Legal Stuff

IMPORTANT NOTE: The English version of this document will govern our relationship - this translated version is provided for convenience only and will not be interpreted to modify the English version. For the English version, please see the HubSpot Legal Stuff page.

Dernière mise à jour : 15 novembre 2022

La version anglaise de chacun de ces documents régit la relation avec HubSpot. Ces traductions sont fournies à titre indicatif et n’ont aucune valeur juridique. Les versions anglaises de ces documents prévalent et les versions françaises ne sauraient en aucun cas les modifier. Les versions anglaises sont disponibles depuis la page Mentions légales.

[Si vous souhaitez recevoir un exemplaire signé de ce document, y compris le texte intégral des clauses contractuelles types, de l'Addendum pour le Royaume-Uni et le texte relatif aux Sous-traitants ultérieurs, cliquez ici.]

Le présent Accord sur le traitement des données de HubSpot et ses Annexes (l'« Accord sur le traitement des données ») reflètent l'accord des parties en ce qui concerne le traitement des Données personnelles qui est effectué par HubSpot pour le compte du Client en lien avec les Services d'abonnement de HubSpot conformément aux Conditions générales d'utilisation du service HubSpot disponibles à l'adresse https://legal.hubspot.com/fr/terms-of-service établies entre HubSpot et le Client (les « Conditions »). 

Le présent Accord sur le traitement des données complète les Conditions, dont il fait partie intégrante, et prend effet à compter de son incorporation dans lesdites Conditions, qui peut être précisée dans les Conditions, un Bon de commande ou une modification signée des Conditions. En cas de conflit ou de différence, le présent Accord prévaudra sur les termes des Conditions uniquement pour les points concernés.

Les présentes Conditions sont mises à jour régulièrement. Si le Client dispose d'un abonnement actif à HubSpot, HubSpot l'informera de ces mises à jour en lui envoyant une notification par e-mail (s'il s'est abonné aux notifications par e-mail via le lien inclus dans les Conditions générales) ou dans l'application. Le Client trouvera des versions archivées en anglais de l'Accord sur le traitement des données dans les archives de HubSpot, qui sont disponibles à l'adresse https://legal.hubspot.com/legal-stuff/archive.

La durée du présent Accord sur le traitement des données sera identique à celle des Conditions. Les termes qui ne sont pas autrement définis dans cette section le sont dans les Conditions.

1. Définitions
2. Responsabilités du Client
3. Obligations de HubSpot
4. Demandes des Personnes concernées
5. Sous-traitants ultérieurs
6. Transferts de données
7. Autres dispositions applicables aux Données européennes
8. Autres dispositions applicables aux Données personnelles de l'État de Californie
9. Dispositions générales
10. Parties au présent Accord sur le traitement des données

Annexe 1 - Informations détaillées relatives au Traitement

Annexe 2 - Mesures de sécurité

Annexe 3 - Sous-traitants ultérieurs

1. Définitions

L'expression « Données personnelles de l'État de Californie » désigne les Données personnelles régies par la loi américaine CCPA.

L'acronyme « CCPA » (California Consumer Privacy Act) fait référence au Code civil de Californie, section 1798.100 et sections suivantes (loi sur la protection du consommateur de Californie votée en 2018).

« Consommateur », « Entreprise », « Vente » et « Prestataire de services » revêtent ici le sens qui leur est donné dans la loi CCPA. 

Le « Responsable du traitement » est une personne physique ou morale, une autorité publique, un service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du Traitement de Données personnelles.

Les « Lois sur la protection des données » désignent l'ensemble de la législation mondiale applicable en matière de protection des données et de la vie privée qui s'impose à la partie gérant le traitement des Données personnelles en question dans le cadre du présent Accord, y compris, mais sans s'y limiter, les lois européennes sur la protection des données, la CCPA et les lois sur la protection des données et de la vie privée en vigueur en Australie et à Singapour ; dans chaque cas, telles que modifiées, abrogées, consolidées ou remplacées de temps à autre. 

Une « Personne concernée » est une personne à laquelle se rapportent les Données personnelles.

Le terme « Europe » désigne l'Union européenne, l'Espace économique européen et/ou leurs États membres, la Suisse et le Royaume-Uni. 

L'expression « Données européennes » désigne les Données personnelles régies par les Lois européennes sur la protection des données.

Les « Lois européennes sur la protection des données » renvoient aux lois de protection des données applicables en Europe, notamment : (i) le règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement général sur la protection des données) (« RGPD ») ; (ii) la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ; et (iii) les mises en œuvre nationales applicables des points (i) et (ii) ; ou (iii) le RGPD intégré à la législation nationale du Royaume-Uni en vertu de la Section 3 de l'European Union (Withdrawal) Act 2018 (« RGPD du Royaume-Uni ») ; et (iv) la loi fédérale suisse sur la protection des données du 19 juin 1992 et son ordonnance (« Loi fédérale suisse sur la protection des données ») ; dans chaque cas, tels que modifiés ou remplacés.

Le terme « Instructions » désigne toute instruction écrite et documentée, émise par un Responsable du traitement à l'intention d'un Sous-traitant, lui demandant d'effectuer une action spécifique ou générale en ce qui concerne les Données personnelles (y compris, mais sans s'y limiter, la dépersonnalisation, le blocage, la suppression et la mise à disposition).

L'expression « Filiales autorisées » désigne toute Filiale du Client (i) qui est autorisée à utiliser les Services d'abonnement conformément aux Conditions, mais qui n'a signé aucun accord propre avec HubSpot et ne constitue pas un « Client » tel que défini dans les Conditions, (ii) qui est considérée comme un Responsable du traitement des Données personnelles traitées par HubSpot, et (iii) qui est régie par les Lois européennes sur la protection des données.

Les « Données personnelles » incluent toutes les informations relatives à un individu identifié ou identifiable lorsque (i) ces informations sont contenues dans les Données des clients ; et (ii) sont protégées de la même manière que les données et informations à caractère personnel, ou les informations personnellement identifiables en vertu des Lois sur la protection des données applicables.

« Violation de Données personnelles » signifie une violation de la sécurité conduisant à la destruction accidentelle ou illicite, à la perte, à l'altération, ou à la divulgation non autorisée ou à l'accès aux Données personnelles transmises, stockées, ou autrement traitées par HubSpot et/ou ses Sous-traitants ultérieurs dans le cadre de la fourniture des Services d'abonnement. Ce type de violation exclut les tentatives ou activités infructueuses qui n'ont pas pour conséquence d'altérer la sécurité des Données personnelles, y compris les tentatives infructueuses de connexion, d'envoi de commandes ping, d'analyse de port, d'attaques par déni de service ou d'autres attaques réseau sur des pare-feu ou des systèmes réseau.

Le « Bouclier de protection des données » désigne le programme d'auto-certification du Bouclier de protection des données entre l'UE et les États-Unis et entre la Suisse et les États-Unis géré par le Département du Commerce américain et approuvé par la Commission européenne conformément à sa décision du 12 juillet 2016 et par le Conseil fédéral suisse le 11 janvier 2017, respectivement ; tel que modifié ou remplacé.

Les « Principes du bouclier de protection des données » renvoient aux Principes du Bouclier de protection des données (tels que complétés par les Principes complémentaires) contenus à l'Annexe II de la décision de la Commission européenne du 12 juillet 2016 ; tels que modifiés ou remplacés.

Le terme « Traitement » désigne toute opération ou tout ensemble d'opérations effectuées sur des Données personnelles, par exemple la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou l'altération, la récupération, la consultation, l'utilisation, la divulgation par transmission, diffusion ou autre moyen de mise à disposition, l'alignement ou la combinaison, la restriction, l'effacement ou la destruction de données. Les termes « Traitement(s) » et « traité(e)(s) » seront interprétés en conséquence.

Le terme « Sous-traitant » désigne une personne physique ou morale, une autorité publique, un service ou un autre organisme qui traite des Données personnelles pour le compte du Responsable du traitement.

Les « Clauses contractuelles types » désignent les clauses contractuelles types annexées à la Décision de la Commission européenne (2021/914) du 4 juin 2021 actuellement disponibles sur la page https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_fr, telles que modifiées ou remplacées.

Un « Sous-traitant ultérieur » désigne un Sous-traitant engagé par HubSpot ou ses Filiales pour aider à remplir les obligations de HubSpot en ce qui concerne la fourniture des Services d'abonnement en vertu des Conditions. Les Sous-traitants ultérieurs peuvent comprendre des tiers ou des Filiales de HubSpot ; ils excluent les salariés ou consultants de HubSpot.

L'« Addendum pour le Royaume-Uni » désigne l'Addendum relatif aux transferts internationaux de données établi par le Commissaire à l'information du Royaume-Uni en vertu de la Section 119A(1) de la Loi sur la protection des données de 2018 actuellement disponible à l'adresse https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf, tel que modifié ou remplacé.

2. Responsabilités du Client

a. Conformité avec la loi. Dans le cadre des Conditions et lors de son utilisation des services, le Client est responsable du respect de toutes les exigences qui lui sont applicables en vertu des Lois sur la protection des données en ce qui concerne le Traitement des Données personnelles qu'il assure et des Instructions qu'il donne à HubSpot.

En particulier, mais sans préjudice du caractère général de ce qui précède, le Client reconnaît et accepte qu'il est seul responsable : (i) de l'exactitude, de la qualité et de la légalité des Données des clients et des moyens par lesquels il a acquis les Données personnelles ; (ii) du respect de toutes les exigences de transparence et de légalité nécessaires en vertu des Lois sur la protection des données applicables pour la collecte et l'utilisation des Données personnelles, y compris l'obtention de tous les consentements et autorisations nécessaires (en particulier pour leur utilisation par le Client à des fins marketing) ; (iii) de vérifier qu'il est habilité à transférer les Données personnelles à HubSpot, ou de les mettre à sa disposition, à des fins de Traitement conformément aux termes des Conditions (y compris du présent Accord sur le traitement des données) ; (iv) de s'assurer que les Instructions qu'il transmet à HubSpot concernant le Traitement des Données personnelles sont conformes aux lois applicables, y compris aux Lois sur la protection des données ; et (v) de se conformer à l'ensemble des lois (y compris aux Lois sur la protection des données) applicables aux e-mails ou autres contenus créés, envoyés ou gérés par le biais des Services d'abonnement, y compris celles relatives à l'obtention de consentements (le cas échéant) pour envoyer des e-mails, au contenu des e-mails et à ses pratiques de déploiement des e-mails. Le Client s'engage à informer HubSpot sans retard indu s'il n'est pas en mesure de respecter ses responsabilités en vertu de la présente section « Conformité avec la loi » ou des Lois sur la protection des données applicables.

b. Instructions applicables au Responsable du traitement. Les parties conviennent que les Conditions (y compris le présent Accord sur le traitement des données), ainsi que l'utilisation par le Client du Service d'abonnement conformément auxdites Conditions, forment les Instructions complètes que le Client donne à HubSpot en ce qui concerne le Traitement des Données personnelles, dans la mesure où le Client peut donner, durant la durée de l'abonnement, des instructions supplémentaires cohérentes avec les Conditions ainsi que la nature et l'utilisation légitime du Service d'abonnement.

c. Sécurité. Le Client doit déterminer de manière indépendante si les mesures de sécurité des données fournies dans le cadre du Service d'abonnement remplissent correctement ses obligations découlant des Lois sur la protection des données applicables. Il est également responsable de son utilisation sécurisée du Service d'abonnement, et notamment de la protection de la sécurité des Données personnelles en transit depuis et vers le Service d'abonnement (y compris pour sauvegarder ou chiffrer de manière sécurisée de telles Données personnelles).

3. Obligations de HubSpot

a. Respect des Instructions. HubSpot s'engage à traiter les Données personnelles uniquement aux fins décrites dans le présent Accord sur le traitement des données ou comme convenu autrement dans le cadre des Instructions légales du Client, sauf si et dans la mesure où le droit applicable l'exige. HubSpot n'est pas responsable du respect des Lois sur la protection des données applicables au Client ou à son secteur d'activité qui ne sont pas généralement applicables à HubSpot.

b. Conflit de lois. Si la société HubSpot se rend compte qu'elle ne peut pas traiter les Données personnelles conformément aux Instructions du Client en raison d'une exigence légale applicable, elle (i) en informera rapidement le Client dans la mesure permise par la loi en vigueur, et (ii) le cas échéant, cessera tout Traitement (autre que le simple stockage et la protection des Données personnelles concernées) jusqu'à ce que le Client lui transmette de nouvelles Instructions que HubSpot pourra appliquer. Si cette disposition est invoquée, HubSpot ne sera pas responsable envers le Client en vertu des Conditions de tout défaut d'exécution des Services d'abonnement applicables jusqu'à ce que le Client donne de nouvelles Instructions légales concernant le Traitement.

c. Sécurité. HubSpot met en œuvre et maintient des mesures techniques et organisationnelles appropriées pour protéger les Données personnelles contre toute violation, comme décrit à l'Annexe 2 du présent Accord sur le traitement des données (« Mesures de sécurité »). Nonobstant toute disposition contraire, HubSpot peut modifier ou mettre à jour les Mesures de sécurité à sa seule discrétion, à condition que cette modification ou mise à jour n'entraîne pas une dégradation importante de la protection offerte par les Mesures de sécurité. 

d. Confidentialité. HubSpot s'engage à veiller à ce que tous les membres du personnel que la société autorise à traiter des Données personnelles en son nom soient soumis aux obligations de confidentialité appropriées (qu'il s'agisse d'obligations contractuelles ou légales) à l'égard de ces Données.

e. Violations des Données personnelles. HubSpot informera le Client sans retard indu de toute Violation des Données personnelles portée à sa connaissance et fournira en temps opportun les informations relatives à ladite Violation dès qu'elles seront connues ou raisonnablement demandées par le Client. À la demande du Client, HubSpot fournira rapidement à ce dernier toute l'assistance raisonnable nécessaire pour lui permettre de signaler les Violations de Données personnelles aux autorités compétentes et/ou aux Personnes concernées, si les Lois sur la protection des données l'y obligent.

f. Suppression ou restitution des Données personnelles. Après la résiliation ou l'expiration du Service d'abonnement, HubSpot supprimera ou restituera toutes les Données des clients, y compris les Données personnelles et les copies de celles-ci, traitées en vertu du présent Accord sur le traitement des données conformément aux procédures détaillées dans les Conditions spécifiques liées aux produits HubSpot. Ces conditions s'appliqueront, sauf dans la mesure où HubSpot est tenu, en vertu du droit applicable, de conserver tout ou partie des Données des clients, ou a archivé des données sur des systèmes de sauvegarde, que HubSpot isolera et protégera de manière sûre de tout Traitement et suppression ultérieurs conformément à ses pratiques en matière de suppression. Après l'expiration ou la résiliation de son abonnement, le Client peut demander à ce que son compte HubSpot soit supprimé en envoyant une requête à l'aide du formulaire relatif à la confidentialité des données disponible sur la page https://preferences.hubspot.com/privacy. Le Client peut également résilier son compte conformément à la section « Résiliation anticipée » des Conditions générales d'utilisation du service HubSpot et en demander la suppression définitive en suivant les instructions disponibles sur la page https://knowledge.hubspot.com/fr/account/how-do-i-cancel-my-hubspot-account. Le Client peut récupérer les Données des clients enregistrées dans son compte, conformément aux termes de la section « Récupération des Données des clients » des Conditions spécifiques liées aux produits HubSpot.

4. Demandes des Personnes concernées

Dans le cadre du Service d'abonnement, le Client dispose d'un certain nombre de moyens pour récupérer, corriger, supprimer ou restreindre les Données personnelles, qu'il peut utiliser pour respecter les obligations qui lui incombent en vertu des Lois sur la protection des données, notamment pour répondre aux demandes des Personnes concernées d'exercer leurs droits en vertu des Lois sur la protection des données applicables (« Demandes des personnes concernées »). 

Si le Client n'est pas en mesure de répondre de manière indépendante à une demande d'une Personne concernée par le biais du Service d'abonnement, alors HubSpot fournira, sur demande écrite du Client, une assistance raisonnable au Client pour répondre aux demandes de la Personne concernée ou à toute demande des autorités de protection des données relatives au Traitement des Données personnelles dans le cadre de l'Accord. Le Client s'engage à rembourser à HubSpot les coûts commerciaux raisonnables découlant de cette assistance.

Si une demande d'une Personne concernée ou une autre communication concernant le Traitement des Données personnelles dans le cadre des Conditions est transmise directement à HubSpot, HubSpot en informera rapidement le Client et conseillera à la Personne concernée de soumettre sa demande à ce dernier. Le Client est seul tenu de répondre de manière substantielle aux demandes des Personnes concernées ou à toute communication impliquant des Données personnelles.

5. Sous-traitants ultérieurs

Le Client accepte que HubSpot puisse engager des Sous-traitants ultérieurs pour traiter les Données personnelles en son nom, et ce de trois façons différentes. Premièrement, HubSpot peut faire appel à des Sous-traitants ultérieurs pour des besoins d'hébergement et d'infrastructure. Deuxièmement, HubSpot peut faire appel à des Sous-traitants ultérieurs pour la prise en charge de fonctionnalités produits et d'intégrations. Troisièmement, HubSpot peut demander à des Affiliés de HubSpot d'agir en tant que Sous-traitants à des fins de service et de support client. Certains Sous-traitants ultérieurs s'appliquent au Client par défaut tandis que d'autres ne s'appliquent que si le Client choisit de les utiliser.

Les Sous-traitants ultérieurs actuels désignés par HubSpot sont les Affiliés de HubSpot et les tiers énumérés dans l'Annexe 3 du présent Accord sur le traitement des données. Le Client peut s'abonner pour recevoir des notifications par e-mail si HubSpot ajoute ou remplace tout Sous-traitant ultérieur en remplissant le formulaire disponible à l'adresse https://legal.hubspot.com/subscribe-subprocessor-updates. HubSpot informera le Client de tout ajout ou de tout remplacement de Sous-traitants ultérieurs au moins 30 jours avant de procéder à ces changements, si le Client choisit de recevoir ces notifications. 

Lorsque HubSpot fait appel à des Sous-traitants ultérieurs, HubSpot impose à ces derniers des conditions de protection des données qui assurent au moins le même niveau de protection des Données personnelles que celles prévues dans le présent Accord sur le traitement des données (y compris, là où cela est approprié, les clauses contractuelles types), dans la mesure applicable à la nature des services fournis par ces Sous-traitants ultérieurs. HubSpot demeure responsable du respect par chaque Sous-traitant ultérieur des obligations du présent Accord sur le traitement des données, et de tous les actes ou omissions des Sous-traitants ultérieurs qui font que HubSpot manque à l'une de ses obligations au titre dudit Accord.

6. Transferts de données

Le Client reconnaît et accepte que HubSpot puisse accéder aux Données personnelles et les traiter de façon globale selon les besoins afin de fournir le Service d'abonnement conformément à l'Accord, et plus particulièrement que lesdites données puissent être transférées à et traitées par HubSpot, Inc. aux États-Unis et dans les autres sites où les Filiales de HubSpot et ses Sous-traitants ultérieurs opèrent. Si des Données personnelles sont transférées en dehors de leur pays d'origine, chaque partie veillera à ce que ces transferts répondent aux exigences des Lois sur la protection des données.

7. Autres dispositions applicables aux Données européennes

a. Portée. La présente Section « Autres dispositions applicables aux Données européennes » concerne uniquement les Données européennes.

b. Rôles des parties. Lors du Traitement des Données européennes conformément aux Instructions du Client, les parties reconnaissent et conviennent que le Client est le Responsable du traitement des Données européennes et que HubSpot est le Sous-traitant.

c. Instructions. Si HubSpot considère qu'une Instruction du Client enfreint les Lois européennes sur la protection des données (si applicables), HubSpot en informera sans délai le Client.

d. Opposition à la nomination de nouveaux Sous-traitants ultérieurs. HubSpot donnera au Client la possibilité de s'opposer à l'engagement de nouveaux Sous-traitants ultérieurs pour des motifs raisonnables liés à la protection des Données personnelles dans les 30 jours suivant la notification d'un tel engagement, conformément à la section Sous-traitants ultérieurs. Si le Client ne communique aucune objection à HubSpot, les parties discuteront de bonne foi des préoccupations du Client en vue de parvenir à une solution commercialement raisonnable. Si aucune solution ne peut être trouvée, HubSpot, à sa seule discrétion, ne désignera pas le nouveau Sous-traitant ultérieur ou permettra au Client de suspendre ou de résilier le Service d'abonnement concerné conformément aux dispositions de résiliation des Conditions sans responsabilité envers l'une ou l'autre des parties (mais sans préjudice des frais encourus par le Client avant la suspension ou la résiliation). Les parties acceptent qu'en respectant la présente Sous-section (d), HubSpot remplit ses obligations découlant de la Section 9 des Clauses contractuelles types.

e. Accords passés avec les Sous-traitants ultérieurs. Aux fins de la Clause 9(c) des Clauses contractuelles types, le Client convient que HubSpot pourrait être empêché de divulguer les accords passés avec les Sous-traitants ultérieurs, mais que la société mettra en œuvre tous les efforts nécessaires afin d'exiger de tout Sous-traitant ultérieur engagé qu'il autorise la divulgation de l'Accord le concernant au Client, et qu'elle fournira, à titre confidentiel, toutes les informations qu'elle pourra raisonnablement divulguer.

f. Évaluations de l'impact de la protection des données et consultation avec les Autorités de contrôle. Si HubSpot dispose raisonnablement des informations requises et que le Client n'a pas autrement accès auxdites informations, HubSpot lui offrira une assistance raisonnable pour effectuer des évaluations de l'impact de la protection des données, et effectuera des consultations préalables avec les Autorités de contrôle (par exemple, la Commission nationale de l'informatique et des libertés en France (CNIL), la Délégation berlinoise à la protection des données et à la liberté d'information en Allemagne (BlnBDI) et le Commissaire à l'information au Royaume-Uni (ICO)) ou d'autres autorités compétentes de protection des données dans la mesure requise par les Lois européennes sur la protection des données.

g. Mécanismes de transfert des données. 

(A) HubSpot s'engage à ne transférer aucune Donnée européenne vers un pays ou un destinataire qui n'est pas reconnu comme assurant un niveau de protection adéquat des Données personnelles (au sens des Lois européennes sur la protection des données applicables), sauf s'il prend au préalable toutes les mesures nécessaires pour garantir que le transfert est conforme auxdites Lois. Ces mesures peuvent inclure (sans limitation) le transfert des données à un destinataire couvert par un cadre adapté ou un autre mécanisme de transfert juridiquement adéquat reconnu par les autorités ou les cours compétentes comme offrant un niveau de protection approprié pour les Données personnelles, à un destinataire qui a obtenu l'autorisation de règles d'entreprise contraignantes conformément aux Lois européennes sur la protection des données, ou à un destinataire qui a exécuté des clauses contractuelles types appropriées dans chaque cas adoptées ou approuvées conformément aux Lois européennes sur la protection des données applicables.

(B) Le Client reconnaît que, dans le cadre de l'exécution des Services d'abonnement, HubSpot, Inc. est un destinataire de Données européennes aux États-Unis. En vertu des Sous-sections (C) et (D), les parties conviennent que les Clauses contractuelles types seront intégrées par référence et feront partie de l'Accord comme suit :

• (a) Transferts dans l'Espace économique européen. Concernant les Données européennes soumises au RGPD, (i) le Client est l'« importateur de données », et HubSpot, Inc. est l'« exportateur de données » ; (ii) les termes du Module Deux s'appliquent dans la mesure où le Client est un Responsable du traitement des Données européennes, et les termes du Module Trois s'appliquent dans la mesure où le Client est un Sous-traitant des Données européennes ; (iii) dans la Clause 7, la clause d'amarrage facultatif s'applique ; (iv) dans la Clause 9, l'Option 2 s'applique et les modifications apportées à la liste des Sous-traitants ultérieurs seront communiquées conformément à la section « Sous-traitants ultérieurs » du présent Accord sur le traitement des données ; (v) dans la Clause 11, la langue facultative est supprimée ; (vi) dans la Clause 17 et la Clause 18, les parties acceptent que la loi applicable et le lieu de résolution des conflits relatifs aux Clauses contractuelles types seront déterminés conformément aux termes de la section « Entité contractante, loi applicable et avis » des Conditions spécifiques aux différentes juridictions ou, si ladite section ne précise aucun État membre de l'Union européenne, la loi applicable sera celle de la République d'Irlande, et les conflits éventuels seront résolus par les tribunaux irlandais (sans référence aux conflits de principes de droit) ; (vi) les Annexes aux Clauses contractuelles types seront considérées comme complétées avec les informations définies dans les Annexes au présent Accord sur le traitement des données ; et (viii) si, et dans la mesure où, les Clauses contractuelles types sont en conflit avec une disposition du présent Accord sur le traitement des données, les Clauses contractuelles types prévaudront dans la mesure de ce conflit.
• (b) Transferts au Royaume-Uni. Concernant les Données européennes soumises au RGPD du Royaume-Uni, les Clauses contractuelles types de l'UE s'appliqueront conformément à la sous-section (a) et aux modifications suivantes : (i) les Clauses contractuelles types seront modifiées et interprétées conformément à l'Addendum pour le Royaume-Uni, qui sera intégré par référence et fera partie intégrante de l'Accord ; (ii) les Tableaux 1, 2 et 3 de l'Addendum pour le Royaume-Uni seront considérés comme complétés avec les informations définies dans les Annexes au présent Accord sur le traitement des données, et le Tableau 4 sera considéré comme complété en sélectionnant l'option « Aucune partie » ; et (iii) tout conflit entre les termes des Clauses contractuelles types et de l'Addendum pour le Royaume-Uni sera résolu conformément aux termes de la Section 10 et de la Section 11 de l'Addendum pour le Royaume-Uni.
• (c) Transferts en Suisse. Concernant les Données européennes soumises à la Loi fédérale suisse sur la protection des données, les Clauses contractuelles types de l'UE s'appliqueront conformément à la sous-section (a) et aux modifications suivantes : (i) les références au « Règlement (UE) 2016/679 » seront interprétées comme des références à la Loi fédérale suisse sur la protection des données ; (ii) les références à l'« UE », à l'« Union européenne » ou à la « législation d'un État membre » seront interprétées comme des références à la Loi fédérale suisse sur la protection des données ; et (iii) les références à l'« Autorité de contrôle compétente » et aux « tribunaux compétents » seront remplacées par le « Commissaire à l'information et à la protection des données de la Suisse » et les « tribunaux suisses compétents ».

(C) Si l'entité contractante de HubSpot prévue par l'Accord n'est pas HubSpot, Inc., ladite entité (pas HubSpot Inc.) demeurera entièrement et seule responsable et redevable envers le Client de l'exécution des Clauses contractuelles types par HubSpot, Inc., et le Client adressera toute instruction, réclamation ou requête liée aux Clauses contractuelles types à ladite entité contractante. Si, pour quelque raison que ce soit, HubSpot ne peut remplir ses obligations découlant des Clauses contractuelles types ou enfreint toute garantie découlant de ces dernières ou l'Addendum pour le Royaume-Uni (le cas échéant) et que le Client prévoit de suspendre le transfert de Données européennes à HubSpot ou de résilier les Clauses contractuelles types ou l'Addendum pour le Royaume-Uni, le Client accepte d'en informer HubSpot avec un préavis raisonnable, afin que HubSpot puisse remédier à sa non-conformité, et de coopérer de manière raisonnable avec HubSpot afin de déterminer quelles protections, le cas échéant, pourraient être mises en œuvre afin de remédier à sa non-conformité. Si HubSpot n'a pas remédié, ou ne peut remédier, à sa non-conformité, le Client pourra alors suspendre ou résilier la partie affectée du Service d'abonnement, conformément aux Conditions, sans responsabilité envers l'une ou l'autre des parties (mais sans préjudice des frais encourus par le Client avant la suspension ou la résiliation).

(D) Même si HubSpot Inc. n'utilise pas actuellement le Bouclier de protection des données entre l'Union européenne et les États-Unis comme base juridique pour le transfert de Données européennes, conformément au jugement de la Cour de justice de l'Union européenne dans l'Affaire C-311/18, HubSpot Inc. traitera les Données européennes conformément aux principes du Bouclier de protection des données tant que la société disposera de l'auto-certification requise, et informera le Client si elle devient incapable de respecter ces exigences. Si HubSpot adopte un autre mécanisme de transfert (y compris une nouvelle version du Bouclier de protection des données entre l'Union européenne et les États-Unis ou une version remplaçant ledit Bouclier) pour le transfert de Données européennes à HubSpot, Inc., cet autre mécanisme de transfert s'appliquera automatiquement en lieu et place des Clauses contractuelles types décrites dans le présent Accord sur le traitement des données (mais seulement dans la mesure où cet autre mécanisme de transfert respecte les Lois européennes sur la protection des données), et le Client acceptera de respecter les autres documents ou d'effectuer toute action raisonnablement nécessaire pour la mise en place juridique de cet autre mécanisme de transfert.

h. Preuve de conformité. HubSpot mettra à la disposition du Client toutes les informations raisonnablement nécessaires pour démontrer sa conformité avec le présent Accord sur le traitement des données, et autorisera les audits et y contribuera, y compris les inspections par le Client ou son auditeur afin d'évaluer la conformité avec ledit Accord. Le Client reconnaît et accepte qu'il doit exercer ses droits de vérification en vertu du présent Accord sur le traitement des données et de la Clause 8.9 des Clauses contractuelles types en donnant instruction à HubSpot de se conformer aux mesures de vérification décrites dans la présente section « Preuve de conformité ». Le Client reconnaît que le Service d'abonnement est hébergé par des Sous-traitants ultérieurs d'hébergement de HubSpot qui maintiennent des programmes de sécurité validés de manière indépendante (y compris SOC 2 et ISO 27001) et que les systèmes de HubSpot sont audités chaque année dans le cadre de la conformité SOC 2 et régulièrement testés par des sociétés indépendantes de tests d'intrusion. Sur demande, HubSpot fournira (à titre confidentiel) son rapport SOC 2 et une copie synthétique de son ou de ses rapports de test d'intrusion au Client afin que celui-ci puisse vérifier la conformité de HubSpot avec le présent Accord sur le traitement des données. Le Client peut télécharger des copies de ces documents sur la page web du Programme de sécurité de HubSpot, qui est disponible à l'adresse https://legal.hubspot.com/fr/security#downloadable-reports. En outre, à la demande écrite du Client, HubSpot fournira des réponses écrites (à titre confidentiel) à toutes les demandes d'information raisonnables faites par le Client et nécessaires pour confirmer la conformité de HubSpot avec le présent Accord sur le traitement des données, à condition que le Client n'exerce pas ce droit plus d'une fois par année civile , sauf s'il suppose, pour des motifs raisonnables, que la conformité de HubSpot avec le présent Accord n'est pas respectée.

8. Autres dispositions applicables aux Données personnelles de l'État de Californie

a. Portée. La section « Autres dispositions applicables aux Données personnelles de l'État de Californie » du présent Accord concerne uniquement les Données personnelles de l'État de Californie.

b. Rôles des parties. Lors du Traitement de Données personnelles de l'État de Californie conformément aux Instructions du Client, les parties reconnaissent et conviennent que le Client est une Entreprise, et que HubSpot est un Prestataire de services aux fins de la CCPA.

c. Responsabilités. Les parties conviennent que HubSpot traitera les Données personnelles de l'État de Californie en qualité de Prestataire de services aux seules fins des Services d'abonnement et des Services de consulting conformément aux Conditions (« Finalité commerciale ») ou à celles autorisées par la CCPA, y compris telles que décrites dans la section « Données d'utilisation » de la Politique de confidentialité de HubSpot. 

9. Dispositions générales

a. Modifications. Nonobstant toute autre disposition contraire des Conditions et sans préjudice des sections « Respect des Instructions » ou « Sécurité » du présent Accord, HubSpot se réserve le droit d'apporter des mises à jour et des modifications au présent Accord sur le traitement des données et les termes applicables de la section « Modification et nulle renonciation » des Conditions générales devront s'appliquer.

b. Séparabilité. Si certaines dispositions du présent Accord sur le traitement des données sont jugées non valides ou inapplicables, la validité et l'applicabilité des autres dispositions dudit Accord ne sont pas remises en cause.

c. Limitation de responsabilité. La responsabilité de chaque partie et de chacune de ses Filiales, prise dans son ensemble, découlant du présent Accord sur le traitement des données (et de tout autre accord de ce type conclu entre les parties) et des Clauses contractuelles types (le cas échéant) ou s'y rapportant, qu'elle soit contractuelle, délictuelle ou fondée sur toute autre théorie de responsabilité, est soumise aux limitations et exclusions de responsabilité énoncées dans la section « Limitation de responsabilité » des Conditions générales. Par ailleurs, toute référence dans cette section à la responsabilité d'une partie désigne la responsabilité globale de ladite partie et de toutes ses Filiales en vertu des Conditions (y compris le présent Accord sur le traitement des données). Pour éviter toute ambiguïté, si HubSpot, Inc. n'est pas partie à l'Accord, la section « Limitation de responsabilité » des Conditions générales s'applique entre le Client et HubSpot, Inc. et, à cet égard, toute référence à « HubSpot » comprendra HubSpot, Inc. et l'entité HubSpot qui est partie à l'Accord. En aucun cas la responsabilité de l'une ou l'autre des parties ne sera limitée en ce qui concerne les droits de protection des données de tout individu en vertu du présent Accord sur le traitement des données (y compris les clauses contractuelles types) ou autrement.

d. Lois applicables. Le présent Accord sur le traitement des données est régi et interprété conformément à la section « Entité contractante et Loi applicable » des Conditions spécifiques aux différentes juridictions, sauf disposition contraire des Lois sur la protection des données.

10. Parties au présent Accord sur le traitement des données

a. Filiales autorisées. En signant les Conditions, le Client conclut le présent Accord sur le traitement des données (y compris, le cas échéant, les Clauses contractuelles types) en son nom et au nom et pour le compte de ses Filiales autorisées. Aux seules fins du présent Accord sur le traitement des données, et sauf indication contraire, le terme « Client » désigne le Client et ses Filiales autorisées.

b. Autorisation. L'entité juridique qui accepte le présent Accord sur le traitement des données en tant que Client déclare qu'elle est autorisée à accepter et à conclure ledit Accord pour son propre compte et, si applicable, pour le compte de chacune de ses Filiales autorisées.

c. Recours. Les parties conviennent que (i) seule l'entité Cliente qui est la partie contractante à l'Accord peut exercer un droit ou chercher à obtenir réparation pour le compte de ses Filiales autorisées, et que (ii) l'entité Cliente qui est la partie contractante aux Conditions peut exercer ces droits en vertu du présent Accord sur le traitement des données non pas séparément pour chaque Filiale autorisée, mais de manière combinée pour elle-même et toutes ses Filiales autorisées. L'entité Cliente qui est l'entité contractante est responsable de la coordination de toutes les instructions, autorisations et communications avec HubSpot dans le cadre de l'Accord sur le traitement des données et est habilitée à effectuer et à recevoir toutes les communications relatives audit Accord au nom de ses Filiales autorisées.

d. Divers autres droits. Les parties conviennent que le Client doit, lors de l'examen de la conformité de HubSpot avec le présent Accord sur le traitement des données en vertu de la section « Preuve de conformité », prendre toutes les mesures raisonnables pour limiter tout impact sur HubSpot et ses Filiales en combinant plusieurs demandes d'audit effectuées au nom de l'entité Cliente qui est la partie contractante à l'Accord et de toutes ses Filiales autorisées en un seul audit.

Annexe 1 - Informations détaillées relatives au Traitement

A. Liste des parties

Exportateur de données :

Nom : le Client, tel que défini dans les Conditions générales d'utilisation du service HubSpot (en son nom et au nom des Filiales autorisées) 

Adresse : l'adresse du Client, telle qu'indiquée sur le Bon de commande

Nom, rôle et coordonnées de la personne à contacter : les coordonnées du Client, telles qu'indiquées sur le Bon de commande et/ou dans le Compte HubSpot du Client

Activités pertinentes au regard des données transférées en vertu des présentes Clauses : traitement des Données personnelles en lien avec l'utilisation des Services d'abonnement de HubSpot par le Client, conformément aux Conditions générales d'utilisation du service HubSpot

Rôle (responsable du traitement/sous-traitant) : Responsable du traitement

Importateur de données :

Nom : HubSpot, Inc.

Adresse : 25 First Street, 2nd Floor, Cambridge, MA 02141, États-Unis 

Nom, rôle et coordonnées de la personne à contacter : Nicholas Knoop, Data Protection Officer, HubSpot, Inc., 25 First Street, 2nd Floor, Cambridge, MA 02141, États-Unis

Activités pertinentes au regard des données transférées en vertu des présentes Clauses : traitement des Données personnelles en lien avec l'utilisation des Services d'abonnement de HubSpot par le Client, conformément aux Conditions générales d'utilisation du service HubSpot

Rôle (responsable du traitement/sous-traitant) : Sous-traitant

B. Description du transfert

Catégories de Personnes concernées par le transfert de Données personnelles

Dans le cadre de son Service d'abonnement, le Client peut envoyer des Données personnelles dont l'étendue reste à sa seule discrétion, ces dernières pouvant inclure, sans s'y limiter, les Données personnelles en rapport avec les catégories de Personnes concernées suivantes :

Contacts du Client et autres utilisateurs finaux, y compris les salariés du Client, ses sous-traitants, collaborateurs, clients, prospects, fournisseurs et sous-traitants ultérieurs. Les Personnes concernées peuvent également comprendre tout individu qui tente de communiquer des Données personnelles aux utilisateurs finaux du Client, ou de leur transférer.

Le Client peut envoyer aux Services d'abonnement des Données personnelles dont l'étendue reste à sa seule discrétion, ces dernières pouvant inclure, mais sans s'y limiter, les Données personnelles suivantes : 

• a. Coordonnées (telles que définies dans les Conditions générales).
• b. Toute autre Donnée personnelle soumise, envoyée ou reçue par le Client, ou ses utilisateurs finaux, via le Service d'abonnement.

Les parties ne prévoient pas le transfert de Données sensibles.

Fréquence du transfert

Continue

Nature du traitement

Les Données personnelles seront traitées conformément aux termes des Conditions (y compris aux termes du présent Accord sur le traitement des données) et peuvent faire l'objet des activités de Traitement suivantes : 

1. Stockage et autres Traitements nécessaires pour fournir, maintenir en conditions opérationnelles et améliorer les Services d'abonnement fournis au Client ; et/ou

2. Divulgation conformément aux Conditions (y compris au présent Accord sur le traitement des données) et/ou comme l'exigent les lois applicables.

Objectif du transfert et traitement supplémentaire

HubSpot traitera les Données personnelles dans la mesure nécessaire pour fournir les Services d'abonnement conformément aux Conditions, comme spécifié dans le Bon de commande, et comme indiqué par le Client dans son utilisation des Services d'abonnement.

Durée de rétention des Données personnelles

Sous réserve des dispositions de la section « Suppression ou restitution des Données personnelles » du présent Accord sur le traitement des données, HubSpot traitera les Données personnelles pendant la durée de l'Accord, sauf accord contraire écrit.

C. Autorité de contrôle compétente

Aux fins des Clauses contractuelles types, l'autorité de contrôle agissant en tant qu'autorité de contrôle compétente sera désignée conformément aux termes du RGPD.

Annexe 2 - Mesures de sécurité

HubSpot observe actuellement les mesures de sécurité décrites dans la présente Annexe 2. Les termes capitalisés qui ne sont pas autrement définis aux présentes ont le sens qui leur est donné dans les Conditions générales. Pour obtenir plus d'informations sur ces mesures de sécurité, le Client peut se référer au rapport SOC 2 Type II, au rapport SOC 3, au programme de sécurité de HubSpot et aux synthèses des tests d'intrusion disponibles à l'adresse https://legal.hubspot.com/fr/security#downloadable-reports.

a) Contrôle d'accès

i) Prévenir l'accès non autorisé au produit

Traitement externalisé : HubSpot héberge son Service avec des fournisseurs d'infrastructure cloud externalisés. La société entretient également des relations contractuelles avec des fournisseurs afin de fournir le Service conformément à l'Accord sur le traitement des données. Elle s'appuie sur des accords contractuels, des politiques de confidentialité et des programmes de conformité des fournisseurs pour protéger les données traitées ou stockées par ces fournisseurs.

Sécurité physique et environnementale : HubSpot héberge l'infrastructure de ses produits avec des fournisseurs d'infrastructure mutualisés et externalisés. HubSpot ne possède ni n'entretient aucun matériel situé dans les centres de données des fournisseurs d'infrastructure externalisés. Les serveurs de production et les applications pour les clients sont logiquement et physiquement distincts des systèmes d'informations internes de HubSpot, ce qui assure leur protection. Les contrôles de sécurité physique et environnementale sont soumis à des contrôles de conformité ISO 27001 et SOC 2 Type II, entre autres certifications.

Authentification : HubSpot a mis en place une politique de mots de passe uniforme pour ses produits clients. Les Clients qui interagissent avec les produits via l'interface utilisateur doivent s'authentifier avant d'accéder aux Données des clients non publiques.

Autorisations : les Données des clients sont stockées dans des espaces de stockage mutualisés qui sont accessibles aux Clients uniquement via les interfaces des applications ou les API. Aucun Client n'a directement accès à l'infrastructure sous-jacente des applications. Le modèle d'autorisation de chacun des produits HubSpot est conçu pour s'assurer que seules les personnes dûment assignées peuvent accéder aux fonctions, vues et options de personnalisation pertinentes. L'accès aux ensembles de données est octroyé après validation des autorisations de l'utilisateur sur la base des attributs associés à chaque ensemble de données.

Accès aux interfaces de programmation d'application (API) : les API de produits publics sont accessibles à l'aide d'une clé d'API ou par le biais d'une autorisation OAuth.

HubSpot met en œuvre des contrôles d'accès et des fonctionnalités de détection standards pour les réseaux internes qui prennent en charge ses produits.

Contrôles d'accès : les mécanismes de contrôle d'accès au réseau sont conçus pour empêcher le trafic réseau utilisant des protocoles non autorisés d'atteindre l'infrastructure du produit. Les mesures techniques mises en œuvre diffèrent selon les fournisseurs d'infrastructure et comprennent les mises en œuvre du cloud privé virtuel (VPC), l'affectation des groupes de sécurité et les règles traditionnelles de pare-feu.

Détection et prévention des intrusions : HubSpot a mis en œuvre une solution Web Application Firewall (WAF) pour protéger les sites web hébergés des clients et d'autres applications accessibles sur internet. La solution WAF est conçue pour identifier et prévenir les attaques contre les services réseau accessibles au public.

Analyses du code statique : le code stocké dans les référentiels de code source de HubSpot est contrôlé en vérifiant les meilleures pratiques et les failles logicielles identifiables à l'aide d'outils automatisés.

Tests d'intrusion : HubSpot entretient des relations avec des fournisseurs de services de tests d'intrusion reconnus dans l'industrie pour quatre tests d'intrusion annuels. Le but des tests d'intrusion est d'identifier et de résoudre les vecteurs d'attaque prévisibles et les scénarios d'abus potentiels. Les tests d'intrusion sont effectués au niveau des applications et de l'infrastructure de la plateforme HubSpot.

Bug Bounty : un programme Bug Bounty invite et incite les chercheurs indépendants dans le domaine de la sécurité à découvrir et à divulguer les failles de sécurité de manière éthique. HubSpot met en place un programme Bug Bounty dans le but d'élargir les possibilités d'engagement avec la communauté dédiée à la sécurité et d'améliorer les défenses du produit contre les attaques sophistiquées.

iii) Limites des exigences en matière de privilège et d'autorisation

Accès aux produits : une partie des employés de HubSpot a accès aux produits et aux données des clients via des interfaces contrôlées. En restreignant cet accès à une partie seulement des salariés, HubSpot souhaite fournir un soutien efficace à la clientèle, au développement des produits et à la recherche, dépanner les problèmes potentiels, détecter les incidents de sécurité et y répondre, et mettre en œuvre la sécurité des données. L'accès est activé par le biais de demandes d'accès « juste à temps » (JITA), qui sont toutes enregistrées. L'accès est accordé aux salariés par rôle, et des examens des octrois de privilèges à haut risque sont effectués quotidiennement. Les autorisations d'accès administratif ou à haut risque sont réexaminées au moins une fois tous les six mois.

Vérification des antécédents : là où la loi l'autorise, tous les salariés de HubSpot sont soumis à une vérification des antécédents ou des références effectuée par un tiers. Aux États-Unis, les offres d'emploi sont soumises aux conclusions des vérifications des antécédents effectuées par un tiers. Tous les salariés de HubSpot sont tenus de se conduire d'une manière conforme aux directives de l'entreprise, aux exigences de non-divulgation et aux normes d'éthique.

En transit : HubSpot exige le chiffrement HTTPS (également appelé SSL ou TLS) sur chacune de ses interfaces de connexion et le rend disponible gratuitement sur chaque site client hébergé sur les produits HubSpot. L'implémentation HTTPS de HubSpot utilise des algorithmes et des certificats standards du secteur.

Au repos : HubSpot stocke les mots de passe des utilisateurs selon des politiques qui suivent les pratiques standards du secteur en matière de sécurité. HubSpot a mis en place des technologies pour s'assurer que les données stockées sont chiffrées au repos. 

Détection : HubSpot a conçu son infrastructure pour enregistrer des informations détaillées sur le comportement du système, le trafic reçu, l'authentification du système et d'autres demandes d'applications. Les systèmes internes agrègent les données des journaux et alertent les salariés appropriés en cas d'activités malveillantes, non intentionnelles ou anormales. Les salariés de HubSpot, y compris les équipes de sécurité, d'exploitation et de support, répondent aux incidents connus.

Réponse et suivi : HubSpot tient un registre des incidents de sécurité connus qui comprend la description, les dates et heures des activités concernées, et la procédure de résolution des incidents. Les incidents de sécurité soupçonnés et confirmés font l'objet d'une enquête par le personnel de sécurité, d'exploitation ou de support, et les mesures de résolution appropriées sont identifiées et documentées. Pour tout incident confirmé, HubSpot prend les mesures appropriées pour minimiser les dommages subis par le produit et le Client, ou la divulgation non autorisée. La notification adressée au Client sera conforme aux termes des Conditions. 

Disponibilité des infrastructures : les fournisseurs d'infrastructure déploient des efforts commercialement raisonnables pour assurer un temps de disponibilité minimum de 99,95 %. Les fournisseurs maintiennent un minimum de redondance N+1 pour les services d'alimentation électrique, de réseau, de chauffage, de ventilation et de climatisation.

Tolérance aux pannes : les stratégies de sauvegarde et de réplication sont conçues pour assurer la redondance et les protections de basculement lors d'une panne de traitement importante. Les Données des clients sont sauvegardées dans plusieurs banques de données durables et répliquées dans plusieurs zones de disponibilité.

Répliques et sauvegardes en ligne : dans la mesure du possible, les bases de données de production sont conçues pour reproduire les données entre au moins une base de données primaire et une base de données secondaire. Toutes les bases de données sont sauvegardées et gérées en utilisant au minimum les méthodes standards de l'industrie.

Plans de récupération après sinistre : HubSpot gère et teste régulièrement des plans de récupération après sinistre afin d'assurer la disponibilité des informations après une interruption ou une panne des processus commerciaux essentiels.

Les produits HubSpot sont conçus pour assurer une redondance et un basculement sans faille. Les instances de serveur qui prennent en charge les produits sont également architecturées dans le but d'éviter les points de défaillance uniques. Cette conception aide les opérations de HubSpot à maintenir et à mettre à jour les applications du produit et le back-end tout en limitant les temps d'arrêt.

Annexe 3 - Sous-traitants ultérieurs