exportateur de données de l'engagement des sous-traitants.»
iii. Pour la Clause 11 (a) « Recours », les parties n'adoptent pas l'Option.
iv. Pour la Clause 17 « Droit Applicable », les parties choisissent l'option suivante : « Option 1. Ces Clauses seront régies par la législation de l'un des États membres de l'UE, pourvu que cette législation autorise les droits des tiers bénéficiaires. Les parties conviennent qu'il s'agira de la législation des Pays-Bas.»
v. Pour la Clause 18 (b) « Choix du Forum et de la Juridiction » : « Les parties conviennent qu'il s'agira des tribunaux des Pays-Bas.»
9.3.2 Les parties conviennent que les UK Standard Contractual Clauses s'appliqueront aux Données Personnelles du Client transférées via les Services du Royaume-Uni, soit directement soit par transfert ultérieur, à une entité du Fournisseur située dans un pays en dehors du Royaume-Uni qui n'est pas reconnu par l'autorité de régulation ou l'organisme gouvernemental compétent du Royaume-Uni comme offrant un niveau adéquat de protection des données personnelles.
9.3.2.1 Nous serons réputés être l'importateur de données et vous serez réputé être l'exportateur de données en vertu des UK Standard Contractual Clauses. La signature par chaque partie de ce DPA sera considérée comme la signature des UK Standard Contractual Clauses, qui seront réputées incorporées dans ce DPA. Les détails requis en vertu des UK Standard Contractual Clauses sont disponibles dans l'Appendice I et l'Appendice II de ce DPA. En cas de conflit ou d'incohérence entre ce DPA et les UK Standard Contractual Clauses, les UK Standard Contractual Clauses prévaudront uniquement en ce qui concerne le transfert de Données Personnelles du Client depuis le Royaume-Uni.
10. Audit
10.1 Rapport d'Audit. Notre plateforme de communication sera régulièrement auditée selon la norme ISO 27001 (ou équivalente). L'audit peut, à notre seule discrétion, être un audit interne ou un audit réalisé par un tiers. Sur demande écrite, nous vous fournirons un résumé du rapport d'audit («Rapport d'Audit»), afin que vous puissiez vérifier notre conformité avec les normes d'audit et ce DPA. Ces Rapports d'Audit, ainsi que toutes les conclusions ou constatations spécifiées dans ceux-ci, sont nos Informations Confidentielles.
10.2 Demandes d'information des clients. Nous vous fournirons toutes les informations raisonnablement nécessaires pour démontrer la conformité avec les obligations énoncées dans ce DPA. Nous fournirons des réponses écrites aux demandes raisonnables d'informations faites par vous, y compris les réponses aux questionnaires de sécurité de l'information et d'audit qui sont raisonnables en portée et nécessaires pour confirmer la conformité avec ce DPA, à condition que vous (i) ayez d'abord fait un effort raisonnable pour obtenir les informations demandées à partir de la Documentation, des Rapports d'Audit et d'autres informations fournies ou rendues publiques par nous, et (ii) n'exerciez pas ce droit plus d'une fois par an, sauf si une Violation de Données Personnelles ou un changement significatif dans nos activités de traitement en relation avec les Services requiert qu'un questionnaire supplémentaire soit exécuté. Toutes les réponses fournies sont nos Informations Confidentielles.
10.3 Audit du Client. Si un Rapport d'Audit fourni par nous vous donne des raisons fondées de croire que nous ne respectons pas nos obligations en vertu de ce DPA, liées aux Données Personnelles du Client fournies par vous, nous permettrons à un auditeur tiers indépendant et qualifié, désigné par vous et approuvé par nous, d'auditer les activités pertinentes de traitement des Données Personnelles applicables, à condition que dans toute la mesure permise par la loi applicable, les exigences suivantes soient respectées:
Vous devez nous donner un préavis raisonnable d'au moins soixante (60) jours avant d'exercer le droit d'audit;
L'auditeur s'engage à respecter des obligations de confidentialité standards du marché avec nous;
Vous et l'auditeur prenez des mesures pour minimiser la perturbation de nos opérations commerciales;
L'audit sera réalisé pendant les heures ouvrables normales;
Nous ne serons pas obligés de fournir l'accès aux données des clients d'autres clients ou aux systèmes non impliqués dans la fourniture des Services; et
Vous devrez payer tous les frais de l'audit.
11. Suppression et Retour des Données Personnelles du Client
À la résiliation ou à l'expiration de l'Accord, nous supprimerons ou vous retournerons (à votre choix) toutes les Données Personnelles des Clients (y compris les copies) en notre possession ou sous notre contrôle, sauf que cette exigence ne s'appliquera pas dans la mesure où la loi nous oblige à conserver certaines ou toutes les Données Personnelles des Clients. Si vous nous demandez de supprimer les Données Personnelles des Clients, les Données Personnelles des Clients archivées sur nos systèmes de sauvegarde seront protégées contre tout traitement ultérieur et supprimées une fois la période de conservation requise écoulée.
12. Communication et droits des affiliés clients
L'entrée dans ce DPA au nom et pour le compte d'une Filiale Client, comme indiqué dans la Section 1.2, constitue un DPA distinct entre nous et cette Filiale Client, sous réserve des éléments suivants :
12.1. Communication. Le Client qui est la partie contractante de l'Accord reste responsable de coordonner toute communication avec nous dans le cadre de ce DPA et a le droit de faire et de recevoir toute communication relative à ce DPA au nom de ses Filiales Clients.
12.2 Droits des Filiales Clients. Lorsqu'une Filiale Client devient partie au DPA avec nous, elle est autorisée, dans la mesure requise par les Lois sur la Protection des Données, à exercer les droits et à rechercher des recours sous ce DPA, sous réserve des éléments suivants :
(i) Sauf si les Lois sur la Protection des Données exigent que la Filiale Client exerce un droit ou cherche un recours sous ce DPA directement contre nous, les parties conviennent que (i) uniquement le Client qui est la partie contractante de l'Accord doit exercer un tel droit ou chercher un tel recours au nom de la Filiale Client, et (ii) le Client qui est la partie contractante de l'Accord doit exercer ces droits sous ce DPA non pas séparément pour chaque Filiale Client individuellement mais de manière combinée pour lui-même et toutes ses Filiales Clients ensemble.
(ii) Les parties conviennent que le Client qui est la partie contractante de l'Accord doit, lorsqu'un audit sur site des procédures pertinentes pour la protection des Données Personnelles des Clients est mené en son nom, comme indiqué dans la Section 10.3 de ce DPA, prendre toutes les mesures raisonnables pour limiter l'impact sur nous en combinant, dans la mesure raisonnablement possible, plusieurs demandes d'audit menées en son nom et au nom de toutes ses Filiales Clients en un seul audit.
Pour plus de clarté, une Filiale Client ne devient pas une partie contractante de l'Accord.
13. Loi sur la protection de la vie privée des consommateurs de Californie.
Dans la mesure où cela est applicable, nous prenons les engagements supplémentaires suivants à votre égard en ce qui concerne le traitement des Données Personnelles des Clients dans le cadre du CCPA.
13.1 Nos Obligations en Vertu des Lois Américaines sur la Protection des Données. Les termes « business purpose », « commercial purpose », « consumer », « sell », et « share » utilisés dans cette Section 13.1 ont la signification qui leur est donnée dans le CCPA. Dans la mesure où cela est applicable, nous nous conformerons au CCPA et traiterons toutes les Données Personnelles des Clients soumises au CCPA et à d'autres Lois Américaines sur la Protection des Données Applicables («Données Personnelles Américaines») conformément aux dispositions du CCPA et d'autres Lois Américaines sur la Protection des Données. En ce qui concerne les Données Personnelles Américaines, nous sommes un prestataire de services selon le CCPA et un processeur de données selon d'autres Lois Américaines sur la Protection des Données. Nous ne vendrons pas les Données Personnelles Américaines. Nous ne conserverons, n'utiliserons ni ne divulguerons aucune Donnée Personnelle Américaine (i) pour tout autre objectif que les objectifs professionnels spécifiés dans l'Accord (y compris conserver, utiliser ou divulguer des Données Personnelles Américaines pour un but commercial autre que l'objectif professionnel spécifié dans l'Accord ou tel que permis par le CCPA ou les lois applicables); ou (ii) en dehors de la relation professionnelle directe avec vous et nous.
13.2 Obligations du Client. Vous déclarez et garantissez que vous avez informé l'utilisateur final que les Données Personnelles sont utilisées ou partagées conformément aux Lois sur la Protection des Données applicables. Vous êtes responsable de la conformité aux exigences des Lois sur la Protection des Données dans la mesure où elles vous sont applicables en tant que responsable du traitement des données.
14. Droit applicable et résolution des litiges
Toute dispute, réclamation ou controverse (« Dispute ») découlant de ou liée à cette DPA sera régie et interprétée conformément aux lois des Pays-Bas. Chaque partie accepte que les tribunaux compétents d'Amsterdam, aux Pays-Bas, aient la compétence exclusive pour régler toute Dispute découlant de ou liée à cette DPA.
ANNEXE I - DÉTAILS DU TRAITEMENT
Là où applicable, cet Annexe I servira d'Annexe I aux Clauses Contractuelles Standard.
Annexe I, Partie A. Liste des Parties
Exportateur de données : Client
Détails de contact de l'exportateur de données : L'adresse indiquée dans le compte du Client, ou l'adresse e-mail du propriétaire du compte du Client, ou à l'adresse e-mail(s) pour laquelle le Client choisit de recevoir des notifications dans le cadre de l'Accord.
Rôle de l'exportateur de données : Le rôle de l'exportateur de données est décrit dans la Section 4 du DPA.
Signature et date : Si et quand applicable, l'exportateur de données est réputé avoir signé les Clauses Contractuelles Standard incorporées ici à compter de la Date d'entrée en vigueur du DPA.
Importateur de données : Fournisseur
Détails de contact de l'importateur de données : Data Protection Officer - privacy@bird.com
Rôle de l'importateur de données : L'importateur de données agit en tant que sous-traitant de données.
Signature et date : Si et quand applicable, l'importateur de données est réputé avoir signé les Clauses Contractuelles Standard incorporées ici à compter de la Date d'entrée en vigueur du DPA.
Annexe I, Partie B. Description du Transfert
1. Catégories de personnes concernées dont les données personnelles sont transférées.
Utilisateurs. Personnes de contact (personnes physiques) ou employés, entrepreneurs ou travailleurs temporaires (actuels, potentiels, anciens) du Client utilisant les Services («Utilisateurs»).
Utilisateurs finaux. Toute personne (i) dont les coordonnées sont incluses dans la ou les listes de contacts du Client ; (ii) dont les informations sont stockées ou collectées via les Services, ou (ii) à qui le Client envoie des communications ou engage ou communique par ailleurs via les Services (collectivement, «Utilisateurs finaux»). En tant que Client, vous déterminez uniquement les catégories de personnes concernées incluses dans la communication envoyée via notre plateforme de communication.
2. Catégories de données personnelles transférées.
Données personnelles des clients contenues dans le contenu de la communication, les données de trafic, les données des utilisateurs finaux et les données d'utilisation des clients.
Contenu de la communication, qui peut inclure des données personnelles ou d'autres caractéristiques personnalisées, selon le contenu de la communication tel que déterminé par vous en tant que Client.
Données de trafic, qui peuvent inclure des données personnelles du Client concernant le routage, la durée ou le timing d'une communication telle qu'un appel vocal, un SMS ou un e-mail, que cela concerne un individu ou une entreprise.
Données des utilisateurs finaux, telles que numéro de téléphone, adresse e-mail, prénom, nom, nom de profil, pays, identifiant de canal.
Données d'utilisation des clients, peuvent contenir des données pouvant être liées à vous en tant qu'individu inclues dans les données statistiques et les informations liées à votre compte et aux activités de services, des informations et des rapports analytiques concernant la communication envoyée et le support client.
3. Données sensibles transférées (si applicable) et restrictions ou garanties appliquées qui prennent pleinement en considération la nature des données et les risques encourus, telles que par exemple une limitation stricte des finalités, des restrictions d'accès (y compris un accès uniquement pour le personnel ayant suivi une formation spécialisée), la tenue d'un registre d'accès aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires.
Contenu de la communication. Les données sensibles peuvent, de temps à autre, être traitées via les Services où vous ou vos utilisateurs finaux choisissez d'inclure des données sensibles dans les communications transmises via les Services. Vous êtes responsable de vous assurer que des garanties appropriées sont en place avant de transmettre ou traiter, ou avant de permettre à vos utilisateurs finaux de transmettre ou traiter des données sensibles via les Services, conformément à la Section 3.2 de l'Accord.
Données de trafic, données utilisateur final et données d'utilisation des clients. Aucune donnée sensible n'est contenue dans les données de trafic, les données des utilisateurs finaux ou les données d'utilisation des clients.
4. La fréquence du transfert (par exemple, si les données sont transférées de manière ponctuelle ou continue) : Les données personnelles des clients sont transférées de manière continue pendant toute la durée de l'Accord.
5. Nature du traitement : Nous traiterons les données personnelles des clients dans la mesure nécessaire pour fournir les Services en vertu de l'Accord. Nous ne vendons pas de données personnelles, y compris les données personnelles des clients, et ne partageons pas les données personnelles avec des tiers en échange d'une compensation ou pour les propres intérêts commerciaux de ces tiers.
6. Objectif du transfert des données et du traitement ultérieur : Nous traiterons les données personnelles des clients en tant que sous-traitant de données conformément aux instructions du Client énoncées dans ce DPA, sauf si le traitement est nécessaire pour se conformer à une obligation légale qui nous est imposée, auquel cas nous figurerons en tant que responsable du traitement des données.
Contenu de la communication, données de trafic, données des utilisateurs finaux et données d'utilisation des clients. Les données personnelles contenues dans le contenu de la communication, les données de trafic, les données des utilisateurs finaux et les données d'utilisation des clients feront l'objet des activités de traitement de base suivantes :
Contenu de la communication. La fourniture de produits et services de communication programmables, proposés sous forme d'interfaces de programmation d'application (API) ou via le Dashboard, au Client, y compris la transmission vers ou depuis l'application logicielle du Client depuis ou vers notre plateforme de communication et d'autres réseaux de communication.
Données de trafic. Les données de trafic sont traitées dans le but de transmettre la communication sur un réseau de communications électroniques ou pour la facturation de cette communication. Cela peut inclure des données personnelles du Client concernant le routage, la durée ou le timing d'une communication telle qu'un appel vocal, un SMS ou un e-mail, que cela concerne un individu ou une entreprise.
Données des utilisateurs finaux. Les données personnelles des utilisateurs finaux sont nécessaires pour effectuer les Services et ne seront traitées que pour les besoins de transmission de la communication, du support client et pour assurer la conformité avec nos obligations légales.
Données d'utilisation des clients. Les données personnelles contenues dans les données d'utilisation des clients feront l'objet des activités de traitement de la fourniture des Services en vertu de l'Accord, dans le but de fournir au Client des informations et des rapports analytiques sur le communication envoyée, le support client, et l'amélioration continue des Services.
7. La période pendant laquelle les données personnelles seront conservées, ou, si cela n'est pas possible, les critères utilisés pour déterminer cette période :
Contenu de la communication et données de trafic.
Pour le contenu de la communication et les données de trafic contenues dans les services SMS et Voice, une période de conservation de six mois s'applique;
Pour les services vidéo, le contenu de la communication et les données de trafic sont conservés pendant un minimum de 30 jours jusqu'à la durée convenue avec vous;
Pour les services email, le contenu de la communication et les données de trafic sont conservés pendant 72 heures;
Pour tous les autres services, le contenu de la communication et les données de trafic sont conservés pendant la durée des Services, sauf si vous supprimez le contenu de la communication ou les données de trafic via les mesures techniques et organisationnelles mises à votre disposition par les Services.
Données des utilisateurs finaux. Les données des utilisateurs finaux seront traitées pendant la durée déterminée par le Client, lorsque les données des utilisateurs finaux sont incluses dans vos profils de contact, la période de conservation par défaut est pour la durée des Services, sous réserve de la Section 6(c) de cet Annexe I, Partie B.
Données d'utilisation des clients. À la fin de l'Accord, nous pouvons conserver, utiliser et divulguer les données d'utilisation des clients pour les besoins énoncés dans la Section 6(d) de cet Annexe I, Partie B, sous réserve des obligations de confidentialité énoncées dans l'Accord. Nous anonymiserons ou supprimerons les données d'utilisation des clients lorsque nous n'en aurons plus besoin pour les objectifs énoncés dans la Section 6(d) de cet Annexe I, Partie B.
8. Pour les transferts à des sous-traitants, spécifiez également l'objet, la nature et la durée du traitement : Pour les transferts à des sous-traitants, l'objet et la nature du traitement sont décrits dans notre apercu des sous-traitants et la durée est pour la durée de l'Accord.
Annexe I, Partie C. Autorité de surveillance compétente
L'Autorité de protection des données des Pays-Bas (Autoriteit Persoonsgegevens) sera l'autorité de surveillance compétente.
ANNEXE II - MESURES DE SÉCURITÉ TECHNIQUES ET ORGANISATIONNELLES
Le cas échéant, cette Annexe II servira d'Annexe II aux Clauses Contractuelles Type. Ce qui suit fournit plus d'informations concernant nos mesures techniques et organisationnelles de sécurité décrites ci-dessous.
Mesures techniques et organisationnelles de sécurité:
Mesures de pseudonymisation et protection des données personnelles en stockage et en transit : toutes les données personnelles sont chiffrées en transit et au repos et, dans la mesure pertinente du point de vue de la sécurité, traitées comme si elles étaient classées comme données sensibles. Les informations sont toujours transmises via TLS avec des méthodologies de chiffrement à jour par défaut.
Mesures pour assurer la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et services de traitement : nous concluons des accords contenant des dispositions de confidentialité avec nos employés, sous-traitants, fournisseurs et sous-traitants. Notre politique de continuité d'activité est de préparer notre entreprise et nos services en cas de pannes prolongées causées par des facteurs indépendants de notre volonté et de restaurer les services dans les plus brefs délais. Nous comprenons que les services que nous fournissons sont essentiels à nos clients et nous avons donc une tolérance très faible pour les interruptions de service. Nos délais de récupération sont conçus pour garantir que nous puissions répondre à nos obligations envers tous nos clients
Processus de test, d'évaluation et d'analyse réguliers de l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement : l'objectif de la sécurité des informations et de notre Système de Gestion de la Sécurité de l'Information (ISMS) est de protéger la confidentialité, l'intégrité et la disponibilité des informations à l'organisation, aux employés, partenaires, clients et aux systèmes d'information autorisés, et de minimiser le risque de dommages en prévenant les incidents de sécurité et en gérant les menaces et vulnérabilités de sécurité. Notre équipe juridique, notre Délégué à la protection des données et notre équipe sécurité s'assurent que les réglementations et normes applicables sont prises en compte dans nos cadres de sécurité.
Mesures d'identification et d'autorisation des utilisateurs : nous suivons les principes de "besoin de savoir" et "privilège minimum". Nous favorisons l'utilisation du contrôle d'accès basé sur les rôles. L'approvisionnement et le retrait sont supervisés par l'équipe de sécurité, avec Single-Sign-On et 2FA par défaut. Des responsables ont été définis pour chaque actif d'information qui sont responsables de garantir que l'accès à leurs systèmes est approprié et examiné régulièrement. Chaque fois que nous traitons des informations sensibles ou prenons des mesures critiques, nous utilisons le principe des quatre yeux.
Mesures pour assurer la journalisation des événements : les journaux d'audit sont stockés de manière centralisée et surveillés régulièrement pour les événements de sécurité et sont sécurisés pour éviter le risque de falsification. La Politique de Gestion des Incidents impose le plan de réponse aux incidents et ses procédures. Ces lignes directrices sont suivies en cas d'incident de sécurité ou technique.
Mesures pour assurer la configuration des systèmes, y compris la configuration par défaut : nous suivons un processus cohérent de gestion des changements pour toutes les modifications à l'environnement de production de la plateforme de communication en tant que service. Pour préciser plus avant, toutes les demandes de changements (RFC) doivent être approuvées par une partie désignée et exécutées selon le processus formel de contrôle des changements. Le processus de contrôle assure que les changements proposés sont examinés, autorisés, testés, mis en œuvre et publiés de manière contrôlée; et que le statut de chaque changement proposé est surveillé. Les configurations de base sont suivies pour configurer les systèmes en toute sécurité en suivant les meilleures pratiques. En outre, au sein du département d'ingénierie, un radar technologique est utilisé pour définir quelles technologies (langages, outils de plateforme, bases de données et outils de gestion de données) peuvent être adoptées ou doivent être évitées lors du développement.
Mesures pour la sécurité physique : tous les employés de Bird travaillent à distance. En raison de la politique de travail à distance de Bird, Bird a mis en place et appliqué une politique de télétravail qui garantit que les employés travaillent à distance de manière sécurisée. La politique impose des mesures minimales concernant la sécurité physique, la sécurité d'accès, la sécurité des connexions et des communications.
Mesures pour la gouvernance et la gestion de l'informatique interne et de la sécurité informatique : nous maintenons un programme de sécurité basé sur l'évaluation des risques, qui comprend des mesures administratives, organisationnelles, techniques et physiques conçues pour protéger les Services et la confidentialité, l'intégrité et la disponibilité des Données Client. Notre programme de sécurité des informations est mis en place de manière systématique et bien organisée. De plus, des exigences légales et réglementaires s'appliquent pour garantir la confidentialité, l'intégrité et la disponibilité des informations pour l'organisation, les employés, les partenaires et les clients. Tout cela est traduit dans nos politiques, procédures et directives de sécurité de l'information. Nous avons un Comité de Pilotage de la Sécurité qui est responsable du niveau tactique de la sécurité de l'information. Cela implique la coordination des activités de sécurité de l'information et la traduction des activités stratégiques en activités opérationnelles pour notre sécurité, et notre maintien continu de la conformité réglementaire. Tous les employés sont responsables de la protection des actifs de l'entreprise. Tous nos employés sont sélectionnés pour leur expertise, expérience et intégrité. Les employés sont informés sur la sécurité et la protection des données lors de l'intégration, ainsi que par le biais de formations régulières spécifiques à chaque équipe, et d'autres présentations générales de l'entreprise sur l'importance de la protection des données et de conformité en matière de sécurité. Nous sommes certifiés ISO 27001, les normes de sécurité de l'information reconnues mondialement pour les Systèmes de Gestion de la Sécurité de l'Information (ISMS).
Tous nos fournisseurs d'hébergement sont certifiés ISO 27001.
Nous sommes également enregistrés auprès de l'Autorité Néerlandaise pour les Consommateurs et les Marchés. Cela signifie que nous sommes toujours responsables et totalement transparents avec nos clients.
Nous sommes membres associés de la Groupe Speciale Mobile Association (GSMA). La GSMA représente les intérêts des opérateurs mobiles à travers le monde.
Nous sommes toujours à jour avec toutes les lois et réglementations applicables, y compris le Règlement Général sur la Protection des Données, et le Cadre de Protection des Données UE-US.
Mesures pour les certifications/assurances des processus et produits : nous subissons des audits de surveillance rigoureux ainsi que des audits de certification dans le cadre de notre conformité à l'ISO/IEC 27001, et exécutons régulièrement des tests de vulnérabilité des applications et des tests de pénétration.
Mesures pour garantir la responsabilité : nous mettons en œuvre des politiques de sécurité de l'information et de protection des données conformément aux lois applicables et publions un aperçu de nos informations pertinentes à l'ISMS (lien). Nous avons nommé un directeur de la sécurité dédié, un officier de la sécurité de l'information, un responsable de la conformité, et un délégué à la protection des données, et maintenons une documentation de nos activités de traitement, y compris l'enregistrement et le signalement des incidents de sécurité impliquant des données personnelles le cas échéant.
Mesures pour assurer l'effacement des données : nous assurons l'effacement des données par le biais d'un processus de suppression automatisé au sein de notre environnement de communication et d'infrastructure. Ce processus de suppression des données garantit que toutes les données qui ne sont plus nécessaires à remplir un objectif spécifique sont supprimées de nos systèmes après traitement.