Legal Stuff

IMPORTANT NOTE: The English version of this document will govern our relationship - this translated version is provided for convenience only and will not be interpreted to modify the English version. For the English version, please see the HubSpot Legal Stuff page.

Dernière mise à jour : 1er septembre 2020

La version anglaise de chacun de ces documents régit la relation avec HubSpot. Ces traductions sont fournies à titre indicatif et n’ont aucune valeur juridique. Les versions anglaises de ces documents prévalent et les versions françaises ne sauraient en aucun cas les modifier. Les versions anglaises sont disponibles depuis la page Mentions légales.

[Un exemplaire daté et signé de ce texte (en anglais) est disponible ici.]

Le présent Accord sur le traitement des données de HubSpot et ses Annexes (l'« Accord sur le traitement des données ») reflètent l'accord des parties en ce qui concerne le traitement des Données personnelles qui est effectué par HubSpot pour le compte du Client en lien avec les Services d'abonnement de HubSpot conformément aux Conditions générales d'utilisation du service HubSpot établies entre HubSpot et le Client (les « Conditions »). 

Le présent Accord sur le traitement des données complète les Conditions, dont il fait partie intégrante, et prend effet à compter de son incorporation dans lesdites Conditions, qui peut être précisée dans les Conditions, un Bon de commande ou une modification signée des Conditions. En cas de conflit ou de différence, le présent Accord prévaudra sur les termes des Conditions uniquement pour les points concernés.

Le présent Accord est mis à jour régulièrement. Si le Client dispose d'un abonnement actif à HubSpot, HubSpot l'informera de ces mises à jour en lui envoyant une notification par e-mail (s'il s'est abonné aux notifications par e-mail via le lien inclus dans les Conditions principales) ou dans l'application. Le Client trouvera des versions archivées de l'Accord ici.

La durée du présent Accord sur le traitement des données sera identique à celle des Conditions. Les termes qui ne sont pas autrement définis dans cette section le sont dans les Conditions.

1. Définitions
2. Responsabilités du Client
3. Obligations de HubSpot
4. Demandes des Personnes concernées
5. Sous-traitants ultérieurs
6. Transferts de données
7. Autres dispositions applicables aux Données européennes
8. Autres dispositions applicables aux Données personnelles de l'État de Californie
9. Dispositions générales
10. Parties au présent Accord sur le traitement des données

Annexe 1 - Informations détaillées relatives au Traitement

Annexe 2 - Mesures de sécurité

Annexe 3 - Clauses contractuelles types

Annexe 4 - Liste des Sous-traitants ultérieurs

1. Définitions

L'expression « Données personnelles de l'État de Californie » désigne les Données personnelles régies par la loi américaine CCPA.

L'acronyme « CCPA » (California Consumer Privacy Act) fait référence au Code civil de Californie, section 1798.100 et sections suivantes (loi sur la protection du consommateur de Californie votée en 2018).

« Consommateur », « Entreprise », « Vente » et « Prestataire de services » revêtent ici le sens qui leur est donné dans la loi CCPA. 

Le « Responsable du traitement » est une personne physique ou morale, une autorité publique, un service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du Traitement de Données personnelles.

Les « Lois sur la protection des données » désignent l'ensemble de la législation mondiale applicable en matière de protection des données et de la vie privée qui s'impose à la partie gérant le traitement des Données personnelles en question dans le cadre du présent Accord, y compris, mais sans s'y limiter, les lois européennes sur la protection des données, la CCPA et les lois sur la protection des données et de la vie privée en vigueur en Australie et à Singapour ; dans chaque cas, telles que modifiées, abrogées, consolidées ou remplacées de temps à autre. 

Une « Personne concernée » est une personne à laquelle se rapportent les Données personnelles.

Le terme « Europe » désigne l'Union européenne, l'Espace économique européen et/ou leurs États membres, la Suisse et le Royaume-Uni. 

L'expression « Données européennes » désigne les Données personnelles régies par les Lois européennes sur la protection des données.

Les « Lois européennes sur la protection des données » renvoient aux lois de protection des données applicables en Europe, notamment : (i) au règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement général sur la protection des données) (« RGPD ») ; (ii) la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ; et (iii) les mises en œuvre nationales applicables des points (i) et (ii) ; ou (iii) en ce qui concerne le Royaume-Uni, toute législation nationale applicable qui remplace ou intègre dans le droit interne le RGPD ou toute autre loi relative aux données et à la vie privée en conséquence de la sortie du Royaume-Uni de l'Union européenne ; et (iv) la loi fédérale suisse sur la protection des données du 19 juin 1992 et son ordonnance ; dans chaque cas, tels que modifiés ou remplacés.

Le terme « Instructions » désigne toute instruction écrite et documentée, émise par un Responsable du traitement à l'intention d'un Sous-traitant, lui demandant d'effectuer une action spécifique ou générale en ce qui concerne les Données personnelles (y compris, mais sans s'y limiter, la dépersonnalisation, le blocage, la suppression et la mise à disposition).

L'expression « Filiales autorisées » désigne toute Filiale du Client (i) qui est autorisée à utiliser les Services d'abonnement conformément aux Conditions, mais qui n'a signé aucun accord propre avec HubSpot et ne constitue pas un « Client » tel que défini dans les Conditions, (ii) qui est considérée comme un Responsable du traitement des Données personnelles traitées par HubSpot, et (iii) qui est régie par les Lois européennes sur la protection des données.

Les « Données personnelles » incluent toutes les informations relatives à un individu identifié ou identifiable lorsque ces informations sont contenues dans les Données des clients et sont protégées de la même manière que les données et informations à caractère personnel, ou les informations personnellement identifiables en vertu des Lois sur la protection des données applicables.

« Violation de Données personnelles » signifie une violation de la sécurité conduisant à la destruction accidentelle ou illicite, à la perte, à l'altération, ou à la divulgation non autorisée ou à l'accès aux Données personnelles transmises, stockées, ou autrement traitées par HubSpot et/ou ses Sous-traitants ultérieurs dans le cadre de la fourniture des Services d'abonnement. Ce type de violation exclut les tentatives ou activités infructueuses qui n'ont pas pour conséquence d'altérer la sécurité des Données personnelles, y compris les tentatives infructueuses de connexion, d'envoi de commandes ping, d'analyse de port, d'attaques par déni de service ou d'autres attaques réseau sur des pare-feu ou des systèmes réseau.

Le « Bouclier de protection des données » désigne le programme d'auto-certification du Bouclier de protection des données entre l'UE et les États-Unis et entre la Suisse et les États-Unis géré par le Département du Commerce américain et approuvé par la Commission européenne conformément à sa décision du 12 juillet 2016 et par le Conseil fédéral suisse le 11 janvier 2017, respectivement ; tel que modifié ou remplacé.

Les « Principes du bouclier de protection des données » renvoient aux Principes du Bouclier de protection des données (tels que complétés par les Principes complémentaires) contenus à l'Annexe II de la décision de la Commission européenne du 12 juillet 2016 ; tels que modifiés ou remplacés.

Le terme « Traitement » désigne toute opération ou tout ensemble d'opérations effectuées sur des Données personnelles, par exemple la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou l'altération, la récupération, la consultation, l'utilisation, la divulgation par transmission, diffusion ou autre moyen de mise à disposition, l'alignement ou la combinaison, la restriction, l'effacement ou la destruction de données. Les termes « Traitement(s) » et « traité(e)(s) » seront interprétés en conséquence.

Le terme « Sous-traitant » désigne une personne physique ou morale, une autorité publique, un service ou un autre organisme qui traite des Données personnelles pour le compte du Responsable du traitement.

Les « Clauses contractuelles types » désignent les clauses contractuelles standards applicables aux Sous-traitants agréés conformément à la décision de la Commission européenne (C(2010)593) du 5 février 2010 sous la forme définie à l'Annexe 3 ; telles que modifiées ou remplacées.

Un « Sous-traitant ultérieur » désigne un Sous-traitant engagé par HubSpot ou ses Filiales pour aider à remplir les obligations de HubSpot en ce qui concerne la fourniture des Services d'abonnement en vertu des Conditions. Les Sous-traitants ultérieurs peuvent comprendre des tiers ou des Filiales de HubSpot ; ils excluent les salariés ou consultants de HubSpot.

2. Responsabilités du Client

a. Conformité avec la loi. Dans le cadre des Conditions et lors de son utilisation des services, le Client est responsable du respect de toutes les exigences qui lui sont applicables en vertu des Lois sur la protection des données en ce qui concerne le Traitement des Données personnelles qu'il assure et des Instructions qu'il donne à HubSpot.

En particulier, mais sans préjudice du caractère général de ce qui précède, le Client reconnaît et accepte qu'il est seul responsable : (i) de l'exactitude, de la qualité et de la légalité des Données des clients et des moyens par lesquels il a acquis les Données personnelles ; (ii) du respect de toutes les exigences de transparence et de légalité nécessaires en vertu des Lois sur la protection des données applicables pour la collecte et l'utilisation des Données personnelles, y compris l'obtention de tous les consentements et autorisations nécessaires (en particulier pour leur utilisation par le Client à des fins marketing) ; (iii) de vérifier qu'il est habilité à transférer les Données personnelles à HubSpot, ou de les mettre à sa disposition, à des fins de Traitement conformément aux termes des Conditions (y compris du présent Accord sur le traitement des données) ; (iv) de s'assurer que les Instructions qu'il transmet à HubSpot concernant le Traitement des Données personnelles sont conformes aux lois applicables, y compris aux Lois sur la protection des données ; et (v) de se conformer à l'ensemble des lois (y compris aux Lois sur la protection des données) applicables aux e-mails ou autres contenus créés, envoyés ou gérés par le biais des Services d'abonnement, y compris celles relatives à l'obtention de consentements (le cas échéant) pour envoyer des e-mails, au contenu des e-mails et à ses pratiques de déploiement des e-mails. Le Client s'engage à informer HubSpot sans retard indu s'il n'est pas en mesure de respecter ses responsabilités en vertu de la présente sous-section (a) ou des Lois sur la protection des données applicables.

b. Instructions applicables au Responsable du traitement. Les parties conviennent que les Conditions (y compris le présent Accord sur le traitement des données), ainsi que l'utilisation par le Client du Service d'abonnement conformément auxdites Conditions, forment les Instructions complètes et finales que le Client donne à HubSpot en ce qui concerne le Traitement des Données personnelles, et que les Instructions supplémentaires échappant au champ d'application des Instructions nécessiteront un accord écrit préalable entre le Client et HubSpot.

3. Obligations de HubSpot

a. Respect des Instructions. HubSpot s'engage à traiter les Données personnelles uniquement aux fins décrites dans le présent Accord sur le traitement des données ou comme convenu autrement dans le cadre des Instructions légales du Client, sauf si et dans la mesure où le droit applicable l'exige. HubSpot n'est pas responsable du respect des Lois sur la protection des données applicables au Client ou à son secteur d'activité qui ne sont pas généralement applicables à HubSpot.

b. Conflit de lois. Si la société HubSpot se rend compte qu'elle ne peut pas traiter les Données personnelles conformément aux Instructions du Client en raison d'une exigence légale applicable, elle (i) en informera rapidement le Client dans la mesure permise par la loi en vigueur, et (ii) le cas échéant, cessera tout Traitement (autre que le simple stockage et la protection des Données personnelles concernées) jusqu'à ce que le Client lui transmette de nouvelles Instructions que HubSpot pourra appliquer. Si cette disposition est invoquée, HubSpot ne sera pas responsable envers le Client en vertu des Conditions de tout défaut d'exécution des Services d'abonnement applicables jusqu'à ce que le Client donne de nouvelles Instructions légales concernant le Traitement.

c. Sécurité. HubSpot met en œuvre et maintient des mesures techniques et organisationnelles appropriées pour protéger les Données personnelles contre toute violation, comme décrit à l'Annexe 2 du présent Accord sur le traitement des données (« Mesures de sécurité »). Nonobstant toute disposition contraire, HubSpot peut modifier ou mettre à jour les Mesures de sécurité à sa seule discrétion, à condition que cette modification ou mise à jour n'entraîne pas une dégradation importante de la protection offerte par les Mesures de sécurité. 

d. Confidentialité. HubSpot s'engage à veiller à ce que tous les membres du personnel que la société autorise à traiter des Données personnelles en son nom soient soumis aux obligations de confidentialité appropriées (qu'il s'agisse d'obligations contractuelles ou légales) à l'égard de ces Données.

e. Violations des Données personnelles. HubSpot informera le Client sans retard indu de toute Violation des Données personnelles portée à sa connaissance et fournira en temps utile les informations relatives à ladite Violation dès qu'elles seront connues ou raisonnablement demandées par le Client. À la demande du Client, HubSpot fournira rapidement à ce dernier toute l'assistance raisonnable nécessaire pour lui permettre de signaler les Violations de Données personnelles aux autorités compétentes et/ou aux Personnes concernées, si les Lois sur la protection des données l'y obligent.

f. Suppression ou restitution des Données personnelles. Après la résiliation ou l'expiration du Service d'abonnement, HubSpot supprimera ou restituera toutes les Données des clients, y compris les Données personnelles et les copies de celles-ci, traitées en vertu du présent Accord sur le traitement des données conformément aux procédures et aux délais fixés dans les Conditions, étant entendu que cette exigence ne s'appliquera pas dans la mesure où HubSpot est tenu, en vertu du droit applicable, de conserver tout ou partie des Données des clients, ou de celles qu'il a archivées sur des systèmes de sauvegarde, que HubSpot isolera et protégera de manière sûre de tout Traitement et suppression ultérieurs conformément à ses pratiques en matière de suppression. Après l'expiration ou la résiliation de son abonnement, le Client peut demander à ce que son compte HubSpot soit supprimé en envoyant une requête ici ou en suivant les instructions disponibles ici. Le Client peut récupérer les Données des clients enregistrées dans son compte, conformément aux termes de la section « Récupération des Données des clients » des Conditions spécifiques liées aux produits HubSpot.

4. Demandes des Personnes concernées

Dans le cadre du Service d'abonnement, le Client dispose d'un certain nombre de moyens pour récupérer, corriger, supprimer ou restreindre les Données personnelles, qu'il peut utiliser pour respecter les obligations qui lui incombent en vertu des Lois sur la protection des données, notamment pour répondre aux demandes des Personnes concernées d'exercer leurs droits en vertu des Lois sur la protection des données applicables (« Demandes des personnes concernées »). 

Si le Client n'est pas en mesure de répondre de manière indépendante à une demande d'une Personne concernée par le biais du Service d'abonnement, alors HubSpot fournira, sur demande écrite du Client, une assistance raisonnable au Client pour répondre aux demandes de la Personne concernée ou à toute demande des autorités de protection des données relatives au Traitement des Données personnelles dans le cadre de l'Accord. Le Client s'engage à rembourser à HubSpot les coûts commerciaux raisonnables découlant de cette assistance.

Si une demande d'une Personne concernée ou une autre communication concernant le Traitement des Données personnelles dans le cadre des Conditions est transmise directement à HubSpot, HubSpot en informera rapidement le Client et conseillera à la Personne concernée de soumettre sa demande à ce dernier. Le Client est seul tenu de répondre de manière substantielle aux demandes des Personnes concernées ou à toute communication impliquant des Données personnelles.

5. Sous-traitants ultérieurs

Le Client accepte que HubSpot puisse engager des Sous-traitants ultérieurs pour traiter les Données personnelles en son nom. Les Sous-traitants ultérieurs actuels désignés par HubSpot sont les Filiales de HubSpot et les tiers énumérés dans l'Annexe 4 du présent Accord sur le traitement des données. HubSpot informera le Client de tout ajout ou de toute suppression de Sous-traitants ultérieurs à la liste formant l'Annexe 4 avant de procéder à ces changements, si le Client choisit de recevoir ces notifications par e-mail en remplissant le formulaire disponible ici.

Lorsque HubSpot fait appel à des Sous-traitants ultérieurs, HubSpot impose à ces derniers des conditions de protection des données qui assurent au moins le même niveau de protection des Données personnelles que celles prévues dans le présent Accord sur le traitement des données (y compris, là où cela est approprié, les clauses contractuelles types), dans la mesure applicable à la nature des services fournis par ces Sous-traitants ultérieurs. HubSpot demeure responsable du respect par chaque Sous-traitant ultérieur des obligations du présent Accord sur le traitement des données, et de tous les actes ou omissions des Sous-traitants ultérieurs qui font que HubSpot manque à l'une de ses obligations au titre dudit Accord.

6. Transferts de données

Le Client reconnaît et accepte que HubSpot accède aux Données personnelles et les traite de façon globale selon les besoins afin de fournir le Service d'abonnement conformément aux Conditions, et plus particulièrement que lesdites données soient transférées à HubSpot et traitées par HubSpot, Inc. aux États-Unis et dans les autres sites où les Filiales de HubSpot et ses Sous-traitants ultérieurs opèrent. HubSpot veillera à ce que ces transferts répondent aux exigences des Lois sur la protection des données.

7. Autres dispositions applicables aux Données européennes

a. Champ d'application de la section 7. La présente section « Autres dispositions applicables aux Données européennes » concerne uniquement les Données européennes.

b. Rôles des parties. Lors du Traitement des Données européennes conformément aux Instructions du Client, les parties reconnaissent et conviennent que le Client est le Responsable du traitement des Données européennes et que HubSpot est le Sous-traitant.

c. Instructions. Si HubSpot considère qu'une Instruction du Client enfreint les Lois européennes sur la protection des données (si applicables), HubSpot en informera sans délai le Client.

d. Notification des nouveaux Sous-traitants ultérieurs et opposition à leur nomination. HubSpot informera le Client de tout changement apporté à la liste des Sous-traitants ultérieurs en mettant à jour l'Annexe 4 du présent Accord sur le traitement des données et donnera au Client la possibilité de s'opposer à l'engagement d'un nouveau Sous-traitant ultérieur pour des motifs raisonnables liés à la protection des Données personnelles dans les 30 jours suivant la mise à jour de cette Annexe 4. Si le Client ne communique aucune objection à HubSpot, les parties discuteront de bonne foi des préoccupations du Client en vue de parvenir à une solution commercialement raisonnable. Si aucune solution ne peut être trouvée, HubSpot, à sa seule discrétion, ne désignera pas le nouveau Sous-traitant ultérieur ou permettra au Client de suspendre ou de résilier le Service d'abonnement concerné conformément aux dispositions de résiliation des Conditions sans responsabilité envers l'une ou l'autre des parties (mais sans préjudice des frais encourus par le Client avant la suspension ou la résiliation).

e. Évaluations de l'impact de la protection des données et consultation avec les Autorités de contrôle. Si HubSpot dispose raisonnablement des informations requises et que le Client n'a pas autrement accès auxdites informations, HubSpot lui offrira une assistance raisonnable pour effectuer des évaluations de l'impact de la protection des données, et effectuera des consultations préalables avec les Autorités de contrôle ou d'autres autorités compétentes de protection des données dans la mesure requise par les Lois européennes sur la protection des données.

f. Mécanismes de transfert des données. 

(A) HubSpot s'engage à ne transférer aucune Donnée européenne vers un pays ou un destinataire qui n'est pas reconnu comme assurant un niveau de protection adéquat des Données personnelles (au sens des Lois européennes sur la protection des données applicables), sauf s'il prend au préalable toutes les mesures nécessaires pour garantir que le transfert est conforme auxdites Lois. Ces mesures peuvent inclure (sans limitation) le transfert des données à un destinataire couvert par un cadre adapté ou un autre mécanisme de transfert juridiquement adéquat reconnu par les autorités ou les cours compétentes comme offrant un niveau de protection approprié pour les Données personnelles, à un destinataire qui a obtenu l'autorisation de règles d'entreprise contraignantes conformément aux Lois européennes sur la protection des données, ou à un destinataire qui a exécuté des clauses contractuelles types appropriées dans chaque cas adoptées ou approuvées conformément aux Lois européennes sur la protection des données applicables.

(B) Le Client reconnaît que, dans le cadre de l'exécution des Services d'abonnement, HubSpot, Inc. est un destinataire de Données européennes aux États-Unis. Les parties reconnaissent et acceptent ce qui suit :

• (a) Clauses contractuelles types : HubSpot, Inc. accepte de traiter les Données européennes conformément aux clauses contractuelles types.

• (b) Bouclier de protection des données : même si HubSpot Inc. n'utilise pas le Bouclier de protection des données entre l'Union européenne et les États-Unis comme base juridique pour le transfert de Données personnelles, conformément au jugement de la Cour de justice de l'Union européenne dans l'Affaire C-311/18, HubSpot Inc. traitera les Données européennes conformément aux principes du Bouclier de protection des données tant que la société disposera de l'auto-certification requise, et informera le Client si elle devient incapable de respecter ces exigences.
• (C) Les parties acceptent que (i) aux seules fins des descriptions des Clauses contractuelles types, HubSpot Inc. sera considéré comme « l'Importateur de données » et que le Client sera considéré comme « l'Exportateur de données » (nonobstant le fait que le Client puisse se trouver en dehors de l'Europe et/ou agir comme Sous-traitant au nom d'un Responsable de traitement tiers), (ii) nonobstant ce qui précède, si l'entité contractante de HubSpot prévue par les Conditions n'est pas HubSpot, Inc., le Client devra fournir à ladite entité un mandat afin d'entrer dans les Clauses contractuelles types avec HubSpot Inc. en son nom et pour son compte, ladite entité (pas HubSpot Inc.) demeurera entièrement et seule responsable et redevable envers le Client de l'exécution des Clauses contractuelles types par HubSpot, Inc., et le Client adressera toute instruction, réclamation ou requête liée aux Clauses contractuelles types à ladite entité contractante, et (iii) si, et dans la mesure où, les Clauses contractuelles types (le cas échéant) sont en conflit avec une disposition du présent Accord sur le traitement des données, les Clauses contractuelles types prévaudront dans la mesure de ce conflit.

g. Preuve de conformité.HubSpot met à la disposition du Client toutes les informations raisonnablement nécessaires pour démontrer la conformité avec le présent Accord sur le traitement des données, et autorise et facilite les audits, y compris les inspections par le Client afin d'évaluer la conformité avec ledit Accord. Le Client reconnaît et accepte qu'il doit exercer ses droits de vérification en vertu du présent Accord sur le traitement des données en donnant instruction à HubSpot de se conformer aux mesures de vérification décrites dans la présente sous-section (g). Le Client reconnaît que le Service d'abonnement est hébergé par des partenaires de centre de données de HubSpot qui maintiennent des programmes de sécurité validés de manière indépendante (y compris SOC 2 et ISO 27001) et que les systèmes de HubSpot sont régulièrement testés par des sociétés indépendantes de tests d'intrusion. Sur demande, HubSpot fournira (à titre confidentiel) une copie synthétique de son ou de ses rapports de test d'intrusion au Client afin que celui-ci puisse vérifier la conformité de HubSpot avec le présent Accord sur le traitement des données. En outre, à la demande écrite du Client, HubSpot fournira des réponses écrites (à titre confidentiel) à toutes les demandes d'information raisonnables faites par le Client et nécessaires pour confirmer la conformité de HubSpot avec le présent Accord sur le traitement des données, à condition que le Client n'exerce pas ce droit plus d'une fois par année civile. 

8. Autres dispositions applicables aux Données personnelles de l'État de Californie

a. Champ d'application de la section 8. La section « Autres dispositions applicables aux Données personnelles de l'État de Californie » du présent Accord concerne uniquement les Données personnelles de l'État de Californie.

b. Rôles des parties. Lors du Traitement de Données personnelles de l'État de Californie conformément aux Instructions du Client, les parties reconnaissent et conviennent que le Client est une Entreprise, et que HubSpot est un Prestataire de services aux fins de la CCPA.

c. Responsabilités. Les parties conviennent que HubSpot traitera les Données personnelles de l'État de Californie en qualité de Prestataire de services aux seules fins des Services d'abonnement et des Services de consulting conformément aux Conditions (« Finalité commerciale ») ou à celles autorisées par la CCPA, y compris telles que décrites dans la section « Pratiques en matière de données et de machine learning (apprentissage automatique) » des Conditions spécifiques liées aux produits HubSpot.

9. Dispositions générales

a. Modifications. Nonobstant toute autre disposition contraire des Conditions et sans préjudice des sections « Respect des Instructions » ou « Sécurité » du présent Accord, HubSpot se réserve le droit d'apporter des mises à jour et des modifications au présent Accord sur le traitement des données et les termes applicables de la section « Modification et nulle renonciation » des Conditions principales devront s'appliquer.

b. Séparabilité. Si certaines dispositions du présent Accord sur le traitement des données sont jugées non valides ou inapplicables, la validité et l'applicabilité des autres dispositions dudit Accord ne sont pas remises en cause.

c. Limitation de responsabilité. La responsabilité de chaque partie et de chacune de ses Filiales, prise dans son ensemble, découlant du présent Accord sur le traitement des données (et de tout autre accord de ce type conclu entre les parties) et des Clauses contractuelles types (le cas échéant) ou s'y rapportant, qu'elle soit contractuelle, délictuelle ou fondée sur toute autre théorie de responsabilité, est soumise aux limitations et exclusions de responsabilité énoncées dans la section « Limitation de responsabilité » des Conditions principales. Par ailleurs, toute référence dans cette section à la responsabilité d'une partie désigne la responsabilité globale de ladite partie et de toutes ses Filiales en vertu des Conditions (y compris le présent Accord sur le traitement des données). Pour éviter toute ambiguïté, si HubSpot, Inc. n'est pas partie à l'Accord, la section « Limitation de responsabilité » des Conditions principales s'applique entre le Client et HubSpot, Inc. et, à cet égard, toute référence à « HubSpot » comprendra HubSpot, Inc. et l'entité HubSpot qui est partie à l'Accord.

d. Lois applicables. Le présent Accord sur le traitement des données est régi et interprété conformément à la section « Entité contractante et Loi applicable » des Conditions spécifiques aux différentes juridictions, sauf disposition contraire des Lois sur la protection des données.

10. Parties au présent Accord sur le traitement des données

a. Filiales autorisées. En signant les Conditions, le Client conclut le présent Accord sur le traitement des données en son nom et, dans la mesure requise par les Lois sur la protection des données, au nom et pour le compte de ses Filiales autorisées, établissant ainsi un Accord sur le traitement des données distinct entre HubSpot et chacune de ces Filiales conformément à l'Accord et aux sections « Dispositions générales » et « Parties au présent Accord sur le traitement des données » du présent Accord sur le traitement des données. Chaque Filiale autorisée accepte d'être liée par les obligations découlant du présent Accord sur le traitement des données et, dans la mesure applicable, par les Conditions. Aux seules fins du présent Accord sur le traitement des données, et sauf indication contraire, le terme « Client » désigne le Client et ses Filiales autorisées.

b. Autorisation. L'entité juridique qui accepte le présent Accord sur le traitement des données en tant que Client déclare qu'elle est autorisée à accepter et à conclure ledit Accord pour son propre compte et, si applicable, pour le compte de chacune de ses Filiales autorisées.

c. Recours. Sauf lorsque les Lois sur la protection des données exigent qu'une Filiale autorisée exerce un droit ou cherche à obtenir par elle-même réparation en vertu du présent Accord sur le traitement des données contre HubSpot, les parties conviennent que (i) seule l'entité Cliente qui est la partie contractante à l'Accord peut exercer un droit ou chercher à obtenir réparation pour le compte de ses Filiales autorisées, et que (ii) l'entité Cliente qui est la partie contractante aux Conditions peut exercer ces droits en vertu du présent Accord sur le traitement des données non pas séparément pour chaque Filiale autorisée, mais de manière combinée pour elle-même et toutes ses Filiales autorisées. L'entité Cliente qui est l'entité contractante est responsable de la coordination de toutes les communications avec HubSpot dans le cadre de l'Accord sur le traitement des données et est habilitée à effectuer et à recevoir toute communication relative audit Accord au nom de ses Filiales autorisées.

d. Divers autres droits. Les parties conviennent que le Client doit, lors de l'examen de la conformité de HubSpot avec le présent Accord sur le traitement des données en vertu de la section « Preuve de conformité », prendre toutes les mesures raisonnables pour limiter tout impact sur HubSpot et ses Filiales en combinant plusieurs demandes d'audit effectuées au nom de l'entité Cliente qui est la partie contractante à l'Accord et de toutes ses Filiales autorisées en un seul audit.

Annexe 1 - Informations détaillées relatives au Traitement

La présente Annexe fait partie intégrante de l'Accord sur le traitement des données. 

HubSpot traitera les Données personnelles dans la mesure nécessaire pour fournir les Services d'abonnement conformément aux Conditions, comme spécifié dans le Bon de commande, et comme indiqué par le Client dans son utilisation des Services d'abonnement.

B. Durée de Traitement 

Sous réserve des dispositions de la section « Suppression ou restitution des Données personnelles » du présent Accord sur le traitement des données, HubSpot traitera les Données personnelles pendant la durée de l'Accord, sauf accord contraire écrit.

Dans le cadre de son Service d'abonnement, le Client peut envoyer des Données personnelles dont l'étendue reste à sa seule discrétion, ces dernières pouvant inclure, sans s'y limiter, les Données personnelles en rapport avec les catégories de Personnes concernées suivantes :

Contacts du Client et autres utilisateurs finaux, y compris les salariés du Client, ses sous-traitants, collaborateurs, clients, prospects, fournisseurs et sous-traitants ultérieurs. Les Personnes concernées peuvent également comprendre tout individu qui tente de communiquer des Données personnelles aux utilisateurs finaux du Client, ou de leur transférer.

Le Client peut envoyer aux Services d'abonnement des Données personnelles dont l'étendue reste à sa seule discrétion, ces dernières pouvant inclure, mais sans s'y limiter, les Données personnelles suivantes : 

• - Coordonnées (telles que définies dans les Conditions principales),
• - Toute autre Donnée à caractère personnel soumise, envoyée ou reçue par le Client, ou ses utilisateurs finaux, via le Service d'abonnement.

Les parties ne prévoient pas le transfert de catégories particulières de données.

Les Données personnelles seront traitées conformément aux termes des Conditions (y compris aux termes du présent Accord sur le traitement des données) et peuvent faire l'objet des activités de Traitement suivantes : 

Annexe 2 - Mesures de sécurité

La présente Annexe fait partie intégrante de l'Accord sur le traitement des données.

HubSpot observe actuellement les mesures de sécurité décrites dans la présente Annexe 2. Les termes capitalisés qui ne sont pas autrement définis aux présentes ont le sens qui leur est donné dans les Conditions principales.

a) Contrôle d'accès

i) Prévenir l'accès non autorisé au produit

Traitement externalisé : HubSpot héberge son Service avec des fournisseurs d'infrastructure cloud externalisés. La société entretient également des relations contractuelles avec des fournisseurs afin de fournir le Service conformément à l'Accord sur le traitement des données. Elle s'appuie sur des accords contractuels, des politiques de confidentialité et des programmes de conformité des fournisseurs pour protéger les données traitées ou stockées par ces fournisseurs.

Sécurité physique et environnementale : HubSpot héberge l'infrastructure de ses produits avec des fournisseurs d'infrastructure mutualisés et externalisés. Les contrôles de sécurité physique et environnementale sont soumis à des contrôles de conformité ISO 27001 et SOC 2 Type II, entre autres certifications.

Authentification : HubSpot a mis en place une politique de mots de passe uniforme pour ses produits clients. Les Clients qui interagissent avec les produits via l'interface utilisateur doivent s'authentifier avant d'accéder aux Données des clients non publiques.

Autorisations : les Données des clients sont stockées dans des espaces de stockage mutualisés qui sont accessibles aux Clients uniquement via les interfaces des applications ou les API. Aucun Client n'a directement accès à l'infrastructure sous-jacente des applications. Le modèle d'autorisation de chacun des produits HubSpot est conçu pour s'assurer que seules les personnes dûment assignées peuvent accéder aux fonctions, vues et options de personnalisation pertinentes. L'accès aux ensembles de données est octroyé après validation des autorisations de l'utilisateur sur la base des attributs associés à chaque ensemble de données.

Accès aux interfaces de programmation d'application (API) : les API de produits publics sont accessibles à l'aide d'une clé d'API ou par le biais d'une autorisation Oauth.

HubSpot met en œuvre des contrôles d'accès et des fonctionnalités de détection standards pour les réseaux internes qui prennent en charge ses produits.

Contrôles d'accès : les mécanismes de contrôle d'accès au réseau sont conçus pour empêcher le trafic réseau utilisant des protocoles non autorisés d'atteindre l'infrastructure du produit. Les mesures techniques mises en œuvre diffèrent selon les fournisseurs d'infrastructure et comprennent les mises en œuvre du cloud privé virtuel (VPC), l'affectation des groupes de sécurité et les règles traditionnelles de pare-feu.

Détection et prévention des intrusions : HubSpot a mis en œuvre une solution Web Application Firewall (WAF) pour protéger les sites web hébergés des clients et d'autres applications accessibles sur internet. La solution WAF est conçue pour identifier et prévenir les attaques contre les services réseau accessibles au public.

Analyses du code statique : des analyses de sécurité du code stocké dans les référentiels de code source de HubSpot sont effectuées en vérifiant les meilleures pratiques de codage et les failles logicielles identifiables.

Tests d'intrusion : HubSpot entretient des relations avec des fournisseurs de services de tests d'intrusion reconnus dans l'industrie pour quatre tests d'intrusion annuels. Le but des tests d'intrusion est d'identifier et de résoudre les vecteurs d'attaque prévisibles et les scénarios d'abus potentiels.

Bug Bounty : un programme Bug Bounty invite et incite les chercheurs indépendants dans le domaine de la sécurité à découvrir et à divulguer les failles de sécurité de manière éthique. HubSpot met en place un programme Bug Bounty dans le but d'élargir les possibilités d'engagement avec la communauté dédiée à la sécurité et d'améliorer les défenses du produit contre les attaques sophistiquées.

iii) Limites des exigences en matière de privilège et d'autorisation

Accès aux produits : une partie des employés de HubSpot a accès aux produits et aux données des clients via des interfaces contrôlées. En restreignant cet accès à une partie seulement des salariés, HubSpot souhaite fournir un soutien efficace à la clientèle, dépanner les problèmes potentiels, détecter les incidents de sécurité et y répondre, et mettre en œuvre la sécurité des données. L'accès est activé par le biais de demandes d'accès « juste à temps », qui sont toutes enregistrées. L'accès est accordé aux salariés par rôle, et des examens des octrois de privilèges à haut risque sont effectués quotidiennement. Les rôles des salariés sont réexaminés au moins une fois tous les six mois.

Vérification des antécédents : tous les salariés de HubSpot sont soumis à une vérification des antécédents, effectuée par un tiers, avant de recevoir une offre d'emploi, conformément aux lois applicables. Tous les salariés de HubSpot sont tenus de se conduire d'une manière conforme aux directives de l'entreprise, aux exigences de non-divulgation et aux normes d'éthique.

En transit : HubSpot rend le chiffrement HTTPS (également appelé SSL ou TLS) disponible sur chacune de ses interfaces de connexion et gratuitement sur chaque site client hébergé sur les produits HubSpot. L'implémentation HTTPS de HubSpot utilise des algorithmes et des certificats standards du secteur.

Au repos : HubSpot stocke les mots de passe des utilisateurs selon des politiques qui suivent les pratiques standards du secteur en matière de sécurité. HubSpot a mis en place des technologies pour s'assurer que les données stockées sont chiffrées au repos. 

Détection : HubSpot a conçu son infrastructure pour enregistrer des informations détaillées sur le comportement du système, le trafic reçu, l'authentification du système et d'autres demandes d'applications. Les systèmes internes agrègent les données des journaux et alertent les salariés appropriés en cas d'activités malveillantes, non intentionnelles ou anormales. Les salariés de HubSpot, y compris les équipes de sécurité, d'exploitation et de support, répondent aux incidents connus.

Réponse et suivi : HubSpot tient un registre des incidents de sécurité connus qui comprend la description, les dates et heures des activités concernées, et la procédure de résolution des incidents. Les incidents de sécurité soupçonnés et confirmés font l'objet d'une enquête par le personnel de sécurité, d'exploitation ou de support, et les mesures de résolution appropriées sont identifiées et documentées. Pour tout incident confirmé, HubSpot prend les mesures appropriées pour minimiser les dommages subis par le produit et le Client, ou la divulgation non autorisée. La notification adressée au Client sera conforme aux termes des Conditions. 

Disponibilité des infrastructures : les fournisseurs d'infrastructure déploient des efforts commercialement raisonnables pour assurer un temps de disponibilité minimum de 99,95 %. Les fournisseurs maintiennent un minimum de redondance N+1 pour les services d'alimentation électrique, de réseau et de ventilation.

Tolérance aux pannes : les stratégies de sauvegarde et de réplication sont conçues pour assurer la redondance et les protections de basculement lors d'une panne de traitement importante. Les Données des clients sont sauvegardées dans plusieurs banques de données durables et répliquées dans plusieurs zones de disponibilité.

Répliques et sauvegardes en ligne : dans la mesure du possible, les bases de données de production sont conçues pour reproduire les données entre au moins une base de données primaire et une base de données secondaire. Toutes les bases de données sont sauvegardées et gérées en utilisant au minimum les méthodes standards de l'industrie.

Les produits HubSpot sont conçus pour assurer une redondance et un basculement sans faille. Les instances de serveur qui prennent en charge les produits sont également architecturées dans le but d'éviter les points de défaillance uniques. Cette conception aide les opérations de HubSpot à maintenir et à mettre à jour les applications du produit et le back-end tout en limitant les temps d'arrêt.

Annexe 3 - Clauses contractuelles types

Aux fins de l'article 26, paragraphe 2 de la directive 95/46/CE pour le transfert des Données personnelles vers des sous-traitants établis dans des pays tiers qui n'assurent pas un niveau adéquat de protection des données,

Le Client, tel que défini dans les Conditions générales d'utilisation du service HubSpot (l'« Exportateur de données ») d'une part,

et

HubSpot Inc., 25 First Street, 2nd Floor, Cambridge, MA 02141 États-Unis (l'« Importateur de données ») d'autre part,

ci-après dénommés individuellement une « partie » et collectivement les « parties »,

CONVIENNENT des clauses contractuelles suivantes (ci-après dénommées « les Clauses ») afin d'offrir des garanties adéquates concernant la protection de la vie privée et des libertés et droits fondamentaux des personnes lors du transfert, par l'Exportateur de données vers l'Importateur de données, des Données personnelles visées à l'Annexe 1.

Clause 1

Définitions

Au sens des Clauses :

« Données personnelles », « Catégories particulières de données », « Traitement/traiter », « Responsable du traitement », « Sous-traitant », « Personne concernée » et « Autorité de contrôle » ont la même signification que dans la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des Données personnelles et à la libre circulation de ces données ;

l'« Exportateur de données » est le Responsable du traitement qui transfère les Données personnelles ;

l'« Importateur de données » est le Sous-traitant qui accepte de recevoir de l'Exportateur de données des Données personnelles destinées à être traitées pour le compte de ce dernier après le transfert conformément à ses Instructions et aux termes des présentes Clauses, et qui n'est pas soumis au mécanisme d'un pays tiers assurant une protection adéquate au sens de l'article 25, paragraphe 1, de la directive 95/46/CE ;

le « Sous-traitant ultérieur » est le Sous-traitant engagé par l'Importateur de données ou par tout autre Sous-traitant ultérieur de celui-ci, qui accepte de recevoir de l'Importateur de données ou de tout autre Sous-traitant ultérieur de celui-ci des Données personnelles exclusivement destinées à des activités de Traitement à effectuer pour le compte de l'Exportateur de données après le transfert conformément aux Instructions de ce dernier, aux conditions énoncées dans les présentes Clauses et selon les termes du contrat de sous-traitance écrit ;

le « Droit applicable à la protection des données » est la législation protégeant les libertés et les droits fondamentaux des personnes, notamment le droit à la vie privée à l'égard du Traitement des Données personnelles, et s'appliquant à un Responsable du traitement dans l'État membre où l'Exportateur de données est établi ;

les « Mesures techniques et d'organisation liées à la sécurité » sont les mesures destinées à protéger les Données personnelles contre une destruction fortuite ou illicite, une perte fortuite, une altération, une divulgation ou un accès non autorisé, notamment lorsque le Traitement suppose la transmission de données par réseau, et contre toute autre forme illicite de Traitement.

Clause 2

Détails du transfert

Les détails du transfert et, notamment, le cas échéant, les Catégories particulières de Données personnelles, sont spécifiés dans l'Annexe 1 qui fait partie intégrante des présentes Clauses.

Clause 3

Clause du tiers bénéficiaire

1. La Personne concernée peut faire appliquer contre l'Exportateur de données la présente Clause, ainsi que la Clause 4, paragraphes b) à i), la Clause 5, paragraphes a) à e) et paragraphes g) à j), la Clause 6, paragraphes 1 et 2, la Clause 7, la Clause 8, paragraphe 2, et les Clauses 9 à 12 en tant que tiers bénéficiaire.

2. La Personne concernée peut faire appliquer contre l'Importateur de données la présente Clause, ainsi que la Clause 5, paragraphes a) à e) et g), la Clause 6, la Clause 7, la Clause 8, paragraphe 2, et les Clauses 9 à 12 dans les cas où l'Exportateur de données a matériellement disparu ou a cessé d'exister en droit, à moins que l'ensemble de ses obligations juridiques n'ait été transféré, par contrat ou par effet de la loi, à l'entité qui lui succède, à laquelle reviennent par conséquent les droits et les obligations de l'Exportateur de données, et contre laquelle la Personne concernée peut donc faire appliquer lesdites clauses.

3. La Personne concernée peut faire appliquer contre le Sous-traitant ultérieur la présente Clause, ainsi que la Clause 5, paragraphes a) à e) et g), la Clause 6, la Clause 7, la Clause 8, paragraphe 2, et les Clauses 9 à 12, mais uniquement dans les cas où l'Exportateur de données et l'Importateur de données ont matériellement disparu, ont cessé d'exister en droit ou sont devenus insolvables, à moins que l'ensemble des obligations juridiques de l'Exportateur de données n'ait été transféré, par contrat ou par effet de la loi, au successeur légal, auquel reviennent par conséquent les droits et les obligations de l'Exportateur de données, et contre lequel la Personne concernée peut donc faire appliquer lesdites clauses. Cette responsabilité civile du Sous-traitant ultérieur doit être limitée à ses propres activités de Traitement conformément aux présentes Clauses.

4. Les parties ne s'opposent pas à ce que la Personne concernée soit représentée par une association ou un autre organisme si elle en exprime le souhait et si le droit national l'autorise.

Clause 4

Obligations de l'Exportateur de données

L'Exportateur de données accepte et garantit ce qui suit :

(a) le Traitement, y compris le transfert proprement dit des Données personnelles, a été et continuera d'être effectué conformément aux dispositions pertinentes du droit applicable à la protection des données (et, le cas échéant, a été notifié aux autorités compétentes de l'État membre dans lequel l'Exportateur de données est établi) et n'enfreint pas les dispositions pertinentes dudit État ;

(b) il a chargé, et chargera pendant toute la durée des services de Traitement de Données personnelles, l'Importateur de données de traiter les Données personnelles transférées pour le compte exclusif de l'Exportateur de données et conformément à la loi sur la protection des données applicable et aux présentes Clauses ;

(c) l'Importateur de données offrira suffisamment de garanties en ce qui concerne les mesures techniques et d'organisation liées à la sécurité spécifiées dans l'Annexe 2 du présent contrat ;

(d) après l'évaluation des exigences de la loi sur la protection des données applicable, les mesures de sécurité sont adéquates pour protéger les Données personnelles contre une destruction fortuite ou illicite, une perte fortuite, une altération, une divulgation ou un accès non autorisé, notamment lorsque le Traitement suppose la transmission de données par réseau, et contre toute autre forme illicite de Traitement et elles assurent un niveau de sécurité adapté aux risques liés au Traitement et à la nature des données à protéger, eu égard au niveau technologique et au coût de mise en œuvre ;

(e) il veillera au respect des mesures de sécurité ;

(f) si le transfert porte sur des Catégories particulières de données, la Personne concernée a été informée ou sera informée avant le transfert ou dès que possible après le transfert que ses données pourraient être transmises à un pays tiers n'offrant pas un niveau de protection adéquat au sens de la directive 95/46/CE ;

(g) il transmettra toute notification reçue de l'Importateur de données ou de tout Sous-traitant ultérieur conformément à la Clause 5, paragraphe b), et à la Clause 8, paragraphe 3), à l'Autorité de contrôle de la protection des données s'il décide de poursuivre le transfert ou de lever sa suspension ;

(h) il mettra à la disposition des Personnes concernées, si elles le demandent, une copie des présentes Clauses, à l'exception de l'Annexe 2, et une description sommaire des mesures de sécurité, ainsi qu'une copie de tout contrat de sous-traitance ultérieure ayant été conclu conformément aux présentes Clauses, à moins que les Clauses ou le contrat ne contiennent des informations commerciales, auquel cas il pourra retirer ces informations ;

(i) en cas de sous-traitance ultérieure, l'activité de Traitement sera effectuée conformément à la Clause 11 par un Sous-traitant ultérieur offrant au moins le même niveau de protection des Données personnelles et des droits de la Personne concernée que l'Importateur de données conformément aux présentes Clauses ; et

(j) il veillera au respect de la Clause 4, paragraphes a) à i).

Clause 5

Obligations de l'Importateur de données

L'Importateur de données accepte et garantit ce qui suit :

(a) il traitera les Données personnelles pour le compte exclusif de l'Exportateur de données et conformément aux Instructions de ce dernier et aux présentes Clauses ; s'il est dans l'incapacité de s'y conformer pour quelque raison que ce soit, il accepte d'informer dans les meilleurs délais l'Exportateur de données de son incapacité, auquel cas ce dernier aura le droit de suspendre le transfert de données et/ou de résilier le contrat ;

(b) il n'a aucune raison de croire que la législation le concernant l'empêche de remplir les Instructions données par l'Exportateur de données et les obligations qui lui incombent conformément au contrat, et si ladite législation fait l'objet d'une modification susceptible d'avoir des conséquences négatives importantes pour les garanties et les obligations offertes par les Clauses, il communiquera la modification à l'Exportateur de données sans retard après en avoir eu connaissance, auquel cas ce dernier a le droit de suspendre le transfert de données et/ou de résilier le contrat ;

(c) il a mis en œuvre les mesures techniques et d'organisation liées à la sécurité spécifiées dans l'Annexe 2 avant de traiter les Données personnelles transférées ;

(d) il communiquera sans retard à l'Exportateur de données :

(i) toute demande contraignante de divulgation des Données personnelles émanant d'une autorité de maintien de l'ordre, sauf disposition contraire, telle qu'une interdiction de caractère pénal visant à préserver le secret d'une enquête policière ;

(ii) tout accès fortuit ou non autorisé ; et

(iii) toute demande reçue directement des Personnes concernées sans répondre à cette demande, à moins qu'il n'ait été autorisé à le faire ;

(e) il traitera rapidement et comme il se doit toutes les demandes de renseignements émanant de l'Exportateur de données relatives à son Traitement des Données personnelles qui font l'objet du transfert et se rangera à l'avis de l'Autorité de contrôle en ce qui concerne le Traitement des données transférées ;

(f) à la demande de l'Exportateur de données, il soumettra ses moyens de Traitement de données à une vérification des activités de Traitement couvertes par les présentes Clauses qui sera effectuée par l'Exportateur de données ou un organe de contrôle composé de membres indépendants possédant les qualifications professionnelles requises, soumis à une obligation de secret et choisis par l'Exportateur de données, le cas échéant, avec l'accord de l'Autorité de contrôle ;

(g) il mettra à la disposition de la Personne concernée, si elle le demande, une copie des présentes Clauses, ou tout contrat de Sous-traitance ultérieure existant, à moins que les Clauses ou le contrat ne contiennent des informations commerciales, auquel cas il pourra retirer ces informations, à l'exception de l'Annexe 2, qui sera remplacée par une description sommaire des mesures de sécurité, lorsque la Personne concernée n'est pas en mesure d'obtenir une copie de l'Exportateur de données ;

(h) en cas de Sous-traitance ultérieure, il veillera au préalable à informer l'Exportateur de données et à obtenir l'accord écrit de ce dernier ;

(i) les services de Traitement fournis par le Sous-traitant ultérieur seront conformes à la Clause 11 ;

(j) il enverra dans les meilleurs délais une copie de tout accord de Sous-traitance ultérieure conclu par lui en vertu des présentes Clauses à l'Exportateur de données.

Clause 6

Responsabilité

1. Les parties conviennent que toute Personne concernée ayant subi un dommage du fait d'un manquement aux obligations visées à la Clause 3 ou à la Clause 11 par une des parties ou par un Sous-traitant ultérieur a le droit d'obtenir de l'Exportateur de données réparation du préjudice subi.

2. Si une Personne concernée est empêchée d'intenter l'action en réparation visée au paragraphe 1 contre l'Exportateur de données pour manquement par l'Importateur de données ou par son Sous-traitant ultérieur à l'une ou l'autre de ses obligations visées à la Clause 3 ou à la Clause 11, parce que l'Exportateur de données a matériellement disparu, a cessé d'exister en droit ou est devenu insolvable, l'Importateur de données accepte que la Personne concernée puisse déposer une plainte à son encontre comme s'il était l'Exportateur de données, à moins que l'ensemble des obligations juridiques de l'Exportateur de données n'ait été transféré, par contrat ou par effet de la loi, à l'entité qui lui succède, contre laquelle la Personne concernée peut alors faire valoir ses droits. L'Importateur de données ne peut invoquer un manquement par un Sous-traitant ultérieur à ses obligations pour échapper à ses propres responsabilités.

3. Si une Personne concernée est empêchée d'intenter l'action visée aux paragraphes 1 et 2 contre l'Exportateur de données ou l'Importateur de données pour manquement par le Sous-traitant ultérieur à l'une ou l'autre de ses obligations visées à la Clause 3 ou à la Clause 11, parce que l'Exportateur de données et l'Importateur de données ont matériellement disparu, ont cessé d'exister en droit ou sont devenus insolvables, le Sous-traitant ultérieur accepte que la Personne concernée puisse déposer une plainte à son encontre en ce qui concerne ses propres activités de Traitement conformément aux présentes Clauses comme s'il était l'Exportateur de données ou l'Importateur de données, à moins que l'ensemble des obligations juridiques de l'Exportateur de données ou de l'Importateur de données n'ait été transféré, par contrat ou par effet de la loi, au successeur légal, contre lequel la Personne concernée peut alors faire valoir ses droits. La responsabilité du Sous-traitant ultérieur doit être limitée à ses propres activités de Traitement conformément aux présentes Clauses.

Clause 7

Médiation et juridiction

(a) de soumettre le litige à la médiation d'une personne indépendante ou, le cas échéant, de l'autorité de contrôle ;
(b) de porter le litige devant les tribunaux de l'État membre où l'Exportateur de données est établi.

2. Les parties conviennent que le choix effectué par la Personne concernée ne remettra pas en cause le droit procédural ou matériel de cette dernière d'obtenir réparation conformément à d'autres dispositions du droit national ou international.

Clause 8

Coopération avec les Autorités de contrôle

1. L'Exportateur de données convient de déposer une copie du présent contrat auprès de l'Autorité de contrôle si celle-ci l'exige ou si ce dépôt est prévu par le droit applicable à la protection des données.

2. Les parties conviennent que l'Autorité de contrôle a le droit d'effectuer des vérifications chez l'Importateur de données et chez tout Sous-traitant ultérieur dans la même mesure et dans les mêmes conditions qu'en cas de vérifications opérées chez l'Exportateur de données conformément au droit applicable à la protection des données.

3. L'Importateur de données informe l'Exportateur de données, dans les meilleurs délais, de l'existence d'une législation le concernant ou concernant tout Sous-traitant ultérieur faisant obstacle à ce que des vérifications soient effectuées chez lui ou chez tout Sous-traitant ultérieur conformément au paragraphe 2. Dans ce cas, l'Exportateur de données a le droit de prendre les mesures prévues par la Clause 5, paragraphe b).

Clause 9

Lois applicables

Les Clauses sont régies par le droit de l'État membre où l'Exportateur de données est établi.

Clause 10

Modification du contrat

Les parties s'engagent à ne pas modifier les présentes Clauses. Les parties restent libres d'inclure d'autres clauses à caractère commercial qu'elles jugent nécessaires, à condition qu'elles ne contredisent pas les présentes Clauses.

Clause 11

Sous-traitance ultérieure

1. L'Importateur de données ne sous-traite aucune de ses activités de Traitement effectuées pour le compte de l'Exportateur de données conformément aux présentes Clauses sans l'accord écrit préalable de l'Exportateur de données. L'Importateur de données ne sous-traite les obligations qui lui incombent conformément aux présentes Clauses, avec l'accord de l'Exportateur de données, qu'au moyen d'un accord écrit conclu avec le Sous-traitant ultérieur, imposant à ce dernier les mêmes obligations que celles qui incombent à l'Importateur de données conformément aux présentes Clauses. En cas de manquement, par le Sous-traitant ultérieur, aux obligations en matière de protection des données qui lui incombent conformément audit accord écrit, l'Importateur de données reste pleinement responsable du respect de ces obligations envers l'Exportateur de données.

2. Le contrat écrit préalable entre l'Importateur de données et le Sous-traitant ultérieur prévoit également une Clause du tiers bénéficiaire telle qu'énoncée à la Clause 3 pour les cas où la Personne concernée est empêchée d'intenter l'action en réparation visée à la Clause 6, paragraphe 1, contre l'Exportateur de données ou l'Importateur de données parce que ceux-ci ont matériellement disparu, ont cessé d'exister en droit ou sont devenus insolvables, et que l'ensemble des obligations juridiques de l'Exportateur de données ou de l'Importateur de données n'a pas été transféré, par contrat ou par effet de la loi, à une autre entité leur ayant succédé. Cette responsabilité civile du Sous-traitant ultérieur doit être limitée à ses propres activités de Traitement conformément aux présentes Clauses.

3. Les dispositions relatives aux aspects de la Sous-traitance ultérieure liés à la protection des données du contrat visé au paragraphe 1 sont régies par le droit de l'État membre où l'Exportateur de données est établi.

4. L'Exportateur de données tient une liste des accords de Sous-traitance ultérieure conclus en vertu des présentes Clauses et notifiés par l'Importateur de données conformément à la Clause 5, paragraphe j), qui sera mise à jour au moins une fois par an. Cette liste est mise à la disposition de l'Autorité de contrôle de la protection des données de l'Exportateur de données.

Clause 12

Obligation après la résiliation des services de Traitement des Données personnelles

1. Les parties conviennent qu'au terme des services de Traitement des données, l'Importateur de données et le Sous-traitant ultérieur restitueront à l'Exportateur de données, et à la convenance de celui-ci, l'ensemble des Données personnelles transférées ainsi que les copies, ou détruiront l'ensemble de ces données et en apporteront la preuve à l'Exportateur de données, à moins que la législation imposée à l'Importateur de données ne l'empêche de restituer ou de détruire la totalité ou une partie des Données personnelles transférées. Dans ce cas, l'Importateur de données garantit qu'il assurera la confidentialité des Données personnelles transférées et qu'il ne traitera plus activement ces données.

2. L'Importateur de données et le Sous-traitant ultérieur garantissent que si l'Exportateur de données et/ou l'Autorité de contrôle le demandent, ils soumettront leurs moyens de Traitement de données à une vérification des mesures visées au paragraphe 1.

Annexe 1 aux Clauses contractuelles types

Cette Annexe fait partie intégrante des Clauses contractuelles types (les « Clauses »).

Les termes définis utilisés dans la présente Annexe 1 ont le même sens que celui qui leur est donné dans les Conditions (y compris l'Accord sur le traitement des données).

Exportateur de données

L'Exportateur de données est l'entité légale définie en tant que « Client » dans l'Accord sur le traitement des données. 

Importateur de données

L'Importateur de données est HubSpot, Inc.

Personnes concernées

Les Personnes concernées sont définies à l'Annexe 1 de l'Accord sur le traitement des données. 

Catégories de données

Les Catégories de données sont définies à l'Annexe 1 de l'Accord sur le traitement des données. 

Catégories spéciales de données (le cas échéant)

Les parties ne prévoient pas le transfert de catégories particulières de données.

Finalités du Traitement

HubSpot, Inc. traitera les Données personnelles dans la mesure nécessaire pour fournir les Services d'abonnement à l'Exportateur de données conformément aux Conditions.

Opérations de Traitement

Les Opérations de Traitement sont définies à l'Annexe 1 de l'Accord sur le traitement des données. 

Annexe 2 aux Clauses contractuelles types

Cette Annexe fait partie intégrante des Clauses contractuelles types (les « Clauses »). 

Description des mesures de sécurité techniques et organisationnelles mises en œuvre par l'Importateur de données conformément à la Clause 4, paragraphe d et à la Clause 5, paragraphe c (ou au document ou à la législation ici référencés) :

Les mesures de sécurité techniques et organisationnelles mises en œuvre par HubSpot sont définies à l'Annexe 2 de l'Accord sur le traitement des données. 

Annexe 3 aux Clauses contractuelles types

Cette Annexe fait partie intégrante des Clauses contractuelles types (les « Clauses »).

Elle définit l'interprétation des obligations de chacune des parties conformément aux conditions énoncées dans les Clauses. Lorsqu'une partie se conforme aux interprétations énoncées dans la présente Annexe, cette partie est considérée par l'autre partie comme ayant respecté ses engagements au titre des Clauses.

Aux fins de la présente Annexe, l'expression « Accord sur le traitement des données » désigne l'Accord conclu entre le Client et HubSpot, et auquel ces clauses sont incorporées. Le terme « Conditions » a la signification qui lui est donnée dans ledit Accord sur le traitement des données. 

Clauses 4(h) et 8 : Divulgation des présentes Clauses

a. L'Exportateur de données accepte que les présentes Clauses constituent les Informations confidentielles de l'Importateur de données, telles que définies dans les Conditions, et qu'elles ne puissent être divulguées par l'Exportateur de données à un tiers sans le consentement écrit préalable de l'Importateur de données, sauf si cela est autorisé en vertu des Conditions. Cela n'empêche pas la divulgation des présentes Clauses à une Personne concernée en vertu de la Clause 4(h), ou à une Autorité de contrôle en vertu de la Clause 8.

Clauses 5(a) et 5(b) : Suspension des transferts de données et résiliation

a. Les parties reconnaissent que l'Importateur de données peut traiter les Données personnelles uniquement au nom de l'Exportateur de données et conformément à ses Instructions telles que fournies par l'Exportateur de données et les Clauses.

b. Les parties reconnaissent que si l'Importateur de données ne peut pas assurer cette conformité conformément aux Clauses 5(a) et 5(b) pour une raison quelconque, il accepte d'en informer rapidement l'Exportateur de données, qui sera alors en droit de suspendre le transfert de données et/ou de résilier le contrat pour les parties affectées des Services conformément aux termes des Conditions.

c. Si l'Exportateur de données a l'intention de suspendre le transfert de Données personnelles et/ou de résilier les parties affectées des Services, il s'efforcera d'en informer l'Importateur de données et de lui accorder un délai raisonnable pour remédier au non-respect (« Période de remède »).

d. Si nécessaire, les parties devront coopérer entre elles de manière raisonnable durant la Période de remède pour s'accorder sur les précautions complémentaires ou les autres mesures, le cas échéant, pouvant être raisonnablement exigées pour s'assurer de la conformité de l'Importateur de données avec les Clauses et toute loi de protection des données applicable.

e. Si, après la Période de remède, l'Importateur de données n'a pas remédié ou ne peut pas remédier à la non-conformité, l'Exportateur de données pourra alors suspendre et/ou résilier la partie affectée des Services conformément aux provisions des Conditions sans responsabilité envers l'une ou l'autre des parties (mais sans préjudice des frais encourus par l'Exportateur de données avant la suspension ou la résiliation). L'Exportateur de données n'est pas tenu de fournir un tel avis lorsqu'il estime qu'il existe un risque important de préjudice pour les Personnes concernées ou leurs Données personnelles.

Clause 5(f) : Audit

a. L'Exportateur de données reconnaît et accepte qu'il exerce son droit d'audit en vertu de la Clause 5(f) en demandant à l'Importateur de données de se conformer aux mesures d'audit décrites dans la Section « Preuve de conformité » de l'Accord sur le traitement des données.

Clause 5(j) : Divulgation des accords des Sous-traitants ultérieurs 

a. Les parties conviennent que l'Importateur de données est tenu d'envoyer dans les meilleurs délais une copie de tout accord de sous-traitance ultérieure conclu par lui en vertu des présentes Clauses à l'Exportateur de données.

b. Les parties reconnaissent en outre que, conformément aux restrictions de confidentialité du Sous-traitant ultérieur, l'Importateur de données peut être empêché de divulguer les accords ultérieurs dudit Sous-traitant à l'Exportateur de données. Nonobstant cela, l'Importateur de données s'engage à déployer des efforts raisonnables pour exiger de tout Sous-traitant ultérieur qu'il désigne qu'il lui permette de divulguer l'accord de sous-traitance ultérieure à l'Exportateur de données.

c. Même lorsque l'Importateur de données ne peut pas divulguer un accord de sous-traitance ultérieure à l'Exportateur de données, les parties conviennent que, à la demande de l'Exportateur de données, l'Importateur de données doit (de manière confidentielle) transmettre à l'Exportateur de données toutes les informations qu'il peut raisonnablement exiger en rapport avec cet accord de sous-traitance ultérieure. 

Clause 6 : Responsabilité 

Clause 11 : Sous-traitance ultérieure 

a. Les parties reconnaissent que, conformément à la FAQ II.1 du document WP 176 du groupe de travail « Article 29 » intitulé « Liste des questions les plus fréquentes soulevées par l'entrée en vigueur de la décision 2010/87/UE de la Commission du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE », l'Exportateur de données peut donner son consentement général au traitement ultérieur par l'Importateur de données.

b. En conséquence, l'Exportateur de données donne un consentement général à l'Importateur de données, conformément à la Clause 11 des présentes Clauses, pour engager des Sous-traitants ultérieurs. Ce consentement est conditionné au respect, par l'Importateur de données, des exigences énoncées à la Section « Notification des nouveaux Sous-traitants ultérieurs et opposition à leur nomination » de l'Accord sur le traitement des données. 

Clause 12 : Obligation après la résiliation des services de Traitement des Données personnelles

a. L'Importateur de données accepte que l'Exportateur de données remplisse son obligation de restituer ou de détruire toutes les Données personnelles à la fin de la prestation des services de Traitement des données en se conformant à la section « Suppression ou restitution des Données personnelles » de l'Accord sur le traitement des données.

Annexe 4 - Liste des Sous-traitants ultérieurs

* Si le Client HubSpot a acheté des services le 11 mars 2020 ou depuis cette date, ses Données seront automatiquement stockées/traitées par le nouveau Sous-traitant ultérieur de HubSpot, Snowflake. HubSpot ne stockera pas sur les serveurs de Snowflake les Données des Clients ayant acheté des services HubSpot avant le 11 mars 2020 et ayant émis leur refus pour le stockage de leurs données par Snowflake.

Pour recevoir un e-mail en cas de modification et mise à jour de l'Annexe 4, il peut cliquer ici.