Talk legal to me
Dernière mise à jour : 18 septembre 2024
IMPORTANT NOTE: The English version of this document will govern our relationship - this translated version is provided for convenience only and will not be interpreted to modify the English version. For the English version, please see the HubSpot Legal Stuff page.
Dernière mise à jour : 18 septembre 2024
La version anglaise de chacun de ces documents régit la relation avec HubSpot. Ces traductions sont fournies à titre indicatif et n'ont aucune valeur juridique. Les versions anglaises de ces documents prévalent et les versions françaises ne sauraient en aucun cas les modifier. Les versions anglaises sont disponibles depuis la page Mentions légales.
[Si vous souhaitez recevoir un exemplaire signé de ce document, y compris le texte intégral des clauses contractuelles types, de l'Addendum pour le Royaume-Uni et le texte relatif aux Sous-traitants ultérieurs, Veuillez cliquer ici.]
Le présent Accord sur le traitement des données de HubSpot et ses annexes (« Accord sur le traitement des données ») sont incorporés aux et font partie des Conditions générales d'utilisation du service HubSpot conclues entre le Client et HubSpot (« Conditions »). Le présent Accord sur le traitement des données reflète l'accord des parties en ce qui concerne (i) le Traitement des Données personnelles du Client par HubSpot en tant que Sous-traitant pour le compte du Client, et (ii) le traitement des Données personnelles du Responsable du traitement par chaque partie en tant que Responsable du traitement en lien avec les produits d'enrichissement de HubSpot et de l'utilisation par le Client du code de suivi HubSpot.
En cas de conflit ou de différence avec les dispositions des Conditions, le présent Accord prévaudra sur les termes des Conditions uniquement pour les points concernés.
Les sections 3 à 9 du présent Accord s'appliquent uniquement dans la mesure où HubSpot sous-traite les Données personnelles du Client en lien avec les Services d'abonnement.
La section 10 s'applique uniquement dans la mesure où le Client utilise les produits d'enrichissement ou le code de suivi de HubSpot en ayant activé le partage des données d'intention, et dans la mesure où chaque partie est considérée comme un Responsable du traitement au regard des Lois sur la protection des données.
Les présentes Conditions sont mises à jour régulièrement. Si le Client dispose d'un abonnement actif à HubSpot, HubSpot l'informera de ces mises à jour en lui envoyant une notification dans l'application (ou par e-mail s'il s'est abonné aux notifications par e-mail via le lien inclus dans les Conditions générales). Le Client trouvera des versions archivées en anglais de l'Accord sur le traitement des données dans les archives de HubSpot, qui sont disponibles à l'adresse https://legal.hubspot.com/legal-stuff/archive.
La durée du présent Accord sur le traitement des données sera identique à celle des Conditions. Les termes qui ne sont pas autrement définis dans cette section le sont dans les Conditions.
Annexe 1(A) - Informations concernant le traitement - HubSpot agit en tant que Sous-traitant
Annexe 2 - Mesures de sécurité
Annexe 3 - Sous-traitants ultérieurs
L'expression « Données personnelles de l'État de Californie » désigne les Données personnelles du Client régies par la loi américaine CCPA.
L'acronyme « CCPA » (California Consumer Privacy Act) fait référence au Code civil de Californie, section 1798.100 et sections suivantes (loi sur la protection du consommateur de Californie votée en 2018, et modifiée par la loi sur le droit à la vie privée de Californie votée en 2020 - California Privacy Rights Act, ou « CPRA »).
« Consommateur », « Entreprise », « Vente », « Prestataire de services » et « Partage » revêtent ici le sens qui leur est donné dans la loi CCPA.
Le « Responsable du traitement » est une personne physique ou morale, une autorité publique, un service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du Traitement de Données personnelles.
Les « Données personnelles du Responsable du traitement » désignent les Données personnelles que chaque partie traite en tant que Responsable du traitement en lien avec les produits d'enrichissement de HubSpot ou le code de suivi HubSpot, lorsque chaque partie est considérée comme un Responsable du traitement au regard des Lois sur la protection des données.
Les « Données personnelles du Client » désigne les Données personnelles contenues dans les Données clients que HubSpot traite en tant que Sous-traitant au nom du Client.
Une « Violation des Données personnelles du Client » signifie une violation de la sécurité conduisant à la destruction accidentelle ou illicite, à la perte, à l'altération, à la divulgation non autorisée ou à l'accès aux Données personnelles du Client transmises, stockées, ou autrement traitées par HubSpot et/ou ses Sous-traitants ultérieurs dans le cadre de la fourniture des Services d'abonnement. Ce type de violation exclut les tentatives ou activités infructueuses qui n'ont pas pour conséquence d'altérer la sécurité des Données personnelles du Client, y compris les tentatives infructueuses de connexion, d'envoi de commandes ping, d'analyse de port, d'attaques par déni de service ou d'autres attaques réseau sur des pare-feu ou des systèmes réseau.
Le « Cadre de protection des données » désigne le Cadre de protection des données UE–États-Unis, le Cadre de protection des données Suisse–États-Unis et l'extension des programmes d'auto-certification du Cadre de protection des données UE–États-Unis pour le Royaume-Uni (le cas échéant) opérés par le Département du Commerce aux États-Unis ; tel qu'amendé, modifié ou remplacé.
Les « Principes du cadre de protection des données » désignent les Principes et les Principes complémentaires contenus dans le Cadre de protection des données pertinent, tels qu'amendés, modifiés ou remplacés.
Les « Lois sur la protection des données » désignent l'ensemble de la législation mondiale applicable en matière de protection des données et de la vie privée qui s'impose au traitement des Données personnelles dans le cadre du présent Accord, y compris, mais sans s'y limiter, les lois européennes sur la protection des données, la CCPA et les autres lois fédérales et nationales des États-Unis relatives à la vie privée, et les lois sur la protection des données et de la vie privée en vigueur en Australie, au Canada, à Singapour, en Inde et au Japon, dans chaque cas, telles que modifiées, abrogées, consolidées ou remplacées de temps à autre.
Une « Personne concernée » est une personne à laquelle se rapportent les Données personnelles.
Le terme « Europe » désigne l'Union européenne, l'Espace économique européen et/ou leurs États membres, la Suisse et le Royaume-Uni.
L'expression « Données européennes » désigne les Données personnelles du Client régies par les Lois européennes sur la protection des données.
Les « Lois européennes sur la protection des données » renvoient aux lois de protection des données applicables en Europe, notamment : (i) le règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement général sur la protection des données) (« RGPD ») ; (ii) la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ; et (iii) les mises en œuvre nationales applicables des points (i) et (ii) ; ou (iii) le RGPD intégré à la législation nationale du Royaume-Uni en vertu de la Section 3 de l'European Union (Withdrawal) Act 2018 (« RGPD du Royaume-Uni ») ; et (iv) la loi fédérale suisse sur la protection des données et son ordonnance (« Loi fédérale suisse sur la protection des données ») ; dans chaque cas, tels qu'amendés, modifiés ou remplacés.
Le terme « Instructions » désigne toute instruction écrite et documentée, émise par un Client à l'intention de HubSpot, lui demandant d'effectuer une action spécifique ou générale en ce qui concerne les Données personnelles du Client (y compris, mais sans s'y limiter, la dépersonnalisation, le blocage, la suppression et la mise à disposition).
L'expression « Filiales autorisées » désigne toute Filiale du Client (i) qui est autorisée à utiliser les Services d'abonnement conformément aux Conditions, mais qui n'a signé aucun accord propre avec HubSpot et ne constitue pas un « Client » tel que défini dans les Conditions, (ii) qui est considérée comme un Responsable du traitement des Données personnelles du Client ou des Données personnelles du Responsable du traitement, et (iii) qui est régie par les Lois européennes sur la protection des données.
Les « Données personnelles » incluent toutes les informations relatives à un individu identifié ou identifiable lorsque ces informations sont protégées de la même manière que les données et informations à caractère personnel, ou les informations personnellement identifiables en vertu des Lois sur la protection des données.
Le terme « Traitement » désigne toute opération ou tout ensemble d'opérations effectuées sur des Données personnelles, par exemple la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou l'altération, la récupération, la consultation, l'utilisation, la divulgation par transmission, diffusion ou autre moyen de mise à disposition, l'alignement ou la combinaison, la restriction, l'effacement ou la destruction de données. Les termes « Traitement(s) » et « traité(e)(s) » seront interprétés en conséquence.
Le terme « Sous-traitant » désigne une personne physique ou morale, une autorité publique, un service ou un autre organisme qui traite des Données personnelles pour le compte du Responsable du traitement.
Un « Transfert restreint » désigne un transfert de Données personnelles entre l'Europe et un pays qui ne fournit pas un niveau de protection adéquat dans le sens établi par les Lois européennes sur la protection des données applicables.
Les « Clauses contractuelles types » désignent les clauses contractuelles types annexées à la Décision de la Commission européenne (2021/914) du 4 juin 2021 actuellement disponibles sur la page https://eur-lex.europa.eu/eli/dec_impl/2021/914, telles qu'amendées, modifiées ou remplacées.
Un « Sous-traitant ultérieur » désigne un Sous-traitant engagé par HubSpot ou ses Filiales pour aider à remplir les obligations de HubSpot en ce qui concerne le Traitement des Données personnelles du Client en vertu des Conditions. Les Sous-traitants ultérieurs peuvent comprendre des tiers ou des Filiales de HubSpot ; ils excluent les salariés ou consultants de HubSpot.
L'« Addendum pour le Royaume-Uni » désigne l'Addendum relatif aux transferts internationaux de données établi par le Commissaire à l'information du Royaume-Uni en vertu de la Section 119A(1) de la Loi sur la protection des données de 2018 actuellement disponible à l'adresse https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf tel qu'amendé, modifié ou remplacé.
a. Conformité avec la loi. Dans le cadre des Conditions et de son utilisation des services, le Client est responsable du respect de toutes les exigences qui lui sont applicables en vertu des Lois sur la protection des données en ce qui concerne le Traitement des Données personnelles qu'il assure.
En particulier, mais sans préjudice du caractère général de ce qui précède, le Client reconnaît et accepte qu'il est seul responsable : (i) de l'exactitude, de la qualité et de la légalité des Données personnelles du Client et des moyens par lesquels il a acquis lesdites Données ; (ii) du respect de toutes les exigences de transparence et de légalité nécessaires en vertu des Lois sur la protection des données pour la collecte et l'utilisation des Données personnelles du Client, y compris l'envoi de notifications adéquates, l'obtention de tous les consentements et autorisations nécessaires (en particulier pour leur utilisation par le Client à des fins marketing), et le respect des préférences de désinscription ; (iii) de vérifier qu'il est habilité à transférer les Données personnelles du Client à HubSpot, ou de les mettre à sa disposition, à des fins de Traitement conformément aux termes des Conditions (y compris du présent Accord sur le traitement des données) ; (iv) de se conformer à l'ensemble des lois applicables aux e-mails ou aux autres contenus créés, envoyés ou gérés par le biais des Services d'abonnement, y compris celles relatives à l'obtention de consentements pour envoyer des e-mails, au contenu des e-mails et à ses pratiques de déploiement des e-mails ; et (v) de s'assurer que son utilisation des Données personnelles du Responsable du traitement respecte les Lois sur la protection des données et est strictement limitée aux fins énoncées dans les Conditions (y compris dans le présent Accord). Le Client s'engage à informer HubSpot dans les meilleurs délais s'il n'est pas en mesure de respecter ses responsabilités en vertu de la présente section « Conformité avec la loi » ou des Lois sur la protection des données.
b. Instructions du Client. Le Client est chargé de s'assurer que les instructions qu'il fournit à HubSpot concernant le traitement de ses Données personnelles respectent les lois applicables, y compris les Lois sur la protection des données. Les parties conviennent que les Conditions (y compris le présent Accord sur le traitement des données), ainsi que l'utilisation par le Client du Service d'abonnement conformément auxdites Conditions, forment les Instructions complètes que le Client donne à HubSpot en ce qui concerne le traitement de ses Données personnelles par HubSpot, dans la mesure où le Client peut donner, durant la durée de l'abonnement, des instructions supplémentaires cohérentes avec les Conditions ainsi que la nature et l'utilisation légitime du Service d'abonnement.
c. Sécurité. Le Client doit déterminer de manière indépendante si les mesures de sécurité des données fournies dans le cadre du Service d'abonnement remplissent correctement ses obligations découlant des Lois sur la protection des données. Il est également responsable de son utilisation sécurisée du Service d'abonnement, et notamment de la protection de la sécurité des Données personnelles en transit depuis et vers le Service d'abonnement (y compris pour sauvegarder ou chiffrer de manière sécurisée de telles Données).
3. Obligations de HubSpot en tant que Sous-traitant
a. Respect des Instructions. HubSpot s'engage à traiter les Données personnelles du Client uniquement aux fins décrites dans le présent Accord sur le traitement des données ou comme convenu dans le cadre des Instructions légales du Client, sauf si et dans la mesure où le droit applicable l'exige. HubSpot n'est pas responsable du respect des Lois sur la protection des données applicables au Client ou à son secteur d'activité qui ne sont pas généralement applicables à HubSpot.
b. Conflit de lois. Si la société HubSpot se rend compte qu'elle ne peut pas traiter les Données personnelles du Client conformément aux Instructions du Client en raison d'une exigence légale applicable, elle (i) en informera rapidement le Client dans la mesure permise par la loi en vigueur, et (ii) le cas échéant, cessera tout Traitement (autre que le simple stockage et la protection des Données personnelles du Client concernées) jusqu'à ce que le Client lui transmette de nouvelles Instructions que HubSpot pourra appliquer. Si cette disposition est invoquée, HubSpot ne sera pas responsable envers le Client en vertu des Conditions de tout défaut d'exécution des Services d'abonnement applicables jusqu'à ce que le Client donne de nouvelles Instructions légales concernant le Traitement.
c. Sécurité. HubSpot met en œuvre et maintient des mesures techniques et organisationnelles appropriées pour protéger les Données personnelles du Client contre toute violation, comme décrit à l'Annexe 2 du présent Accord sur le traitement des données (« Mesures de sécurité »). Nonobstant toute disposition contraire, HubSpot peut modifier ou mettre à jour les Mesures de sécurité à sa seule discrétion, à condition que cette modification ou mise à jour n'entraîne pas une dégradation importante de la protection offerte par les Mesures de sécurité.
d. Confidentialité. HubSpot s'engage à veiller à ce que tous les membres du personnel que la société autorise à traiter des Données personnelles du Client en son nom soient soumis aux obligations de confidentialité appropriées (qu'il s'agisse d'obligations contractuelles ou légales) à l'égard de ces Données.
e. Violations des Données personnelles du Client. HubSpot informera le Client dans les meilleurs délais de toute Violation des Données personnelles du Client portée à sa connaissance et fournira en temps opportun les informations relatives à ladite Violation dès qu'elles seront connues ou raisonnablement demandées par le Client. À la demande du Client, HubSpot fournira rapidement à ce dernier toute l'assistance raisonnable nécessaire pour lui permettre de signaler les Violations des Données personnelles du Client aux autorités compétentes et/ou aux Personnes concernées, si les Lois sur la protection des données l'y obligent.
f. Suppression ou restitution des Données personnelles du Client. Après la résiliation ou l'expiration du Service d'abonnement, HubSpot supprimera ou restituera toutes les Données des clients, y compris les Données personnelles du Client et les copies de celles-ci, traitées en vertu du présent Accord sur le traitement des données conformément aux procédures détaillées dans les Conditions spécifiques liées aux produits HubSpot. Ces conditions s'appliqueront, sauf dans la mesure où HubSpot est tenu, en vertu du droit applicable, de conserver tout ou partie des Données des clients, ou a archivé des données sur des systèmes de sauvegarde, que HubSpot isolera et protégera de manière sûre de tout Traitement et suppression ultérieurs conformément à ses pratiques en matière de suppression. Après l'expiration ou la résiliation de son abonnement, le Client peut demander à ce que son compte HubSpot soit supprimé en suivant les étapes indiquées sur la page https://knowledge.hubspot.com/fr/account/how-do-i-cancel-my-hubspot-account.
HubSpot conseille fortement au Client de récupérer ses Données avant la fin de sa Période d'abonnement en suivant les instructions disponibles dans les articles de la base de connaissances suivants : « Exporter votre contenu et vos données », « Exporter vos fiches d'informations », « Exporter les données de performance de vos publicités », « Exporter les données de performance de vos e-mails marketing », « Effectuer une suppression permanente dans HubSpot ».
Si le Client a besoin d'aide pour récupérer des Données des clients durant la Période d'abonnement, HubSpot lui fournira une aide raisonnable, qui sera apportée aux frais du Client et conformément aux dispositions de la section « Confidentialité » des Conditions générales.
4. Demandes des Personnes concernées
Dans le cadre du Service d'abonnement, le Client dispose d'un certain nombre de moyens pour récupérer, corriger, supprimer ou restreindre les Données personnelles d'un Client, qu'il peut utiliser pour respecter les obligations qui lui incombent en vertu des Lois sur la protection des données, notamment pour répondre aux demandes des Personnes concernées d'exercer leurs droits en vertu des Lois sur la protection des données (« Demandes des personnes concernées »).
Si le Client n'est pas en mesure de répondre de manière indépendante à une demande d'une Personne concernée par le biais du Service d'abonnement, alors HubSpot fournira, sur demande écrite du Client, une assistance raisonnable au Client pour répondre aux demandes de la Personne concernée ou à toute demande des autorités de protection des données relatives au Traitement des Données personnelles du Client dans le cadre de l'Accord. Le Client s'engage à rembourser à HubSpot les coûts commerciaux raisonnables découlant de cette assistance.
Si une demande d'une Personne concernée ou une autre communication concernant le Traitement des Données personnelles du Client dans le cadre des Conditions est transmise directement à HubSpot, HubSpot en informera rapidement le Client et conseillera à la Personne concernée de soumettre sa demande à ce dernier. Le Client est seul tenu de répondre de manière substantielle aux demandes des Personnes concernées ou à toute communication impliquant des Données personnelles du Client.
5. Sous-traitants ultérieurs
Le Client accepte que HubSpot puisse engager des Sous-traitants ultérieurs pour traiter les Données personnelles du Client en son nom, et ce de trois façons différentes. Premièrement, HubSpot peut faire appel à des Sous-traitants ultérieurs pour des besoins d'hébergement et d'infrastructure. Deuxièmement, HubSpot peut faire appel à des Sous-traitants ultérieurs pour la prise en charge de fonctionnalités produits et d'intégrations. Troisièmement, HubSpot peut demander à des Affiliés de HubSpot d'agir en tant que Sous-traitants à des fins de service et de support client. Certains Sous-traitants ultérieurs s'appliquent au Client par défaut tandis que d'autres ne s'appliquent que si le Client choisit de les utiliser.
Les Sous-traitants ultérieurs actuels désignés par HubSpot sont les Affiliés de HubSpot et les tiers énumérés dans l'Annexe 3 du présent Accord sur le traitement des données. Le Client peut s'abonner pour recevoir des notifications par e-mail si HubSpot apporte des modifications à la Page des sous-traitants ultérieurs en remplissant le formulaire disponible à l'adresse https://legal.hubspot.com/subscribe-subprocessor-updates. HubSpot informera le Client de toute modification apportée à la Page des sous-traitants ultérieurs au moins 30 jours avant de procéder à ces changements.
HubSpot donnera au Client la possibilité de s'opposer à l'engagement de nouveaux Sous-traitants ultérieurs pour des motifs raisonnables liés à la protection des Données personnelles du Client dans les 30 jours suivant la notification d'un tel engagement. Si le Client ne communique aucune objection à HubSpot, les parties discuteront de bonne foi des préoccupations du Client en vue de parvenir à une solution commercialement raisonnable. Si aucune solution ne peut être trouvée, HubSpot, à sa seule discrétion, ne désignera pas le nouveau Sous-traitant ultérieur ou permettra au Client de suspendre ou de résilier le Service d'abonnement concerné conformément aux dispositions de résiliation des Conditions sans responsabilité envers l'une ou l'autre des parties (mais sans préjudice des frais encourus par le Client avant la suspension ou la résiliation).
Lorsque HubSpot fait appel à des Sous-traitants ultérieurs, HubSpot impose à ces derniers des conditions de protection des données qui assurent au moins le même niveau de protection des Données personnelles du Client que celles prévues dans le présent Accord sur le traitement des données, dans la mesure applicable à la nature des services fournis par ces Sous-traitants ultérieurs. HubSpot demeure responsable du respect par chaque Sous-traitant ultérieur des obligations du présent Accord sur le traitement des données, et de tous les actes ou omissions des Sous-traitants ultérieurs qui font que HubSpot manque à l'une de ses obligations au titre dudit Accord.
6. Transferts de données
Le Client reconnaît et accepte que HubSpot puisse accéder aux Données personnelles du Client et les traiter de façon globale selon les besoins afin de fournir le Service d'abonnement conformément à l'Accord, et plus particulièrement que lesdites données puissent être transférées à et traitées par HubSpot, Inc. aux États-Unis et dans les autres sites où les Filiales de HubSpot et ses Sous-traitants ultérieurs opèrent. Si des Données personnelles du Client sont transférées en dehors de leur pays d'origine, chaque partie veillera à ce que ces transferts répondent aux exigences des Lois sur la protection des données.
7. Preuve de conformité
HubSpot mettra à la disposition du Client toutes les informations raisonnablement nécessaires pour démontrer sa conformité avec le présent Accord sur le traitement des données, et autorisera les audits et y contribuera, y compris les inspections par le Client ou son auditeur afin d'évaluer la conformité avec ledit Accord dès lors que le droit applicable l'exige. Le Client reconnaît et accepte qu'il doit exercer ses droits de vérification en vertu du présent Accord sur le traitement des données en donnant instruction à HubSpot de se conformer aux mesures de vérification décrites dans la présente section « Preuve de conformité ». Le Client reconnaît que le Service d'abonnement est hébergé par des Sous-traitants ultérieurs d'hébergement de HubSpot qui maintiennent des programmes de sécurité validés de manière indépendante (y compris SOC 2 et ISO 27001) et que les systèmes de HubSpot sont audités chaque année dans le cadre de la conformité SOC 2 et régulièrement testés par des sociétés indépendantes de tests d'intrusion. Sur demande, HubSpot fournira (à titre confidentiel) son rapport SOC 2 et une copie synthétique de son ou de ses rapports de test d'intrusion au Client afin que celui-ci puisse vérifier la conformité de HubSpot avec le présent Accord sur le traitement des données. Le Client peut télécharger des copies de ces documents sur la page web du Programme de sécurité de HubSpot, qui est disponible à l'adresse trust.hubspot.com. En outre, à la demande écrite du Client, HubSpot fournira des réponses écrites (à titre confidentiel) à toutes les demandes d'information raisonnables faites par le Client et nécessaires pour confirmer la conformité de HubSpot avec le présent Accord sur le traitement des données, à condition que le Client n'exerce pas ce droit plus d'une fois par année civile, sauf s'il suppose, pour des motifs raisonnables, que la conformité de HubSpot avec le présent Accord n'est pas respectée.
8. Autres dispositions applicables aux Données européennes
a. Portée. La présente Section « Autres dispositions applicables aux Données européennes » concerne uniquement les Données européennes que HubSpot traite au nom du Client en vertu des Conditions.
b. Rôles des parties. Lors du Traitement des Données européennes conformément aux Instructions du Client, les parties reconnaissent et conviennent que le Client agit en tant que Responsable du traitement, ou en tant que Sous-traitant pour le compte d'un autre Responsable du traitement, et que HubSpot est le Sous-traitant en vertu de l'Accord.
c. Instructions. Si HubSpot considère qu'une Instruction du Client enfreint les Lois européennes sur la protection des données (si applicables), HubSpot en informera sans délai le Client.
d. Évaluations de l'impact de la protection des données et consultation avec les Autorités de contrôle. Si HubSpot dispose raisonnablement des informations requises et que le Client n'a pas autrement accès auxdites informations, HubSpot lui offrira une assistance raisonnable pour effectuer des évaluations de l'impact de la protection des données, et effectuera des consultations préalables avec les Autorités de contrôle (par exemple, la Commission nationale de l'informatique et des libertés en France (CNIL), la Délégation berlinoise à la protection des données et à la liberté d'information en Allemagne (BlnBDI) et le Commissaire à l'information au Royaume-Uni (ICO)) ou d'autres autorités compétentes de protection des données dans la mesure requise par les Lois européennes sur la protection des données.
f. Transfert de données. HubSpot s'engage à ne transférer aucune Donnée européenne vers un pays ou un destinataire qui n'est pas reconnu comme assurant un niveau de protection adéquat des Données personnelles du Client (au sens des Lois européennes sur la protection des données applicables), sauf s'il prend au préalable toutes les mesures nécessaires pour garantir que le transfert est conforme auxdites Lois. Ces mesures peuvent inclure (sans limitation) (i) le transfert des données à un destinataire couvert par un cadre adapté ou un autre mécanisme de transfert juridiquement adéquat reconnu par les autorités ou les cours compétentes comme offrant un niveau de protection approprié pour les Données personnelles du Client, y compris le Cadre de protection des données ; (ii) à un destinataire qui a obtenu l'autorisation de règles d'entreprise contraignantes conformément aux Lois européennes sur la protection des données ; ou (iii) à un destinataire qui a exécuté les Clauses contractuelles types dans chaque cas adoptées ou approuvées conformément aux Lois européennes sur la protection des données applicables.
9. Autres dispositions applicables aux Données personnelles de l'État de Californie
a. Portée. La section « Autres dispositions applicables aux Données personnelles de l'État de Californie » du présent Accord concerne uniquement les Données personnelles de l'État de Californie que HubSpot traite au nom du Client en vertu des Conditions.
b. Rôles des parties. Lors du Traitement de Données personnelles de l'État de Californie conformément aux Instructions du Client, les parties reconnaissent et conviennent que le Client est une Entreprise, et que HubSpot est un Prestataire de services aux fins de la CCPA.
c. Responsabilités. L'entreprise HubSpot certifie qu'elle traitera les Données personnelles de l'État de Californie en qualité de Prestataire de services aux seules fins des Services d'abonnement et des Services de consulting conformément aux Conditions (« Finalité commerciale ») ou à celles autorisées par la CCPA, y compris telles que décrites dans la section « Données d'utilisation » de la Politique de confidentialité de HubSpot. Elle certifie également qu'elle (i) ne vendra pas et ne partagera pas des Données personnelles de l'État de Californie ; ii) ne traitera pas de Données personnelles de l'État de Californie en dehors du cadre de la relation commerciale directe entre les parties, sauf si le droit applicable l'exige ; et (iii) ne combinera pas les Données personnelles de l'État de Californie comprises dans les Données du client avec des Données personnelles qu'elle collecte ou reçoit d'une autre source (autre que les informations reçues d'une autre source en lien avec ses obligations découlant de son statut de Prestataire de services dans le cadre de l'Accord).
d. Conformité. L'entreprise HubSpot (i) respectera les obligations qui lui incombent en tant que Prestataire de services en vertu de la CCPA ; (ii) fournira aux Données personnelles de l'État de Californie le même degré de protection que celui exigé par la CCPA ; et (iii) informera le Client si elle détermine qu'elle n'est plus en mesure de remplir ses obligations en tant que Prestataire de services en vertu de la CCPA.
e. Audits relatifs à la CCPA. Le Client a le droit de prendre des mesures raisonnables et adéquates pour s'assurer que HubSpot utilise les Données personnelles de l'État de Californie de manière cohérente avec les obligations du Client découlant de la CCPA. Après en avoir avisé HubSpot, le Client pourra prendre des mesures raisonnables et adéquates conformes aux dispositions des Conditions pour faire cesser et corriger toute utilisation non autorisée de Données personnelles de l'État de Californie.
f. Pas de vente. Les parties reconnaissent et acceptent que la divulgation de Données personnelles de l'État de Californie par le Client à HubSpot ne fait pas partie d'une contrepartie monétaire ou d'une autre valeur échangée entre les parties.
10. Dispositions applicables entre deux Responsables du traitement
a. Portée. La section « Dispositions applicables entre deux Responsables du traitement » s'applique dans la mesure où les parties traitent des Données personnelles du Responsable du traitement en lien avec l'utilisation des produits d'enrichissement de HubSpot et du code de suivi HubSpot par le Client.
b. Rôles des parties. Les parties reconnaissent et acceptent qu'elles agissent en tant que Responsables du traitement du Responsable du traitement des Données personnelles et qu'elles rempliront leurs obligations respectives découlant des Lois sur la protection des données lorsqu'elles traitent de telles données. Pour plus de clarté, aucune disposition des Conditions ou de la section « Dispositions applicables entre deux Responsables du traitement » ne restreint en aucune façon HubSpot concernant la collecte, l'utilisation ou le partage des données que HubSpot traiterait autrement indépendamment de l'utilisation des Services d'abonnement par le Client, y compris des produits d'enrichissement de HubSpot.
c. Conformité avec la loi. Chaque partie devra s'assurer que les Données personnelles du Responsable du traitement qu'elle partage ou qu'elle rend disponibles à l'autre partie ont été collectées conformément aux Lois sur la protection des données, y compris (i) fournir des notifications adéquates et obtenir tous les consentements requis de la part des Personnes concernées ; (ii) établir une base juridique pour le traitement des Données personnelles du Responsable du traitement ; (iii) déployer des mesures techniques et organisationnelles appropriées pour protéger les Données personnelles du Responsable du traitement ; et (iv) se conformer à toutes les obligations de rapport concernant les violations de données personnelles concernant les Données personnelles du Responsable du traitement. Entre les parties, il incombe au Client de fournir tous les avis, consentements et mécanismes de désinscription nécessaires pour l'utilisation du code de suivi HubSpot, et de veiller à ce que son site Internet divulgue l'utilisation d'une technologie de suivi tierce conformément aux Lois sur la protection des données. Si une Personne concernée contacte l'une des parties pour exercer ses droits en vertu des Lois sur la protection des données, la partie contactée devra répondre directement à sa demande ou, si cela n'est pas possible, notifier rapidement l'autre partie et travailler avec elle afin de s'assurer que la demande de la Personne concernée est remplie conformément aux Lois sur la protection des données. Le Client accepte de supprimer les Données d'enrichissement (telles qu'elles sont définies dans les Conditions spécifiques liées aux produits de HubSpot) s'il détermine qu'il ne dispose pas d'une base juridique indépendante (ou de conditions substantiellement similaires) pour le traitement de telles données en vertu des Lois sur la protection des données.
d. Preuve de conformité. Si l'une des parties reçoit une réclamation, un avis ou une communication de la part d'une autorité de contrôle ou d'une autre autorité gouvernementale concernant : (i) le traitement des Données personnelles du Responsable traitement par l'autre partie ; ou (ii) le non-respect potentiel des Lois sur la protection des données en ce qui concerne le traitement des Données personnelles du Responsable du traitement par l'autre partie, alors cette partie devra diriger l'autorité de contrôle ou l'autorité gouvernementale vers l'autre partie et, dans le cas d'obligations, de réclamations ou de Données personnelles du Responsable du traitement imbriquées, fournir une assistance raisonnable à l'autre partie pour répondre à l'autorité de contrôle ou à l'autorité gouvernementale.
e. Sécurité. HubSpot met en œuvre et maintient des mesures de sécurité raisonnables pour protéger les Données personnelles du Responsable du traitement. Toutes les Données personnelles du Responsable du traitement sont protégées au moyen de mesures physiques, techniques et organisationnelles adéquates. Pour en savoir plus sur les dispositifs de sécurité de HubSpot, le Client peut consulter la page https://trust.hubspot.com.
(f) Conformité avec la CCPA. Dans la mesure où la CCPA s'applique au Traitement des Données personnelles du Responsable du traitement, chaque partie reconnaît et accepte que : (i) les Données personnelles du Responsable du traitement sont mises à la disposition de l'autre partie uniquement aux fins limitées et spécifiées énoncées dans les Conditions ; (ii) la partie recevant les Données personnelles du Responsable du traitement doit respecter et fournir le même niveau de protection de la vie privée que celui exigé par la CCPA ; (iii) la partie recevant les Données personnelles du Responsable du traitement doit rapidement notifier l'autre partie si elle détermine qu'elle ne peut plus respecter ses obligations en vertu de la CCPA ; et (iv) la partie qui fournit les Données personnelles du Responsable du traitement a le droit, moyennant un préavis raisonnable, de prendre des mesures raisonnables et appropriées pour s'assurer que la partie destinataire utilise les Données personnelles du Responsable du traitement d'une manière conforme à ses obligations en vertu de la CCPA et pour mettre fin et remédier aux utilisations non autorisées des Données personnelles du Responsable du traitement.
11. Mécanismes de transfert
Si le transfert de Données personnelles du Client ou de Données personnelles du Responsable du traitement entre les parties implique un Transfert restreint et que les Lois européennes sur la protection des données exigent la mise en place de protections adéquates, HubSpot et le Client respecteront les points suivants :
a. Cadre de confidentialité des données. HubSpot, Inc. participe au Cadre de confidentialité des données et certifie sa conformité audit Cadre. Quand et dans la mesure où le Cadre de confidentialité des données s'applique, HubSpot, Inc. utilisera le Cadre de confidentialité des données pour recevoir légalement aux États-Unis des Données personnelles du Client et des Données personnelles du Responsable du traitement, et s'assurera de fournir au minimum le même niveau de protection pour ces données que celui requis par les Principes du cadre de confidentialité des données. HubSpot informera le Client s'il lui est impossible de se conformer à cette exigence.
b. Clauses contractuelles types. Si les Lois européennes sur la protection des données exigent la mise en place de protections appropriées (par exemple si le Cadre de confidentialité des données ne couvre pas le transfert et/ou si le Cadre de confidentialité des données est invalidé), les Clauses contractuelles types seront incorporées par référence et feront partie des Conditions de la façon suivante :
(A) Concernant les Données personnelles du Client que HubSpot traite en tant que Responsable du traitement (i) les termes du Module Deux s'appliquent dans la mesure où le Client est un Responsable du traitement, et les termes du Module Trois s'appliquent dans la mesure où le Client est un Sous-traitant des Données personnelles du Client ; (ii) dans la Clause 7, la clause d'amarrage facultatif s'applique ; (iii) dans la Clause 9, l'Option 2 s'applique et les modifications apportées à la liste des Sous-traitants ultérieurs seront communiquées conformément à la section « Sous-traitants ultérieurs » du présent Accord sur le traitement des données ; (iv) dans la Clause 11, la langue facultative est supprimée ; (v) dans la Clause 17 et la Clause 18, les parties acceptent que la loi applicable et le lieu de résolution des conflits relatifs aux Clauses contractuelles types seront déterminés conformément aux termes de la section « Entité contractante, loi applicable et avis » des Conditions spécifiques aux différentes juridictions ou, si ladite section ne précise aucun État membre de l'Union européenne, la loi applicable sera celle de la République d'Irlande, et les conflits éventuels seront résolus par les tribunaux irlandais (sans référence aux conflits de principes de droit) ; (vi) les Annexes aux Clauses contractuelles types seront considérées comme complétées avec les informations définies dans les Annexes au présent Accord sur le traitement des données ; (vii) l'autorité de contrôle qui agira comme autorité de contrôle compétente sera déterminée conformément au RGPD.
(B) Concernant les Données personnelles du Responsable du traitement que HubSpot et le Client traitent en tant que Responsables du traitement (i) les termes du Module Un s'appliquent ; (ii) dans la Clause 7, la clause d'amarrage facultatif s'applique ; (iii) dans la Clause 11, la langue facultative est supprimée ; (iv) dans la Clause 17 et la Clause 18, les parties acceptent que la loi applicable et le lieu de résolution des conflits relatifs aux Clauses contractuelles types seront déterminés conformément aux termes de la section « Entité contractante, loi applicable et avis » des Conditions spécifiques aux différentes juridictions ou, si ladite section ne précise aucun État membre de l'Union européenne, la loi applicable sera celle de la République d'Irlande, et les conflits éventuels seront résolus par les tribunaux irlandais (sans référence aux conflits de principes de droit) ; (v) les Annexes aux Clauses contractuelles types seront considérées comme complétées avec les informations définies dans les Annexes au présent Accord sur le traitement des données ; (vi) l'autorité de contrôle qui agira comme autorité de contrôle compétente sera la Commission irlandaise de protection des données.
(C) Concernant les Données personnelles du Client et les Données personnelles du Responsable du Traitement soumises au RGPD du Royaume-Uni, les Clauses contractuelles types de l'UE s'appliqueront conformément à la sous-section (A) et aux modifications suivantes : (i) les Clauses contractuelles types seront modifiées et interprétées conformément à l'Addendum pour le Royaume-Uni, qui sera intégré par référence et fera partie intégrante de l'Accord ; (ii) les Tableaux 1, 2 et 3 de l'Addendum pour le Royaume-Uni seront considérés comme complétés avec les informations définies dans les Annexes au présent Accord sur le traitement des données, et le Tableau 4 sera considéré comme complété en sélectionnant l'option « Aucune partie » ; et (iii) tout conflit entre les termes des Clauses contractuelles types et de l'Addendum pour le Royaume-Uni sera résolu conformément aux termes de la Section 10 et de la Section 11 de l'Addendum pour le Royaume-Uni.
(D) Concernant les Données personnelles du Client et les Données personnelles du Responsable du traitement soumises à la Loi fédérale suisse sur la protection des données, les Clauses contractuelles types de l'UE s'appliqueront conformément à la sous-section (A) et aux modifications suivantes : (i) les références au « Règlement (UE) 2016/679 » seront interprétées comme des références à la Loi fédérale suisse sur la protection des données ; (ii) les références à l'« UE », à l'« Union européenne » ou à la « législation d'un État membre » seront interprétées comme des références à la Loi fédérale suisse sur la protection des données ; et (iii) les références à l'« Autorité de contrôle compétente » et aux « tribunaux compétents » seront remplacées par le « Commissaire à l'information et à la protection des données de la Suisse » et les « tribunaux suisses compétents ».
(E) Concernant les Données personnelles du Client que HubSpot traite en tant que Sous-traitant, le Client accepte qu'en respectant ses obligations conformément à la section « Sous-traitants extérieurs » du présent Accord sur le traitement des données, HubSpot, Inc. remplit ses obligations découlant de la Section 9 des Clauses contractuelles types. Aux fins de la Clause 9(c) des Clauses contractuelles types, le Client convient que HubSpot pourrait être empêché de divulguer les accords passés avec les Sous-traitants ultérieurs, mais que la société mettra en œuvre tous les efforts nécessaires afin d'exiger de tout Sous-traitant ultérieur engagé qu'il autorise la divulgation de l'Accord le concernant au Client, et qu'elle fournira, à titre confidentiel, toutes les informations qu'elle pourra raisonnablement divulguer. Le Client reconnaît et accepte également qu'il doit exercer ses droits de vérification en vertu de la Clause 8.9 des Clauses contractuelles types en donnant instruction à HubSpot de se conformer aux mesures décrites dans la section « Preuve de conformité » du présent Accord sur le traitement des données.
(F) Si et dans la mesure où les Clauses contractuelles types entrent en conflit avec l'une des dispositions du présent Accord sur le traitement des données, les Clauses contractuelles types prévaudront uniquement pour les points concernés. Si l'entité contractante de HubSpot prévue par l'Accord n'est pas HubSpot, Inc., ladite entité (pas HubSpot Inc.) demeurera entièrement et seule responsable et redevable envers le Client de l'exécution des Clauses contractuelles types par HubSpot, Inc., et le Client adressera toute instruction, réclamation ou requête liée aux Clauses contractuelles types à ladite entité contractante. Si, pour quelque raison que ce soit, HubSpot ne peut remplir ses obligations découlant des Clauses contractuelles types, et que le Client prévoit de suspendre ou de cesser le transfert de Données personnelles à HubSpot, le Client accepte d'en informer HubSpot avec un préavis raisonnable, afin que HubSpot puisse remédier à sa non-conformité, et de coopérer de manière raisonnable avec HubSpot afin de déterminer quelles protections supplémentaires, le cas échéant, pourraient être mises en œuvre afin de remédier à sa non-conformité. Si HubSpot n'a pas remédié, ou ne peut remédier, à sa non-conformité, le Client pourra alors suspendre ou résilier la partie affectée du Service d'abonnement, conformément aux Conditions, sans responsabilité envers l'une ou l'autre des parties (mais sans préjudice des frais encourus par le Client avant la suspension ou la résiliation).
c. Mécanisme de transfert alternatif. Si HubSpot doit adopter un autre mécanisme de transfert en vertu des Lois européennes sur la protection des données, en complément ou en plus des mécanismes décrits ci-dessus, cet autre mécanisme de transfert s'appliquera automatiquement en lieu et place des mécanismes décrits dans le présent Accord sur le traitement des données (mais seulement dans la mesure où cet autre mécanisme de transfert respecte les Lois européennes sur la protection des données), et le Client acceptera de respecter les autres documents ou d'effectuer toute action raisonnablement nécessaire pour la mise en place juridique de cet autre mécanisme de transfert.
12. Dispositions générales
a. Modifications. Nonobstant toute autre disposition contraire de l'Accord et sans préjudice des sections « Respect des Instructions » ou « Sécurité » du présent Accord, HubSpot se réserve le droit d'apporter des mises à jour et des modifications au présent Accord sur le traitement des données et les termes applicables de la section « Modification et nulle renonciation » des Conditions générales devront s'appliquer.
b. Séparabilité. Si certaines dispositions du présent Accord sur le traitement des données sont jugées non valides ou inapplicables, la validité et l'applicabilité des autres dispositions dudit Accord ne sont pas remises en cause.
c. Limitation de responsabilité. La responsabilité de chaque partie et de chacune de ses Filiales, prise dans son ensemble, découlant du présent Accord sur le traitement des données (y compris de tout autre accord de ce type conclu entre les parties) et des Clauses contractuelles types, le cas échéant, ou s'y rapportant, qu'elle soit contractuelle, délictuelle ou fondée sur toute autre théorie de responsabilité, est soumise aux limitations et exclusions de responsabilité énoncées dans la section « Limitation de responsabilité » des Conditions générales. Par ailleurs, toute référence dans cette section à la responsabilité d'une partie désigne la responsabilité globale de ladite partie et de toutes ses Filiales en vertu des Conditions (y compris le présent Accord sur le traitement des données). Pour éviter toute ambiguïté, si HubSpot, Inc. n'est pas partie à l'Accord, la section « Limitation de responsabilité » des Conditions générales s'applique entre le Client et HubSpot, Inc. et, à cet égard, toute référence à « HubSpot » comprendra HubSpot, Inc. et l'entité HubSpot qui est partie à l'Accord. En aucun cas la responsabilité de l'une ou l'autre des parties ne sera limitée en ce qui concerne les droits de protection des données de tout individu en vertu du présent Accord sur le traitement des données (y compris tout autre accord sur le traitement des données entre les parties et les Clauses contractuelles types) ou autrement.
d. Lois applicables. Le présent Accord sur le traitement des données est régi et interprété conformément à la section « Entité contractante et Loi applicable » des Conditions spécifiques aux différentes juridictions, sauf disposition contraire des Lois sur la protection des données.
13. Parties au présent Accord sur le traitement des données
a. Filiales autorisées. En signant les Conditions, le Client conclut le présent Accord sur le traitement des données (y compris, le cas échéant, les Clauses contractuelles types) en son nom et au nom et pour le compte de ses Filiales autorisées. Aux seules fins du présent Accord sur le traitement des données, et sauf indication contraire, le terme « Client » désigne le Client et ses Filiales autorisées.
b. Autorisation. L'entité juridique qui accepte le présent Accord sur le traitement des données en tant que Client déclare qu'elle est autorisée à accepter et à conclure ledit Accord pour son propre compte et, si applicable, pour le compte de chacune de ses Filiales autorisées.
c. Recours. Les parties conviennent que (i) seule l'entité Cliente qui est la partie contractante à l'Accord peut exercer un droit ou chercher à obtenir réparation pour le compte de ses Filiales autorisées, et que (ii) l'entité Cliente qui est la partie contractante aux Conditions peut exercer ces droits en vertu du présent Accord sur le traitement des données non pas séparément pour chaque Filiale autorisée, mais de manière combinée pour elle-même et toutes ses Filiales autorisées. L'entité Cliente qui est l'entité contractante est responsable de la coordination de toutes les instructions, autorisations et communications avec HubSpot dans le cadre de l'Accord sur le traitement des données et est habilitée à effectuer et à recevoir toutes les communications relatives audit Accord au nom de ses Filiales autorisées.
d. Divers autres droits. Les parties conviennent que le Client doit, lors de l'examen de la conformité de HubSpot avec le présent Accord sur le traitement des données en vertu de la section « Preuve de conformité », prendre toutes les mesures raisonnables pour limiter tout impact sur HubSpot et ses Filiales en combinant plusieurs demandes d'audit effectuées au nom de l'entité Cliente qui est la partie contractante à l'Accord et de toutes ses Filiales autorisées en un seul audit.
Annex 1(A) - Informations concernant le traitement - HubSpot agit en tant que Sous-traitant
A. Liste des parties
Exportateur de données :
Nom : le Client, tel que défini dans les Conditions générales d'utilisation du service HubSpot (en son nom et au nom des Filiales autorisées)
Adresse : l'adresse du Client, telle qu'indiquée sur le Bon de commande
Nom, rôle et coordonnées de la personne à contacter : les coordonnées du Client, telles qu'indiquées sur le Bon de commande et/ou dans le Compte HubSpot du Client
Activités pertinentes au regard des données transférées en vertu des présentes Clauses : traitement des Données personnelles du Client en lien avec l'utilisation des Services d'abonnement de HubSpot par le Client, conformément aux Conditions générales d'utilisation du service HubSpot.
Rôle (responsable de traitement/sous-traitant) : Responsable de traitement (soit en tant que responsable, soit agissant en qualité de responsable ou en tant que sous-traitant pour le compte d'un autre responsable).
Importateur de données :
Nom : HubSpot, Inc.
Adresse : Two Canal Park, Cambridge, MA 02141, États-Unis
Nom, rôle et coordonnées de la personne à contacter : Nicholas Knoop, Data Protection Officer, HubSpot, Inc., Two Canal Park, Cambridge, MA 02141, États-Unis
Activités pertinentes au regard des données transférées en vertu des présentes Clauses : traitement des Données personnelles du Client en lien avec l'utilisation des Services d'abonnement de HubSpot par le Client, conformément aux Conditions générales d'utilisation du service HubSpot.
Rôle (responsable du traitement/sous-traitant) : Sous-traitant
B. Description du transfert
Catégories de Personnes concernées par le transfert de Données personnelles
Dans le cadre de son Service d'abonnement, le Client peut envoyer des Données personnelles du Client dont l'étendue reste à sa seule discrétion, ces dernières pouvant inclure, sans s'y limiter, les Données personnelles du Client en rapport avec les catégories de Personnes concernées suivantes :
Contacts du Client et autres utilisateurs finaux, y compris les salariés du Client, ses sous-traitants, collaborateurs, clients, prospects, fournisseurs et sous-traitants ultérieurs. Les Personnes concernées peuvent également comprendre tout individu qui tente de communiquer ou de transférer des Données personnelles du Client aux utilisateurs finaux du Client.
Catégories de Données personnelles transférées
Le Client peut envoyer aux Services d'abonnement des Données personnelles dont l'étendue reste à sa seule discrétion, ces dernières pouvant inclure, mais sans s'y limiter, les Données personnelles suivantes :
1. Coordonnées (telles que définies dans les Conditions générales).
2. Toute autre Donnée personnelle soumise, envoyée ou reçue par le Client, ou ses utilisateurs finaux, via le Service d'abonnement.
Données sensibles transférées et restrictions ou protections appliquées
Le traitement des données sensibles est soumis aux limitations, restrictions et mesures de protection dont ont convenu mutuellement les parties, telles qu'elles figurent dans l'Accord.
Fréquence du transfert :
Continue
Nature du traitement
Les Données personnelles du Client seront traitées conformément aux termes des Conditions (y compris aux termes du présent Accord sur le traitement des données) et peuvent faire l'objet des activités de Traitement suivantes :
1. Stockage et autres Traitements nécessaires pour fournir, maintenir en conditions opérationnelles et améliorer les Services d'abonnement fournis au Client ; et/ou
2. Divulgation conformément aux Conditions (y compris au présent Accord sur le traitement des données) et/ou comme l'exigent les lois applicables.
Objectif du transfert et traitement supplémentaire
HubSpot traitera les Données personnelles du Client dans la mesure nécessaire pour fournir les Services d'abonnement conformément aux Conditions, comme spécifié dans le Bon de commande, et comme indiqué par le Client dans son utilisation des Services d'abonnement.
Durée de rétention des Données personnelles
Sous réserve des dispositions de la section « Suppression ou restitution des Données personnelles du Client » du présent Accord sur le traitement des données, HubSpot traitera les Données personnelles du Client pendant la durée de l'Accord, sauf accord contraire écrit.
Annex 1(B) - Informations concernant le traitement - HubSpot agit en tant que Responsable du traitement
A. Liste des parties
Exportateur/importateur de données : le Client
Nom : le Client, tel que défini dans les Conditions générales d'utilisation du service HubSpot (en son nom et au nom des Filiales autorisées)
Adresse : l'adresse du Client, telle qu'indiquée sur le Bon de commande
Nom, rôle et coordonnées de la personne à contacter, y compris son adresse e-mail : les coordonnées du Client, telles qu'indiquées sur le Bon de commande et/ou dans le Compte HubSpot du Client
Activités pertinentes au regard des données transférées en vertu des présentes Clauses : traitement des Données personnelles du Responsable du traitement en lien avec l'utilisation des produits d'enrichissement de HubSpot et du code de suivi HubSpot par le Client
Rôle (responsable du traitement/sous-traitant) : Responsable du traitement
Exportateur/importateur de données : HubSpot, Inc.
Nom : HubSpot, Inc.
Adresse : Two Canal Park, Cambridge, MA 02141, États-Unis
Nom, rôle et coordonnées de la personne à contacter : Nicholas Knoop, Data Protection Officer, HubSpot, Inc., Two Canal Park, Cambridge, MA 02141, États-Unis
Activités pertinentes au regard des données transférées en vertu des présentes Clauses : traitement des Données personnelles du Responsable du traitement en lien avec l'utilisation des produits d'enrichissement de HubSpot et du code de suivi HubSpot par le Client
Rôle (responsable du traitement/sous-traitant) : Responsable du traitement
B. Description du transfert
Catégories de Personnes concernées par le transfert de Données personnelles :
Les individus associés à une entreprise ou une autre institution
Catégories de Données personnelles transférées :
Des données professionnelles, qui peuvent inclure, mais ne sont pas limitées, au prénom et au nom de famille, à l'adresse e-mail professionnelle, à l'employeur, au rôle, à l'intitulé de poste, à l'adresse IP, aux identifiants en ligne et à d'autres informations similaires
Données sensibles transférées et restrictions ou protections appliquées :
Les parties ne prévoient pas le transfert de Données sensibles.
Fréquence du transfert :
Continue
Nature du traitement :
Les Données personnelles du Responsable du traitement seront traitées conformément aux Conditions et pourront faire l'objet des activités de traitement suivantes : (1) stockage et autre traitement des données de site web (comme les adresses IP et d'autres identifiants en ligne) et données d'enrichissement professionnelles (comme les adresses e-mail professionnelles) par HubSpot si ces données sont nécessaires pour fournir, maintenir, compléter, améliorer et développer les ensembles de données commerciales et les Services d'abonnement de HubSpot ; et/ou (2) divulgation conforme aux Conditions et/ou requise par les lois applicables.
Objectifs du transfert et traitement supplémentaire :
Les Données personnelles du Responsable du traitement seront transférées aux fins énoncées dans les Conditions, y compris pour fournir au Client des informations professionnelles et pour fournir, maintenir, compléter, améliorer et développer les ensembles de données commerciales et les Services d'abonnement de HubSpot.
Durée de rétention des Données personnelles : les Données personnelles du Responsable du traitement seront traitées et conservées par les parties conformément à leurs politiques de rétention des données respectives ou comme autrement défini dans les Conditions.
Annexe 2 - Mesures de sécurité
HubSpot observe actuellement les mesures de sécurité décrites dans la présente Annexe 2. Les termes capitalisés qui ne sont pas autrement définis aux présentes ont le sens qui leur est donné dans les Conditions générales. Pour obtenir plus d'informations sur ces mesures de sécurité, le Client peut se référer au rapport SOC 2 Type II, au rapport SOC 3, au programme de sécurité de HubSpot et aux synthèses des tests d'intrusion disponibles à l'adresse trust.hubspot.com.
a) Politique de sécurité des informations
HubSpot applique une Politique interne de sécurité des informations écrites. Le Client peut consulter le Centre de gestion de la confidentialité de HubSpot, qui fournit un aperçu des normes de sécurité.
b) Contrôle des accès
i) Prévenir l'accès non autorisé au produit
Traitement externalisé : HubSpot héberge son Service avec des fournisseurs d'infrastructure cloud externalisés. La société entretient également des relations contractuelles avec des fournisseurs afin de fournir le Service conformément à l'Accord sur le traitement des données. Elle s'appuie sur des accords contractuels, des politiques de confidentialité et des programmes de conformité des fournisseurs pour protéger les données traitées ou stockées par ces fournisseurs.
Sécurité physique et environnementale : HubSpot héberge l'infrastructure de ses produits avec des fournisseurs d'infrastructure mutualisés et externalisés. HubSpot ne possède ni n'entretient aucun matériel situé dans les centres de données des fournisseurs d'infrastructure externalisés. Les serveurs de production et les applications pour les clients sont logiquement et physiquement distincts des systèmes d'informations internes de HubSpot, ce qui assure leur protection. Les contrôles de sécurité physique et environnementale des infrastructures sont soumis à des contrôles de conformité ISO 27001 et SOC 2 Type II, entre autres certifications.
Authentification : HubSpot a mis en place une politique de mots de passe uniforme pour ses produits clients. Les Clients qui interagissent avec les produits via l'interface utilisateur doivent s'authentifier avant d'accéder aux Données des clients non publiques.
Autorisations : les Données des clients sont stockées dans des espaces de stockage mutualisés qui sont accessibles aux Clients uniquement via les interfaces des applications ou les API. Aucun Client n'a directement accès à l'infrastructure sous-jacente des applications. Le modèle d'autorisation de chacun des produits HubSpot est conçu pour s'assurer que seules les personnes dûment assignées peuvent accéder aux fonctions, vues et options de personnalisation pertinentes. L'accès aux ensembles de données est octroyé après validation des autorisations de l'utilisateur sur la base des attributs associés à chaque ensemble de données.
Accès aux interfaces de programmation d'application (API) : les API de produits publics sont accessibles par le biais d'une autorisation OAuth ou à l'aide de jetons d'applications privées.
ii) Prévenir l'accès non autorisé au produit
HubSpot met en œuvre des contrôles d'accès et des fonctionnalités de détection standards pour les réseaux internes qui prennent en charge ses produits.
Contrôles d'accès : les mécanismes de contrôle d'accès au réseau sont conçus pour empêcher le trafic réseau utilisant des protocoles non autorisés d'atteindre l'infrastructure du produit. Les mesures techniques mises en œuvre diffèrent selon les fournisseurs d'infrastructure et comprennent les mises en œuvre du cloud privé virtuel (VPC), l'affectation des groupes de sécurité et les règles traditionnelles de pare-feu.
Détection et prévention des intrusions : HubSpot a mis en œuvre une solution Web Application Firewall (WAF) pour protéger les sites web hébergés des clients et d'autres applications accessibles sur internet. La solution WAF est conçue pour identifier et prévenir les attaques contre les services réseau accessibles au public.
Analyses du code statique : le code stocké dans les référentiels de code source de HubSpot est contrôlé en vérifiant les meilleures pratiques et les failles logicielles identifiables à l'aide d'outils automatisés.
Renforcement de la sécurité des points de terminaison d'API : la sécurité des points de terminaison est renforcée conformément aux pratiques standards du secteur. Les postes de travail sont protégés par des logiciels anti-programme malveillant et des outils de détection et de réponse des terminaux, qui reçoivent des mises à jour régulières des définitions et des signatures.
iii) Limites des exigences en matière de privilège et d'autorisation
Gestion des accès privilégiés : les accès privilégiés à l'environnement des produits HubSpot sont contrôlés et supprimés au moment opportun grâce aux contrôles de type « accès juste à temps » (JITA). Les comptes non personnels utilisés pour l'accès au système sont stockés dans un coffre-fort sécurisé avec des contrôles supplémentaires pour l'élévation des privilèges et des processus de vérification des comptes.
Accès aux produits : une partie des employés de HubSpot a accès aux produits et aux données des clients via des interfaces contrôlées. En restreignant cet accès à une partie seulement des salariés, HubSpot souhaite fournir un soutien efficace à la clientèle, au développement des produits et à la recherche, dépanner les problèmes potentiels, détecter les incidents de sécurité et y répondre, et mettre en œuvre la sécurité des données. L'accès est activé par le biais de demandes d'accès « juste à temps » (JITA), qui sont toutes enregistrées. L'accès est accordé aux salariés par rôle, et des examens des octrois de privilèges à haut risque sont effectués quotidiennement. Les autorisations d'accès administratif ou à haut risque sont réexaminées au moins une fois tous les six mois.
c) Contrôle de transmission
En transit : HubSpot exige le chiffrement HTTPS (également appelé SSL ou TLS) sur chacune de ses interfaces de connexion et le rend disponible gratuitement sur chaque site client hébergé sur les produits HubSpot. L'implémentation HTTPS de HubSpot utilise des algorithmes et des certificats standards du secteur.
Au repos : HubSpot stocke les mots de passe des utilisateurs selon des politiques qui suivent les pratiques standards du secteur en matière de sécurité et adopte une approche par couches des technologies de cryptage au repos afin d'assurer que les données clients et les données sensibles identifiées et autorisées par le Client sont correctement cryptées.
d) Gestion, enregistrement et suivi des incidents
Plan de réponse aux incidents : HubSpot gère et applique un plan écrit de réponse aux incidents, des guides ainsi que d'autres processus nécessaires pour respecter les normes et obligations qui y figurent.
Détection : HubSpot a conçu son infrastructure pour enregistrer des informations détaillées sur le comportement du système, le trafic reçu, l'authentification du système et d'autres demandes d'applications. Les systèmes internes agrègent les données des journaux et alertent les salariés appropriés en cas d'activités malveillantes, non intentionnelles ou anormales. Les salariés de HubSpot, y compris les équipes de sécurité, d'exploitation et de support, répondent aux incidents connus.
Réponse et suivi : HubSpot tient un registre des incidents de sécurité connus qui comprend la description, les dates et heures des activités concernées, et la procédure de résolution des incidents. Les incidents de sécurité soupçonnés et confirmés font l'objet d'une enquête par le personnel de sécurité, d'exploitation ou de support, et les mesures de résolution appropriées sont identifiées et documentées. Pour tout incident confirmé, HubSpot prend les mesures appropriées pour minimiser les dommages subis par le produit et le Client, ou la divulgation non autorisée. La notification adressée au Client sera conforme aux termes des Conditions.
e) Contrôle de disponibilité
Disponibilité des infrastructures : les fournisseurs d'infrastructure déploient des efforts commercialement raisonnables pour assurer un temps de disponibilité minimum de 99,95 %. Les fournisseurs maintiennent un minimum de redondance N+1 pour les services d'alimentation électrique, de réseau, de chauffage, de ventilation et de climatisation.
Tolérance aux pannes : les stratégies de sauvegarde et de réplication sont conçues pour assurer la redondance et les protections de basculement lors d'une panne de traitement importante. Les Données des clients sont sauvegardées dans plusieurs banques de données durables et répliquées dans plusieurs zones de disponibilité.
Répliques et sauvegardes en ligne : dans la mesure du possible, les bases de données de production sont conçues pour reproduire les données entre au moins une base de données primaire et une base de données secondaire. Toutes les bases de données sont sauvegardées et gérées en utilisant au minimum les méthodes standards de l'industrie.
Plans de récupération après incident : HubSpot gère et teste régulièrement des plans de récupération après incident afin d'assurer la disponibilité des informations après une interruption ou une panne des processus commerciaux essentiels.
Les produits HubSpot sont conçus pour assurer une redondance et un basculement sans faille. Les instances de serveur qui prennent en charge les produits sont également architecturées dans le but d'éviter les points de défaillance uniques. Cette conception aide les opérations de HubSpot à maintenir et à mettre à jour les applications du produit et le back-end tout en limitant les temps d'arrêt.
f) Programme de gestion des vulnérabilités
Calendrier des mesures correctives des vulnérabilités : HubSpot tient un calendrier de correction des vulnérabilités conforme aux normes du secteur et adopte une approche basée sur le risque pour déterminer l'application, la probabilité et l'impact d'une vulnérabilité sur l'environnement. HubSpot adopte une approche basée sur le risque pour déterminer l'application, la probabilité et l'impact d'une vulnérabilité sur l'environnement.
Analyse des vulnérabilités : HubSpot effectue quotidiennement des analyses des vulnérabilités de ses produits à l'aide de technologies et de normes de détection conformes aux normes du secteur.
Tests d'intrusion : HubSpot maintient des relations avec des fournisseurs de services de tests d'intrusion reconnus dans le secteur afin d'effectuer au moins une fois par an des tests d'intrusion sur l'application web de HubSpot et l'infrastructure du réseau interne de HubSpot. Ces tests d'intrusion visent à détecter les vulnérabilités en matière de sécurité et à réduire le risque et l'impact commercial qu'elles représentent pour les systèmes du champ d'application.
Bug Bounty : un programme Bug Bounty invite et incite les chercheurs indépendants dans le domaine de la sécurité à découvrir et à divulguer les failles de sécurité de manière éthique. HubSpot met en place un programme Bug Bounty dans le but d'élargir les possibilités d'engagement avec la communauté dédiée à la sécurité et d'améliorer les défenses du produit contre les attaques sophistiquées.
g) Gestion du personnel
HubSpot dispose d'un personnel qualifié pour développer, maintenir et améliorer ses programmes de sécurité. Tous les employés sont formés aux politiques, processus et normes de sécurité applicables à leur travail et conformes aux pratiques du secteur.
Vérification des antécédents : là où la loi l'autorise, tous les salariés de HubSpot sont soumis à une vérification des antécédents ou des références effectuée par un tiers. Aux États-Unis, les offres d'emploi sont soumises aux conclusions des vérifications des antécédents effectuées par un tiers. Tous les salariés de HubSpot sont tenus de se conduire d'une manière conforme aux directives de l'entreprise, aux exigences de non-divulgation et aux normes d'éthique.
Annexe 3 - Sous-traitants ultérieurs
Pour contribuer à fournir son Service d'abonnement, HubSpot fait appel à des Sous-traitants ultérieurs pour ses activités de traitement des données. Une liste des Sous-traitants ultérieurs et la raison pour laquelle HubSpot fait appel à leurs services se trouvent sur la page dédiée aux Sous-traitants ultérieurs de HubSpot à l'adresse https://legal.hubspot.com/fr/sub-processors-page, qui est incorporée au présent Accord sur le traitement des données.