Logo - Full (Color)
Ignorer et passer au contenu principal

Legal Stuff

Talk legal to me

Accord sur le traitement des données pour les partenaires commerciaux de HubSpot 

Dernière mise à jour : 18 septembre 2024

 

IMPORTANT NOTE: The English version of this document will govern our relationship - this translated version is provided for convenience only and will not be interpreted to modify the English version. For the English version, please see the HubSpot Legal Stuff page.

Dernière mise à jour : 18 septembre 2024

La version anglaise de chacun de ces documents régit la relation avec HubSpot. Ces traductions sont fournies à titre indicatif et n’ont aucune valeur juridique. Les versions anglaises de ces documents prévalent et les versions françaises ne sauraient en aucun cas les modifier. Les versions anglaises sont disponibles depuis la page Mentions légales.

Le présent Accord sur le traitement des données (« Accord sur le traitement des données pour les partenaires ») est intégré aux accords passés entre le Partenaire (« Partenaire ») et HubSpot, Inc. (« HubSpot »), et régit le partage de données entre le Partenaire et HubSpot (en excluant toutefois les accords commerciaux passés entre le Partenaire et HubSpot qui régissent l'achat et l'utilisation par le Partenaire des produits et des services HubSpot) (« Accord Partenaire »).

Le présent Accord sur le traitement des données pour les partenaires couvre le traitement : (1) des Données personnelles que le Partenaire charge, transfère ou autrement fournit à HubSpot en vertu d'un Accord Partenaire ; et (2) les Données personnelles que HubSpot (ou ses Clients) charge, transfère ou autrement fournit au Partenaire en vertu de l'Accord Partenaire.

Ensemble, le présent Accord sur le traitement des données pour les partenaires (y compris les Clauses contractuelles types, telles que définies ci-dessous) et l'Accord Partenaire sont désignés dans le présent document par le terme « Accord ». En cas de conflit ou d'incohérence entre l'un des termes du présent Accord, les dispositions des documents suivants (par ordre de préséance) prévaudront : (a) les Clauses contractuelles types ; (b) le présent Accord sur le traitement des données pour les partenaires ; et (c) l'Accord Partenaire.

Le présent Accord sur le traitement des données pour les partenaires a pour objet d'établir un cadre de travail pour les cas de figure suivants :

  1. HubSpot et le Partenaire sont, en vertu de l'Accord Partenaire, tous deux Responsable du traitement (comme défini ci-dessous) de Données personnelles, et transfèrent ces Données à l'autre partie afin que celle-ci agisse en tant que Responsable du traitement desdites Données ;
  2. HubSpot et le Partenaire sont tous deux Responsable du traitement de Données personnelles, et transfèrent ces Données à l'autre partie afin que celle-ci lui fournisse certains services (par exemple, pour fournir des services en tant que Partenaire solutions ou effectuer un appel d'API) en tant que Sous-traitant des dites Données ; ou
  3. HubSpot et le Partenaire sont tous deux Responsable du traitement des Données personnelles d'un Client commun et transfèrent ces données à l'autre partie à des fins de traitement, conformément aux instructions de ce Client commun.

1. DÉFINITIONS

« Entreprise » et « Prestataire de services » revêtent ici le sens qui leur est donné dans la loi CCPA. 

L'expression « Données personnelles de l'État de Californie » désigne les Données personnelles régies par la loi américaine CCPA.

L'acronyme « CCPA » (California Consumer Privacy Act) fait référence au Code civil de Californie, section 1798.100 et sections suivantes (loi sur la protection du consommateur de Californie votée en 2018, et modifiée par la loi sur le droit à la vie privée de Californie votée en 2020 - California Privacy rights Act, ou « CPRA »).

Le « Responsable du traitement » est une personne physique ou morale, une autorité publique, un service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du Traitement de Données personnelles.

Le « Cadre de protection des données » désigne le Cadre de protection des données UE–États-Unis, le Cadre de protection des données Suisse–États-Unis et l'extension des programmes d'auto-certification du Cadre de protection des données UE–États-Unis pour le Royaume-Uni (le cas échéant) opérés par le Département du Commerce aux États-Unis ; tel qu'amendé, modifié ou remplacé. 

Les « Principes du cadre de protection des données » désignent les Principes et les Principes complémentaires contenus dans le Cadre de protection des données pertinent, tels qu'amendés, modifiés ou remplacés. 

 Les « Lois sur la protection des données » désignent l'ensemble des législations et des règlements mondiaux applicables en matière de protection des données et de la vie privée qui s'impose à la partie gérant le traitement des Données personnelles en question dans le cadre du présent Accord, y compris, mais sans s'y limiter, les Lois européennes sur la protection des données, la CCPA et les lois sur la protection des données et de la vie privée en vigueur en Australie, à Singapour, au Canada et en Inde ; dans chaque cas, telles que modifiées, abrogées, consolidées ou remplacées de temps à autre. Le terme « Europe » désigne l'Union européenne, l'Espace économique européen et/ou leurs États membres, la Suisse et le Royaume-Uni. 

Les « Lois européennes sur la protection des données » renvoient aux lois de protection des données applicables en Europe, notamment : (i) le règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement général sur la protection des données) (« RGPD ») ; (ii) la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ; et (iii) les mises en œuvre nationales applicables des points (i) et (ii) ; ou (iii) le RGPD intégré à la législation nationale du Royaume-Uni en vertu de la Section 3 de l'European Union (Withdrawal) Act 2018 (« RGPD du Royaume-Uni ») ; et (iv) la loi fédérale suisse sur la protection des données de 2020 et son ordonnance (« Loi fédérale suisse sur la protection des données ») ; dans chaque cas, tels qu'amendés, modifiés ou remplacés.

L'expression « Données personnelles européennes » désigne les Données personnelles régies par les Lois européennes sur la protection des données.

Un « Client commun » désigne un Client qui traite à la fois avec le Partenaire et HubSpot.

Les « Données personnelles d'un Client commun » désignent les Données personnelles qu'un Client commun gère en tant que Responsable du traitement.

Les « Données personnelles de HubSpot » désignent les Données personnelles que HubSpot gère en tant que Responsable du traitement.

Les « Données personnelles du Partenaire » désignent les Données personnelles que le Partenaire gère en tant que Responsable du traitement.

Les « Données personnelles » désignent toutes les informations relatives à un individu identifié ou identifiable lorsque ces informations sont contenues dans les Données personnelles de HubSpot, les Données personnelles du Partenaire ou les Données personnelles d'un Client commun, et sont protégées de la même manière que les données personnelles ou les informations personnellement identifiables en vertu des Lois sur la protection des données.

Une « Violation de Données personnelles » désigne la destruction, la perte, l'altération, la divulgation non autorisée ou encore l'accès, de manière accidentelle ou illégale, à des Données personnelles.

Le terme « Traitement » désigne toute opération ou tout ensemble d'opérations effectuées sur des Données personnelles, par exemple la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou l'altération, la récupération, la consultation, l'utilisation, la divulgation par transmission, diffusion ou autre moyen de mise à disposition, l'alignement ou la combinaison, la restriction, l'effacement ou la destruction de données. Les termes « Traitement(s) » et « traité(e)(s) » seront interprétés en conséquence.

Un « Sous-traitant » désigne une personne physique ou morale, une autorité publique, un service ou un autre organisme qui traite des Données personnelles pour le compte du Responsable du traitement.

Les « Clauses contractuelles types » désignent les clauses contractuelles types annexées à la Décision d'exécution 2021/914 de la Commission européenne du 4 juin 2021. 

Un « Sous-traitant ultérieur » désigne toute entité qui fournit des services de traitement à un Sous-traitant.

Une « Autorité de contrôle » désigne une autorité publique indépendante qui est établie par un État membre de l'Espace économique européen, la Suisse ou le Royaume-Uni.

L'« Addendum pour le Royaume-Uni » désigne l'Addendum relatif aux transferts internationaux de données (Version B.1.0) établi par le Commissaire à l'information du Royaume-Uni en vertu de la Section 119A(1) de la Loi sur la protection des données de 2018, tel que modifié ou remplacé.

2. CONFORMITÉ AVEC LA LOI.

Chaque partie déclare et garantit qu'elle se conformera à ses propres obligations et devoirs découlant des Lois sur la protection des données applicables.

3. RELATION ENTRE DEUX SOUS-TRAITANTS CONJOINTS

Chaque partie, dans la mesure où elle agit avec l'autre partie en tant que Sous-traitant au regard des Données personnelles d'un Client commun, (i) se conformera aux instructions et aux restrictions établies dans tout accord passé avec le Client commun ; et (ii) coopérera de manière raisonnable avec l'autre partie pour permettre l'exercice des droits de protection des données conférés par les Lois sur la protection des données applicables. Les parties reconnaissent et acceptent toutes deux que l'autre partie agit en tant que Sous-traitant pour le Client commun, et qu'aucune des parties n'engage l'autre en tant que Sous-traitant ultérieur.

4. RELATION ENTRE DEUX RESPONSABLES DU TRAITEMENT

Chaque partie, dans la mesure où elle agit avec l'autre partie en tant que Responsable du traitement au regard de Données personnelles, coopérera de manière raisonnable avec l'autre partie pour permettre l'exercice des droits de protection des données conférés par les Lois sur la protection des données applicables. 

Les parties reconnaissent et acceptent que l'autre partie agit indépendamment en tant que Responsable du traitement au regard des Données personnelles, et qu'elles ne sont pas des Responsables conjoints du traitement, comme défini par les Lois européennes sur la protection des données.

5. RELATION ENTRE UN RESPONSABLE DU TRAITEMENT ET UN SOUS-TRAITANT

A. Relation entre les parties.

Les droits, responsabilités et obligations des parties découlant des Sections 6 – 9 du présent Accord sur le traitement des données pour les partenaires sont les suivants :

Pour les opérations de traitement dans lesquelles HubSpot traite des Données personnelles au nom du Partenaire et selon les instructions de celui-ci, le terme « Sous-traitant » désigne HubSpot, le terme « Responsable du traitement » désigne le Partenaire, et le terme « Données personnelles » désigne les Données personnelles du partenaire. Pour les opérations de traitement dans lesquelles le Partenaire traite des Données personnelles au nom de HubSpot et selon les instructions de l'entreprise, le terme « Sous-traitant » désigne le Partenaire, le terme « Responsable du traitement » désigne HubSpot, et le terme « Données personnelles » désigne les données personnelles de HubSpot.

B. Portée du traitement.

Dans le contexte des cas de figure décrits ci-dessus dans la Section 5.a, chaque partie accepte de traiter des Données personnelles uniquement aux fins établies dans l'Accord Partenaire applicable et/ou les accords passés avec le Client commun. Pour éviter tout doute, les catégories de Données personnelles traitées et les catégories de Personnes concernées par le présent Accord sur le traitement des données pour les partenaires sont décrites dans l'Avenant A au présent Accord.

6. OBLIGATIONS DES RESPONSABLES DU TRAITEMENT

En tant que Responsables du traitement, les parties acceptent de :

A. Fournir des instructions au Sous-traitant et déterminer l'objet et les moyens du traitement des Données personnelles par le Sous-traitant conformément à l'Accord ; et

B. Se conformer à ses obligations de protection, de sécurité et autres relatives aux Données personnelles et établies par les Lois sur la protection des données applicables à un Responsable du traitement : (i) en établissant et en préservant une procédure pour l'exercice des droits des individus dont les Données personnelles sont traitées au nom du Responsable du traitement ; (ii) en traitant uniquement les données qui ont été collectées de manière légale et valide, et en vérifiant que ces données sont pertinentes et adéquates au regard de leurs utilisations respectives ; et (iii) en assurant la conformité avec les termes du présent Accord sur le traitement des données pour les partenaires par ses salariés ou par tout autre tiers qui accède aux Données personnelles ou qui les utilise en son nom.

7. OBLIGATIONS DES SOUS-TRAITANTS
 A. Exigences applicables au traitement. En tant que Sous-traitants, les parties acceptent :

a. De traiter les données personnelles (i) uniquement afin de fournir, de soutenir et d'améliorer le produit et les services du Sous-traitant (y compris pour fournir des statistiques et d'autres rapports), à l'aide de dispositifs de sécurité techniques et organisationnelles adéquats ; et (ii) conformément aux instructions reçues de la part du Responsable du traitement. Le Sous-traitant n'utilisera pas et ne traitera pas les Données personnelles à d'autres fins. Le Sous-traitant informera rapidement le Responsable du traitement par écrit s'il ne peut se conformer aux exigences énoncées dans les Sections 6 – 9 du présent Accord sur le traitement des données pour les partenaires. Dans ce cas, le Responsable du traitement pourra résilier le présent Accord, ainsi que tout autre Accord Partenaire applicable, et prendre toute autre mesure raisonnable, y compris suspendre les opérations de traitement des données ;

b. D'informer le Responsable du traitement rapidement et sans retard injustifié si le Sous-traitant estime qu'une instruction du Responsable du traitement enfreint les Lois sur la protection des données applicables ;

c. Si le Sous-traitant collecte des Données personnelles au sujet d'individus au nom du Responsable du traitement, de suivre les instructions du Responsable du traitement concernant une telle collecte de Données personnelles ;

d. De prendre des mesures commercialement raisonnables pour s'assurer que (i) ses salariés et (ii) les autres personnes engagées au nom du Sous-traitant se conforment aux termes du présent Accord et des Accords Partenaire applicables ;

e. De déclarer et de garantir que ses salariés, ses agents autorisés et tout Sous-traitant ultérieur sont soumis à un strict devoir de confidentialité (qu'il s'agisse d'un devoir contractuel ou statutaire), et n'autoriser aucune personne qui ne serait soumise à un tel devoir de confidentialité à traiter les Données personnelles ;

f. Si elle prévoit d'engager des Sous-traitants ultérieurs afin de satisfaire à ses obligations découlant du présent Accord sur le traitement des données pour les partenaires ou de déléguer tout ou partie des activités de traitement à ces Sous-traitants ultérieurs, (i) de fournir au Responsable du traitement une liste des Sous-traitants ultérieurs actuellement engagés par le Sous-traitant (la liste de HubSpot est disponible en ligne sur la page https://legal.hubspot.com/fr/sub-processors-page), et d'informer le Responsable du traitement de l'engagement de tout nouveau Sous-traitant ultérieur au moins 30 jours à l'avance, afin que le Responsable du traitement puisse s'y opposer s'il le souhaite ; (ii) de demeurer responsable envers le Responsable du traitement des agissements et des omissions des Sous-traitants ultérieurs au regard de la protection des données, si ces Sous-traitants ultérieurs agissent sur les instructions du Sous-traitant ; et (iii) d'entrer dans une relation contractuelle avec ces Sous-traitants ultérieurs afin qu'ils soient juridiquement obligés de fournir le même niveau de protection des données et de sécurité des informations établi par les présentes ;

g. À sa demande, de fournir au Responsable du traitement les politiques de confidentialité et de sécurité du Sous-traitant ; et

h. D'informer le Responsable du traitement si le Sous-traitant entreprend un examen de sécurité indépendant.

B. Avis au Responsable du traitement. Le Sous-traitant informera immédiatement et sans retard injustifié le Responsable du traitement s'il prend connaissance :

a. De toute non-conformité du Sous-traitant ou de ses salariés avec les Sections 6 – 9 du présent Accord sur le traitement des données pour les partenaires ou les Lois sur la protection des données applicables relatives à la protection des Données personnelles traitées en vertu du présent Accord ;

b. De toute demande contraignante de divulgation de Données personnelles émanant d'une autorité de maintien de l'ordre ou gouvernementale, sauf si le Sous-traitant est autrement empêché juridiquement d'informer le Responsable du traitement, par exemple pour préserver la confidentialité des enquêtes par les autorités de maintien de l'ordre ;

c. De tout avis, toute demande ou toute enquête d'une Autorité de contrôle relatifs aux Données personnelles ; ou

d. De toute réclamation ou toute demande (en particulier les demandes accès, de rectification ou de blocage des Données personnelles) reçues directement des Personnes concernées du Responsable du traitement. Le Sous-traitant ne répondra pas à une telle demande sans l'autorisation écrite préalable du Responsable du traitement.

C. Assistance au Responsable du traitement.Le Sous-traitant fournira une assistance raisonnable et rapide au Responsable du traitement concernant :

a. La réponse à apporter à toute demande reçue d'un individu exerçant les droits qui lui sont conférés par les Lois sur la protection des données applicables (y compris ses droits d'accès, de rectification, d'objection, de suppression et de portabilité des données, le cas échéant), et le Sous-traitant accepte d'informer rapidement le Responsable du données s'il reçoit directement une demande de ce type ;

b. Une enquête au sujet d'une Violation de Données personnelles ainsi que la notification à l'Autorité de contrôle et aux Personnes concernées du Responsable du traitement concernant une telle Violation ; et

c. Le cas échéant, la préparation des évaluations d'impact de la protection des données et, si nécessaire, les consultations avec toute Autorité de contrôle.

D. Traitement obligatoire.

Si le Sous-traitant est obligé par les Lois sur la protection des données de traiter des Données personnelles pour une raison autre que celles découlant du présent Accord, il informera le Responsable du traitement de cette exigence avant tout traitement, à moins qu'il n'en soit juridiquement empêché (par exemple, en vertu d'exigences de confidentialité pouvant exister dans la loi nationale de l'État membre de l'Union européenne concerné).

E. Sécurité. Le Sous-traitant devra :

a. Maintenir des dispositifs de sécurité organisationnels et techniques adéquats (y compris au regard des salariés, des installations, du matériel et des logiciels, du stockage et des réseaux, des contrôles d'accès, du suivi et des journaux, de la détection des vulnérabilités et des failles, des réponses aux incidents et du chiffrement des Données personnelles en transit et au repos), afin de protéger les Données personnelles de tout accès, perte, altération, divulgation ou destruction non autorisés ou accidentels ;

b. S'assurer que les protections en matière de sécurité et de confidentialité adoptées par les salariés du Sous-traitant sont suffisantes pour les Données personnelles, et être responsable de tout manquement des salariés du Sous-traitant envers les termes du présent Accord sur le traitement des données pour les partenaires ;

c. Prendre des mesures adéquates pour confirmer que tous les salariés du Sous-traitant protègent la sécurité et la confidentialité des Données personnelles conformément aux termes du présent Accord sur le traitement des données pour les partenaires ; et

d. Informer le Responsable du traitement de toute Violation de Données personnelles par le Sous-traitant, ses Sous-traitants ultérieurs ou tout autre tiers agissant au nom du Sous-traitant sans retard injustifié, et dans tous les cas sous 48 heures s'il prend connaissance d'une Violation de Données personnelles.

F. Autres dispositions applicables aux Données personnelles de l'État de Californie 

Lorsque le Sous-traitant traite des Données personnelles de l'État de Californie conformément aux instructions du Responsable du traitement, les parties reconnaissent et conviennent que le Responsable du traitement est une Entreprise, et que le Sous-traitant est un Prestataire de services aux fins de la CCPA. Les parties conviennent que le Sous-traitant traitera les Données personnelles de l'État de Californie en qualité de Prestataire de services uniquement afin de fournir, de soutenir et d'améliorer les services du Sous-traitant (y compris afin de fournir des statistiques et d'autres rapports) (« Finalité commerciale ») ou autrement aux fins autorisées par la CCPA. Le Sous-traitant certifie également qu'il (i) ne vendra pas et ne partagera pas des Données personnelles de l'État de Californie ; ii) ne traitera pas de Données personnelles de l'État de Californie en dehors du cadre de la relation commerciale directe entre les parties, sauf si le droit applicable l'exige ; et (iii) ne combinera pas les Données personnelles de l'État de Californie avec des informations personnelles collectées ou reçues d'une autre source (autre que les informations reçues d'une autre source en lien avec ses obligations découlant de son statut de Sous-traitant dans le cadre de l'Accord Partenaire applicable et/ou des accords passés avec le Client commun). 

8. AUDIT ET CERTIFICATION

A. Audit de l'Autorité de contrôle.

Si une Autorité de contrôle exige un audit des installations de traitement des données depuis lesquelles le Sous-traitant traite les Données personnelles afin de vérifier ou de contrôler la conformité avec les Lois sur la protection des données, le Sous-traitant coopérera avec un tel audit. Le Responsable du traitement remboursera le Sous-traitant pour toutes les dépenses raisonnables qu'entraîne la coopération avec l'audit, à moins que ledit audit ne révèle la non-conformité du Sous-traitant avec le présent Accord sur le traitement des données pour les partenaires.

B. Certification du Sous-traitant.

Le Sous-traitant doit, à la demande par e-mail du Responsable du traitement, (qui ne doit pas se produire plus d'une fois par année calendaire), certifier par écrit sa conformité avec le présent Accord sur le traitement des données pour les partenaires. Si HubSpot est le Sous-traitant, ces e-mails devront être envoyés à l'adresse privacy@hubspot.com ; si le Partenaire est le Sous-traitant, il devra établir et fournir à la demande de HubSpot un point de contact unique pour les correspondances par e-mail concernant la protection des données.

9. RESTITUTION ET SUPPRESSION DES DONNÉES

Les parties acceptent qu'à la résiliation des services de traitement de données ou à la demande raisonnable du Responsable du traitement, le Sous-traitant devra prendre des mesures raisonnables pour que les Sous-traitants ultérieurs, au choix du Responsable du traitement, restituent toutes les Données personnelles et les copies de celles-ci au Responsable du traitement ou les détruisent de manière sécurisée, et puissent prouver, à la satisfaction du Responsable du traitement, que de telles mesures ont été prises, à moins que les Lois sur la protection des données applicables n'interdisent au Sous-traitant de restituer ou de détruire tout ou partie des Données personnelles divulguées. Dans ce cas, le Sous-traitant accepte de préserver la confidentialité des Données personnelles qu'il conserve, et uniquement de traiter activement de telles Données personnelles après cette date afin de se conformer aux lois applicables.

10. TRANSFERTS DE DONNÉES

Si des Données personnelles sont transférées en dehors de leur pays d'origine, chaque partie veillera à ce que ces transferts répondent aux exigences des Lois sur la protection des données.

a. Données européennes du Partenaire. Concernant les transferts de Données personnelles européennes entre le Partenaire et HubSpot afin que HubSpot les traite dans une juridiction extérieure à l'Europe qui ne fournit pas un niveau de protection adéquat pour les Données personnelles (dans le sens établi par les Lois européennes sur la protection des données applicables), les parties acceptent les éléments suivants : 

(i) Cadre de protection des données : HubSpot utilisera le Cadre de protection des données pour recevoir légalement aux États-Unis les Données européennes du Partenaire, et s'assurera de fournir au minimum le même niveau de protection pour ces Données européennes du Partenaire que celui requis par les Principes du cadre de protection des données. HubSpot informera le Partenaire s'il est impossible à l'entreprise de se conformer à cette exigence.

(ii) Clauses contractuelles types : si les Lois européennes sur la protection des données nécessitent la mise en place de protections appropriées (par exemple si le Cadre de protection des données ne couvre pas le transfert vers HubSpot et/ou si le Cadre de protection des données est invalidé), les parties acceptent de respecter les dispositions des Clauses contractuelles types, telles qu'elles sont incorporées ci-dessous, et de traiter les Données européennes du Partenaire conformément aux dispositions des Clauses contractuelles types.

b. Données européennes de HubSpot. Concernant les transferts de Données personnelles de HubSpot soumis aux Lois européennes sur la protection des données (les « Données européennes de HubSpot ») entre HubSpot et le Partenaire afin que le Partenaire les traite dans une juridiction extérieure à l'Europe qui ne fournit pas un niveau de protection adéquat pour les Données personnelles (dans le sens établi par les Lois européennes sur la protection des données applicables), les parties acceptent que le Partenaire fournira le même niveau de protection que celui requis par les Principes du cadre de protection des données en respectant ce qui suit :

(i) Si le Partenaire dispose d'une auto-certification au Cadre de protection des données, il utilisera ledit Cadre pour recevoir légalement les Données européennes de HubSpot aux États-Unis, et s'assurera de fournir au minimum le même niveau de protection pour ces Données européennes de HubSpot que celui requis par les Principes du cadre de protection des données. De plus, il informera HubSpot s'il lui est impossible de se conformer à cette exigence.

(ii) Clauses contractuelles types : si les Lois européennes sur la protection des données nécessitent la mise en place de protections appropriées (par exemple si le Cadre de protection des données ne couvre pas le transfert vers le Partenaire et/ou si le Cadre de protection des données est invalidé), les parties acceptent de respecter les dispositions des Clauses contractuelles types, telles qu'elles sont incorporées ci-dessous, et de traiter les Données européennes de HubSpot conformément aux dispositions des Clauses contractuelles types.

c. Clauses contractuelles types. Les parties reconnaissent et acceptent qu'aux fins des Clauses contractuelles types : (i) au regard des Données européennes du Partenaire, l'« Exportateur de données » sera le Partenaire, et l'« Importateur de données » sera HubSpot (agissant en son nom et au nom de ses Filiales) ; (ii) au regard des Données européennes de HubSpot, l'« Exportateur de données » sera HubSpot (agissant en son nom et au nom de ses Filiales), et l'« Importateur des données » sera le Partenaire ; (iii) les termes du Module Un s'appliqueront lorsque les deux parties sont Responsables du traitement, et les termes du Module Deux s'appliqueront lorsque la partie qui reçoit les Données personnelles en vertu des Clauses contractuelles des types agit en tant que Sous-traitant au nom de l'autre partie Responsable du traitement ; (iv) dans la Clause 7, la clause d'amarrage facultatif s'appliquera ; (v) dans la Clause 9, l'option 2 du Module Deux s'appliquera et le Sous-traitant devra obtenir l'autorisation pour les Sous-traitants ultérieurs conformément à la Section 7a) du présent Accord sur le traitement des données pour les partenaires ; (vi) dans la Clause 11, la langue facultative sera supprimée ; (vii) dans la Clause 17 et la Clause 18(b), les Clauses contractuelles types seront régies par les lois de, et toute réclamation sera résolue par les tribunaux de, la république d'Irlande ou de l'État membre de l'Espace économique européen dans lequel l'entité juridique de HubSpot signataire de l'Accord est établie ou, si ladite Entité juridique de HubSpot n'est pas établie dans l'Espace économique européen, par les lois de la république d'Irlande ; (viii) dans l'Annexe I aux Clauses contractuelles types, les détails des parties sont définis dans le présent Accord ; et (ix) les informations restantes dans l'Annexe I et l'Annexe II aux Clauses contractuelles types seront considérées comme remplies avec les informations indiquées dans l'Avenant A au présent Accord sur le traitement des données pour les partenaires.

d. Transferts au Royaume-Uni. Concernant les Données personnelles soumises au RGPD du Royaume-Uni, les Clauses contractuelles types s'appliqueront conformément à la Section 10(c) et aux modifications supplémentaires suivantes : (i) les Clauses contractuelles types seront modifiées conformément à l'Addendum pour le Royaume-Uni, qui sera intégré par référence ; (ii) les Tableaux 1 et 3 de la Partie 1 de l'Addendum pour le Royaume-Uni devront être complétés avec les informations pertinentes définies dans l'Annexe A du présent Accord sur le traitement des données ; (iii) le Tableau 4 de la Partie 1 de l'Addendum pour le Royaume-Uni sera considéré comme complété en sélectionnant l'option « Aucune partie » ; et (iv) tout conflit entre les termes des Clauses contractuelles types et de l'Addendum pour le Royaume-Uni devra être résolu conformément aux termes de la Section 10 et de la Section 11 de l'Addendum pour le Royaume-Uni.

e. Transferts en Suisse. Concernant les Données personnelles soumises à la Loi fédérale suisse sur la protection des données, les Clauses contractuelles types s'appliqueront conformément à la Section 10(c) ci-dessus et aux modifications supplémentaires suivantes : (i) les références au « Règlement (UE) 2016/679 » et à des articles spécifiques de ce règlement seront interprétées comme des références à la Loi fédérale suisse sur la protection des données et à ses articles ou sections équivalents ; (ii) les références à l'« UE », à l'« Union européenne » ou à un « État membre » seront remplacées par des références à la « Suisse » ; (iii) les références à l'« Autorité de contrôle compétente » et aux « tribunaux compétents » seront remplacées par des références au « Commissaire à l'information et à la protection des données de la Suisse » et aux « tribunaux suisses compétents » ; et (iv) dans la Clause 17 et la Clause 18(b), les Clauses contractuelles types seront régies par les lois, et les réclamations résolues par les tribunaux de la Suisse.

f. Chaque partie informera rapidement l'autre partie de toute incapacité à se conformer aux dispositions de la présente Section 10.

11. DURÉE

Le présent Accord sur le traitement des données pour les partenaires demeurera effectif tant que l'une ou l'autre des parties effectuera des opérations de traitement de Données personnelles sur les Données personnelles chargées ou autrement fournies par l'autre partie en vertu de et conformément à l'Accord Partenaire.

12. INDEMNISATION

Chaque partie s'engage à défendre, à indemniser et à protéger l'autre partie, ses sociétés mères, ses filiales, ainsi que ses dirigeants, administrateurs, salariés et agents respectifs en cas de pertes, dommages, responsabilités, manquements, actions, jugements, intérêts, sanctions, pénalités, amendes, coûts ou dépenses de toute sorte, y compris de frais d'avocat raisonnables, du coût d'exercice d'un droit d'indemnisation afférent, et du coût de poursuite d'un fournisseur d'assurance, résultant ou découlant de toute réclamation d'un tiers envers l'autre partie résultant ou découlant du manquement de la partie en faute de se conformer à l'une de ses obligations découlant du présent Accord sur le traitement des données pour les partenaires ou des lois, règlements ou principes applicables contenus dans les Lois européennes sur la protection des données. La responsabilité de chaque partie sera soumise aux limites de responsabilité établies dans l'Accord Partenaire applicable.

AVENANT A


ANNEXE A - DESCRIPTION DU TRANSFERT

1. Catégories de Personnes concernées. Les Données personnelles transférées concernent les catégories suivantes de Personnes concernées, en fonction de l'accord passé entre l'Importateur de données et l'Exportateur de données :


Les membres de HubSpot ; les clients potentiels et actuels ainsi que les salariés de l'Exportateur de données ; les leads commerciaux et marketing de l'Exportateur de données ; et les tiers qui ont ou pourraient avoir une relation commerciale avec l'Exportateur de données (par exemple, des annonceurs, des clients, des abonnés commerciaux, des sous-traitants et des utilisateurs des produits).

2. Catégories de Données personnelles. Les Données personnelles transférées concernent les catégories suivantes de données :

Les données transférées sont les Données personnelles fournies par l'Exportateur de données à l'Importateur de données en lien avec l'Accord Partenaire. Ces données personnelles peuvent inclure le prénom, le nom, l'adresse e-mail, les coordonnées, la formation, la carrière et d'autres informations fournies dans les profils des membres de HubSpot, des CV, des données de CRM au sujet de leads commerciaux et de listes de clients, toute note fournie par l'Exportateur de données au sujet des données ci-dessus et d'autres activités des membres de HubSpot sur la plateforme HubSpot.

  1. Données sensibles (le cas échéant). Le traitement des données sensibles est soumis aux limitations, restrictions et mesures de protection dont ont convenu mutuellement les parties, ainsi que reflété dans la portée autorisée des Services d'abonnement avec le Client commun.
  2. Fréquence du transfert.
    Les Données personnelles sont transférées en continu. 
  3. Nature et objet du traitement. Le transfert est effectué aux fins suivantes :
    Le transfert vise à permettre la relation entre les parties qui est prévue par l'Accord Partenaire. L'« Accord Partenaire » désigne le ou les accords passés entre l'Importateur de données et l'Exportateur de données qui régissent le partage de données entre ces parties (mais exclut les accords commerciaux passés entre le Partenaire et HubSpot qui régissent l'achat par le Partenaire des produits et des services HubSpot).
  4. Durée de conservation des Données personnelles :
    Les Données personnelles transférées entre les parties ne pourront être conservées que pendant la durée autorisée par les termes de l'Accord Partenaire. Les parties conviennent que chaque partie, dans la mesure où elle agit avec l'autre partie en tant que Responsable du traitement au regard des Données personnelles, coopérera de manière raisonnable avec l'autre partie pour permettre l'exercice des droits de protection des données conférés par les Lois sur la protection des données.
  5. Objet, nature et durée du traitement.
    L'objet, la nature et la durée du traitement sont ceux décrits dans l'Accord, y compris le présent Accord sur le traitement des données pour les partenaires.
  6. Autorité de contrôle compétente. Aux fins des Clauses contractuelles types, l'Autorité de contrôle compétente est l'autorité de l'État membre de l'Espace économique européen dans lequel le Partenaire ou le représentant du Partenaire au sein de l'Espace économique européen est établi (au regard des Données personnelles du Partenaire) ou le Commissaire à la protection des données de l'Irlande (au regard des Données personnelles de HubSpot). Aux fins des transferts effectués au Royaume-Uni et en Suisse, l'Autorité de contrôle compétente est le Commissaire à l'information du Royaume-Uni ou le Commissaire à l'information et à la protection des données de la Suisse (le cas échéant).

 

ANNEXE B – DISPOSITIFS DE SÉCURITÉ

HubSpot utilise diverses technologies et procédures de sécurité afin de protéger les Données personnelles du Partenaire. Toutes les Données personnelles sont protégées au moyen de mesures physiques, techniques et organisationnelles adéquates. Pour en savoir plus sur les dispositifs de sécurité de HubSpot, le Partenaire peut consulter la page https://trust.hubspot.com.