Legal Stuff

IMPORTANT NOTE: The English version of this document will govern our relationship - this translated version is provided for convenience only and will not be interpreted to modify the English version. For the English version, please see the HubSpot Legal Stuff page.

Dernière mise à jour : 1 novembre 2018

La version anglaise de chacun de ces documents régit la relation avec HubSpot. Ces traductions sont fournies à titre indicatif et n’ont aucune valeur juridique. Les versions anglaises de ces documents prévalent et les versions françaises ne sauraient en aucun cas les modifier. Les versions anglaises sont disponibles depuis la page Mentions légales.

[Si vous souhaitez recevoir un exemplaire daté et signé de ce texte, veuillez cliquer ici.]

Le présent Accord sur le traitement des données de HubSpot (l'« Accord »), qui comprend les Clauses contractuelles types adoptées par la Commission européenne, le cas échéant, reflète l'accord des parties en ce qui concerne les conditions régissant le Traitement des données à caractère personnel dans le cadre des Conditions générales d'utilisation du service HubSpot (les « Conditions »). Le présent Accord sur le traitement des données modifie les Conditions susmentionnées et prend effet à compter de son incorporation dans lesdites Conditions, lesquelles peuvent être précisées dans l'Accord, une Commande ou une modification signée des Conditions. L'Accord sur le traitement des données fera partie intégrante des Conditions dès son incorporation dans ces dernières.

Le présent Accord est mis à jour régulièrement. Si le Client dispose d'un abonnement actif à HubSpot, HubSpot l'en informera en lui envoyant une notification par e-mail ou intégrée à l'application. Le Client trouvera des versions archivées des conditions générales ici.

La durée du présent Accord sur le traitement des données sera identique à celle des Conditions. Les termes qui ne sont pas autrement définis aux présentes ont le sens qui leur est donné dans les Conditions.

1. Définitions
2. Détails du traitement
3. Responsabilité du Responsable du traitement
4. Obligations du Sous-traitant
5. Demandes des personnes concernées
6. Audits
7. Sous-traitants ultérieurs
8. Transferts de données
9. Dispositions générales
10. Parties au présent Accord sur le traitement des données

ANNEXE 1

Annexe 1 aux Clauses contractuelles types

Annexe 2 aux Clauses contractuelles types

La Page des prestataires de HubSpot, disponible ici, inclut une liste des Sous-traitants ultérieurs auxquels la société fait appel pour fournir son Service d'abonnement.

1. Définitions

« Responsable du traitement » : personne physique ou morale, autorité publique, service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel.

« Loi sur la protection des données » : ensemble des législations applicables en matière de protection des données et de la vie privée, y compris mais sans s'y limiter, la Directive 95/46/CE de l'UE sur la protection des données, et toutes les lois et réglementations locales qui modifient ou remplacent l'une d'entre elles, y compris le RGPD, ainsi que toute loi nationale de mise en œuvre dans tout État membre de l'Union européenne ou, dans la mesure applicable, dans tout autre pays, telle que ponctuellement modifiée, abrogée, consolidée ou remplacée. Les termes « Traitement(s) » et « Traité(s)" seront interprétés en conséquence.

« Objet des données » : personne à laquelle se rapportent les Données personnelles.

« RGPD » : Règlement général sur la protection des données (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.

« Instruction » : instruction écrite et documentée, émise par le Responsable du traitement à l'intention du Sous-traitant, lui demandant d'effectuer une action spécifique en ce qui concerne les Données personnelles (y compris, mais sans s'y limiter, la dépersonnalisation, le blocage, la suppression, la mise à disposition).

« Données à caractère personnel » : toute information relative à une personne identifiée ou identifiable contenant de telles informations dans les Données des Clients, et protégée de la même manière que les données à caractère personnel ou les informations personnellement identifiables conformément à la Loi sur la protection des données.

« Violation de données à caractère personnel » : violation de la sécurité conduisant de manière accidentelle ou illicite à la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, stockées ou autrement transformées, ou à leur consultation.

« Traitement » : toute opération ou ensemble d'opérations effectuées sur des données à caractère personnel, par exemple la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou l'altération, la récupération, la consultation, l'utilisation, la divulgation par transmission, diffusion ou autre moyen de mise à disposition, l'alignement ou la combinaison, la restriction, l'effacement ou la destruction de données.

« Sous-traitant » : personne physique ou morale, autorité publique, service ou autre organisme qui traite des Données à caractère personnel pour le compte du Responsable du traitement.

« Clauses contractuelles types » : clauses jointes en Annexe 1 conformément à la décision de la Commission européenne (C(2010)593) du 5 février 2010 sur les Clauses contractuelles types pour le transfert de données à caractère personnel à des sous-traitants établis dans des pays tiers qui n'assurent pas un niveau adéquat de protection des données.

« Page des prestataires » : la page des prestataires de HubSpot, disponible à l'adresse https://legal.hubspot.com/fr/sub-processors-page.

2. Détails du traitement

a. Catégories de personnes concernées. Le Responsable du traitement peut envoyer au Service d'abonnement des Données personnelles dont l'étendue reste à sa seule discrétion, ces dernières pouvant inclure, mais sans s'y limiter, les Contacts du Responsable du traitement et autres utilisateurs finaux, y compris les employés du Responsable du traitement, ses sous-traitants, collaborateurs, clients, prospects, fournisseurs et sous-traitants. Les Personnes concernées comprennent également tout individu qui tente de communiquer des Données à caractère personnel aux utilisateurs finaux du Responsable du traitement, ou de leur transférer.

b. Types de Données à caractère personnel. Informations concernant le contact (telles que définies dans les Conditions générales d'utilisation de HubSpot), dont l'étendue est déterminée et contrôlée par le Client à sa seule discrétion, et d'autres Données à caractère personnel, telles que les données de navigation (y compris les informations d'utilisation du site web), les données de messagerie électronique, les données d'utilisation du système, les données d'intégration des applications et autres données électroniques soumises, stockées, envoyées ou reçues par le Responsable du traitement ou ses utilisateurs finaux via le Service d'abonnement.

c. Objet et nature du traitement. L'objet du traitement des Données à caractère personnel par le Sous-traitant est la fourniture de services au Responsable du traitement qui implique le traitement de Données à caractère personnel. Les Données à caractère personnel seront soumises aux activités de Traitement qui peuvent être spécifiées dans les Conditions ou dans une Commande.

d. But du Traitement. Les Données à caractère personnel seront traitées dans le but de fournir les services décrits, conformément aux instructions du Responsable du traitement quant à l'utilisation des Services, et autrement convenus dans l'Accord et toute Commande applicable.

e. Durée du traitement. Les Données à caractère personnel seront traitées pendant toute la durée des Conditions, conformément à l'article 4 du présent Accord sur le traitement des données.

3. Responsabilité du Responsable du traitement

Dans le cadre des Conditions et de l'utilisation des services, le Responsable du traitement est seul responsable du respect des exigences légales relatives à la protection des données et à la vie privée, en particulier en ce qui concerne la divulgation et le transfert des Données à caractère personnel au Sous-traitant, et leur traitement. Afin écarter tout doute, les instructions du Responsable du traitement pour le traitement des Données à caractère personnel doivent être conformes à la Loi sur la protection des données. Le présent Accord sur le traitement des données forme les instructions complètes et finales du Client à HubSpot en ce qui concerne les Données à caractère personnel. Toute instruction supplémentaire échappant au champ d'application dudit Accord devra faire l'objet d'un accord écrit préalable entre les parties. Les instructions doivent être initialement spécifiées dans les Conditions et peuvent, de temps à autre, être modifiées, complétées ou remplacées par le Responsable du traitement dans des instructions écrites séparées (en tant qu'instructions distinctes).

Le Responsable du traitement informera le Sous-traitant sans retard injustifié et de manière exhaustive de toute erreur ou irrégularité liée aux dispositions légales sur le Traitement des données à caractère personnel.

4. Obligations du Sous-traitant

a. Respect des consignes. Les parties reconnaissent et conviennent que le Client est le Responsable du traitement des Données à caractère personnel et que HubSpot est le Sous-traitant chargé du traitement de ces données. Le Sous-traitant recueille, traite et utilise les Données à caractère personnel uniquement dans le cadre des Instructions du Responsable du traitement. Si le Sous-traitant estime qu'une Instruction du Responsable du traitement viole la Loi sur la protection des données, il doit en informer immédiatement et sans délai le Responsable du traitement. Si le Sous-traitant ne peut pas traiter les Données à caractère personnel conformément aux Instructions en raison d'une exigence légale en vertu d'une loi de l'Union européenne ou d'un État membre, il devra (i) informer rapidement le Responsable du traitement de cette exigence légale avant le Traitement concerné dans la mesure permise par la Loi sur la protection des données ; et (ii) cesser tout Traitement (autre que le simple stockage et le maintien de la sécurité des Données à caractère personnel concernées) jusqu'à ce que le Responsable du traitement publie de nouvelles instructions auxquelles le Sous-traitant est en mesure de se conformer. Si cette disposition est invoquée, le Sous-traitant ne sera pas responsable envers le Responsable du traitement en vertu de la convention pour défaut d'exécution des services applicables jusqu'à ce que le Responsable du traitement donne de nouvelles instructions concernant le Traitement.

b. Sécurité. Le Sous-traitant s'engage à prendre les mesures techniques et organisationnelles appropriées pour protéger adéquatement les Données à caractère personnel contre la destruction accidentelle ou illégale, la perte, l'altération, la divulgation non autorisée des données à caractère personnel, ou leur consultation non autorisée, conformément à l'Annexe 2 des Clauses contractuelles types. Ces mesures sont notamment :

i. la prévention de l'accès des personnes non autorisées aux systèmes de traitement des données à caractère personnel,

ii. la prévention de l'utilisation des systèmes de traitement des données à caractère personnel sans autorisation,

iii. le fait de vérifier que les personnes autorisées à utiliser un système de traitement des Données à caractère personnel n'ont accès qu'aux données personnelles auxquelles elles sont autorisées à accéder conformément aux droits d'accès dont elles disposent, et que, au cours du traitement ou de l'utilisation et après le stockage, ces Données à caractère personnel ne peuvent pas être lues, copiées, modifiées ou supprimées sans autorisation,

iv. le fait de s'assurer que les données à caractère personnel ne peuvent pas être lues, copiées, modifiées ou effacées sans autorisation pendant la transmission, le transport ou le stockage électronique sur des supports de stockage, et que les entités cibles pour tout transfert de données personnelles au moyen de moyens de transmission de données peuvent être établies et vérifiées,

v. le fait de veiller à l'établissement d'une piste d'audit pour indiquer si et par qui les Données à caractère personnel ont été introduites, modifiées ou supprimées dans les systèmes de traitement de ces données,

vi. le fait de s'assurer que les Données à caractère personnel sont uniquement traitées conformément aux Instructions,

vii. le fait de s'assurer que les Données à caractère personnel sont protégées contre la destruction ou la perte accidentelle.

Le Sous-traitant s'engage à faciliter le respect par le Responsable du traitement de son obligation de mettre en œuvre des mesures de sécurité en ce qui concerne les Données à caractère personnel (y compris, le cas échéant, les obligations du Responsable du traitement en vertu des articles 32 à 34 (inclus) du RGPD), (i) en mettant en œuvre et en maintenant les mesures de sécurité décrites à l'Annexe 2, (ii) en se conformant aux termes de la section 4.d. (Violations des données à caractère personnel) ; et (iii) en fournissant au Responsable du traitement des informations relatives au Traitement conformément à la section 5 (Audits).

c. Confidentialité. Le Sous-traitant s'engage à veiller à ce que tous les membres du personnel qu'il autorise à traiter des Données à caractère personnel en son nom soient soumis à des obligations de confidentialité à l'égard de ces données personnelles. L'engagement de confidentialité est maintenu après la fin des activités susmentionnées.

d. Violations des données à caractère personnel. Le Sous-traitant se doit d'informer le Responsable du traitement sans délai indu dès lors qu'il a connaissance d'une Violation de données à caractère personnel. À la demande du Responsable du traitement, le Sous-traitant fournira rapidement à ce dernier toute l'assistance raisonnable nécessaire pour lui permettre de notifier les violations de Données à caractère personnel aux autorités compétentes et/ou aux Personnes concernées, si la Loi sur la protection des données l'y oblige.

e. Suppression ou récupération de Données à caractère personnel. Sauf dans la mesure nécessaire pour se conformer à la Loi sur la protection des données, après la résiliation ou l'expiration de l'Accord, le Sous-traitant s'engage à supprimer ou à communiquer toutes les Données à caractère personnel (y compris les copies de celles-ci) traitées conformément au présent Accord sur le traitement des données. Si le Sous-traitant n'est pas en mesure de supprimer des Données à caractère personnel pour des raisons techniques ou autres, il devra prendre des mesures pour s'assurer qu'elles ne pourront subir aucun autre traitement ultérieur.

Le Responsable du traitement doit, à la résiliation ou à l'expiration du contrat et par l'émission d'une instruction, stipuler, dans un délai fixé par le Sous-traitant, les mesures raisonnables pour retourner les données ou effacer les données stockées. Tous les coûts supplémentaires liés au retour ou à la suppression de Données à caractère personnel après la résiliation ou l'expiration de l'Accord seront à la charge du Responsable du traitement.

Le Sous-traitant permettra au Responsable du traitement de supprimer les Données personnelles des utilisateurs finaux via la fonctionnalité du Service d'abonnement.

f. Évaluations de l'impact de la protection des données et consultation avec les autorités de contrôle. Si le Sous-traitant dispose des informations requises et que le Responsable du traitement n'a pas autrement accès auxdites informations, le Sous-traitant lui offrira une assistance raisonnable pour effectuer des évaluations de l'impact de la protection des données, et effectuera des consultations préalables avec les autorités de contrôle ou d'autres autorités compétentes de protection des données, que le Responsable du traitement estime de manière raisonnable comme étant exigées conformément à l'article 35 ou 36 du RGPD ou aux provisions équivalentes d'une Loi sur la protection des données, et uniquement liées, dans chaque cas, au traitement des Données personnelles.

5. Demandes des personnes concernées

Le Sous-traitant permettra au Responsable du traitement de répondre aux demandes des Personnes concernées d'exercer leurs droits en vertu de la Loi sur la protection des données applicable d'une manière compatible avec le fonctionnement du Service d'abonnement. Si le Responsable du traitement n'est pas en mesure de gérer une Demande de données, le Sous-traitant devra lui fournir, à sa demande, une assistance raisonnable afin de pouvoir répondre à la Demande, dans la limite des termes prévus par la Loi sur la protection des données. Le Responsable du traitement s'engage à rembourser au Sous-traitant les coûts commerciaux raisonnables découlant de cette assistance.

Le Sous-traitant s'engage à fournir une assistance raisonnable, y compris par des mesures techniques et organisationnelles appropriées, et en tenant compte de la nature du Traitement, afin de permettre au Responsable du traitement de répondre à toute demande des Personnes concernées cherchant à exercer leurs droits en vertu de la Loi sur la protection des données à caractère personnel (y compris l'accès, la rectification, la restriction, la suppression ou la portabilité des données personnelles, selon le cas), dans la mesure permise par la loi.  Si une telle demande est faite directement au Sous-traitant, ce dernier s'engage à en informer rapidement le Responsable du traitement et conseillera aux Personnes concernées de soumettre leur demande audit Responsable du traitement. Le Responsable du traitement est seul tenu de répondre aux demandes des Personnes concernées.

6. Audits

Le Sous-traitant devra, conformément à la Loi sur la protection des données et pour répondre à une demande écrite raisonnable du Responsable du traitement, fournir au Responsable les informations étant en sa possession ou relevant de son contrôle, et liées aux obligations des sous-traitants de données dans le cadre de la Loi sur la protection des données et du traitement des Données personnelles.

Le Responsable du Traitement peut, sur demande écrite envoyée au Sous-traitant avec un préavis d'au moins 30 jours, pendant les heures normales d'ouverture et sans interrompre les activités commerciales du Sous-traitant, effectuer un examen sur site des activités commerciales dudit Sous-traitant ou faire effectuer cet examen par un tiers qualifié qui ne doit pas être un concurrent du Sous-traitant, sous réserve de l'autorisation du Sous-traitant, qui ne pourra être raisonnablement refusée.

Le Sous-traitant doit, sur demande écrite du Responsable du traitement envoyée avec un préavis d'au moins 30 jours, fournir à ce dernier toutes les informations nécessaires à un tel audit, dès lors que ces informations sont sous le contrôle du Sous-traitant et où ce dernier n'est pas empêché de les divulguer par la loi applicable, une obligation de confidentialité ou toute autre obligation envers un tiers.

7. Sous-traitants ultérieurs

a. Listes des prestataires. Le Responsable des données reconnaît et accepte que (a) les entreprises affilées et les tiers mentionnés sur la Page des prestataires pourront être engagés en tant que prestataires du Sous-traitant, et que (b) le Sous-traitant et ses entreprises affiliés pourront engager des sous-traitants ultérieurs tiers dans le cadre de la fourniture du Service d'abonnement. Afin d'éviter tout doute, l'autorisation ci-dessus constitue le consentement écrit préalable du Responsable du traitement donné au Prestataire par le Sous-traitant initial aux fins de la clause 11 des Clauses contractuelles types.

Lorsque le Sous-traitant engage des Prestataires, il s'engage à conclure un contrat avec lesdits Prestataires, qui impose à ces derniers les mêmes obligations que celles qui lui sont applicables en vertu du présent RGPD. Si l'un des Prestataires ne remplit pas ses obligations en matière de protection des données, le Sous-traitant restera redevable envers le Responsable du traitement de l'exécution des obligations dudit Prestataire.

Lorsqu'un Prestataire est engagé, le Responsable du traitement doit se voir accorder le droit de contrôler et d'inspecter les activités dudit Prestataire conformément au présent RGPD et à la Loi sur la protection des données, y compris pour obtenir du Sous-traitant, sur demande écrite, des informations sur la substance du contrat et la mise en œuvre des obligations en matière de protection des données au titre du contrat de sous-traitance, le cas échéant en inspectant les documents contractuels pertinents.

Les dispositions de la présente section 6 s'appliquent mutuellement si le Sous-traitant engage un Prestataire dans un pays situé en dehors de l'Espace économique européen (« EEE ») qui n'est pas reconnu par la Commission européenne comme assurant un niveau de protection adéquat des données à caractère personnel.  Si, dans le cadre de l'exécution du présent Accord sur le traitement des données, HubSpot transfère des Données à caractère personnel à un Prestataire situé en dehors de l'EEE, HubSpot doit, avant tout transfert, s'assurer qu'un mécanisme juridique permettant d'assurer l'adéquation de ce traitement est en place.

b. Liste actuelle des Sous-traitants ; notification de nouveaux prestataires et opposition à ceux-ci. Si le Sous-traitant a l'intention de faire appel à des Sous-traitants ultérieurs autres que les entreprises mentionnées sur la Page des Sous-traitants, il en avisera le Responsable du traitement par écrit en effectuant une mise à jour de ladite Page, et il lui donnera la possibilité, dans un délai de 30 jours à compter de l'avis, de s'opposer à l'engagement des nouveaux Sous-traitants ultérieurs. L'objection doit se fonder sur des bases raisonnables. Si le Responsable du traitement et le Sous-traitant sont incapables de résoudre une telle objection, l'une ou l'autre partie peut mettre fin à l'Accord par avis écrit à l'autre partie. Le Responsable du traitement recevra le remboursement de tous les frais prépayés mais non utilisés pour la période suivant la date d'entrée en vigueur de la résiliation. Si le Responsable du traitement souhaite recevoir un e-mail de notification lors de la mise à jour de la Page des Sous-traitants, il peut remplir le formulaire disponible sur la page ici.

8. Transferts de données

Le Responsable du traitement reconnaît et accepte que, dans le cadre de l'exécution des services prévus par les Conditions, les Données à caractère personnel seront transférées à HubSpot, Inc. aux États-Unis. Le Sous-traitant peut accéder aux Données personnelles et les traiter sur une base globale, le cas échéant, afin de les transmettre au Service d'abonnement, conformément aux Conditions générales d'utilisation de HubSpot.

HubSpot, Inc. a certifié les cadres du Bouclier de protection des données entre l'Union européenne ou la Suisse et les États-Unis, tels qu'administrés par le Département du Commerce des États-Unis, afin de mettre en œuvre les garanties appropriées pour de tels transferts conformément à l'article 46 du RGPD. Les Clauses contractuelles types figurant à l'Annexe 1 s'appliqueront aux Données à caractère personnel transférées en dehors de l'EEE, soit directement, soit par transfert ultérieur, vers tout pays non reconnu par la Commission européenne comme assurant un niveau de protection adéquat des Données à caractère personnel (tel que décrit dans la Loi sur la protection des données).

Dans la mesure où le Responsable du traitement ou le Sous-traitant s'appuie sur un mécanisme légal spécifique pour normaliser les transferts internationaux de données et que ce mécanisme est par la suite révoqué ou jugé invalide par un tribunal compétent, le Responsable du traitement et le Sous-traitant conviennent de coopérer de bonne foi pour rechercher un autre mécanisme approprié qui puisse légalement soutenir le transfert.

9. Dispositions générales

En ce qui concerne les mises à jour et les changements apportés au présent Accord sur le traitement des données, les termes de la sous-section « Modification et nulle renonciation » de la section « Divers » des Conditions s'appliquent.

En cas de conflit, le présent Accord sur le traitement des données prévaut sur les règlements des Conditions. Si certaines dispositions du présent Accord sur le traitement des données sont non valides ou inapplicables, la validité et l'applicabilité des autres dispositions dudit Accord ne sont pas remises en cause.

Au moment de l'incorporation du présent Accord sur le traitement des données, les parties indiquées à la section 7 ci-dessous (parties au présent Accord sur le traitement des données) conviennent des Clauses contractuelles types (le cas échéant et selon le cas) et de toutes les Annexes qui y sont jointes. En cas de conflit ou d'incompatibilité entre le présent Accord sur le traitement des données et les Clauses contractuelles types en Annexe 1, les Clauses contractuelles types l'emportent. Néanmoins, (a) le Responsable des données peut exercer son droit d'audit conformément aux termes de la clause 5.f. desdites Clauses, tels qu'énoncés dans la Section 5 du présent Accord et soumis à celle-ci ; et (b) le Sous-traitant peut désigner des Prestataires, conformément aux termes des Sections 4 et 6 du présent Accord.

10. Parties au présent Accord sur le traitement des données

Le présent Accord sur le traitement des données est une modification des Conditions et en fait partie intégrante.  Lors de l'incorporation du présent Accord sur le traitement des données dans les Conditions, (i) le Responsable du traitement et l'entité HubSpot qui sont chacun partie aux Conditions sont également parties au présent Accord, et (ii) dans la mesure où HubSpot Inc. n'est pas partie aux Conditions, HubSpot, Inc. est partie au présent Accord, mais uniquement en ce qui concerne l'accord sur les Clauses contractuelles types du présent Accord sur le traitement des données, la présente Section 7 dudit Accord et les Clauses contractuelles types elles-mêmes.

Si HubSpot, Inc. n'est pas partie aux Conditions, la section des Conditions intitulée « Limite de responsabilité » s'appliquera entre le Responsable du traitement et HubSpot, Inc. et, à cet égard, toute référence à « HubSpot » comprendra HubSpot, Inc. et l'entité HubSpot qui est partie aux Conditions.

L'entité juridique qui accepte le présent Accord sur le traitement des données en tant que Responsable du traitement déclare qu'elle est autorisée à accepter et à conclure ledit Accord pour le compte du Responsable du traitement et qu'elle l'accepte uniquement au nom de ce dernier.

ANNEXE 1 - CLAUSES CONTRACTUELLES TYPES

Aux fins de l'article 26, paragraphe 2 de la directive 95/46/CE pour le transfert des Données à caractère personnel vers des sous-traitants établis dans des pays tiers qui n'assurent pas un niveau adéquat de protection des données,

Le Client, tel que défini dans les Conditions générales d'utilisation du service HubSpot (l'« exportateur de données ») d'une part,

et

HubSpot Inc., 25 First Street, 2nd Floor, Cambridge, MA 02141 États-Unis (l'« importateur de données ») d'autre part,

ci-après dénommés individuellement une « partie » et collectivement les « parties »,

SONT CONVENUS des clauses contractuelles suivantes (ci-après dénommées « les clauses ») afin d'offrir des garanties adéquates concernant la protection de la vie privée et des libertés et droits fondamentaux des personnes lors du transfert, par l'exportateur de données vers l'importateur de données, des données à caractère personnel visées à l'Annexe 1.

Clause 1

Définitions

Au sens des clauses :

« données à caractère personnel », « catégories particulières de données », « traiter/traitement », « responsable du traitement », « sous-traitant », « personne concernée » et « autorité de contrôle » ont la même signification que dans la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

l'« exportateur de données » est le responsable du traitement qui transfère les données à caractère personnel ;

l'« importateur de données » est le sous-traitant qui accepte de recevoir de l'exportateur de données des données à caractère personnel destinées à être traitées pour le compte de ce dernier après le transfert conformément à ses instructions et aux termes des présentes clauses et qui n'est pas soumis au mécanisme d'un pays tiers assurant une protection adéquate au sens de l'article 25, paragraphe 1, de la directive 95/46/CE ;

le « Sous-traitant ultérieur » est le sous-traitant engagé par l'importateur de données ou par tout autre sous-traitant ultérieur de celui-ci, qui accepte de recevoir de l'importateur de données ou de tout autre sous-traitant ultérieur de celui-ci des données à caractère personnel exclusivement destinées à des activités de traitement à effectuer pour le compte de l'exportateur de données après le transfert conformément aux instructions de ce dernier, aux conditions énoncées dans les présentes clauses et selon les termes du contrat de sous-traitance écrit ;

le « droit applicable à la protection des données » est la législation protégeant les libertés et les droits fondamentaux des personnes, notamment le droit à la vie privée à l'égard du traitement des données à caractère personnel, et s'appliquant à un responsable du traitement dans l'État membre où l'exportateur de données est établi ;

les « mesures techniques et d'organisation liées à la sécurité » sont les mesures destinées à protéger les données à caractère personnel contre une destruction fortuite ou illicite, une perte fortuite, une altération, une divulgation ou un accès non autorisé, notamment lorsque le traitement suppose la transmission de données par réseau, et contre toute autre forme illicite de traitement.

Clause 2

Détails du transfert

Les détails du transfert et, notamment, le cas échéant, les catégories particulières de données à caractère personnel, sont spécifiés dans l'Annexe 1 qui fait partie intégrante des présentes clauses.

Clause 3

Clause du tiers bénéficiaire

1. La personne concernée peut faire appliquer contre l'exportateur de données la présente clause, ainsi que la clause 4, paragraphes b) à i), la clause 5, paragraphes a) à e) et paragraphes g) à j), la clause 6, paragraphes 1 et 2, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12 en tant que tiers bénéficiaire.
2. La personne concernée peut faire appliquer contre l'importateur de données la présente clause, ainsi que la clause 5, paragraphes a) à e) et g), la clause 6, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12 dans les cas où l'exportateur de données a matériellement disparu ou a cessé d'exister en droit, à moins que l'ensemble de ses obligations juridiques n'ait été transféré, par contrat ou par effet de la loi, à l'entité qui lui succède, à laquelle reviennent par conséquent les droits et les obligations de l'exportateur de données, et contre laquelle la personne concernée peut donc faire appliquer lesdites clauses.
3. La personne concernée peut faire appliquer contre le sous-traitant ultérieur la présente clause, ainsi que la clause 5, paragraphes a) à e) et g), la clause 6, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12, mais uniquement dans les cas où l'exportateur de données et l'importateur de données ont matériellement disparu, ont cessé d'exister en droit ou sont devenus insolvables, à moins que l'ensemble des obligations juridiques de l'exportateur de données n'ait été transféré, par contrat ou par effet de la loi, au successeur légal, auquel reviennent par conséquent les droits et les obligations de l'exportateur de données, et contre lequel la personne concernée peut donc faire appliquer lesdites clauses. Cette responsabilité civile du sous-traitant ultérieur doit être limitée à ses propres activités de traitement conformément aux présentes clauses.
4. Les parties ne s'opposent pas à ce que la personne concernée soit représentée par une association ou un autre organisme si elle en exprime le souhait et si le droit national l'autorise.

Clause 4

Obligations de l'exportateur de données

L'exportateur de données accepte et garantit ce qui suit :

(a) le traitement, y compris le transfert proprement dit des données à caractère personnel, a été et continuera d'être effectué conformément aux dispositions pertinentes du droit applicable à la protection des données (et, le cas échéant, a été notifié aux autorités compétentes de l'État membre dans lequel l'exportateur de données est établi) et n'enfreint pas les dispositions pertinentes dudit État ;

(b) il a chargé, et chargera pendant toute la durée des services de traitement de données à caractère personnel, l'importateur de données de traiter les données à caractère personnel transférées pour le compte exclusif de l'exportateur de données et conformément à la loi sur la protection des données applicable et aux présentes clauses ;

(c) l'importateur de données offrira suffisamment de garanties en ce qui concerne les mesures techniques et d'organisation liées à la sécurité spécifiées dans l'Annexe 2 du présent contrat ;

(d) après l'évaluation des exigences de la loi sur la protection des données applicable, les mesures de sécurité sont adéquates pour protéger les données à caractère personnel contre une destruction fortuite ou illicite, une perte fortuite, une altération, une divulgation ou un accès non autorisé, notamment lorsque le traitement suppose la transmission de données par réseau, et contre toute autre forme illicite de traitement et elles assurent un niveau de sécurité adapté aux risques liés au traitement et à la nature des données à protéger, eu égard au niveau technologique et au coût de mise en œuvre ;

(e) il veillera au respect des mesures de sécurité ;

(f) si le transfert porte sur des catégories particulières de données, la personne concernée a été informée ou sera informée avant le transfert ou dès que possible après le transfert que ses données pourraient être transmises à un pays tiers n'offrant pas un niveau de protection adéquat au sens de la directive 95/46/CE ;

(g) il transmettra toute notification reçue de l'importateur de données ou de tout sous-traitant ultérieur conformément à la clause 5, paragraphe b), et à la clause 8, paragraphe 3), à l'autorité de contrôle de la protection des données s'il décide de poursuivre le transfert ou de lever sa suspension ;

(h) il mettra à la disposition des personnes concernées, si elles le demandent, une copie des présentes clauses, à l'exception de l'Annexe 2, et une description sommaire des mesures de sécurité, ainsi qu'une copie de tout contrat de sous-traitance ultérieure ayant été conclu conformément aux présentes clauses, à moins que les clauses ou le contrat ne contiennent des informations commerciales, auquel cas il pourra retirer ces informations ;

(i) en cas de sous-traitance ultérieure, l'activité de traitement est effectuée conformément à la clause 11 par un sous-traitant ultérieur offrant au moins le même niveau de protection des données à caractère personnel et des droits de la personne concernée que l'importateur de données conformément aux présentes clauses ; et

(j) il veillera au respect de la clause 4, paragraphes a) à i).

Clause 5

Obligations de l'importateur de données

L'importateur de données accepte et garantit ce qui suit :

(a) il traitera les données à caractère personnel pour le compte exclusif de l'exportateur de données et conformément aux instructions de ce dernier et aux présentes clauses ; s'il est dans l'incapacité de s'y conformer pour quelque raison que ce soit, il accepte d'informer dans les meilleurs délais l'exportateur de données de son incapacité, auquel cas ce dernier a le droit de suspendre le transfert de données et/ou de résilier le contrat ;

(b) il n'a aucune raison de croire que la législation le concernant l'empêche de remplir les instructions données par l'exportateur de données et les obligations qui lui incombent conformément au contrat, et si ladite législation fait l'objet d'une modification susceptible d'avoir des conséquences négatives importantes pour les garanties et les obligations offertes par les clauses, il communiquera la modification à l'exportateur de données sans retard après en avoir eu connaissance, auquel cas ce dernier a le droit de suspendre le transfert de données et/ou de résilier le contrat ;

(c) il a mis en œuvre les mesures techniques et d'organisation liées à la sécurité spécifiées dans l'Annexe 2 avant de traiter les données à caractère personnel transférées ;

(d) il communiquera sans retard à l'exportateur de données :

(i) toute demande contraignante de divulgation des données à caractère personnel émanant d'une autorité de maintien de l'ordre, sauf disposition contraire, telle qu'une interdiction de caractère pénal visant à préserver le secret d'une enquête policière ;

(ii) tout accès fortuit ou non autorisé ; et

(iii) toute demande reçue directement des personnes concernées sans répondre à cette demande, à moins qu'il n'ait été autorisé à le faire ;

(e) il traitera rapidement et comme il se doit toutes les demandes de renseignements émanant de l'exportateur de données relatives à son traitement des données à caractère personnel qui font l'objet du transfert et se rangera à l'avis de l'autorité de contrôle en ce qui concerne le traitement des données transférées ;

(f) à la demande de l'exportateur de données, il soumettra ses moyens de traitement de données à une vérification des activités de traitement couvertes par les présentes clauses qui sera effectuée par l'exportateur de données ou un organe de contrôle composé de membres indépendants possédant les qualifications professionnelles requises, soumis à une obligation de secret et choisis par l'exportateur de données, le cas échéant, avec l'accord de l'autorité de contrôle ;

(g) il mettra à la disposition de la personne concernée, si elle le demande, une copie des présentes clauses, ou tout contrat de sous-traitance ultérieure existant, à moins que les clauses ou le contrat ne contiennent des informations commerciales, auquel cas il pourra retirer ces informations, à l'exception de l'appendice 2, qui sera remplacé par une description sommaire des mesures de sécurité, lorsque la personne concernée n'est pas en mesure d'obtenir une copie de l'exportateur de données ;

(h) en cas de sous-traitance ultérieure, il veillera au préalable à informer l'exportateur de données et à obtenir l'accord écrit de ce dernier ;

(i) les services de traitement fournis par le sous-traitant ultérieur seront conformes à la clause 11 ;

(j) il enverra dans les meilleurs délais une copie de tout accord de sous-traitance ultérieure conclu par lui en vertu des présentes clauses à l'exportateur de données.

Clause 6

Responsabilité

1. Les parties conviennent que toute personne concernée ayant subi un dommage du fait d'un manquement aux obligations visées à la clause 3 ou à la clause 11 par une des parties ou par un sous-traitant ultérieur a le droit d'obtenir de l'exportateur de données réparation du préjudice subi.
2. Si une personne concernée est empêchée d'intenter l'action en réparation visée au paragraphe 1 contre l'exportateur de données pour manquement par l'importateur de données ou par son sous-traitant ultérieur à l'une ou l'autre de ses obligations visées à la clause 3 ou à la clause 11, parce que l'exportateur de données a matériellement disparu, a cessé d'exister en droit ou est devenu insolvable, l'importateur de données accepte que la personne concernée puisse déposer une plainte à son encontre comme s'il était l'exportateur de données, à moins que l'ensemble des obligations juridiques de l'exportateur de données n'ait été transféré, par contrat ou par effet de la loi, à l'entité qui lui succède, contre laquelle la personne concernée peut alors faire valoir ses droits. L'importateur de données ne peut invoquer un manquement par un sous-traitant ultérieur à ses obligations pour échapper à ses propres responsabilités.
3. Si une personne concernée est empêchée d'intenter l'action visée aux paragraphes 1 et 2 contre l'exportateur de données ou l'importateur de données pour manquement par le sous-traitant ultérieur à l'une ou l'autre de ses obligations visées à la clause 3 ou à la clause 11, parce que l'exportateur de données et l'importateur de données ont matériellement disparu, ont cessé d'exister en droit ou sont devenus insolvables, le sous-traitant ultérieur accepte que la personne concernée puisse déposer une plainte à son encontre en ce qui concerne ses propres activités de traitement conformément aux présentes clauses comme s'il était l'exportateur de données ou l'importateur de données, à moins que l'ensemble des obligations juridiques de l'exportateur de données ou de l'importateur de données n'ait été transféré, par contrat ou par effet de la loi, au successeur légal, contre lequel la personne concernée peut alors faire valoir ses droits. La responsabilité du sous-traitant ultérieur doit être limitée à ses propres activités de traitement conformément aux présentes clauses.

Clause 7

Médiation et juridiction

1. L'importateur de données convient que si, en vertu des clauses, la personne concernée invoque à son encontre le droit du tiers bénéficiaire et/ou demande réparation du préjudice subi, il acceptera la décision de la personne concernée :
   (a) de soumettre le litige à la médiation d'une personne indépendante ou, le cas échéant, de l'autorité de contrôle ;
   (b) de porter le litige devant les tribunaux de l'État membre où l'exportateur de données est établi.
2. Les parties conviennent que le choix effectué par la personne concernée ne remettra pas en cause le droit procédural ou matériel de cette dernière d'obtenir réparation conformément à d'autres dispositions du droit national ou international.

Clause 8

Coopération avec les autorités de contrôle

1. L'exportateur de données convient de déposer une copie du présent contrat auprès de l'autorité de contrôle si celle-ci l'exige ou si ce dépôt est prévu par le droit applicable à la protection des données.
2. Les parties conviennent que l'autorité de contrôle a le droit d'effectuer des vérifications chez l'importateur de données et chez tout prestataire ultérieur dans la même mesure et dans les mêmes conditions qu'en cas de vérifications opérées chez l'exportateur de données conformément au droit applicable à la protection des données.
3. L'importateur de données informe l'exportateur de données, dans les meilleurs délais, de l'existence d'une législation le concernant ou concernant tout sous-traitant ultérieur faisant obstacle à ce que des vérifications soient effectuées chez lui ou chez tout sous-traitant ultérieur conformément au paragraphe 2. Dans ce cas, l'exportateur de données a le droit de prendre les mesures prévues par la clause 5, paragraphe b).

Clause 9

Lois applicables

Les clauses sont régies par le droit de l'État membre où l'exportateur de données est établi.

Clause 10

Modification du contrat

Les parties s'engagent à ne pas modifier les présentes clauses. Les parties restent libres d'inclure d'autres clauses à caractère commercial qu'elles jugent nécessaires, à condition qu'elles ne contredisent pas les présentes clauses.

Clause 11

Sous-traitance

1. L'importateur de données ne sous-traite aucune de ses activités de traitement effectuées pour le compte de l'exportateur de données conformément aux présentes clauses sans l'accord écrit préalable de l'exportateur de données. L'importateur de données ne sous-traite les obligations qui lui incombent conformément aux présentes clauses, avec l'accord de l'exportateur de données, qu'au moyen d'un accord écrit conclu avec le sous-traitant ultérieur, imposant à ce dernier les mêmes obligations que celles qui incombent à l'importateur de données conformément aux présentes clauses. En cas de manquement, par le sous-traitant ultérieur, aux obligations en matière de protection des données qui lui incombent conformément audit accord écrit, l'importateur de données reste pleinement responsable du respect de ces obligations envers l'exportateur de données.
2. Le contrat écrit préalable entre l'importateur de données et le sous-traitant ultérieur prévoit également une clause du tiers bénéficiaire telle qu'énoncée à la clause 3 pour les cas où la personne concernée est empêchée d'intenter l'action en réparation visée à la clause 6, paragraphe 1, contre l'exportateur de données ou l'importateur de données parce que ceux-ci ont matériellement disparu, ont cessé d'exister en droit ou sont devenus insolvables, et que l'ensemble des obligations juridiques de l'exportateur de données ou de l'importateur de données n'a pas été transféré, par contrat ou par effet de la loi, à une autre entité leur ayant succédé. Cette responsabilité civile du sous-traitant ultérieur doit être limitée à ses propres activités de traitement conformément aux présentes clauses.
3. Les dispositions relatives aux aspects de la sous-traitance ultérieure liés à la protection des données du contrat visé au paragraphe 1 sont régies par le droit de l'État membre où l'exportateur de données est établi.
4. L'exportateur de données tient une liste des accords de sous-traitance ultérieure conclus en vertu des présentes clauses et notifiés par l'importateur de données conformément à la clause 5, paragraphe j), qui sera mise à jour au moins une fois par an. Cette liste est mise à la disposition de l'autorité de contrôle de la protection des données de l'exportateur de données.

Clause 12

Obligation après la résiliation des services de traitement des données à caractère personnel

1. Les parties conviennent qu'au terme des services de traitement des données, l'importateur de données et le sous-traitant ultérieur restitueront à l'exportateur de données, et à la convenance de celui-ci, l'ensemble des données à caractère personnel transférées ainsi que les copies, ou détruiront l'ensemble de ces données et en apporteront la preuve à l'exportateur de données, à moins que la législation imposée à l'importateur de données ne l'empêche de restituer ou de détruire la totalité ou une partie des données à caractère personnel transférées. Dans ce cas, l'importateur de données garantit qu'il assurera la confidentialité des données à caractère personnel transférées et qu'il ne traitera plus activement ces données.
2. L'importateur de données et le sous-traitant ultérieur garantissent que si l'exportateur de données et/ou l'autorité de contrôle le demandent, ils soumettront leurs moyens de traitement de données à une vérification des mesures visées au paragraphe

Cette Annexe fait partie intégrante des clauses. Les États membres peuvent compléter ou préciser, conformément à leurs procédures nationales, toute information supplémentaire nécessaire devant figurer dans la présente Annexe.

A. Exportateur de données

L'exportateur de données est le Client, tel que défini dans les Conditions générales d'utilisation du service HubSpot (les « Conditions »).

L'importateur de données est HubSpot, Inc, un fournisseur mondial de plateformes logicielles de vente et d'inbound marketing.

C. Personnes concernées

Catégories de personnes concernées visées à la section 2 de l'Accord sur le traitement des données auquel les clauses sont annexées.

D. Catégories de données

Catégories de personnes concernées visées à la section 2 de l'Accord sur le traitement des données auquel les clauses sont annexées.

Les parties ne prévoient pas le transfert de catégories particulières de données.

Activités de traitement visées à la section 2 de l'Accord sur le traitement des données auquel les clauses sont annexées :

Annexe 2 - Mesures de sécurité techniques et organisationnelles

Cette Annexe fait partie intégrante des clauses.

Description des mesures de sécurité techniques et organisationnelles mises en œuvre par l'importateur de données conformément à la clause 4, paragraphe d et à la clause 5, paragraphe c (ou au document ou à la législation ici référencés) :

HubSpot observe actuellement les pratiques de sécurité décrites dans la présente Annexe 2. Nonobstant toute disposition contraire convenue par l'exportateur de données, HubSpot peut modifier ou mettre à jour ces pratiques à sa discrétion, à condition que ces modifications et mises à jour n'entraînent pas une dégradation importante de la protection offerte par ces pratiques. Les termes qui ne sont pas autrement définis aux présentes ont le sens qui leur est donné dans les Conditions.

a) Contrôle d'accès

i)  Prévenir l'accès non autorisé au produit

Traitement externalisé : HubSpot héberge son service avec des fournisseurs d'infrastructure cloud externalisés. En outre, HubSpot entretient des relations contractuelles avec les fournisseurs afin de fournir le service conformément à l'Accord sur le traitement des données. HubSpot s'appuie sur des accords contractuels, des politiques de confidentialité et des programmes de conformité des fournisseurs afin de protéger les données traitées ou stockées par ces fournisseurs.

Sécurité physique et environnementale : HubSpot héberge son infrastructure de produits avec des fournisseurs d'infrastructure mutualisés et externalisés. Les contrôles de sécurité physique et environnementale sont soumis à des contrôles de conformité ISO 27001 et SOC 2 Type II, entre autres certifications.

Authentification : HubSpot a mis en place une politique de mots de passe uniforme pour ses produits clients. Les clients qui interagissent avec les produits via l'interface utilisateur doivent s'authentifier avant d'accéder aux données clients non publiques.

Autorisation : les données clients sont stockées dans des espaces de stockage mutualisés qui sont accessibles aux Clients uniquement via les interfaces des applications ou les API. Aucun client n'a directement accès à l'infrastructure sous-jacente des applications. Le modèle d'autorisation de chacun des produits HubSpot est conçu pour s'assurer que seules les personnes dûment assignées peuvent accéder aux fonctions, vues et options de personnalisation pertinentes. L'accès aux ensembles de données est octroyé après validation des autorisations de l'utilisateur sur la base des attributs associés à chaque ensemble de données.

Accès à l'interface de programmation d'applications (API) : Les API de produits publics sont accessibles à l'aide d'une clé d'API ou par le biais d'une autorisation Oauth.

HubSpot met en œuvre des contrôles d'accès et des fonctionnalités de détection standard pour les réseaux internes qui prennent en charge ses produits.

Contrôle des accès : les mécanismes de contrôle d'accès au réseau sont conçus pour empêcher le trafic réseau utilisant des protocoles non autorisés d'atteindre l'infrastructure du produit. Les mesures techniques mises en œuvre diffèrent selon les fournisseurs d'infrastructure et comprennent les mises en œuvre du cloud privé virtuel (VPC), l'affectation des groupes de sécurité et les règles traditionnelles de pare-feu.

Détection et prévention des intrusions : HubSpot a mis en œuvre une solution Web Application Firewall (WAF) pour protéger les sites Web hébergés des clients et d'autres applications accessibles sur Internet. La solution WAF est conçue pour identifier et prévenir les attaques contre les services réseau accessibles au public.

Analyse du code statique : Des analyses de sécurité du code stocké dans les référentiels de code source de HubSpot sont effectuées en vérifiant les meilleures pratiques de codage et les failles logicielles identifiables.

Essais de pénétration : HubSpot entretient des relations avec des fournisseurs de services de tests de pénétration reconnus dans l'industrie pour quatre tests de pénétration annuels. Le but des tests d'intrusion est d'identifier et de résoudre les vecteurs d'attaque prévisibles et les scénarios d'abus potentiels.

Bug Bounty : Un programme Bug Bounty invite et incite les chercheurs indépendants en sécurité à découvrir et à divulguer les failles de sécurité de manière éthique. HubSpot a mis en place un programme Bug Bounty dans le but d'élargir les possibilités d'engagement avec la communauté dédiée à la sécurité et d'améliorer les défenses du produit contre les attaques sophistiquées.

iii)    Limites des exigences en matière de privilège et d'autorisation

Accès au produit : une partie des employés de HubSpot a accès aux produits et aux données clients via des interfaces contrôlées. En restreignant cet accès à une partie seulement des employés, HubSpot souhaite fournir un soutien efficace à la clientèle, dépanner les problèmes potentiels, détecter les incidents de sécurité et y répondre, et mettre en œuvre la sécurité des données. L'accès est activé par le biais de demandes d'accès « juste à temps », qui sont toutes enregistrées. L'accès est accordé aux employés par rôle, et des examens des octrois de privilèges à haut risque sont effectués quotidiennement. Les rôles des employés sont réexaminés au moins une fois tous les six mois.

Vérification des antécédents : Tous les employés de HubSpot sont soumis à une vérification des antécédents, effectuée par un tiers, avant de recevoir une offre d'emploi, conformément aux lois applicables. Tous les employés sont tenus de se conduire d'une manière conforme aux directives de l'entreprise, aux exigences de non-divulgation et aux normes d'éthique.

En transit : HubSpot rend le chiffrement HTTPS (également appelé SSL ou TLS) disponible sur chacune de ses interfaces de connexion et gratuitement sur chaque site client hébergé sur les produits HubSpot. L'implémentation HTTPS de HubSpot utilise des algorithmes et des certificats standard de l'industrie.

Au repos : HubSpot stocke les mots de passe des utilisateurs selon des politiques qui suivent les pratiques standard de l'industrie en matière de sécurité.  HubSpot a mis en place des technologies pour s'assurer que les données stockées sont chiffrées au repos. 

Détection : HubSpot a conçu son infrastructure pour enregistrer des informations détaillées sur le comportement du système, le trafic reçu, l'authentification du système et d'autres demandes d'applications. Les systèmes internes agrègent les données des journaux et alertent les employés appropriés en cas d'activités malveillantes, non intentionnelles ou anormales. Le personnel de HubSpot, y compris le personnel de sécurité, d'exploitation et de support, répond aux incidents connus.

Réponse et suivi : HubSpot tient un registre des incidents de sécurité connus qui comprend la description, les dates et heures des activités pertinentes, et la procédure de résolution des incidents. Les incidents de sécurité soupçonnés et confirmés font l'objet d'une enquête par le personnel de sécurité, d'exploitation ou de support, et les mesures de résolution appropriées sont identifiées et documentées. Pour tout incident confirmé, HubSpot prendra les mesures appropriées pour minimiser les dommages au produit et le Client, ou la divulgation non autorisée.

Communication : Si HubSpot a connaissance d'un accès illégal aux données du Client stockées dans ses produits, HubSpot : 1) en informera les clients concernés par l'incident ; 2) décrira les mesures prises par HubSpot pour résoudre l'incident ; et 3) fournira des mises à jour de l'état au contact du client, si HubSpot le juge nécessaire. Les notifications d'incidents, le cas échéant, seront transmises à un ou plusieurs contacts du Client sous la forme choisie par HubSpot, notamment par e-mail ou téléphone.

Disponibilité de l'infrastructure : Les fournisseurs d'infrastructure déploient des efforts commercialement raisonnables pour assurer un temps de disponibilité minimum de 99,95 %. Les fournisseurs maintiennent un minimum de redondance N+1 pour les services d'alimentation électrique, de réseau et de ventilation.

Tolérance aux pannes : les stratégies de sauvegarde et de réplication sont conçues pour assurer la redondance et les protections de basculement lors d'une panne de traitement importante. Les données des clients sont sauvegardées dans plusieurs banques de données durables et répliquées dans plusieurs zones de disponibilité.

Répliques et sauvegardes en ligne : Dans la mesure du possible, les bases de données de production sont conçues pour reproduire les données entre au moins une base de données primaire et une base de données secondaire. Toutes les bases de données sont sauvegardées et gérées en utilisant au minimum les méthodes standard de l'industrie.

Les produits de HubSpot sont conçus pour assurer une redondance et un basculement sans faille. Les instances de serveur qui prennent en charge les produits sont également architecturées dans le but d'éviter les points de défaillance uniques. Cette conception aide les opérations de HubSpot à maintenir et à mettre à jour les applications du produit et le back-end tout en limitant les temps d'arrêt.