Le présent Accord de Traitement des Données (l’« ATD »), conclu entre le client de SendPulse (ci-après le « Client », l’« utilisateur », « vous ») et SendPulse Inc. (ci-après dénommé « service SendPulse », « SendPulse », « Le Service » , « nous »), régit le traitement des données personnelles que le Client télécharge ou fournit autrement à SendPulse en relation avec les services, ainsi que le traitement de toutes les données personnelles que SendPulse télécharge ou fournit au Client en relation avec les services.
Cet ATD est incorporé dans les Conditions d'utilisation et la Politique de Confidentialité pertinentes de SendPulse.
Collectivement, l’ATD (y compris les CCS, tels que définies ici), les Conditions d’utilisation et la Politique de Confidentialité de SendPulse sont nommés dans cet ATD l‘« Accord ».
1. Définitions
« CCS de Contrôleur à Contrôleur » désigne les Clauses Contractuelles Standard (Transferts de Contrôleur à Contrôleur - Ensemble II) dans les Annexes de la Décision de la Commission européenne du 27 décembre 2004 https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32004D0915&from=FR, telle que modifiée ou remplacée de temps à autre par la Commission européenne.
« CCS de Contrôleur à Sous-traitant » désigne les Clauses Contractuelles Standard (Sous-traitants) dans les Annexes de la Décision de la Commission européenne du vendredi 5 février 2010 https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32004D0915&from=FR, telle que modifiée ou remplacée de temps à autre par la Commission européenne.
« Données personnelles du client » désigne les Données personnelles
- que le client télécharge ou fournit de toute autre manière à SendPulse dans le cadre de son utilisation des services SendPulse ;
- pour lesquelles le client est autrement un contrôleur de données.
« Contrôleur de données » désigne Client.
« Sous-traitant de données » désigne SendPulse.
« Exportateur de données » désigne le contrôleur qui transfère les données personnelles ;
« Importateur de données » désigne le sous-traitant qui accepte de recevoir de l'exportateur de données des données personnelles destinées à être traitées en son nom après le transfert conformément à ses instructions et aux termes des clauses et qui n'est pas soumis au système d'un pays tiers assurant une protection adéquate en vertu de l’Article 25, paragraphe 1 de la directive 95/46 /CE ;
« Exigences de protection des données » désigne la Directive, le Règlement Général sur la Protection des Données, les Lois Locales sur la Protection des Données, toute législation subordonnée et tout règlement mettant en œuvre la Réglementation Générale sur la Protection des Données, ainsi que toutes les Lois sur la Protection de la Vie Privée.
« Directive » désigne la Directive européenne 95/46 /CE sur la protection des données (telle que modifiée).
« ZEE » désigne la zone économique européenne.
« Données personnelles en UE » désigne des Données Personnelles dont le partage en vertu du présent accord est régi par la Directive, la Réglementation Générale sur la Protection des Données et les Lois Locales sur la Protection des Données.
« Réglementation Générale sur la Protection des Données » désigne la Réglementation Européenne sur la Protection des individus en regard du traitement des données personnelles et sur le libre mouvement de ces données, et abrogeant la Directive 95/46/CE.
« Lois Locales de Protection des Données » désigne toute législation et réglementation subordonnées mettant en œuvre la Directive ou la Réglementation Générale de Protection des Données qui peut s’appliquer à l’Accord.
« Lois sur la Protection de la Vie Privée » désigne toutes les lois, réglementations et autres exigences légales applicables en relation avec :
- la confidentialité, la sécurité des données, la protection des consommateurs, le marketing, la promotion, la messagerie texte, les courrier électronique et autres communications ;
- l’utilisation, la récolte, la rétention, le stockage, la sécurité, la divulgation, le transfert, la disposition et autre traitement des Données Personnelles.
« CCS » désigne toutes les CCS de Contrôleur à Sous-traitant et les CCS de Contrôleur à Contrôleur conclues entre les parties en vertu de l'Accord.
« Sous-sous-traitant » désigne toute entité qui fournit des services de traitement à SendPulse afin de poursuivre le traitement de SendPulse pour le compte du Client.
Les termes, « Commission », « Sujet des données », « État membre », « Données Personnelles », « Violation de Données Personnelles », « Traitement » et « Autorité de Surveillance » auront la même signification que dans le RGPD et leurs termes apparentés seront interprétés en conséquence.
2. Nature du traitement des données
Chaque partie accepte de traiter les données personnelles reçues en vertu de l’Accord uniquement aux fins énoncées dans l’Accord. Pour éviter tout doute, les catégories de Données Personnelles traitées et les catégories de sujets de données soumises au présent ATD sont décrites dans l’Annexe 1 de cet ATD.
3. Conformité avec les lois
Les parties respectent leurs obligations respectives en vertu de toutes les Exigences de Protection des Données applicables..
4. Obligations du client
Le client accepte de :
4.1 Traitement des Données Personnelles du Client
Fournir des instructions à SendPulse et déterminer les objectifs et les moyens généraux du traitement des Données Personnelles du Client par SendPulse conformément à l’Accord.
4.2 Sécurité et Obligations
Respecter ses obligations en matière de protection, de sécurité et autres en ce qui concerne les Données Personnelles du Client prescrites par les Exigences de Protection des Données pour les contrôleurs de données en :
- établissant et en maintenant la procédure permettant l'exercice des droits des personnes dont les Données Personnelles du Client sont traitées pour le compte du Client ;
- traitant uniquement les données qui ont été collectées légalement et valablement et en veillant à ce que ces données soient pertinentes et proportionnées aux utilisations respectives ;
- veillant au respect des dispositions du présent Accord par son personnel ou par tout tiers accédant ou utilisant les Données Personnelles du Client en son nom.
4.3. Engager SendPulse de tout autre sous-sous-traitant conformément au paragraphe 5.1 (accorde par la présente une autorisation écrite en vertu de l'Article 28 « Règles générales pour la protection des données »).
5. Obligations de SendPulse
SendPulse accepte de :
5.1 Exigences de traitement.
SendPulse :
- Traitera les Données Personnelles du Client (i) uniquement dans le but de fournir, soutenir et améliorer le Service, en utilisant des mesures de sécurité techniques et organisationnelles appropriées ; et (ii) en conformité avec les instructions reçues du Client.
- SendPulse n’utilisera et ne traitera pas les Données Personnelles du Client pour un autre objectif. SendPulse informera rapidement le Client s'il ne peut pas se conformer aux exigences des Sections 5 à 8 du présent ATD, auquel cas le Client peut résilier l’Accord ou prendre toute autre mesure raisonnable, y compris la suspension des opérations de traitement des données..
- Informera immédiatement le Client si, de l’avis de SendPulse, une instruction du Client enfreint les Exigences de Protection des Données applicables.
- Si SendPulse collecte des Données Personnelles sur le Client auprès d’individus pour le compte de celui-ci, suivra les instructions du Client en ce qui concerne cette collecte de Données Personnelles (y compris en ce qui concerne la notification et l’exercice du choix).
- Prendra les mesures commercialement raisonnables pour s’assurer que (i) les personnes qu’il emploie et (ii) les autres personnes engagées pour le compte de SendPulse respectent les termes de l’Accord.
- S’assurera que ses employés, ses agents autorisés et tous ses sous-traitants sont tenus de respecter, de reconnaître et de respecter la confidentialité des Données Personnelles du Client, y compris après la fin de leur contrat de travail ou de leur mission.
- S’il a l'intention d'engager des sous-traitants pour l'aider à remplir ses obligations conformément au présent ATD ou de déléguer tout ou partie des activités de traitement à ces sous-traitants (conformément à l'Annexe 1) en acceptant le présent Accord comme consentement du Client à une telle sous-traitance, SendPulse informera le Client de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-sous-traitant, donnant ainsi au Client la possibilité de s’opposer à de tels changements.
- Sur demande, fournira au Client un résumé des politiques de confidentialité et de sécurité de SendPulse.
- Informera le Client si SendPulse entreprend un examen de sécurité indépendant.
5.2 Notification du Client.
SendPulse informera le Client si SendPulse apprend :
- Toute non-conformité de SendPulse ou de ses employés avec les Sections 5 à 8 du présent ATD ou des Exigences de Protection des Données relatives à la Protection des Données Personnelles du Client traitées en vertu de cet ATD.
- Toute demande juridiquement contraignante de divulgation des Données Personnelles du Client par une autorité chargée de l'application de la loi, à moins que SendPulse ne soit autrement interdit par la loi d'informer le Client, par exemple, afin de préserver la confidentialité d'une enquête menée par les autorités chargées de l'application de la loi.
- Toute notification ou enquête d'une autorité de surveillance concernant les Données Personnelles du Client.
- Toute réclamation ou demande (en particulier, les demandes d'accès, de rectification ou de blocage des Données Personnelles du Client) reçue directement des sujets des données du Client. SendPulse répondra à une telle requête sans autorisation préalable écrite du Client.
5.3 Assistance du Client.
SendPulse fournira une assistance raisonnable au Client en regard de :
- Toute demande des sujets des données du Client concernant l'accès à, la rectification, l'effacement, la restriction, la portabilité, le blocage ou la suppression des Données Personnelles du Client traitées par SendPulse pour le Client. Si un sujet des données envoie une telle requête directement à SendPulse, SendPulse enverra rapidement cette requête au Client.
- L'enquête sur les Violations de Données Personnelles et la notification à l'Autorité de Surveillance et aux sujets des données du client concernant ces Violations de Données Personnelles.
- Le cas échéant, préparation d'analyses d'impact de la protection des données et, le cas échéant, consultations avec toute Autorité de Surveillance.
5.4 Traitement requis.
Si les exigences de Protection des Données imposent à SendPulse de traiter les Données Personnelles du Client pour une raison autre que la fourniture des services décrits dans l’Accord, SendPulse informera le Client de cette exigence préalablement à tout traitement, sauf si SendPulse est légalement empêché d'informer le Client de ce type de traitement (par exemple, en raison des exigences de confidentialité pouvant exister en vertu des lois applicables des États membres de l'UE).
5.5 Sécurité.
SendPulse :
- Maintiendra les mesures de sécurité organisationnelles et techniques appropriées (notamment en ce qui concerne le personnel, les installations, le matériel informatique et les logiciels, le stockage et les réseaux, les contrôles d'accès, la surveillance et la journalisation, la détection des vulnérabilités et des violations, la réponse aux incidents, le cryptage des Données Personnelles du Client en transit et en veille) pour protéger contre les accès non autorisés ou accidentels, la perte, l'altération, la divulgation ou la destruction des Données Personnelles du Client.
- Sera responsable de la suffisance des garanties de sécurité et de confidentialité de tout le personnel de SendPulse en ce qui concerne les Données Personnelles du Client et de tout manquement de ce personnel de SendPulse à respecter les termes du présent ATD.
- Prendra des mesures raisonnables pour confirmer que tout le personnel SendPulse protège la sécurité et la confidentialité des Données Personnelles du Client, conformément aux exigences du présent ATD.
- Informera le Client de toute Violation des Données Personnelles par SendPulse, ses Sous-sous-traitants ou tout autre tiers agissant pour le compte de SendPulse sans délai et en tout état de cause dans les 72 heures suivant la découverte d'une Violation des Données Personnelles.
6. Audit, certification
6.1 Audit de l'Autorité de Surveillance.
Si une Autorité de Surveillance requiert un audit des installations de traitement des données à partir desquelles SendPulse traite les Données Personnelles du Client afin de vérifier ou de contrôler la conformité du client aux Exigences de Protection des Données, SendPulse coopérera à cet audit. Le Client est responsable de tous les coûts et frais liés à cet audit, y compris de tous les coûts et frais raisonnables pour lesquels SendPulse consacre tout son temps, en plus des tarifs des services fournis par SendPulse.
6.2. Audits.
Le Client peut, avant le début du Traitement et à intervalles réguliers par la suite, vérifier les mesures techniques et organisationnelles prises par SendPulse.
À cette fin, le Client peut, par exemple,
- Obtenir des informations de SendPulse.
- Demander à SendPulse de soumettre au Client une attestation ou un certificat existant par un expert professionnel indépendant ou
- Sous réserve d’un accord préalable raisonnable et en temps voulu, pendant les heures normales de bureau et sans interrompre les activités commerciales de SendPulse, effectuer une inspection sur place des activités commerciales de SendPulse ou faites procéder de la même manière par un tiers qualifié qui ne sera pas un concurrent de SendPulse..
SendPulse doit, sur demande écrite du Client et dans un délai raisonnable, lui fournir toutes les informations nécessaires à cet audit, dans la mesure où ces informations sont sous le contrôle du Sous-traitant et que SendPulse n'est pas empêché de les divulguer en vertu de la loi applicable, confidentialité ou toute autre obligation vis-à-vis d'un tiers.
7. Transfert des données
Pour les transferts de Données Personnelles de l’UE vers SendPulse à des fins de traitement par SendPulse dans une juridiction autre que celle de l’UE, de l’EEE ou des pays agréés par la Commission européenne offrant une protection « adéquate » des données, SendPulse accepte de :
- fournir au moins le même niveau de protection de la vie privée pour les Données Personnelles de l'UE que l'exigent les cadres du Bouclier Confidentiel États-Unis/UE et États-Unis/Suisse ;
- utiliser le formulaire des CCS de Contrôleur à Sous-traitant adopté par la Commission européenne.
Si les transferts de données au titre de la Section 7 du présent ATD reposent sur les CCS de Contrôleur à Sous-traitant pour permettre le transfert licite de Données Personnelles de l'UE, comme indiqué dans la phrase précédente, les parties conviennent que les sujets des données pour lesquels une entité SendPulse traite des Données Personnelles de l'UE sont des bénéficiaires tiers au titre des CCS de Contrôleur à Sous-traitant. Si SendPulse est incapable ou devient incapable de se conformer à ces exigences, les Données Personnelles de l'UE seront traitées et utilisées exclusivement sur le territoire d'un État membre de l'Union européenne et tout mouvement de Données Personnelles de l'UE vers un pays non membre de l'UE nécessite l'accord préalable écrit du Client. SendPulse informera immédiatement le Client de toute incapacité de SendPulse de se conformer aux dispositions de la présente Section 7.
8. Retour et suppression des données
Les parties conviennent que, à la cessation des services de traitement de données ou à la demande raisonnable du Client, SendPulse devra, et obligera tout Sous-sous-traitant, au choix du client, à renvoyer toutes les Données Personnelles du Client et leurs copies au Client ou à les détruire de façon sécurisée et à démontrez à la satisfaction du Client qu'il a pris de telles mesures, sauf si des exigences en matière de Protection des Données empêchent SendPulse de renvoyer ou de détruire tout ou partie des Données Personnelles du Client divulguées. Dans ce cas, SendPulse s'engage à préserver la confidentialité des Données Personnelles du Client conservées par ce dernier et à traiter uniquement ces Données Personnelles du Client après cette date afin de se conformer aux lois applicables.
9. Tierce partie sous-traitant de données
Le Client reconnaît que, dans le cadre de la fourniture de certains services, SendPulse, à la réception des instructions du Client, peut transférer des Données Personnelles du Client à des agents de traitement de données tiers, voire interagir avec eux.
Le Client convient que si et dans la mesure où de tels transferts se produisent, il est responsable de la conclusion d'accords contractuels distincts avec ces sous-traitant de données tiers, qui l'obligent à respecter ses obligations conformément aux Exigences de Protection des Données.
Pour éviter tout doute, ces tiers sous-traitant de donnes ne sont pas des sous-sous-traitants.
10. Terminaison
Le présent ATD restera en vigueur tant que SendPulse effectuera les opérations de traitement des Données Personnelles pour le compte du Client ou jusqu'à la résiliation du contrat SendPulse (et que toutes les Données Personnelles auront été renvoyées ou supprimées conformément à la Section 8 ci-dessus).
11. Loi applicable, juridiction et lieu
Nonobstant toute disposition contraire de l'Accord, le présent ATD sera régi par les lois de l'État du Delaware, aux États-Unis, et toute action ou procédure liée à cet ATD (y compris celles découlant de litiges ou de réclamations non contractuels) sera décidée par l'État et les tribunaux fédéraux de l’État du Delaware, et chaque partie sera soumise à la juridiction de ces tribunaux.
Annexe 1
Exportateur de données
L'exportateur de données est une personne ou une entité qui a passé un contrat avec SendPulse pour des services de marketing par courriel. Les activités pertinentes pour le transfert comprennent les bulletins d’information, les promotions, les études de marché, les publicités, les offres, les mises à jour générales et les communications concernant les services offerts par l’exportateur de données.
Importateur de données
L'importateur de données est un fournisseur de service de messagerie permettant aux utilisateurs de stocker, créer, envoyer, cibler et suivre des adresses de messagerie et des campagnes de courriels.
Sujets de données
Les données personnelles transférées peuvent concerner les catégories suivantes de sujets de données :
clients, prospects, clients potentiels, étudiants, donateurs et employés.
Catégories de données
Les données personnelles transférées peuvent concerner les catégories de données suivantes : nom, sexe, date de naissance, langue, adresse électronique, numéro de téléphone, adresse de résidence, employeur, adresse professionnelle, titre, expertise, autres informations démographiques, historique des achats et assistance. Les données ne comprendront ni numéros de sécurité sociale, ni d’autres identifiants nationaux, mots de passe, identifiants de sécurité ni informations personnelles sensibles de quelque nature que ce soit.
Opérations de traitement
Les données personnelles transférées seront soumises aux activités de traitement de base suivantes : stockage ; accès au service clientèle en fonction de votre utilisation des fonctionnalités ; détection, prévention et remédiation des abus ; maintien, amélioration et fourniture de nos Services.
L’exportateur de données autorise expressément l’importateur de données à répondre aux demandes suivantes émanant directement des personnes concernées : désabonnements, mises à jour d’informations, suppression d’informations ou blocage des informations du sujet des données dans le système de l’importateur.
Sous-sous-traitant
L’exportateur de données accepte que les sous-sous-traitants suivants sous-sous-traitent :
- AMAZON WEB SERVICES INC.
- CONTABO INC.
- HETZNER LTD.
- VELIA.NET INTERNETDIENSTE GMBH
- OVH INC.
- GOOGLE LLC.
- SELECTEL LTD.
ou