Accord sur le traitement des données

IMPORTANT NOTE: The English version of this document will govern our relationship - this translated version is provided for convenience only and will not be interpreted to modify the English version. For the English version, please see the HubSpot Legal Stuff page.

Dernière mise à jour : 27 septembre 2021

La version anglaise de chacun de ces documents régit la relation avec HubSpot. Ces traductions sont fournies à titre indicatif et n’ont aucune valeur juridique. Les versions anglaises de ces documents prévalent et les versions françaises ne sauraient en aucun cas les modifier. Les versions anglaises sont disponibles depuis la page Mentions légales.

[Si vous souhaitez recevoir un exemplaire daté et signé de ce texte, veuillez cliquer ici.]

Le présent Accord sur le traitement des données de HubSpot et ses Annexes (l'« Accord sur le traitement des données ») reflètent l'accord des parties en ce qui concerne le traitement des Données personnelles qui est effectué par HubSpot pour le compte du Client en lien avec les Services d'abonnement de HubSpot conformément aux Conditions générales d'utilisation du service HubSpot établies entre HubSpot et le Client (les « Conditions »).

Le présent Accord sur le traitement des données complète les Conditions, dont il fait partie intégrante, et prend effet à compter de son incorporation dans lesdites Conditions, qui peut être précisée dans les Conditions, un Bon de commande ou une modification signée des Conditions. En cas de conflit ou de différence, le présent Accord prévaudra sur les termes des Conditions uniquement pour les points concernés.

Les présentes Conditions sont mises à jour régulièrement. Si le Client dispose d'un abonnement actif à HubSpot, HubSpot l'informera de ces mises à jour en lui envoyant une notification par e-mail (s'il s'est abonné aux notifications par e-mail via le lien inclus dans les Conditions principales) ou dans l'application. Le Client trouvera des versions archivées de l'Accord ici.

La durée du présent Accord sur le traitement des données sera identique à celle des Conditions. Les termes qui ne sont pas autrement définis dans cette section le sont dans les Conditions.

Définitions
Responsabilités du Client
Obligations de HubSpot
Demandes des Personnes concernées
Sous-traitants ultérieurs
Transferts de données
Autres dispositions applicables aux Données européennes
Autres dispositions applicables aux Données personnelles de l'État de Californie
Dispositions générales
Parties au présent Accord sur le traitement des données

Annexe 1 - Informations détaillées relatives au Traitement

Annexe 2 - Mesures de sécurité

Annexe 3 - Liste des Sous-traitants ultérieurs

Annexe 4 - Clauses contractuelles types

1. Définitions

L'expression « Données personnelles de l'État de Californie » désigne les Données personnelles régies par la loi américaine CCPA.

L'acronyme « CCPA » (California Consumer Privacy Act) fait référence au Code civil de Californie, section 1798.100 et sections suivantes (loi sur la protection du consommateur de Californie votée en 2018).

« Consommateur », « Entreprise », « Vente » et « Prestataire de services » revêtent ici le sens qui leur est donné dans la loi CCPA.

Le « Responsable du traitement » est une personne physique ou morale, une autorité publique, un service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du Traitement de Données personnelles.

Les « Lois sur la protection des données » désignent l'ensemble de la législation mondiale applicable en matière de protection des données et de la vie privée qui s'impose à la partie gérant le traitement des Données personnelles en question dans le cadre du présent Accord, y compris, mais sans s'y limiter, les lois européennes sur la protection des données, la CCPA et les lois sur la protection des données et de la vie privée en vigueur en Australie et à Singapour ; dans chaque cas, telles que modifiées, abrogées, consolidées ou remplacées de temps à autre.

Une « Personne concernée » est une personne à laquelle se rapportent les Données personnelles.

Le terme « Europe » désigne l'Union européenne, l'Espace économique européen et/ou leurs États membres, la Suisse et le Royaume-Uni.

L'expression « Données européennes » désigne les Données personnelles régies par les Lois européennes sur la protection des données.

Les « Lois européennes sur la protection des données » renvoient aux lois de protection des données applicables en Europe, notamment : (i) le règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement général sur la protection des données) (« RGPD ») ; (ii) la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ; et (iii) les mises en œuvre nationales applicables des points (i) et (ii) ; ou (iii) le RGPD intégré à la législation nationale du Royaume-Uni en vertu de la Section 3 de l'European Union (Withdrawal) Act 2018 (« RGPD du Royaume-Uni ») ; et (iv) la loi fédérale suisse sur la protection des données du 19 juin 1992 et son ordonnance (« Loi fédérale suisse sur la protection des données ») ; dans chaque cas, tels que modifiés ou remplacés.

Le terme « Instructions » désigne toute instruction écrite et documentée, émise par un Responsable du traitement à l'intention d'un Sous-traitant, lui demandant d'effectuer une action spécifique ou générale en ce qui concerne les Données personnelles (y compris, mais sans s'y limiter, la dépersonnalisation, le blocage, la suppression et la mise à disposition).

L'expression « Filiales autorisées » désigne toute Filiale du Client (i) qui est autorisée à utiliser les Services d'abonnement conformément aux Conditions, mais qui n'a signé aucun accord propre avec HubSpot et ne constitue pas un « Client » tel que défini dans les Conditions, (ii) qui est considérée comme un Responsable du traitement des Données personnelles traitées par HubSpot, et (iii) qui est régie par les Lois européennes sur la protection des données.

Les « Données personnelles » incluent toutes les informations relatives à un individu identifié ou identifiable lorsque ces informations sont contenues dans les Données des clients et sont protégées de la même manière que les données et informations à caractère personnel, ou les informations personnellement identifiables en vertu des Lois sur la protection des données applicables.

« Violation de Données personnelles » signifie une violation de la sécurité conduisant à la destruction accidentelle ou illicite, à la perte, à l'altération, ou à la divulgation non autorisée ou à l'accès aux Données personnelles transmises, stockées, ou autrement traitées par HubSpot et/ou ses Sous-traitants ultérieurs dans le cadre de la fourniture des Services d'abonnement. Ce type de violation exclut les tentatives ou activités infructueuses qui n'ont pas pour conséquence d'altérer la sécurité des Données personnelles, y compris les tentatives infructueuses de connexion, d'envoi de commandes ping, d'analyse de port, d'attaques par déni de service ou d'autres attaques réseau sur des pare-feu ou des systèmes réseau.

Le « Bouclier de protection des données » désigne le programme d'auto-certification du Bouclier de protection des données entre l'UE et les États-Unis et entre la Suisse et les États-Unis géré par le Département du Commerce américain et approuvé par la Commission européenne conformément à sa décision du 12 juillet 2016 et par le Conseil fédéral suisse le 11 janvier 2017, respectivement ; tel que modifié ou remplacé.

Les « Principes du bouclier de protection des données » renvoient aux Principes du Bouclier de protection des données (tels que complétés par les Principes complémentaires) contenus à l'Annexe II de la décision de la Commission européenne du 12 juillet 2016 ; tels que modifiés ou remplacés.

Le terme « Traitement » désigne toute opération ou tout ensemble d'opérations effectuées sur des Données personnelles, par exemple la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou l'altération, la récupération, la consultation, l'utilisation, la divulgation par transmission, diffusion ou autre moyen de mise à disposition, l'alignement ou la combinaison, la restriction, l'effacement ou la destruction de données. Les termes « Traitement(s) » et « traité(e)(s) » seront interprétés en conséquence.

Le terme « Sous-traitant » désigne une personne physique ou morale, une autorité publique, un service ou un autre organisme qui traite des Données personnelles pour le compte du Responsable du traitement.

Les « Clauses contractuelles types » désignent les clauses contractuelles types applicables aux Sous-traitants et annexées à la Décision de la Commission européenne (2021/914) du 4 juin 2021 sous la forme définie à l'Annexe 4 ; telles que modifiées ou remplacées.

Un « Sous-traitant ultérieur » désigne un Sous-traitant engagé par HubSpot ou ses Filiales pour aider à remplir les obligations de HubSpot en ce qui concerne la fourniture des Services d'abonnement en vertu des Conditions. Les Sous-traitants ultérieurs peuvent comprendre des tiers ou des Filiales de HubSpot ; ils excluent les salariés ou consultants de HubSpot.

2. Responsabilités du Client

a. Conformité avec la loi. Dans le cadre des Conditions et lors de son utilisation des services, le Client est responsable du respect de toutes les exigences qui lui sont applicables en vertu des Lois sur la protection des données en ce qui concerne le Traitement des Données personnelles qu'il assure et des Instructions qu'il donne à HubSpot.

En particulier, mais sans préjudice du caractère général de ce qui précède, le Client reconnaît et accepte qu'il est seul responsable : (i) de l'exactitude, de la qualité et de la légalité des Données des clients et des moyens par lesquels il a acquis les Données personnelles ; (ii) du respect de toutes les exigences de transparence et de légalité nécessaires en vertu des Lois sur la protection des données applicables pour la collecte et l'utilisation des Données personnelles, y compris l'obtention de tous les consentements et autorisations nécessaires (en particulier pour leur utilisation par le Client à des fins marketing) ; (iii) de vérifier qu'il est habilité à transférer les Données personnelles à HubSpot, ou de les mettre à sa disposition, à des fins de Traitement conformément aux termes des Conditions (y compris du présent Accord sur le traitement des données) ; (iv) de s'assurer que les Instructions qu'il transmet à HubSpot concernant le Traitement des Données personnelles sont conformes aux lois applicables, y compris aux Lois sur la protection des données ; et (v) de se conformer à l'ensemble des lois (y compris aux Lois sur la protection des données) applicables aux e-mails ou autres contenus créés, envoyés ou gérés par le biais des Services d'abonnement, y compris celles relatives à l'obtention de consentements (le cas échéant) pour envoyer des e-mails, au contenu des e-mails et à ses pratiques de déploiement des e-mails. Le Client s'engage à informer HubSpot sans retard indu s'il n'est pas en mesure de respecter ses responsabilités en vertu de la présente section « Conformité avec la loi » ou des Lois sur la protection des données applicables.

b. Instructions applicables au Responsable du traitement. Les parties conviennent que les Conditions (y compris le présent Accord sur le traitement des données), ainsi que l'utilisation par le Client du Service d'abonnement conformément auxdites Conditions, forment les Instructions complètes que le Client donne à HubSpot en ce qui concerne le Traitement des Données personnelles, dans la mesure où le Client peut donner, durant la durée de l'abonnement, des instructions supplémentaires cohérentes avec les Conditions ainsi que la nature et l'utilisation légitime du Service d'abonnement.

c. Sécurité. Le Client doit déterminer de manière indépendante si les mesures de sécurité des données fournies dans le cadre du Service d'abonnement remplissent correctement ses obligations découlant des Lois sur la protection des données applicables. Il est également responsable de son utilisation sécurisée du Service d'abonnement, et notamment de la protection de la sécurité des Données personnelles en transit depuis et vers le Service d'abonnement (y compris pour sauvegarder ou chiffrer de manière sécurisée de telles Données personnelles).

3. Obligations de HubSpot

a. Respect des Instructions. HubSpot s'engage à traiter les Données personnelles uniquement aux fins décrites dans le présent Accord sur le traitement des données ou comme convenu autrement dans le cadre des Instructions légales du Client, sauf si et dans la mesure où le droit applicable l'exige. HubSpot n'est pas responsable du respect des Lois sur la protection des données applicables au Client ou à son secteur d'activité qui ne sont pas généralement applicables à HubSpot.

b. Conflit de lois. Si la société HubSpot se rend compte qu'elle ne peut pas traiter les Données personnelles conformément aux Instructions du Client en raison d'une exigence légale applicable, elle (i) en informera rapidement le Client dans la mesure permise par la loi en vigueur, et (ii) le cas échéant, cessera tout Traitement (autre que le simple stockage et la protection des Données personnelles concernées) jusqu'à ce que le Client lui transmette de nouvelles Instructions que HubSpot pourra appliquer. Si cette disposition est invoquée, HubSpot ne sera pas responsable envers le Client en vertu des Conditions de tout défaut d'exécution des Services d'abonnement applicables jusqu'à ce que le Client donne de nouvelles Instructions légales concernant le Traitement.

c. Sécurité. HubSpot met en œuvre et maintient des mesures techniques et organisationnelles appropriées pour protéger les Données personnelles contre toute violation, comme décrit à l'Annexe 2 du présent Accord sur le traitement des données (« Mesures de sécurité »). Nonobstant toute disposition contraire, HubSpot peut modifier ou mettre à jour les Mesures de sécurité à sa seule discrétion, à condition que cette modification ou mise à jour n'entraîne pas une dégradation importante de la protection offerte par les Mesures de sécurité.

d. Confidentialité. HubSpot s'engage à veiller à ce que tous les membres du personnel que la société autorise à traiter des Données personnelles en son nom soient soumis aux obligations de confidentialité appropriées (qu'il s'agisse d'obligations contractuelles ou légales) à l'égard de ces Données.

e. Violations des Données personnelles. HubSpot informera le Client sans retard indu de toute Violation des Données personnelles portée à sa connaissance et fournira en temps opportun les informations relatives à ladite Violation dès qu'elles seront connues ou raisonnablement demandées par le Client. À la demande du Client, HubSpot fournira rapidement à ce dernier toute l'assistance raisonnable nécessaire pour lui permettre de signaler les Violations de Données personnelles aux autorités compétentes et/ou aux Personnes concernées, si les Lois sur la protection des données l'y obligent.

f. Suppression ou restitution des Données personnelles. Après la résiliation ou l'expiration du Service d'abonnement, HubSpot supprimera ou restituera toutes les Données des clients, y compris les Données personnelles et les copies de celles-ci, traitées en vertu du présent Accord sur le traitement des données conformément aux procédures détaillées dans les Conditions spécifiques liées aux produits HubSpot. Ces conditions s'appliqueront, sauf dans la mesure où HubSpot est tenu, en vertu du droit applicable, de conserver tout ou partie des Données des clients, ou a archivé des données sur des systèmes de sauvegarde, que HubSpot isolera et protégera de manière sûre de tout Traitement et suppression ultérieurs conformément à ses pratiques en matière de suppression. Après l'expiration ou la résiliation de son abonnement, le Client peut demander à ce que son compte HubSpot soit supprimé en envoyant une requête ici. Le Client peut également résilier son compte conformément à la section « Résiliation anticipée » des Conditions générales d'utilisation du service HubSpot et en demander la suppression définitive en suivant les instructions disponibles ici. Le Client peut récupérer les Données des clients enregistrées dans son compte, conformément aux termes de la section « Récupération des Données des clients » des Conditions spécifiques liées aux produits HubSpot.

4. Demandes des Personnes concernées

Dans le cadre du Service d'abonnement, le Client dispose d'un certain nombre de moyens pour récupérer, corriger, supprimer ou restreindre les Données personnelles, qu'il peut utiliser pour respecter les obligations qui lui incombent en vertu des Lois sur la protection des données, notamment pour répondre aux demandes des Personnes concernées d'exercer leurs droits en vertu des Lois sur la protection des données applicables (« Demandes des personnes concernées »).

Si le Client n'est pas en mesure de répondre de manière indépendante à une demande d'une Personne concernée par le biais du Service d'abonnement, alors HubSpot fournira, sur demande écrite du Client, une assistance raisonnable au Client pour répondre aux demandes de la Personne concernée ou à toute demande des autorités de protection des données relatives au Traitement des Données personnelles dans le cadre de l'Accord. Le Client s'engage à rembourser à HubSpot les coûts commerciaux raisonnables découlant de cette assistance.

Si une demande d'une Personne concernée ou une autre communication concernant le Traitement des Données personnelles dans le cadre des Conditions est transmise directement à HubSpot, HubSpot en informera rapidement le Client et conseillera à la Personne concernée de soumettre sa demande à ce dernier. Le Client est seul tenu de répondre de manière substantielle aux demandes des Personnes concernées ou à toute communication impliquant des Données personnelles.

5. Sous-traitants ultérieurs

Le Client accepte que HubSpot puisse engager des Sous-traitants ultérieurs pour traiter les Données personnelles en son nom. Les Sous-traitants ultérieurs actuels désignés par HubSpot sont les Filiales de HubSpot et les tiers énumérés dans l'Annexe 3 du présent Accord sur le traitement des données. HubSpot informera le Client de tout ajout ou de tout remplacement de Sous-traitants ultérieurs à la liste formant l'Annexe 3 au moins 30 jours avant de procéder à ces changements, si le Client choisit de recevoir ces notifications de tels changements par e-mail en remplissant le formulaire disponible ici.

Lorsque HubSpot fait appel à des Sous-traitants ultérieurs, HubSpot impose à ces derniers des conditions de protection des données qui assurent au moins le même niveau de protection des Données personnelles que celles prévues dans le présent Accord sur le traitement des données (y compris, là où cela est approprié, les clauses contractuelles types), dans la mesure applicable à la nature des services fournis par ces Sous-traitants ultérieurs. HubSpot demeure responsable du respect par chaque Sous-traitant ultérieur des obligations du présent Accord sur le traitement des données, et de tous les actes ou omissions des Sous-traitants ultérieurs qui font que HubSpot manque à l'une de ses obligations au titre dudit Accord.

6. Transferts de données

Le Client reconnaît et accepte que HubSpot puisse accéder aux Données personnelles et les traiter de façon globale selon les besoins afin de fournir le Service d'abonnement conformément à l'Accord, et plus particulièrement que lesdites données puissent être transférées à et traitées par HubSpot, Inc. aux États-Unis et dans les autres sites où les Filiales de HubSpot et ses Sous-traitants ultérieurs opèrent. Si des Données personnelles sont transférées en dehors de leur pays d'origine, chaque partie veillera à ce que ces transferts répondent aux exigences des Lois sur la protection des données.

7. Autres dispositions applicables aux Données européennes

a. Portée. La présente section « Autres dispositions applicables aux Données européennes » concerne uniquement les Données européennes.

b. Rôles des parties. Lors du Traitement des Données européennes conformément aux Instructions du Client, les parties reconnaissent et conviennent que le Client est le Responsable du traitement des Données européennes et que HubSpot est le Sous-traitant.

c. Instructions. Si HubSpot considère qu'une Instruction du Client enfreint les Lois européennes sur la protection des données (si applicables), HubSpot en informera sans délai le Client.

d. Opposition à la nomination de nouveaux Sous-traitants ultérieurs. HubSpot donnera au Client la possibilité de s'opposer à l'engagement de nouveaux Sous-traitants ultérieurs pour des motifs raisonnables liés à la protection des Données personnelles dans les 30 jours suivant la notification d'un tel engagement, conformément à la section Sous-traitants ultérieurs. Si le Client ne communique aucune objection à HubSpot, les parties discuteront de bonne foi des préoccupations du Client en vue de parvenir à une solution commercialement raisonnable. Si aucune solution ne peut être trouvée, HubSpot, à sa seule discrétion, ne désignera pas le nouveau Sous-traitant ultérieur ou permettra au Client de suspendre ou de résilier le Service d'abonnement concerné conformément aux dispositions de résiliation des Conditions sans responsabilité envers l'une ou l'autre des parties (mais sans préjudice des frais encourus par le Client avant la suspension ou la résiliation). Les parties acceptent qu'en respectant la présente sous-section (d), HubSpot remplit ses obligations découlant de la Section 9 des Clauses contractuelles types.

e. Accords passés avec les Sous-traitants ultérieurs. Aux fins de la Clause 9(c) des Clauses contractuelles types, le Client convient que HubSpot pourrait être empêché de divulguer les accords passés avec les Sous-traitants ultérieurs, mais que la société mettra en œuvre tous les efforts nécessaires afin d'exiger de tout Sous-traitant ultérieur engagé qu'il autorise la divulgation de l'Accord le concernant au Client, et qu'elle fournira, à titre confidentiel, toutes les informations qu'elle pourra raisonnablement divulguer.

f. Évaluations de l'impact de la protection des données et consultation avec les Autorités de contrôle. Si HubSpot dispose raisonnablement des informations requises et que le Client n'a pas autrement accès auxdites informations, HubSpot lui offrira une assistance raisonnable pour effectuer des évaluations de l'impact de la protection des données, et effectuera des consultations préalables avec les Autorités de contrôle ou d'autres autorités compétentes de protection des données dans la mesure requise par les Lois européennes sur la protection des données.

g. Mécanismes de transfert des données.

(A) HubSpot s'engage à ne transférer aucune Donnée européenne vers un pays ou un destinataire qui n'est pas reconnu comme assurant un niveau de protection adéquat des Données personnelles (au sens des Lois européennes sur la protection des données applicables), sauf s'il prend au préalable toutes les mesures nécessaires pour garantir que le transfert est conforme auxdites Lois. Ces mesures peuvent inclure (sans limitation) le transfert des données à un destinataire couvert par un cadre adapté ou un autre mécanisme de transfert juridiquement adéquat reconnu par les autorités ou les cours compétentes comme offrant un niveau de protection approprié pour les Données personnelles, à un destinataire qui a obtenu l'autorisation de règles d'entreprise contraignantes conformément aux Lois européennes sur la protection des données, ou à un destinataire qui a exécuté des clauses contractuelles types appropriées dans chaque cas adoptées ou approuvées conformément aux Lois européennes sur la protection des données applicables.

(B) Le Client reconnaît que, dans le cadre de l'exécution des Services d'abonnement, HubSpot, Inc. est un destinataire de Données européennes aux États-Unis. Les parties reconnaissent et acceptent ce qui suit :

(a) Clauses contractuelles types : les parties acceptent de respecter les clauses contractuelles types et de traiter les Données européennes conformément auxdites clauses.

(b) Bouclier de protection des données : même si HubSpot Inc. n'utilise pas le Bouclier de protection des données entre l'Union européenne et les États-Unis comme base juridique pour le transfert de Données personnelles, conformément au jugement de la Cour de justice de l'Union européenne dans l'Affaire C-311/18, HubSpot Inc. traitera les Données européennes conformément aux principes du Bouclier de protection des données tant que la société disposera de l'auto-certification requise, et informera le Client si elle devient incapable de respecter ces exigences.
(C) Les parties acceptent que (i) aux seules fins des Clauses contractuelles types, HubSpot Inc. sera « l'Importateur de données » et que le Client sera « l'Exportateur de données » (en son propre nom et au nom des Filiales autorisées), (ii) les Annexes aux clauses contractuelles types seront remplies avec les informations pertinentes désignées dans les Annexes 1 et 2 au présent Accord sur le traitement des données, (iii) si l'entité contractante de HubSpot prévue par l'Accord n'est pas HubSpot, Inc., ladite entité (pas HubSpot Inc.) demeurera entièrement et seule responsable et redevable envers le Client de l'exécution des Clauses contractuelles types par HubSpot, Inc., et le Client adressera toute instruction, réclamation ou requête liée aux Clauses contractuelles types à ladite entité contractante, et (iv) si, et dans la mesure où, les Clauses contractuelles types sont en conflit avec une disposition du présent Accord sur le traitement des données, les Clauses contractuelles types prévaudront dans la mesure de ce conflit.
(D) Dans la mesure où et tant que les Clauses contractuelles types, telles qu'elles sont mises en œuvre conformément au présent Accord sur le traitement des données, ne permettent pas aux parties de transférer légalement des Données personnelles conformément au RGPD du Royaume-Uni, les clauses contractuelles de protection des données standards établies, adoptées ou autorisées au nom du RGPD du Royaume-Uni seront incorporées à titre de référence, et les annexes ou tableaux auxdites clauses seront considérés comme étant remplis avec les informations pertinentes définies dans les Annexes 1 et 2 du présent Accord sur le traitement des données.
(E) Si, pour quelque raison que ce soit, HubSpot ne peut remplir ses obligations découlant des Clauses contractuelles types ou enfreint toute garantie découlant de ces dernières, et que le Client prévoit de suspendre le transfert de Données européennes à HubSpot ou de résilier les Clauses contractuelles types, le Client accepte d'en informer HubSpot avec un préavis raisonnable, afin que HubSpot puisse remédier à sa non-conformité, et de coopérer de manière raisonnable avec HubSpot afin de déterminer quelles protections, le cas échéant, pourraient être mises en œuvre afin de remédier à sa non-conformité. Si HubSpot n'a pas remédié, ou ne peut remédier, à sa non-conformité, le Client pourra alors suspendre ou résilier la partie affectée du Service d'abonnement, conformément aux Conditions, sans responsabilité envers l'une ou l'autre des parties (mais sans préjudice des frais encourus par le Client avant la suspension ou la résiliation).

h. Preuve de conformité. HubSpot mettra à la disposition du Client toutes les informations raisonnablement nécessaires pour démontrer sa conformité avec le présent Accord sur le traitement des données, et autorisera les audits et y contribuera, y compris les inspections par le Client ou son auditeur afin d'évaluer la conformité avec ledit Accord. Le Client reconnaît et accepte qu'il doit exercer ses droits de vérification en vertu du présent Accord sur le traitement des données et de la Clause 8.9 des Clauses contractuelles types en donnant instruction à HubSpot de se conformer aux mesures de vérification décrites dans la présente section « Preuve de conformité ». Le Client reconnaît que le Service d'abonnement est hébergé par des partenaires de centre de données de HubSpot qui maintiennent des programmes de sécurité validés de manière indépendante (y compris SOC 2 et ISO 27001) et que les systèmes de HubSpot sont régulièrement testés par des sociétés indépendantes de tests d'intrusion. Sur demande, HubSpot fournira (à titre confidentiel) une copie synthétique de son ou de ses rapports de test d'intrusion au Client afin que celui-ci puisse vérifier la conformité de HubSpot avec le présent Accord sur le traitement des données. En outre, à la demande écrite du Client, HubSpot fournira des réponses écrites (à titre confidentiel) à toutes les demandes d'information raisonnables faites par le Client et nécessaires pour confirmer la conformité de HubSpot avec le présent Accord sur le traitement des données, à condition que le Client n'exerce pas ce droit plus d'une fois par année civile , sauf s'il suppose, pour des motifs raisonnables, que la conformité de HubSpot avec le présent Accord n'est pas respectée.

8. Autres dispositions applicables aux Données personnelles de l'État de Californie

a. Portée. La section « Autres dispositions applicables aux Données personnelles de l'État de Californie » du présent Accord concerne uniquement les Données personnelles de l'État de Californie.

b. Rôles des parties. Lors du Traitement de Données personnelles de l'État de Californie conformément aux Instructions du Client, les parties reconnaissent et conviennent que le Client est une Entreprise, et que HubSpot est un Prestataire de services aux fins de la CCPA.

c. Responsabilités. Les parties conviennent que HubSpot traitera les Données personnelles de l'État de Californie en qualité de Prestataire de services aux seules fins des Services d'abonnement et des Services de consulting conformément aux Conditions (« Finalité commerciale ») ou à celles autorisées par la CCPA, y compris telles que décrites dans la section « Pratiques en matière de données et de données de service » de la Politique de confidentialité relative à l'utilisation du produit HubSpot.

9. Dispositions générales

a. Modifications. Nonobstant toute autre disposition contraire des Conditions et sans préjudice des sections « Respect des Instructions » ou « Sécurité » du présent Accord, HubSpot se réserve le droit d'apporter des mises à jour et des modifications au présent Accord sur le traitement des données et les termes applicables de la section « Modification et nulle renonciation » des Conditions principales devront s'appliquer.

b. Séparabilité. Si certaines dispositions du présent Accord sur le traitement des données sont jugées non valides ou inapplicables, la validité et l'applicabilité des autres dispositions dudit Accord ne sont pas remises en cause.

c. Limitation de responsabilité. La responsabilité de chaque partie et de chacune de ses Filiales, prise dans son ensemble, découlant du présent Accord sur le traitement des données (et de tout autre accord de ce type conclu entre les parties) et des Clauses contractuelles types (le cas échéant) ou s'y rapportant, qu'elle soit contractuelle, délictuelle ou fondée sur toute autre théorie de responsabilité, est soumise aux limitations et exclusions de responsabilité énoncées dans la section « Limitation de responsabilité » des Conditions principales. Par ailleurs, toute référence dans cette section à la responsabilité d'une partie désigne la responsabilité globale de ladite partie et de toutes ses Filiales en vertu des Conditions (y compris le présent Accord sur le traitement des données). Pour éviter toute ambiguïté, si HubSpot, Inc. n'est pas partie à l'Accord, la section « Limitation de responsabilité » des Conditions principales s'applique entre le Client et HubSpot, Inc. et, à cet égard, toute référence à « HubSpot » comprendra HubSpot, Inc. et l'entité HubSpot qui est partie à l'Accord. En aucun cas la responsabilité de l'une ou l'autre des parties ne sera limitée en ce qui concerne les droits de protection des données de tout individu en vertu du présent Accord sur le traitement des données (y compris les clauses contractuelles types) ou autrement.

d. Lois applicables. Le présent Accord sur le traitement des données est régi et interprété conformément à la section « Entité contractante et Loi applicable » des Conditions spécifiques aux différentes juridictions, sauf disposition contraire des Lois sur la protection des données.

10. Parties au présent Accord sur le traitement des données

a. Filiales autorisées. En signant les Conditions, le Client conclut le présent Accord sur le traitement des données (y compris, le cas échéant, les Clauses contractuelles types) en son nom et au nom et pour le compte de ses Filiales autorisées. Aux seules fins du présent Accord sur le traitement des données, et sauf indication contraire, le terme « Client » désigne le Client et ses Filiales autorisées.

b. Autorisation. L'entité juridique qui accepte le présent Accord sur le traitement des données en tant que Client déclare qu'elle est autorisée à accepter et à conclure ledit Accord pour son propre compte et, si applicable, pour le compte de chacune de ses Filiales autorisées.

c. Recours. Les parties conviennent que (i) seule l'entité Cliente qui est la partie contractante à l'Accord peut exercer un droit ou chercher à obtenir réparation pour le compte de ses Filiales autorisées, et que (ii) l'entité Cliente qui est la partie contractante aux Conditions peut exercer ces droits en vertu du présent Accord sur le traitement des données non pas séparément pour chaque Filiale autorisée, mais de manière combinée pour elle-même et toutes ses Filiales autorisées. L'entité Cliente qui est l'entité contractante est responsable de la coordination de toutes les instructions, autorisations et communications avec HubSpot dans le cadre de l'Accord sur le traitement des données et est habilitée à effectuer et à recevoir toutes les communications relatives audit Accord au nom de ses Filiales autorisées.

d. Divers autres droits. Les parties conviennent que le Client doit, lors de l'examen de la conformité de HubSpot avec le présent Accord sur le traitement des données en vertu de la section « Preuve de conformité », prendre toutes les mesures raisonnables pour limiter tout impact sur HubSpot et ses Filiales en combinant plusieurs demandes d'audit effectuées au nom de l'entité Cliente qui est la partie contractante à l'Accord et de toutes ses Filiales autorisées en un seul audit.

Annexe 1 - Informations détaillées relatives au Traitement

A. Liste des parties

Exportateur de données :

Nom : le Client, tel que défini dans les Conditions générales d'utilisation du service HubSpot (en son nom et au nom des Filiales autorisées)

Adresse : l'adresse du Client, telle qu'indiquée sur le Bon de commande

Nom, rôle et coordonnées de la personne à contacter : les coordonnées du Client, telles qu'indiquées sur le Bon de commande et/ou dans le Compte HubSpot du Client

Activités pertinentes au regard des données transférées en vertu des présentes Clauses : traitement des Données personnelles en lien avec l'utilisation des Services d'abonnement de HubSpot par le Client, conformément aux Conditions générales d'utilisation du service HubSpot

Rôle (responsable du traitement/sous-traitant) : Responsable du traitement

Importateur de données :

Nom : HubSpot, Inc.

Adresse : 25 First Street, 2nd Floor, Cambridge, MA 02141, États-Unis

Nom, rôle et coordonnées de la personne à contacter : Nicholas Knoop, Data Protection Officer, HubSpot, Inc., 25 First Street, 2nd Floor, Cambridge, MA 02141, États-Unis

Rôle (responsable du traitement/sous-traitant) : Sous-traitant

B. Description du transfert

Catégories de Personnes concernées par le transfert de Données personnelles

Dans le cadre de son Service d'abonnement, le Client peut envoyer des Données personnelles dont l'étendue reste à sa seule discrétion, ces dernières pouvant inclure, sans s'y limiter, les Données personnelles en rapport avec les catégories de Personnes concernées suivantes :

Contacts du Client et autres utilisateurs finaux, y compris les salariés du Client, ses sous-traitants, collaborateurs, clients, prospects, fournisseurs et sous-traitants ultérieurs. Les Personnes concernées peuvent également comprendre tout individu qui tente de communiquer des Données personnelles aux utilisateurs finaux du Client, ou de leur transférer.

D. Catégories de Données personnelles transférées

Le Client peut envoyer aux Services d'abonnement des Données personnelles dont l'étendue reste à sa seule discrétion, ces dernières pouvant inclure, mais sans s'y limiter, les Données personnelles suivantes :

a. Coordonnées (telles que définies dans les Conditions principales).
b. Toute autre Donnée personnelle soumise, envoyée ou reçue par le Client, ou ses utilisateurs finaux, via le Service d'abonnement.

Données sensibles transférées et restrictions ou protections appliquées

Les parties ne prévoient pas le transfert de Données sensibles.

Fréquence du transfert

Continue

Nature du traitement

Les Données personnelles seront traitées conformément aux termes des Conditions (y compris aux termes du présent Accord sur le traitement des données) et peuvent faire l'objet des activités de Traitement suivantes :

a. Stockage et autres Traitements nécessaires pour fournir, maintenir en conditions opérationnelles et améliorer les Services d'abonnement fournis au Client ; et/ou

b. Divulgation conformément aux Conditions (y compris au présent Accord sur le traitement des données) et/ou comme l'exigent les lois applicables.

Objectif du transfert et traitement supplémentaire

HubSpot traitera les Données personnelles dans la mesure nécessaire pour fournir les Services d'abonnement conformément aux Conditions, comme spécifié dans le Bon de commande, et comme indiqué par le Client dans son utilisation des Services d'abonnement.

Durée de rétention des Données personnelles

Sous réserve des dispositions de la section « Suppression ou restitution des Données personnelles » du présent Accord sur le traitement des données, HubSpot traitera les Données personnelles pendant la durée de l'Accord, sauf accord contraire écrit.

Autorité de contrôle compétente

Aux fins des Clauses contractuelles types, l'autorité de contrôle qui agira en tant qu'autorité de contrôle compétente est (i) si le Client est établi dans un État membre de l'UE, l'autorité de contrôle responsable de la conformité du Client avec le RGPD ; (ii) si le Client n'est pas établi dans un État membre de l'UE, mais qu'il est soumis à la portée extraterritoriale du RGPD et qu'il a désigné un représentant, l'autorité de contrôle de l'État membre de l'UE dans lequel le représentant du Client est établi ; ou (iii) si le Client n'est pas établi dans un État membre de l'UE, mais qu'il est soumis à la portée extraterritoriale du RGPD sans avoir désigné de représentant, l'autorité de contrôle de l'État membre de l'UE dans lequel la majorité des personnes concernées sont situées. En ce qui concerne les Données personnelles concernées par le RGPD du Royaume-Uni ou la Loi fédérale suisse sur la protection des données, l'autorité de contrôle compétente est le Commissaire à l'information du Royaume-Uni ou le Commissaire à l'information et à la protection des données de la Suisse (le cas échéant).

Annexe 2 - Mesures de sécurité

La présente Annexe fait partie intégrante de l'Accord sur le traitement des données.

HubSpot observe actuellement les mesures de sécurité décrites dans la présente Annexe 2. Les termes capitalisés qui ne sont pas autrement définis aux présentes ont le sens qui leur est donné dans les Conditions principales.

a) Contrôle d'accès

i) Prévenir l'accès non autorisé au produit

Traitement externalisé : HubSpot héberge son Service avec des fournisseurs d'infrastructure cloud externalisés. La société entretient également des relations contractuelles avec des fournisseurs afin de fournir le Service conformément à l'Accord sur le traitement des données. Elle s'appuie sur des accords contractuels, des politiques de confidentialité et des programmes de conformité des fournisseurs pour protéger les données traitées ou stockées par ces fournisseurs.

Sécurité physique et environnementale : HubSpot héberge l'infrastructure de ses produits avec des fournisseurs d'infrastructure mutualisés et externalisés. Les contrôles de sécurité physique et environnementale sont soumis à des contrôles de conformité ISO 27001 et SOC 2 Type II, entre autres certifications.

Authentification : HubSpot a mis en place une politique de mots de passe uniforme pour ses produits clients. Les Clients qui interagissent avec les produits via l'interface utilisateur doivent s'authentifier avant d'accéder aux Données des clients non publiques.

Autorisations : les Données des clients sont stockées dans des espaces de stockage mutualisés qui sont accessibles aux Clients uniquement via les interfaces des applications ou les API. Aucun Client n'a directement accès à l'infrastructure sous-jacente des applications. Le modèle d'autorisation de chacun des produits HubSpot est conçu pour s'assurer que seules les personnes dûment assignées peuvent accéder aux fonctions, vues et options de personnalisation pertinentes. L'accès aux ensembles de données est octroyé après validation des autorisations de l'utilisateur sur la base des attributs associés à chaque ensemble de données.

Accès aux interfaces de programmation d'application (API) : les API de produits publics sont accessibles à l'aide d'une clé d'API ou par le biais d'une autorisation OAuth.

ii) Prévenir l'accès non autorisé au produit

HubSpot met en œuvre des contrôles d'accès et des fonctionnalités de détection standards pour les réseaux internes qui prennent en charge ses produits.

Contrôles d'accès : les mécanismes de contrôle d'accès au réseau sont conçus pour empêcher le trafic réseau utilisant des protocoles non autorisés d'atteindre l'infrastructure du produit. Les mesures techniques mises en œuvre diffèrent selon les fournisseurs d'infrastructure et comprennent les mises en œuvre du cloud privé virtuel (VPC), l'affectation des groupes de sécurité et les règles traditionnelles de pare-feu.

Détection et prévention des intrusions : HubSpot a mis en œuvre une solution Web Application Firewall (WAF) pour protéger les sites web hébergés des clients et d'autres applications accessibles sur internet. La solution WAF est conçue pour identifier et prévenir les attaques contre les services réseau accessibles au public.

Analyses du code statique : des analyses de sécurité du code stocké dans les référentiels de code source de HubSpot sont effectuées en vérifiant les meilleures pratiques de codage et les failles logicielles identifiables.

Tests d'intrusion : HubSpot entretient des relations avec des fournisseurs de services de tests d'intrusion reconnus dans l'industrie pour quatre tests d'intrusion annuels. Le but des tests d'intrusion est d'identifier et de résoudre les vecteurs d'attaque prévisibles et les scénarios d'abus potentiels.

Bug Bounty : un programme Bug Bounty invite et incite les chercheurs indépendants dans le domaine de la sécurité à découvrir et à divulguer les failles de sécurité de manière éthique. HubSpot met en place un programme Bug Bounty dans le but d'élargir les possibilités d'engagement avec la communauté dédiée à la sécurité et d'améliorer les défenses du produit contre les attaques sophistiquées.

iii) Limites des exigences en matière de privilège et d'autorisation

Accès aux produits : une partie des employés de HubSpot a accès aux produits et aux données des clients via des interfaces contrôlées. En restreignant cet accès à une partie seulement des salariés, HubSpot souhaite fournir un soutien efficace à la clientèle, dépanner les problèmes potentiels, détecter les incidents de sécurité et y répondre, et mettre en œuvre la sécurité des données. L'accès est activé par le biais de demandes d'accès « juste à temps », qui sont toutes enregistrées. L'accès est accordé aux salariés par rôle, et des examens des octrois de privilèges à haut risque sont effectués quotidiennement. Les rôles des salariés sont réexaminés au moins une fois tous les six mois.

Vérification des antécédents : tous les salariés de HubSpot sont soumis à une vérification des antécédents, effectuée par un tiers, avant de recevoir une offre d'emploi, conformément aux lois applicables. Tous les salariés de HubSpot sont tenus de se conduire d'une manière conforme aux directives de l'entreprise, aux exigences de non-divulgation et aux normes d'éthique.

b) Contrôle de transmission

En transit : HubSpot rend le chiffrement HTTPS (également appelé SSL ou TLS) disponible sur chacune de ses interfaces de connexion et gratuitement sur chaque site client hébergé sur les produits HubSpot. L'implémentation HTTPS de HubSpot utilise des algorithmes et des certificats standards du secteur.

Au repos : HubSpot stocke les mots de passe des utilisateurs selon des politiques qui suivent les pratiques standards du secteur en matière de sécurité. HubSpot a mis en place des technologies pour s'assurer que les données stockées sont chiffrées au repos.

c) Contrôle des enregistrements de données

Détection : HubSpot a conçu son infrastructure pour enregistrer des informations détaillées sur le comportement du système, le trafic reçu, l'authentification du système et d'autres demandes d'applications. Les systèmes internes agrègent les données des journaux et alertent les salariés appropriés en cas d'activités malveillantes, non intentionnelles ou anormales. Les salariés de HubSpot, y compris les équipes de sécurité, d'exploitation et de support, répondent aux incidents connus.

Réponse et suivi : HubSpot tient un registre des incidents de sécurité connus qui comprend la description, les dates et heures des activités concernées, et la procédure de résolution des incidents. Les incidents de sécurité soupçonnés et confirmés font l'objet d'une enquête par le personnel de sécurité, d'exploitation ou de support, et les mesures de résolution appropriées sont identifiées et documentées. Pour tout incident confirmé, HubSpot prend les mesures appropriées pour minimiser les dommages subis par le produit et le Client, ou la divulgation non autorisée. La notification adressée au Client sera conforme aux termes des Conditions.

d) Contrôle de disponibilité

Disponibilité des infrastructures : les fournisseurs d'infrastructure déploient des efforts commercialement raisonnables pour assurer un temps de disponibilité minimum de 99,95 %. Les fournisseurs maintiennent un minimum de redondance N+1 pour les services d'alimentation électrique, de réseau et de ventilation.

Tolérance aux pannes : les stratégies de sauvegarde et de réplication sont conçues pour assurer la redondance et les protections de basculement lors d'une panne de traitement importante. Les Données des clients sont sauvegardées dans plusieurs banques de données durables et répliquées dans plusieurs zones de disponibilité.

Répliques et sauvegardes en ligne : dans la mesure du possible, les bases de données de production sont conçues pour reproduire les données entre au moins une base de données primaire et une base de données secondaire. Toutes les bases de données sont sauvegardées et gérées en utilisant au minimum les méthodes standards de l'industrie.

Les produits HubSpot sont conçus pour assurer une redondance et un basculement sans faille. Les instances de serveur qui prennent en charge les produits sont également architecturées dans le but d'éviter les points de défaillance uniques. Cette conception aide les opérations de HubSpot à maintenir et à mettre à jour les applications du produit et le back-end tout en limitant les temps d'arrêt.

Annexe 3 - Liste des Sous-traitants ultérieurs

Sous-traitant ultérieur tiers	Utilisation	Service applicable	Emplacement géographique du sous-traitant ultérieur de centre de données aux USA : États-Unis	Emplacement géographique du sous-traitant ultérieur de centre de données dans l'Union européenne : Union européenne ou ailleurs
Ably.io	Fonctionnalité de conversation et de chat	Utilisé pour soutenir les fonctionnalités de conversation et de chat des Produits HubSpot	États-Unis	Irlande et Allemagne
Amazon Web Services, Inc.	Hébergement et infrastructure	Utilisé comme plateformes et API d'informatique sur le cloud à la demande	États-Unis	Allemagne
Google, Inc.	Traitement régional des données	Fournisseur d'hébergement de données	États-Unis	Allemagne
Google reCAPTCHA	Prévention des spams dans la soumission de formulaires	Utilisé pour la prévention des spams dans la soumission de formulaires HubSpot	États-Unis	*États-Unis
Cloudflare	Réseau de diffusion de contenu	Utilisé pour la sécurité des infrastructures web et des sites web, la fourniture de services de réseau de diffusion de contenu, la mitigation des attaques par déni de service, la sécurité sur internet et les services de serveurs de noms de domaine distribués	États-Unis	Local **Centres de données situés dans le monde entier. Le trafic est dirigé automatiquement vers le centre de données le plus proche.
ConvertAPI	Fonctionnalités de fichier dans les produits	Utilisé pour la conversion de fichiers et de documents pour les sites web et les applications web/bureau	États-Unis	Allemagne
HelloSign	Fonctionnalité de signature électronique dans les produits	Utilisé pour la solution de signature électronique des transactions dans les produits HubSpot	États-Unis	Allemagne
Litmus	Fonctionnalité d'e-mail	Utilisé pour les aperçus des e-mails	États-Unis	Non applicable dans le centre des données situé dans l'Union européenne
Mux	Fonctionnalité vidéo	Utilisé pour le fournisseur de service vidéo de HubSpot	États-Unis	*États-Unis
Snowflake, Inc.	Fonctionnalité de reporting	Solution d'entrepôt de données servant de répertoire de données.	États-Unis	Allemagne
Twilio, Inc.	Fonctionnalité d'appel	Utilisé comme service pour permettre la fonctionnalité d'appel de HubSpot	États-Unis	*États-Unis

*Le Client peut choisir de ne pas utiliser les fonctionnalités fournies par les sous-traitants ultérieurs indiqués ci-dessus par un astérisque. Pour en savoir plus, il peut se référer à la Politique d'hébergement régional des données de HubSpot.

**Davantage d'informations sur Cloudflare sont disponibles ici.

Sous-traitant ultérieur de HubSpot	Utilisation	Lieu
HubSpot, Inc.	Services et support	États-Unis
HubSpot Ireland, Ltd.	Services et support	Irlande
HubSpot Germany GmbH	Services et support	HubSpot Germany GmbH
HubSpot Australia Pty. Ltd.	Services et support	HubSpot Australia Pty. Ltd.
HubSpot Asia Pte. Ltd.	Services et support	HubSpot Asia Pte. Ltd.
HubSpot Japan KK	Services et support	HubSpot Japan KK
HubSpot Latin America, S.A.S.	Services et support	Colombie
HubSpot Sweden	Services et support	Suède
HubSpot France S.A.S.	Services et support	France
HubSpot UK Holdings Ltd.	Services et support	Royaume-Uni
HubSpot Canada Inc.	HubSpot Canada Inc.	Canada

Pour recevoir un e-mail en cas de modification et mise à jour de l'Annexe 3, le Client peut cliquer ici.

Annexe 4 - Clauses contractuelles types

Module deux : Transfert de données entre le Responsable du traitement et le Sous-traitant (C2P)

SECTION I

Clause 1

Objet et champ d'application

(a) Les présentes Clauses contractuelles types ont pour objet de garantir la conformité avec les exigences du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des Données personnelles et à la libre circulation de ces données (Règlement général sur la protection des données) pour le transfert de Données personnelles vers un pays tiers.

(b) Les Parties :

(i) Les personnes physiques ou morales, les autorités publiques, les agences et toute autre organisation (ci-après, les « entités ») transférant des Données personnelles, comme indiquées à l'Annexe I.A. (ci-après, l'« Exportateur de données »), et

(ii) Les entités situées dans un pays tiers qui reçoivent les Données personnelles de la part de l'Exportateur de données, directement ou indirectement via une autre entité également partie aux présentes Clauses, comme indiquées à l'Annexe I.A. (ci-après, l'« Importateur de données »)

ont accepté les présentes Clauses contractuelles types (ci-après, les « Clauses »).

(d) L'Annexe aux présentes Clauses contenant les Annexes mentionnées ici fait partie intégrante des Clauses.

Clause 2

Effet et invariabilité des Clauses

(a) Les présentes Clauses définissent les protections adéquates, y compris les droits des Personnes concernées pouvant être exercés et les recours juridiques effectifs, conformément aux Articles 46(1) et 46 (2)(c) du Règlement (UE) 2016/679 et, concernant les transferts de données entre Responsables du traitement et Sous-traitants et/ou entre Sous-traitants et autres Sous-traitants, les Clauses contractuelles types de l'Article 28(7) du Règlement (UE) 2016/679, dans la mesure où elles ne sont pas modifiées, sauf pour sélectionner le ou les modules pertinents, pour ajouter des informations à l'Annexe ou pour les mettre à jour. Pour autant, les Parties ne sont pas empêchées d'inclure les Clauses contractuelles types définies dans les présentes Causes dans un contrat plus large, ni d'ajouter d'autres clauses ou des garanties supplémentaires, à condition que celles-ci ne contredisent pas, directement ou indirectement, les Clauses ou qu'elles ne remettent pas en cause les libertés et les droits fondamentaux des Personnes concernées.

(b) Les présentes Clauses sont sans préjudice des obligations auxquelles l'Exportateur de données est soumis en vertu du Règlement (UE) 2016/679.

Clause 3

Tiers bénéficiaires

(a) Les Personnes concernées peuvent invoquer et faire appliquer les présentes Clauses, en tant que tiers bénéficiaires, au détriment de l'Exportateur de données et/ou de l'Importateur de données, en tenant compte des exceptions suivantes :

(i) Clause 1, Clause 2, Clause 3, Clause 6, Clause 7 ;

(ii) Clause 8 - Clause 8.1(b), 8.9(a), (c), (d) et (e) ;

(iii) Clause 9 - Clause 9(a), (c), (d) et (e) ;

(iv) Clause 12 - Clause 12(a), (d) et (f) ;

(v) Clause 13 ;

(vi) Clause 15.1(c), (d) et (e) ;

(vii) Clause 16(e) ;

(viii) Clause 18 - Clause 18(a) et (b).

(b) Le Paragraphe (a) est sans préjudice des droits des Personnes concernées en vertu du Règlement (UE) 2016/679.

Clause 4

Interprétation

(a) Lorsque les présentes Clauses utilisent des termes définis dans le Règlement (UE) 2016/679, ces termes s'entendent comme dans ledit Règlement.

(b) Les présentes Clauses doivent être lues et interprétées à la lumière des dispositions du Règlement (UE) 2016/679.

(c) Les présentes Clauses ne doivent pas être interprétées d'une manière contraire aux droits et obligations prévus par le Règlement (UE) 2016/679.

Clause 5

Hiérarchie

En cas de contradiction entre les présentes Clauses et les dispositions des accords connexes qui existent entre les Parties au moment où les présentes Clauses sont convenues ou qui sont conclus ultérieurement, les présentes Clauses prévaudront.

Clause 6

Description des transferts

Les détails des transferts et, notamment les Catégories de Données personnelles qui sont transférées et l'objet de leur transfert, sont spécifiés dans l'Annexe I.B.

Clause 7

Clause d'amarrage

(a) Toute entité qui n'est pas partie aux présentes Clauses peut, avec l'accord de toutes les Parties, y adhérer à tout moment, en qualité d'Exportateur de données ou d'Importateur de données, en complétant l'Annexe et en signant l'Annexe I.A.

(b) Une fois que les Annexes mentionnées au point précédent sont complétées et signées, l'entité adhérente est considérée comme une Partie aux présentes Clauses et jouit des droits et est soumise aux obligations d'un Exportateur de données ou d'un Importateur de données, conformément à sa désignation à l'Annexe I.A.

(c) Les présentes Clauses ne créent pour la Partie adhérente aucun droit ni aucune obligation pour la période précédant l'adhésion.

D. SECTION II - OBLIGATIONS DES PARTIES

Clause 8

Mesures de protection des données

L'Exportateur de données garantit qu'il a employé des efforts raisonnables pour déterminer que l'Importateur des données peut, grâce à la mise en œuvre de mesures techniques et organisationnelles adéquates, satisfaire à ses obligations découlant des présentes Clauses.

8.1 Instructions

(a) L'Importateur de données devra traiter les Données personnelles uniquement dans le cadre des instructions fournies par l'Exportateur de données. L'Exportateur de données peut fournir de telles instructions pendant la durée du contrat.

(b) L'Importateur de données informera immédiatement l'Exportateur de données s'il n'est pas en mesure de suivre ces instructions.

8.2 Limites applicables à l'objet

(a) L'Importateur de données devra traiter les Données personnelles uniquement aux fins spécifiques du transfert, telles qu'indiquées dans l'Annexe I.B., sauf si l'Exportateur de données fournit d'autres instructions.

8.3 Transparence

À la demande des Personnes concernées, l'Exportateur de données devra effectuer une copie des présentes Clauses, y compris de l'Annexe complétée par les Parties, et les mettra gratuitement leur disposition. Dans la mesure où cela serait nécessaire pour protéger des secrets professionnels ou d'autres Informations confidentielles, y compris les mesures décrites dans l'Annexe II et les Données personnelles, l'Exportateur de données pourra expurger une partie du texte de l'Annexe aux présentes Clauses avant d'en partager une copie, mais devra en fournir un résumé adéquat, afin que les Personnes concernées puissent comprendre le contenu fourni ou faire appliquer leurs droits. À la demande des Personnes concernées, les Parties devront indiquer le motif de l'expurgation, dans la mesure où cela est possible sans révéler les informations expurgées. La présente Clause est sans préjudice des obligations de l'Exportateur de données découlant des Articles 13 et 14 du Règlement (UE) 2016/679.

8.4 Exactitude

S'il est porté à la connaissance de l'Importateur de données que les Données personnelles qu'il a reçues sont inexactes, ou obsolètes, l'Importateur de données en informera l'Exportateur de données sans retard indu. Dans ce cas, l'Importateur de données coopérera avec l'Exportateur de données pour supprimer ou corriger les données.

8.5 Durée du traitement et suppression ou restitution des données

Le traitement par l'Importateur de données devra prendre place uniquement pour la durée spécifiée dans l'Annexe I.B. Après la fin de la fourniture des services de traitement, l'Importateur de données devra, au choix de l'Exportateur de données, supprimer toutes les Données personnelles traitées au nom de l'Exportateur de données et certifier à ce dernier que la suppression a bien été effectuée, ou restituer à l'Exportateur de données toutes les Données personnelles traitées en son nom et en supprimer les copies existantes. L'Importateur de données devra continuer à se tenir en conformité avec les présentes Clauses jusqu'à la suppression ou la restitution des données. Si l'Importateur de données est soumis à des lois locales qui interdisent la restitution ou la suppression des Données personnelles, il garantit qu'il continuera à se tenir en conformité avec les présentes Clauses, et qu'il traitera uniquement les Données personnelles dans la mesure et pour la durée exigée par les lois locales. Cette provision est sans préjudice de la Clause 14, et en particulier de la Clause 14(e), qui impose à l'Importateur de données de notifier l'Exportateur de données pendant la durée du contrat s'il a des raisons de penser qu'il est ou devient soumis à des lois ou à des pratiques qui ne sont pas conformes aux exigences de la Clause 14(a).

8.6 Sécurité du traitement

(a) L'Importateur de données et, durant le transfert, l'Exportateur de données, devront mettre en œuvre des mesures techniques et organisationnelles adéquates pour assurer la sécurité des données, y compris des protections contre des failles de sécurité qui pourraient mener à une destruction, une perte, une altération, une divulgation non autorisée ou un accès aux données accidentel ou illégal (ci-après, une « Violation des Données personnelles »). Lors de l'évaluation du niveau de sécurité adéquat, les parties devront tenir compte du niveau technologique, des coûts de mise en œuvre, de la nature, du champ d'application, du contexte et de l'objet du traitement, ainsi que des risques qu'implique le traitement pour les Personnes concernées. En particulier, les Parties devront envisager d'avoir recours à un chiffrement ou à des pseudonymes, y compris durant le transfert, afin que l'objet du traitement soit rempli de cette manière. En cas de recours à des pseudonymes, les informations supplémentaires nécessaires pour attribuer les Données personnelles à une Personne concernée précise devront, dans la mesure du possible, demeurer sous le contrôle exclusif de l'Exportateur de données. Pour respecter ses obligations découlant du présent paragraphe, l'Importateur de données devra au minimum mettre en œuvre les mesures techniques et organisationnelles spécifiées dans l'Annexe II. Il devra effectuer des vérifications régulières pour vérifier que ces mesures contribuent à fournir un niveau de sécurité adéquat.

(b) L'Importateur de données devra accorder l'accès aux Données personnelles aux membres de son personnel uniquement aux fins strictement nécessaires pour la mise en œuvre, la gestion et le suivi du contrat. Il devra s'assurer que les personnes autorisées à traiter les Données personnelles se sont engagées à respecter la confidentialité, ou qu'elles sont juridiquement soumises à des obligations de confidentialité.

(c) En cas de Violation des Données personnelles concernant les Données personnelles traitées par l'Importateur de données en vertu des présentes Clauses, l'Importateur de données devra prendre des mesures adéquates pour gérer ladite violation, y compris des mesures pour mitiger ses effets négatifs. L'Importateur de données devra également notifier l'Exportateur de données sans retard indu après avoir pris connaissance de la violation. Cette notification devra contenir les coordonnées d'un interlocuteur pouvant fournir plus d'informations, une description de la nature de la violation (y compris, si possible, les catégories et le nombre approximatif de Personnes concernées et la quantité de Données personnelles concernées), ses conséquences probables et les mesures mises en œuvre ou proposées pour gérer la violation, y compris, le cas échéant, des mesures pour mitiger ses éventuels effets négatifs. S'il est impossible de fournir toutes les informations au même moment, la notification initiale devra contenir les informations alors disponibles, et les informations complémentaires devront être fournies sans retard indu dès qu'elles deviendront disponibles.

(d) L'Importateur de données devra coopérer avec et assister l'Exportateur de données pour permettre à ce dernier de respecter ses obligations découlant du Règlement (UE) 2016/679, en particulier pour notifier l'autorité de contrôle compétente et les personnes concernées affectées, en tenant compte de la nature du traitement et des informations dont l'Importateur de données dispose.

8.7 Données sensibles

Lorsque le transfert implique des Données personnelles qui révèlent une origine raciale ou ethnique, des opinions politiques, des croyances religieuses ou philosophiques ou l'adhésion à un syndicat, des données génétiques ou biométriques qui permettent d'identifier une personne physique, des données concernant la santé ou la vie ou l'orientation sexuelle d'une personne, ou des données liées à des condamnations et des délits criminels (ci-après, les « Données sensibles »), l'Importateur de données devra appliquer les restrictions spécifiques et/ou les protections complémentaires décrites à l'Annexe I.B.

8.8. Transferts ultérieurs

L'Importateur de données devra uniquement divulguer les Données personnelles à un tiers dans le cadre des instructions fournies par l'Exportateur de données. En outre, les Données ne peuvent être divulguées à un tiers situé en dehors de l'Union européenne (dans le même pays que l'Importateur de données ou dans un autre pays tiers, ci-après le « transfert ultérieur ») si ledit tiers est lié ou accepte d'être lié par les présentes Clauses, en vertu du Module concerné, ou si :

(i) le transfert ultérieur s'effectue vers un pays qui bénéficie d'une décision d'adéquation en vertu de l'Article 45 du Règlement (UE) 2016/679 couvrant le transfert ultérieur ;

(ii) le tiers garantit autrement des protections adéquates pour le traitement concerné, en vertu des Articles 46 ou 47 du Règlement (UE) 2016/679 ;

(iii) le transfert ultérieur est nécessaire pour l'établissement, l'exercice ou la défense des droits légaux dans le contexte de procédures administratives, réglementaires ou judiciaires spécifiques ; ou

(iv) le transfert ultérieur est nécessaire pour protéger les intérêts vitaux des Personnes concernées ou d'autres personnes physiques.

Tout transfert ultérieur est soumis aux obligations de conformité de l'Importateur de données, avec toutes les autres protections relevant des présentes Clauses, en particulier les limites applicables à l'objet.

8.9 Documentation et conformité

(a) L'Importateur de données devra traiter rapidement et de manière adéquate les demandes de l'Exportateur de données qui sont liées au traitement soumis aux présentes Clauses.

(b) Les Parties devront être en mesure de prouver leur conformité avec les présentes Clauses. En particulier, l'Importateur de données devra conserver une documentation adéquate sur les activités de traitement effectuées au nom de l'Exportateur de données.

(c) L'Importateur de données devra mettre à la disposition de l'Exportateur de données toutes les informations nécessaires pour prouver sa conformité avec les obligations définies dans les présentes Clauses et, à la demande l'Exportateur de données, autoriser tout audit des activités de traitement couverte par les présentes Clauses, et y contribuer, à des intervalles raisonnables ou s'il existe des indications de non-conformité. Afin de décider d'une vérification ou d'un audit, l'Exportateur de données pourra tenir compte des certifications pertinentes de l'importateur de données.

(d) L'Exportateur de données pourra choisir d'effectuer l'audit lui-même ou de mandater un auditeur indépendant. Les audits peuvent comprendre des inspections des bureaux ou des locaux physiques de l'Importateur de données et devront, le cas échéant, être effectués avec un préavis raisonnable.

(e) Les Parties devront mettre à la disposition de l'autorité de contrôle compétente, sur sa demande, les informations mentionnées dans les paragraphes (b) et (c), y compris les résultats des audits.

Clause 9

Recours à des sous-traitants ultérieurs

(a) L'Importateur de données dispose de l'autorisation générale de l'Exportateur de données pour engager un ou plusieurs Sous-traitants ultérieurs sur une liste acceptée par les deux Parties. L'Importateur de données devra spécifiquement informer par écrit l'Exportateur de données de toute modification prévue de cette liste, par l'ajout ou le remplacement de Sous-traitants ultérieurs, au moins 30 jours ouvrés à l'avance, afin que l'Exportateur de données dispose d'un temps suffisant pour être en mesure d'objecter à de telles modifications avant l'engagement du ou des Sous-traitants ultérieurs. L'Importateur de données devra fournir à l'Exportateur de données les informations nécessaires pour lui permettre d'exercer son droit d'objection.

(b) Si l'Importateur de données engage un Sous-traitant ultérieur pour effectuer des activités de traitement précises (au nom de l'Exportateur de données), il devra le faire avec un contrat écrit qui prévoira, en substance, les mêmes obligations de protection des données que celles qui lient l'Importateur des données en vertu des présentes Clauses, y compris en ce qui concerne les droits des tiers bénéficiaires pour les Personnes concernées. Les parties acceptent qu'en respectant la présente Clause, l'Importateur de données remplit ses obligations découlant de la Clause 8.8. L'Importateur de données devra s'assurer que le Sous-traitant ultérieur respecte les obligations auxquelles lui-même est soumis en vertu des présentes Clauses.

(c) L'Importateur de données devra fournir à l'Exportateur de données, sur sa demande, une copie de l'accord signé par le Sous-traitant ultérieur et tout avenant ultérieur à cet accord. Dans la mesure où cela serait nécessaire pour protéger des secrets professionnels ou d'autres Informations confidentielles, y compris des Données personnelles, l'Importateur de données pourra expurger une partie du texte de l'accord avant d'en partager une copie.

(d) L'Importateur de données reste pleinement responsable, envers l'Exportateur de données, du respect des obligations du Sous-traitant ultérieur en vertu de son contrat avec l'Importateur de données. L'Importateur de données devra informer l'Exportateur de données de tout manquement du Sous-traitant ultérieur à ses obligations au titre de ce contrat.

(e) L'Importateur de données devra accepter une Clause de tiers bénéficiaire avec le Sous-traitant ultérieur, en vertu de laquelle, dans le cas où l'Importateur de données viendrait à disparaître de fait, cesserait d'exister au regard de la loi ou deviendrait insolvable, l'Exportateur de données aurait le droit de résilier le contrat du Sous-traitant ultérieur et de demander à celui-ci de supprimer ou de restituer les Données personnelles.

Clause 10

Droits des Personnes concernées

(a) L'Importateur de données devra rapidement informer l'Exportateur de données de toute demande reçue de la part d'une Personne concernée. Il ne devra pas répondre lui-même à cette demande, à moins qu'il n'ait été autorisé à le faire par l'Exportateur de données.

(b) L'Importateur de données devra assister l'Exportateur de données afin qu'il remplisse ses obligations de réponse aux Personnes concernées demandant à exercer leurs droits en vertu du Règlement (UE) 2016/679. À cet effet, les Parties devront définir, dans l'Annexe II, les mesures techniques et organisationnelles adéquates, en tenant compte de la nature du traitement, par le biais desquelles l'assistance sera fournie, ainsi que la portée et l'étendue de l'assistance requise.

(c) En remplissant ses obligations découlant des paragraphes (a) et (b), l'Importateur de données devra respecter les instructions fournies par l'Exportateur de données.

Clause 11

Recours

(a) L'Importateur de données devra informer les Personnes concernées de manière transparente et facilement accessible, via un avis personnel ou sur son site web, du point de contact autorisé à traiter les réclamations. Il devra traiter rapidement les réclamations reçues de la part de Personnes concernées.

(b) En cas de litige entre une Personne concernée et l'une des Parties au regard de la conformité avec les présentes Clauses, ladite partie devra employer ses meilleurs efforts pour résoudre le litige à l'amiable et rapidement. Les Parties devront se tenir mutuellement informées de tels litiges et, le cas échéant, coopérer pour les résoudre.

(c) Si la Personne concernée invoque le droit du tiers bénéficiaire découlant de la Clause 3, l'Importateur de données acceptera la décision de la Personne concernée de :

(i) porter plainte auprès de l'autorité de contrôle dans l'État membre où elle réside ou travaille habituellement, ou auprès de l'autorité de contrôle compétente en vertu de la Clause 13 ;

(ii) renvoyer le litige auprès des tribunaux compétents en vertu des termes de la Clause 18.

(d) Les Parties acceptent que la Personne concernée puisse être représentée par un organisme à but non lucratif, une organisation ou une association, conformément aux conditions établies dans l'Article 80(1) du Règlement (UE) 2016/679.

(e) L'Importateur de données devra respecter toute décision juridiquement contraignante en vertu de la loi de l'Union européenne ou de l'État membre applicable.

(f) L'Importateur de données convient que le choix effectué par la Personne concernée ne remettra pas en cause le droit procédural ou matériel de cette dernière d'obtenir réparation conformément aux lois applicables.

Clause 12

Responsabilité

(a) Chaque Partie sera responsable envers l'autre ou les autres Parties de tout dommage qu'elle lui ou leur causerait en violant les présentes Clauses.

(b) L'Importateur de données sera responsable envers la Personne concernée, et la Personne concernée pourra recevoir une compensation, au titre de tout dommage matériel ou non matériel qu'elle subirait et qui serait causé par l'Importateur de données ou son Sous-traitant ultérieur par une violation des droits des tiers bénéficiaires découlant des présentes Clauses.

(c) Nonobstant le paragraphe (b), l'Exportateur de données sera responsable envers la Personne concernée, et la Personne concernée pourra recevoir une compensation, au titre de tout dommage matériel ou non matériel qu'elle subirait et qui serait causé par l'Exportateur de données ou l'Importateur de données (ou son Sous-traitant ultérieur) par une violation des droits des tiers bénéficiaires découlant des présentes Clauses. Ces dispositions sont sans préjudice des responsabilités de l'Exportateur de données et, si l'Exportateur de données est un sous-traitant agissant au nom d'un responsable du traitement, sans préjudice des responsabilités du responsable du traitement découlant du Règlement (UE) 2016/679 ou du Règlement (UE) 2018/1725, le cas échéant.

(d) Les Parties acceptent que si l'Exportateur de données est tenu responsable au titre du paragraphe (c) des dommages causés par l'Importateur de données (ou son Sous-traitant ultérieur), il pourra demander à l'Importateur de données la partie de la compensation correspondant à la responsabilité de l'Importateur de données pour les dommages causés.

(e) Si plus d'une Partie est responsable des dommages causés à la Personne concernée à la suite d'une violation des présentes Clauses, toutes les Parties responsables le seront de manière conjointe et individuelle, et la Personne concernée pourra intenter une action en justice contre n'importe laquelle de ces Parties.

(f) Les Parties acceptent que si l'une d'entre elles est tenue pour responsable au titre du paragraphe (e), elle pourra demander à l'autre ou aux autres Parties la part de la compensation correspondant à ses ou leurs responsabilités pour les dommages causés.

(g) L'Importateur de données ne peut invoquer la conduite d'un sous-traitant ultérieur pour échapper à ses propres responsabilités.

Clause 13

Contrôle

(a) L'autorité de contrôle chargée de garantir la conformité de l'Exportateur de données au Règlement (UE) 2016/679 concernant le transfert de données, comme indiqué dans l'Annexe I.C., agira en tant qu'autorité de contrôle compétente.

(b) L'Importateur de données accepte de se soumettre à la juridiction de l'autorité de contrôle compétente, et de coopérer avec celle-ci, dans le cadre de toute procédure visant à garantir la conformité avec les présentes Clauses. En particulier, l'Importateur de données accepte de répondre aux demandes, de se soumettre aux audits et de respecter les mesures adoptées par l'autorité de contrôle, y compris les mesures correctives et compensatoires. Il devra fournir à l'autorité de contrôle une confirmation écrite assurant que les actions nécessaires ont bien été effectuées.

SECTION III - LOIS LOCALES ET OBLIGATIONS EN CAS D'ACCÈS PAR
DES AUTORITÉS PUBLIQUES

Clause 14

Lois et pratiques locales affectant la conformité avec les Clauses

(a) Les Parties garantissent qu'elles n'ont aucune raison de penser que les lois et les pratiques du pays tiers de destination applicables au traitement des Données personnelles par l'Importateur de données, y compris toute exigence de divulgation de Données personnelles ou mesure autorisant l'accès par des autorités publiques, empêchent l'Importateur de données de remplir ses obligations découlant des présentes Clauses. Ceci se fonde sur la compréhension que les lois et les pratiques qui respectent l'essence des libertés et des droits fondamentaux, et qui n'excèdent pas ce qui est nécessaire et approprié dans une société démocratique pour protéger l'un des objets énoncés dans l'Article 23(1) du Règlement (UE) 2016/679, ne sont pas contradictoires avec les présentes Clauses.

(b) Les Parties déclarent qu'en fournissant la garantie énoncée dans le paragraphe (a), elles ont particulièrement tenu compte des éléments suivants :

(i) les circonstances spécifiques de transfert, y compris la longueur de la chaîne de traitement, le nombre d'acteurs impliqués et les canaux de transmission utilisés ; les transferts ultérieurs prévus ; le type de destinataire ; l'objet du traitement ; les catégories et le format des Données personnelles transférées ; le secteur économique dans lequel le transfert se produit ; l'emplacement de stockage des données transférées ;

(ii) les lois et les pratiques du pays tiers de destination, y compris celles qui exigent la divulgation de données à des autorités publiques ou qui autorisent l'accès par de telles autorités, et qui sont pertinentes au regard des circonstances spécifiques du transfert, et les limites et protections applicables ;

(iii) toutes les protections contractuelles, techniques ou organisationnelles pertinentes mises en place pour compléter les protections exigées en vertu des présentes Clauses, y compris les mesures appliquées durant la transmission et au traitement des Données personnelles dans le pays de destination.

(c) L'Importateur de données garantit qu'en effectuant l'évaluation prévue au paragraphe (b), il a employé ses meilleurs efforts pour fournir des informations pertinentes à l'Exportateur de données, et il accepte de continuer à coopérer avec l'Exportateur de données pour garantir la conformité avec les présentes Clauses.

(d) Les Parties acceptent de documenter l'évaluation prévue au paragraphe (b) et de la mettre à la disposition de l'autorité de contrôle compétente sur sa demande.

(e) L'Importateur de données accepte de notifier rapidement l'Exportateur de données si, après avoir accepté les présentes Clauses et pendant la durée du contrat, il a des raisons de penser qu'il est ou qu'il devient soumis à des lois ou à des pratiques qui ne sont pas conformes aux exigences prévues au paragraphe (a), y compris à la suite d'une modification des lois du pays tiers ou d'une mesure (comme une demande de divulgation) qui indique une application pratique de telles lois qui n'est pas conforme avec les exigences prévues au paragraphe (a).

(f) Suite à une notification envoyée en vertu du paragraphe (e), ou si l'Exportateur de données a autrement des raisons de penser que l'Importateur de données ne peut plus remplir ses obligations découlant des présentes Clauses, l'Exportateur de données devra rapidement identifier des mesures adéquates (par exemple, des mesures techniques ou organisationnelles pour garantir la sécurité et la confidentialité) que lui-même et/ou l'importateur de données devront adopter afin de remédier à la situation. L'Exportateur de données devra suspendre le transfert de données s'il considère qu'aucune protection adéquate pour le transfert ne peut être garantie, ou à la demande de l'autorité de contrôle compétente. Dans ce cas, l'Exportateur de données pourra résilier le contrat, dans la mesure où il concerne le traitement de Données personnelles soumis aux présentes Clauses. Si le contrat implique plus de deux Parties, l'Exportateur de données pourra exercer son droit de résiliation seulement avec la Partie concernée, à moins que les parties n'en aient convenu autrement. Si le contrat est résilié en vertu de la présente Clause, les Clauses 16(d) et (e) s'appliqueront.

Clause 15

Obligations de l'Importateur de données en cas d'accès par des autorités publiques

15.1 Notification

(a) L'Importateur de données accepte de notifier rapidement l'Exportateur de données et, si possible, la Personne concernée (au besoin avec l'aide de l'Exportateur de données) si :

(i) il reçoit une demande juridiquement contraignante d'une autorité publique, y compris de la part d'autorités judiciaires, conformément aux lois du pays de destination pour la divulgation de Données personnelles transférées en vertu des présentes clauses ; la notification devra inclure des informations sur les Données personnelles demandées, l'autorité ayant effectué la demande, la base juridique de la demande et la réponse fournie ; ou

(ii) il prend connaissance de tout accès direct par des autorités publiques à des Données personnelles transférées en vertu des présentes Clauses et conformément aux lois du pays de destination ; la notification devra inclure toutes les informations dont l'Importateur de données dispose.

(b) Si l'Importateur de données n'est pas autorisé à notifier l'Exportateur de données et/ou la Personne concernée, conformément aux lois du pays de destination, alors il accepte d'employer ses meilleurs efforts pour obtenir une dérogation à cette interdiction, afin de communiquer autant d'informations que possible, aussi rapidement que possible. L'Importateur de données accepte de documenter ses meilleurs efforts afin de pouvoir en apporter la preuve à la demande de l'Exportateur de données.

(c) Dans la mesure permise par les lois du pays de destination, l'Importateur de données accepte de fournir à l'Exportateur de données, à intervalles réguliers pendant la durée du contrat, autant d'informations pertinentes que possible concernant les demandes reçues (en particulier, le nombre de demandes, le type de données demandées, les autorités ayant effectué la demande, si les demandes ont été contestées et le résultat de la contestation).

(d) L'Importateur de données accepte de conserver les informations concernées par les paragraphes (a) et (c) pendant la durée du contrat et de les mettre à la disposition de l'autorité de contrôle compétente à sa demande.

(e) Les paragraphes (a) et (c) sont sans préjudice des obligations de l'Importateur de données découlant des Clauses 14(e) et 16, qui lui imposent d'informer rapidement l'Exportateur de données s'il n'est pas en mesure de respecter les présentes Clauses.

15.2 Vérification de la légalité et minimisation des données

(a) L'Importateur de données accepte de vérifier la légalité des demandes de divulgation, en particulier pour déterminer si elles demeurent dans les limites des pouvoirs accordés à l'autorité publique requérante, et de contester les demandes si, après un examen attentif, il conclut qu'il existe des motifs raisonnables pour considérer qu'elles sont illégales au regard des lois du pays de destination, des obligations applicables au regard des lois internationales et des principes du comité international. L'Importateur de données devra, dans les mêmes conditions, poursuivre les possibilités de faire appel. S'il conteste une demande, l'Importateur de données devra rechercher des mesures d'intérim dans l'objectif de faire suspendre les effets de la demande jusqu'à ce que l'autorité judiciaire compétente ait pris une décision sur sa validité. Il ne devra pas divulguer les Données personnelles demandées jusqu'à ce qu'il soit contraint de le faire conformément aux règles procédurières applicables. Ces exigences sont sans préjudice des obligations de l'Importateur de données découlant de la Clause 14(e).

(b) L'Importateur de données accepte de documenter son évaluation juridique et toute contestation des demandes de divulgation et, dans la mesure permise par les lois du pays de destination, de mettre la documentation à la disposition de l'Exportateur de données. Il devra également mettre la documentation à la disposition de l'autorité de contrôle compétente à sa demande.

(c) L'Importateur de données accepte de fournir la quantité minimum d'informations admissible en répondant à une demande de divulgation, en se basant sur une interprétation raisonnable de la demande.

SECTION IV - DISPOSITIONS FINALES

Clause 16

Non-conformité avec les Clauses et résiliation

(a) L'Importateur de données devra informer rapidement l'Exportateur de données s'il n'est pas en mesure de se conformer aux présentes Clauses, pour quelque raison que ce soit.

(b) Si l'Importateur de données viole les présentes Clauses ou est incapable de s'y conformer, alors l'Exportateur de données devra suspendre le transfert de Données personnelles à l'Importateur de données jusqu'à ce que la conformité soit de nouveau assurée ou jusqu'à la résiliation du contrat. Ceci est sans préjudice de la Clause 14(f).

(c) L'Exportateur de données pourra résilier le contrat, dans la mesure où il concerne le traitement de Données personnelles soumis aux présentes Clauses, si :

(ii) l'Exportateur de données a suspendu le transfert de Données personnelles à l'Importateur de données en vertu du paragraphe (b) et la conformité avec les présentes Clauses n'est pas restaurée dans un délai raisonnable, et dans tous les cas dans le mois suivant la suspension ;

(ii) l'Importateur de données viole de manière substantielle ou continue les présentes Clauses ; ou

(iii) l'Importateur de données échoue à se conformer à une décision contraignante d'un tribunal compétent ou d'une autorité de contrôle concernant ses obligations découlant des présentes Clauses.

Dans ces cas, il devra informer l'autorité de contrôle compétente de sa non-conformité. Si le contrat implique plus de deux Parties, l'Exportateur de données pourra exercer son droit de résiliation seulement avec la Partie concernée, à moins que les Parties n'en aient convenu autrement.

(d) Les Données personnelles transférées avant la résiliation du contrat en vertu du paragraphe (c) devront, au choix de l'Exportateur de données, être immédiatement restituées à l'Exportateur de données ou intégralement supprimées. Ces termes s'appliquent également à toutes les copies des Données. L'Importateur de données devra certifier la suppression des données à l'Exportateur de données. L'Importateur de données devra continuer à se tenir en conformité avec les présentes Clauses jusqu'à la suppression ou la restitution des données. Si l'Importateur de données est soumis à des lois locales qui interdisent la restitution ou la suppression des Données personnelles transférées, il garantit qu'il continuera à se tenir en conformité avec les présentes Clauses, et qu'il traitera uniquement les Données personnelles dans la mesure et pour la durée exigée par les lois locales.

(e) Chaque partie peut résilier l'accord la liant aux présentes Clauses si (i) la Commission européenne adopte une décision soumise à l'Article 45(3) du Règlement (UE) 2016/679 qui couvre le transfert de Données personnelles auxquelles les présentes Clauses s'appliquent ; ou (ii) le Règlement (UE) 2016/679 est intégré au cadre juridique du pays dans lequel les Données personnelles sont transférées. Ceci est sans préjudice des autres obligations qui s'appliquent au traitement concerné conformément au Règlement (UE) 2016/679

Clause 17

Lois applicables

Les présentes Clauses sont régies par le droit de l'un des États membres, dans la mesure où il prévoit des droits pour les tiers bénéficiaires. Les parties acceptent que les présentes Clauses soient régies conformément à la section « Entité contractante, loi applicable et avis » des Conditions spécifiques aux différentes juridictions ou, si la section ne précise pas un État membre de l'Union européenne, par le droit de la République d'Irlande (sans référence aux conflits de principes de loi).

Clause 18

Choix d'un tribunal et d'une juridiction

(a) Tout litige découlant des présentes Clauses sera résolu par les tribunaux d'un État membre de l'Union européenne.

(b) Les Parties acceptent que ces tribunaux soient ceux de la juridiction indiquée dans la Clause 17.

(c) Une Personne concernée peut également intenter une action en justice contre l'Exportateur de données et/ou l'Importateur de données devant les tribunaux de l'État membre dans lequel elle réside habituellement.

(d) Les Parties acceptent de se soumettre à la juridiction de ces tribunaux.

ANNEXE AUX CLAUSES CONTRACTUELLES TYPES POUR LE ROYAUME-UNI ET LA SUISSE

(a) La présente Annexe amende les Clauses contractuelles types dans la mesure nécessaire afin qu'elles couvrent les transferts effectués par l'Exportateur de données à l'Importateur de données, dans la mesure où le RGPD du Royaume-Uni ou la Loi fédérale suisse sur la protection des données (tels que définis dans l'Annexe au traitement des données de HubSpot) s'appliquent au traitement de l'Exportateur de données lorsqu'il effectue le transfert.

(b) Les Clauses contractuelles types sont amendées avec les modifications suivantes :

(i) les références au « Règlement (UE) 2016/679 » sont interprétées comme des références au RGPD du Royaume-Uni ou à la Loi fédérale suisse sur la protection des données (le cas échéant) ;

(i) les références à des Articles spécifiques du « Règlement (UE) 2016/679 » sont remplacées par les Articles ou Sections équivalentes du RGPD du Royaume-Uni ou de la Loi fédérale suisse sur la protection des données (le cas échéant) ;

(i) les références au « Règlement (UE) 2018/1725 » sont supprimées ;

(iv) les références à l'« UE », à l'« Union européenne » et à un « État membre » sont remplacées par des références au « Royaume-Uni » ou à la « Suisse » (le cas échéant) ;

(v) la Clause 13(a) et la Partie C de l'Annexe II ne sont pas utilisées et l'« autorité de contrôle compétente » est le Commissaire à l'information du Royaume-Uni ou le Commissaire à l'information et à la protection des données de la Suisse (le cas échéant) ;

(vi) les références à l'« autorité de contrôle compétente » et aux « tribunaux compétents » sont remplacées par des références au « Commissaire à l'information du Royaume-Uni » et les « tribunaux du Royaume-Uni et du pays de Galles » ou au « Commissaire à l'information et à la protection des données de la Suisse » et aux « tribunaux suisses compétents » (le cas échéant) ;

(vii) dans la Clause 17, les Clauses contractuelles types sont gouvernées par les lois de l'Angleterre et du pays de Galles ou de la Suisse (le cas échéant) ; et

(viii) dans la mesure où le RGPD du Royaume-Uni s'applique au traitement, la Clause 18 est remplacée par : « Tout litige découlant des présentes Clauses sera résolu par les tribunaux de l'Angleterre et du pays de Galles. Une Personne concernée peut également intenter une action en justice contre l'Exportateur de données et/ou l'Importateur de données devant les tribunaux de tout pays membre du Royaume-Uni. Les parties acceptent de se soumettre à la juridiction de ces tribunaux » ; et

(viii) dans la mesure où la Loi fédérale suisse sur la protection des données s'applique au traitement, la Clause 18 est remplacée par : « Tout litige découlant des présentes Clauses sera résolu par les tribunaux suisses compétents. Les parties acceptent de se soumettre à la juridiction de ces tribunaux. »

La plateforme CRM de HubSpot

CRM gratuit de HubSpot

Aperçu de tous les produits

Marketing Hub

Sales Hub

Service Hub

CMS Hub

Operations Hub

Marketplace des applications

Contenu éducatif

Ils ont choisi HubSpot

Services

Ressources utilisateurs

Legal Stuff

Accord sur le traitement des données de HubSpot

1. Définitions

2. Responsabilités du Client