GoDaddy

ADDENDA DE TRAITEMENT DE DONNÉES (CLIENTS)

Cet addenda de traitement de données (l’« Addenda ») est exécuté par et entre GoDaddy.com, LLC, a Delaware limited liability company et ses affiliés (« GoDaddy ») et vous (« Client ») et est annexé et complémente nos Conditions universelles de service, notre Politique de confidentialité et tous les accords régissant les Services couverts (collectivement, les « Conditions de service »).  Sauf définition contraire du présent addenda, tous les termes commençant par une majuscule qui ne sont pas définis dans le présent addenda auront le sens qui leur est donné dans les Conditions d'utilisation.

1. Définitions

« Affiliés » désigne toute entité qui est contrôlée par, contrôle ou est en contrôle commun avec GoDaddy.

« Services couverts » tous les services hébergés que nous vous proposons qui pourraient impliquer notre traitement des données personnelles.

« Données du client » désigne les données personnelles de tout sujet de données traité par GoDaddy dans le réseau GoDaddy au nom du client conformément aux conditions d'utilisation ou en relation avec celles-ci.

« Contrôleur de données » désigne le Client, en tant qu'entité qui détermine les objectifs et les moyens du Traitement des Données Personnelles.

« Processeur de données » signifie GoDaddy, en tant qu'entité qui traite les données personnelles au nom du contrôleur de données.

« Lois de protection des données » désigne toutes les lois et tous les règlements, y compris les lois et règlements de l'Union européenne, applicables au traitement des données à caractère personnel en vertu de l'Accord.

« Sujet de données » signifie l’individu relié aux données personnelles.

« EEE » signifie l’Espace Économique Européen.

« Réseau GoDaddy » signifie les installations du centre de données de GoDaddy, les serveurs, l'équipement réseau et les systèmes logiciels hôtes (par exemple, les pare-feu virtuels) qui sont sous le contrôle de GoDaddy et sont utilisés pour fournir les services couverts.

« Données personnelles » signifie toute information reliée à une personne identifiée ou identifiable.

« Traitement » désigne toute opération ou ensemble d'opérations effectuées sur des Données personnelles, que ce soit par collecte, enregistrement, organisation, structuration, stockage, adaptation ou modification, récupération, consultation, utilisation, divulgation par transmission, diffusion ou autre mise à disposition, alignement ou combinaison, restriction, effacement ou destruction. « Traitement », « traitements » et « traité » seront interprétés en conséquence. Les détails du traitement sont énoncés dans l’Annexe 1.

« Incident de sécurité » soit (a) une violation de la sécurité des Normes de sécurité de GoDaddy entraînant la destruction accidentelle ou illicite, la perte, la modification, la divulgation non autorisée ou l'accès à des Données du Client; ou (b) tout accès non autorisé à un équipement ou à des installations de GoDaddy, dans un des cas où un tel accès entraîne la destruction, la perte, la divulgation non autorisée ou la modification des Données du client.

« Normes de sécurité » signifie les normes de sécurité jointes à cet Addenda comme Annexe 2.

« Clauses contractuelles standard » ou « SCC » signifie Annexe 3, jointe au présent Addenda et faisant partie de celui-ci conformément à la décision de la Commission européenne du 5 février 2010 relative aux clauses contractuelles standard pour le transfert de données personnelles vers des processeurs établis dans des pays tiers conformément à la directive. 

« Sous-traitant » désigne tout processeur de données engagé par le processeur pour traiter des données pour le compte du contrôleur de données.                                                               

2. Traitement des données

2.1 Portée et rôles. Cet addenda s'applique lorsque les données du client sont traitées par GoDaddy.  Dans ce contexte, GoDaddy agira en tant que responsable du traitement des données pour le client en tant que contrôleur des données concernant les données du client.

2.2 Détails de traitement de données. L'objet du traitement des Données du client par GoDaddy est l'exécution des Services couverts conformément aux Conditions d'utilisation et aux accords spécifiques au produit. GoDaddy ne traitera que les Données du Client au nom de et conformément aux instructions documentées du Client aux fins suivantes : (i) Traitement conformément aux Conditions d'utilisation ou à l'accord produit spécifique applicable; (ii) traitement initié par les utilisateurs finaux dans leur utilisation des Services couverts; (iii) Traitement pour se conformer à d'autres instructions raisonnables et documentées fournies par les clients (par exemple par e-mail) lorsque ces instructions sont conformes aux termes de l'accord. GoDaddy ne sera pas tenu de respecter ou d'observer les instructions du Client si de telles instructions violent le RGPD ou toute autre loi applicable relative à la confidentialité des données. La durée du traitement, la nature et l'objet du traitement, les types de données à caractère personnel et les catégories de données traitées dans le cadre du présent addenda sont précisés à l'annexe 1 (« Détails du traitement ») du présent addenda.

3. Confidentialité des données client

GoDaddy ne divulguera pas les données du client à un gouvernement ou à une autre tierce partie, sauf si cela est nécessaire pour se conformer à la loi ou à une ordonnance valide et contraignante d'un organisme chargé de l'application de la loi (telle qu'une assignation à comparaître ou une ordonnance d'un tribunal).  Si un organisme chargé de l'application de la loi envoie une demande de données client à GoDaddy, GoDaddy tentera de le rediriger pour qu'il demande ces données directement au client. Dans le cadre de cet effort, GoDaddy peut fournir les coordonnées de base du client à l'organisme d'application de la loi. Si vous êtes contraint de divulguer des Données du Client à un organisme d'application de la loi, GoDaddy avisera de façon raisonnable le Client de la demande pour permettre au client d’obtenir une ordonnance de protection ou un autre recours approprié, sauf s’il est légalement interdit pour GoDaddy de le faire.

4. Sécurité

4.1 GoDaddy a mis en œuvre et maintiendra les mesures techniques et organisationnelles pour le réseau GoDaddy décrites dans la présente section et décrites dans l’Annexe 2 du présent addenda, Normes de sécurité. En particulier, GoDaddy a mis en place et maintiendra les mesures techniques et organisationnelles suivantes concernant (i) la sécurité du réseau GoDaddy; (ii) la sécurité physique des installations; (iii) les contrôles entourant l'accès des employés et des entrepreneurs à (i) et/ou (ii); et (iv) les processus de test, d'estimation et d'évaluation de l'efficacité des mesures techniques et organisationnelles mises en œuvre par GoDaddy. Dans le cas où nous ne serions pas en mesure de respecter l'une des obligations énoncées aux présentes, nous vous en informerons par écrit (via notre site Web et par courrier électronique) dès que possible.

4.2 GoDaddy rend disponible un certain nombre de fonctions de sécurité et de fonctionnalités que le Client peut choisir d'utiliser en relation avec les Services couverts. Le Client est responsable de (a) configurer correctement les Services couverts, (b) utiliser les contrôles disponibles en relation avec les Services couverts (y compris les contrôles de sécurité) pour assurer la confidentialité, l'intégrité, la disponibilité et la résilience continue des systèmes et services de traitement, (c) utiliser les contrôles disponibles dans le cadre des Services couverts (y compris les contrôles de sécurité) pour permettre au Client de rétablir la disponibilité et l'accès aux Données du Client en temps opportun en cas de défaillance physique ou technique (par exemple des sauvegardes ou un archivage périodique des Données du client); et (d) prendre les mesures que le Client considère appropriées pour assurer la sécurité, la protection et la suppression des Données du Client, y compris l'utilisation de chiffrement pour protéger les Données du client contre tout accès non autorisé et mesurer les droits de contrôle d’accès aux données du client.

5. Droits des sujets de données

En tenant compte de la nature des Services couverts, GoDaddy propose au Client certains contrôles tels que décrits dans la section « Sécurité » de cet Addenda que le Client peut choisir d'utiliser pour récupérer, corriger, supprimer ou restreindre l'utilisation et le partage des Données du Client tel que décrit dans les Services couverts. Le Client peut utiliser ces contrôles en tant que mesures techniques et organisationnelles pour l'assister dans le cadre de ses obligations en vertu des lois applicables en matière de confidentialité, y compris ses obligations relatives à la réponse aux demandes des Sujets de données. Dans la mesure où cela est commercialement raisonnable et dans la mesure où la loi l'exige ou le permet, GoDaddy le notifiera sans délai si GoDaddy reçoit directement une demande de la part d'un sujet de données (« Demande de sujet de données »). En outre, lorsque l'utilisation des Services couverts par le Client limite sa capacité à répondre à une Demande de données, GoDaddy peut, lorsque cela est légalement autorisé et approprié et sur demande spécifique du Client, fournir une assistance commercialement raisonnable pour répondre à la demande, aux frais du client (le cas échéant).

6. Sous-traitement

6.1 Sous-traitements autorisés. Le Client accepte que GoDaddy puisse utiliser des Sous-traitants pour remplir ses obligations contractuelles en vertu de ses Conditions d'utilisation et de cet Addenda ou pour fournir certains services en son nom, tels que la fourniture de services d'assistance. Par la présente, le client consent à l'utilisation des sous-processeurs de GoDaddy comme décrit dans cette section. Sauf comme stipulé dans la présente section ou autrement explicitement autorisé par vous, GoDaddy n'autorisera aucune autre activité de sous-traitement.

6.2 Obligations de sous-traitants. Où GoDaddy utilise-t-il des sous-traitants autorisés tel que décrit à la Section 6.1 :

(i) GoDaddy limitera l'accès du Sous-traitant aux Données client uniquement à ce qui est nécessaire pour maintenir les Services couverts ou pour fournir les Services couverts au Client et aux utilisateurs finaux conformément aux Services couverts. GoDaddy empêchera le sous-traitant d'accéder aux données du client à d'autres fins;

(ii) GoDaddy conclura un accord écrit avec le sous-traitant et, dans la mesure où le sous-traitant exécute les mêmes services de traitement des données que ceux fournis par GoDaddy dans le cadre du présent addenda, GoDaddy imposera au sous-traitant les mêmes obligations contractuelles que GoDaddy détient en vertu du présent addenda; et

(iii) GoDaddy demeurera responsable de sa conformité concernant les obligations du présent addenda et de tout acte ou omission du sous-traitant qui entraînerait une violation de la part de GoDaddy d’une des obligations de GoDaddy aux termes du présent addenda.

6.3 Nouveaux sous-traitants.  De temps à autre, nous pouvons engager de nouveaux sous-traitants conformément aux conditions du présent addenda.  Dans ce cas, nous fournirons un préavis de 60 jours (via notre site Web et par email) avant que tout nouveau sous-traitant obtienne les données du client. Si le client n'approuve pas un nouveau sous-traitant, alors le client peut résilier les services couverts sans pénalité en fournissant, dans les 10 jours suivant la réception d'un avis de notre part, un avis écrit de résiliation qui comprend une explication des raisons du refus. Si les Services couverts font partie d'un achat groupé ou d’une offre groupée, alors toute résiliation s'appliquera à son intégralité.

7. Notification de brèche de sécurité

7.1 Incident de sécurité. Si GoDaddy prend connaissance d'un incident de sécurité, GoDaddy prendra les mesures suivantes sans retard injustifié : (a) notifier le client de l'incident de sécurité; et (b) prendre des mesures raisonnables pour atténuer les effets et minimiser les dommages résultant de l'incident de sécurité. 

7.2 Soutien GoDaddy.  Pour aider le Client en cas de notification de violation de données personnelles, le Client est tenu de respecter toutes les lois applicables en matière de confidentialité. GoDaddy inclura dans la notification conformément à la Section 8.1 les informations relatives à l'Incident de sécurité dans la mesure où GoDaddy est capable de révéler raisonnablement ces informations au client, en tenant compte de la nature des Services couverts, des informations mises à la disposition de GoDaddy et de toute restriction concernant la divulgation des informations, telle que la confidentialité.  

7.3 Incidents de sécurité échoués. Le client accepte que :

(i) Un Incident de Sécurité échoué ne sera pas soumis aux termes de cet Addenda. Un incident de sécurité échoué n'entraîne aucun accès non autorisé aux données du client ou à l'un des réseaux, équipements ou installations de GoDaddy stockant les données du client, et peut inclure, sans limitation, des pings et autres attaques de diffusion sur les pare-feu ou serveurs de périphérie, analyses de ports, tentatives de connexion infructueuses, attaques par déni de service, reniflage de paquets (ou autres accès non autorisés aux données de trafic qui n'aboutissent pas à un accès au-delà de l’en-tête) ou incidents similaires; et

(ii) L’obligation pour GoDaddy de signaler ou répondre à un incident de sécurité en vertu du présent article n'est pas et ne sera pas interprété comme une reconnaissance par GoDaddy de toute faute ou responsabilité de GoDaddy concernant l'incident de sécurité.  

7.4 Communication. Les notifications d'incidents de sécurité, le cas échéant, seront envoyées à un ou plusieurs administrateurs du Client par tous les moyens sélectionnés par GoDaddy, y compris par e-mail. Il est de la responsabilité exclusive du Client de s'assurer que les administrateurs du Client conservent des informations de contact précises sur la console de gestion de GoDaddy et sécurisent la transmission à tout moment.

8. Droits du client

8.1 Détermination Indépendante. Le Client est tenu responsable de vérifier les informations mises à disposition par GoDaddy relatives à la sécurité des données et à ses normes de sécurité et de déterminer si les Services couverts répondent aux exigences et aux obligations légales du Client ainsi qu'aux obligations du Client en vertu de cet Addenda. Les informations mises à disposition sont destinées à aider le Client à se conformer aux obligations du Client en vertu des lois applicables en matière de confidentialité, y compris le RGPD, en matière d'évaluations d'impact sur la protection des données et de consultation préalable.

8.2 Droits d’audit de client. Le Client a le droit de confirmer la conformité de GoDaddy avec cet Addenda applicable aux Services couverts, y compris en particulier la conformité de GoDaddy à ses Normes de Sécurité, en exerçant un droit raisonnable de réaliser une vérification ou une inspection, y compris en vertu des Clauses contractuelles standard si elles s'appliquent, en faisant une demande spécifique de GoDaddy par écrit à l'adresse indiquée dans ses Conditions d'utilisation. Si GoDaddy refuse de suivre les instructions demandées par le Client concernant une vérification ou une inspection correctement demandée et étendue, le Client a le droit de résilier le présent Addenda et les Conditions d'utilisation. Si les clauses contractuelles standard s'appliquent, rien dans cette section ne modifie ou modifie les clauses contractuelles standard ni n'affecte les droits de l'autorité de contrôle ou des sujets de données en vertu des clauses contractuelles standard. Cette section s'appliquera également dans la mesure où GoDaddy assure le contrôle des sous-traitants pour le compte du client.

9. Transferts de données personnelles

9.1 Traitement basé aux États-Unis. Sauf indication contraire dans les conditions d'utilisation, les données du client seront transférées hors de l'EEE et traitées aux États-Unis.  

9.2 Application des clauses contractuelles standard. Les clauses contractuelles standard s'appliqueront aux données du client transférées en dehors de l'EEE, directement ou par transfert, vers tout pays non reconnu par la Commission européenne comme offrant un niveau de protection adéquat pour les données à caractère personnel (tel que décrit dans le RGPD). Les clauses contractuelles standard ne s'appliqueront pas aux données client qui ne sont pas transférées, directement ou via un transfert ultérieur, en dehors de l'EEE.  Nonobstant ce qui précède, les Clauses contractuelles standard ne s'appliqueront pas si les données sont transférées conformément à une norme de conformité reconnue pour le transfert légal de données personnelles (tel que défini dans le RGPD) en dehors de l'EEE, comme les Cadres juridiques de protection de la vie privée des États-Unis et de l’UE et des États-Unis et de la Suisse.  

10. Résiliation de l’addenda

Cet Addenda restera en vigueur jusqu'à la fin de notre traitement conformément aux Conditions d'utilisation (la « Date de résiliation »).   

11. Retour ou suppression des données du client

Comme décrit dans les Services couverts, le Client peut recevoir des contrôles pouvant être utilisés pour récupérer ou supprimer des Données du Client. Toute suppression des Données du Client sera régie par les conditions des Services couverts particuliers.

12. Limites de responsabilité

La responsabilité de chaque partie dans le cadre du présent Addenda sera soumise aux exclusions et limitations de responsabilité énoncées dans les Conditions d'utilisation. Le client convient que les pénalités réglementaires encourues par GoDaddy en relation avec les données du client résultant du non-respect par le client de ses obligations en vertu du présent addenda et des lois applicables en matière de protection de la vie privée seront prises en compte et réduiront la responsabilité de GoDaddy en vertu des Conditions d'utilisation comme s'il s'agissait d'une responsabilité envers le Client en vertu des Conditions d'utilisation.

13. Conditions d’utilisation complètes; Conflit

Le présent Addenda annule et remplace toutes les représentations, accords ou communications antérieurs ou contemporains entre le Client et GoDaddy, qu'ils soient écrits ou verbaux, concernant l'objet du présent Addenda, y compris tout addenda relatif au traitement des données conclu entre GoDaddy et le Client concernant la traitement des données à caractère personnel et sur la libre circulation de ces données.  À l'exception de ce qui a été modifié par le présent addenda, les conditions d'utilisation resteront pleinement en vigueur.  En cas de conflit entre tout autre accord entre les parties, y compris les conditions de service et le présent addenda, les conditions de cet addenda prévaudront.

** ************************************************

Annexe 1

 DÉTAILS DU TRAITEMENT

 1. Nature et objectifs du traitement. GoDaddytraitera les données personnelles nécessaires pour exécuter les Services couverts conformément aux Conditions d'utilisation, aux accords spécifiques au produit et aux instructions supplémentaires du Client tout au long de son utilisation des Services couverts.

 2. Durée du traitement. Sous réserve de la section 10 du présent Addenda, GoDaddy traitera les Données Personnelles pendant la date d'entrée en vigueur des Conditions de Service, mais respectera les termes de cet Addenda pendant la durée du traitement en cas de dépassement de ce délai et sauf convention contraire écrite.

3. Catégories de données. Le Client peut télécharger des données personnelles dans le cadre de son utilisation des Services couverts, dans la mesure dans laquelle le Client détermine et contrôle, à sa seule discrétion, ce qui peut inclure, mais sans s’y limiter, aux données personnelles relatives aux catégories de sujets de données suivantes :

  • Perspectives, clients, partenaires commerciaux et vendeurs de clients (personnes physiques)
  • Employés ou contacts des clients du client, partenaires commerciaux et vendeurs
  • Employés, agents, conseillers, pigistes du Client (personnes physiques)
  • Utilisateurs du client autorisés par le client à utiliser les Services couverts

 4. Type de données personnelles. Le Client peut télécharger des Données personnelles dans le cadre de son utilisation des Services couverts, dont le type et la mesure sont déterminés et contrôlés par le Client à sa seule discrétion, et qui peuvent inclure, mais sans s’y limiter, les catégories suivantes de données personnelles de sujets de données : 

  • Nom
  • Adresse
  • Numéro de téléphone
  • Date de naissance
  • Adresse de messagerie
  • Autres données collectées qui pourraient vous identifier directement ou indirectement.

** ************************************************

Annexe 2

Normes de sécurité

I.  Mesures techniques et organisationnelles  

Nous nous engageons à protéger les informations de nos clients.  Tenant compte des meilleures pratiques, des coûts de mise en œuvre, de la nature, de la portée, des circonstances et des finalités du traitement, ainsi que de la probabilité différente de survenue et de la gravité du risque d'atteinte aux droits et libertés des personnes physiques, nous prenons les mesures techniques et organisationnelles suivantes.  Lors de la sélection des mesures, la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes sont prises en compte. Une récupération rapide après un incident physique ou technique est garantie. 

II.  Programme de confidentialité de données  

Notre Programme de confidentialité des données est établi pour maintenir une structure de gouvernance globale des données et des informations sécurisées tout au long de leur cycle de vie. Ce programme est piloté par le bureau du responsable de la protection des données, qui supervise la mise en œuvre des pratiques de confidentialité et des mesures de sécurité. Nous testons et évaluons régulièrement l'efficacité de son programme de protection des données et de ses normes de sécurité.   

1. Confidentialité. « La confidentialité signifie que les données personnelles sont protégées contre toute divulgation non autorisée. »  

Nous utilisons plusieurs mesures physiques et logiques pour protéger la confidentialité des données personnelles de ses clients. Ces mesures comprennent :   

  Sécurité physique  

  • Systèmes de contrôle d'accès physique en place (Contrôle d'accès au badge, Surveillance de sécurité d’événements etc.) 
  • Systèmes de surveillance, y compris les alarmes et, le cas échéant, la surveillance CCTV
  • Politiques de bureaux rangés et contrôles en place (verrouillage des ordinateurs non surveillés, classeurs verrouillés, etc.)  
  • Gestion d’accès des visiteurs
  • Destruction de données sur des supports physiques et des documents (déchiquetage, démagnétisation, etc.) 

  Contrôle d’accès et prévention d’accès non autorisé 

  • Restrictions d'accès utilisateur appliquées et autorisations d'accès basées sur les rôles fournis/révisés selon le principe de séparation des tâches
  • Méthodes d’authentification et d’autorisation sécurisées (Authentification multifactorielle, autorisation basée sur un certificat, désactivation/déconnexion automatique, etc.) 
  • Gestion de mot de passe centralisée et politiques de mots de passe forts/complexes (nombre de caractères ou complexité des caractères minimum, expiration de mots passe, etc.)   
  • Accès contrôlé aux e-mails et à Internet
  • Gestion antivirus
  • Système de gestion de la prévention des intrusions

Chiffrement   

  • Chiffrement de la communication externe et interne via des protocoles cryptographiques forts
  • Chiffrement des données PII/SPII au repos (bases de données, répertoires partagés, etc.)   
  • Chiffrement de disque complet pour les PC et les portables de l’entreprise
  • Chiffrement des médias de stockage
  • Les connexions à distance aux réseaux de l'entreprise sont chiffrées par VPN
  • Sécurisation du cycle de vie des clés de chiffrement

 Minimisation des données    

  • Minimisation PII/SPI dans les applications, le débogage et les journaux de sécurité
  • Utilisation de pseudonymes dans les données personnelles pour empêcher l'identification directe d'un individu
  • Séparation des données stockées par fonction (test, développement, en ligne)
  • Séparation logique des données par droits d'accès basés sur les rôles
  • Durée de conservation des données définie pour les données personnelles

Tests de sécurité     

  • Test de pénétration pour les réseaux et plates-formes d'entreprise critiques hébergeant des données personnelles
  • Vérifications régulières de réseau et de vulnérabilités

2. Intégrité. « L'intégrité consiste à assurer l'exactitude (intégrité) des données et le bon fonctionnement des systèmes. Lorsque le terme intégrité est utilisé en relation avec le terme « données », il exprime le fait que les données sont complètes et inchangées. »  

Des contrôles appropriés de changement et de gestion des journaux sont en place, en plus des contrôles d'accès pour pouvoir maintenir l'intégrité des données personnelles telles que :    

Gestion des modifications et des versions    

  • Processus de gestion des modifications et des versions, y compris (analyse d'impact, approbations, tests, avis de sécurité, mise en scène, surveillance, etc.)  
  • Provision d’accès basée sur les rôles et les fonctions (ségrégations des tâches) sur les environnements de production

Journalisation et surveillance

  • Enregistrement dans les journaux des accès et changements aux données
  • Audit et journaux de sécurité centralisés
  • Contrôle de l'exhaustivité et de l'exactitude du transfert de données (contrôle de bout en bout)

3. Disponibilité. « La disponibilité des services et des systèmes informatiques, des applications informatiques et des fonctions de réseau informatique ou d'information est garantie, si les utilisateurs sont en mesure de les utiliser comme prévu à tout moment. »    

Nous mettons en œuvre des mesures de continuité et de sécurité appropriées pour maintenir la disponibilité de ses services et des données résidant dans ces services :    

  • Tests de basculement réguliers appliqués aux services critiques
  • Surveillance et rapports complets des performances/de la disponibilité pour les systèmes critiques
  • Programme de réponse aux incidents de sécurité
  • Données critiques soit dupliquées ou sauvegardées (Sauvegardes cloud/Disques dur/Duplication de base de données, etc.) 
  • Entretien planifié de logiciels, d’infrastructure et de sécurité en place (Mises à jour logiciels et de sécurité etc.)   
  • Systèmes redondants et résilients (grappes de serveurs, bases de données en miroir, configurations à haute disponibilité, etc.) situés sur des emplacements hors site et/ou séparés géographiquement
  • Utilisation d'alimentation sans interruption, défaillance de matériel et de systèmes réseau redondants
  • Systèmes d’alarme et de sécurité en place
  • Mesures de protection physique en place pour les sites critiques (protection contre les surtensions, sols surélevés, systèmes de refroidissement, détecteurs d'incendie et/ou de fumée, systèmes d'extinction d'incendie, etc.) 
  • Protection DDoS pour maintenir la disponibilité
  • Tests de charge et de stress

4Instructions de traitement de données. « Les instructions de traitement de données visent à garantir que les données personnelles ne seront traitées que conformément aux instructions du responsable du traitement et aux mesures prises par l'entreprise. »  

Nous avons établi des politiques et des accords de confidentialité internes et menons des formations régulières sur la confidentialité pour les employés afin de garantir le traitement des données personnelles en accord avec les préférences et instructions des clients.   

  • Modalités de vie privée et de confidentialité en place dans les contrats des employés
  • Formations régulières sur la confidentialité et la sécurité des données pour les employés
  • Dispositions contractuelles appropriées concernant les accords avec les sous-traitants pour gérer les droits de contrôle éducatifs
  • Contrôles de confidentialité réguliers pour les fournisseurs de services externes 
  • Fournir aux clients un contrôle total sur leurs préférences en matière de traitement des données
  • Audits de sécurité réguliers

**********************************************

Annexe 3

Voir la Section 9.2 de l’Addenda pour l’applicabilité de ces SCC

Clauses contractuelles standard (processeurs)

Aux fins de l'Article 26(2) de la directive 95/46/EC relative au transfert de données personnelles à des sous-traitants établis dans des pays tiers n'assurant pas un niveau adéquat de protection des données

L'entité identifiée comme « Client » dans l'addenda
(l’« l’exportateur de données »)

et

GoDaddy.com, LLC

 (l’« importateur de données »)

chacun est un « parti »; ensemble « les parties »,

ONT CONVENU des clauses contractuelles suivantes (les Clauses) afin de fournir des garanties adéquates en matière de protection de la vie privée et des droits et libertés fondamentaux des personnes pour le transfert par l'exportateur de données à l'importateur des données personnelles spécifiées à l'Annexe 1.

Clause 1

Définitions

Aux fins des Clauses :

(a) « données personnelles », « catégories spéciales de données », « traitement », « contrôleur », « processeur », « sujet de données » et « autorité de surveillance » s'entend au sens de la directive 95/46/EC du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données;

(b) _« l’exportateur de données »/md> signifie le contrôleur qui transfère les données personnelles;

(c) « l'importateur de données » désigne le sous-traitant qui accepte de recevoir les données personnelles de l'exportateur de données destinées à être traitées en son nom après le transfert conformément à ses instructions et aux conditions de les Clauses et qui n'est pas soumis au système d'un pays tiers assurant une protection adéquate au sens de l'article 25(1) de la Directive 95/46 /EC;

(d) « sous-traitant » désigne tout processeur engagé par l'importateur de données ou tout autre sous-traitant de l'importateur de données qui accepte de recevoir de l'importateur de données ou de tout autre sous-traitant de l’importateur de données des données personnelles exclusivement destinées au traitement des activités à effectuer pour le compte de l'exportateur de données après le transfert, conformément à ses instructions, aux termes des Clauses et aux termes du contrat de sous-traitance;

(e)  « la loi applicable sur la protection des données » veut dire la législation protégeant les droits et libertés fondamentaux des personnes et, en particulier, leur vie privée en ce qui concerne le traitement des données personnelles applicables au responsable du traitement des données de l'État membre dans lequel l'exportateur de données est établi;

(f) « mesures de sécurité techniques et organisationnelles » signifie les mesures visant à protéger les données personnelles contre la destruction accidentelle ou illicite ou la perte accidentelle, la modification, la divulgation ou l'accès non autorisés, en particulier lorsque le traitement implique la transmission de données sur un réseau et contre toutes les autres formes illégales de traitement.

Clause 2

Détails du transfert

Les détails du transfert et, en particulier, les catégories spéciales de données à caractère personnel, le cas échéant, sont précisés à l'Annexe 1, qui fait partie intégrante des clauses.

Clause 3

Clause de tiers bénéficiaires

1.  Le sujet de données peut appliquer contre l’exportateur de données cette Clause, Clause 4(b) à (i), Clause 5(a) à (e), et (g) à (j), Clause 6(1) et (2), Clause 7, Clause 8(2), et Clauses 9 à 12 comme bénéficiaire tiers.

2.  Le sujet de données peut opposer à l'importateur de données la présente Clause, la Clause 5(a) à (e) et (g), la Clause 6, la Clause 7, la Clause 8(2) et les Clauses 9 à 12, dans les cas où l'exportateur de données a effectivement disparu ou a cessé d'exister en droit, sauf si une entité remplaçante a assumé l'entière responsabilité légale de l'exportateur de données par contrat ou de plein droit, à la suite de laquelle elle assume les droits et obligations de l'exportateur de données, auquel cas le sujet des données peut les faire respecter à une telle entité.

3.  Le sujet de données peut opposer au sous-processeur la présente Clause, la Clause 5(a) à (e) et (g), la Clause 6, la Clause 7, la Clause 8(2) et les Clauses 9 à 12, dans les cas où l'exportateur de données et l’importateur de données ont effectivement disparu, cessé d'exister en droit ou sont devenus insolvables, sauf si une entité remplaçante a assumé l'entière responsabilité légale de l'exportateur de données par contrat ou de plein droit, à la suite de laquelle elle assume les droits et obligations de l'exportateur de données, auquel cas le sujet des données peut les faire respecter à une telle entité. Cette responsabilité du sous-traitant est limitée à ses propres opérations de traitement en vertu des clauses.

4.  Les parties ne s'opposent pas à ce qu'un sujet de données soit représentée par une association ou un autre organisme si le sujet de données le souhaite expressément et si la législation nationale le permet.

Clause 4

Obligations de l’exportateur de données

L’exportateur de données accepte et garantit :

(a) que le traitement, y compris le transfert proprement dit, des données à caractère personnel a été et continuera d'être effectué conformément aux dispositions pertinentes de la législation applicable en matière de protection des données (et, le cas échéant, a été notifié aux autorités compétentes des de l’État dans lequel l'exportateur de données est établi) et ne viole pas les dispositions pertinentes de cet État;

(b) qu'il a donné des instructions et qu’il donnera des instructions pendant toute la durée du traitement des données personnelles à l'importateur de données en ce qui concerne le traitement des données personnelles transférées uniquement au nom de l'exportateur de données et conformément à la loi sur la protection des données et aux Clauses;

(c) que l'importateur de données fournira des garanties suffisantes en ce qui concerne les mesures de sécurité techniques et organisationnelles spécifiées à l'Annexe 2 du présent contrat;

(d) qu'après l'évaluation des exigences de la loi sur la protection des données, les mesures de sécurité sont appropriées pour protéger les données personnelles contre toute destruction accidentelle ou illicite, perte, altération, divulgation ou accès non autorisés, en particulier lorsque le traitement implique la transmission de données sur un réseau, et contre toutes autres formes de traitement illicites, et que ces mesures assurent un niveau de sécurité approprié aux risques présentés par le traitement et la nature des données à protéger considérant l'état des technologies et le coût de leur mise en œuvre;

(e) qui assurera la conformité avec les mesures de sécurité;

(f) que, si le transfert implique des catégories particulières de données, le sujet de données a été informée ou sera informée avant, ou aussitôt que possible après le transfert, que ses données pourraient être transmises à un pays tiers ne fournissant pas une protection adéquate dans le contexte de la directive 95/46/EC;

(g) de transmettre à l'autorité de contrôle de la protection des données toute notification reçue de l'importateur de données ou de tout sous-traitant conformément à la clause 5(b) et à la clause 8(3) si l'exportateur de données décide de poursuivre le transfert ou de retirer la suspension;

(h) de mettre à la disposition des sujets de données, sur demande, une copie des clauses, à l'exception de l'Addenda 2, et une description sommaire des mesures de sécurité, ainsi qu'une copie de tout contrat de sous-traitance devant être effectué conformément aux Clauses, à moins que les Clauses ou le contrat contiennent des informations commerciales, auquel cas il peut retirer ces informations commerciales;

(i) que, en cas de sous-traitement, l'activité de traitement soit effectuée conformément à la Clause 11 par un sous-traitant fournissant au moins le même niveau de protection des données personnelles et les droits du sujet de données sous les clauses; et

(j) qu’il assurera la conformité avec La Clause 4(a) à (i);

Clause 51.

Obligations de l’importateur de données

L’importateur de données accepte et garantit :

(a) de traiter les données personnelles uniquement au nom de l'exportateur de données et conformément à ses instructions et aux clauses; s'il ne peut fournir une telle conformité pour quelque raison que ce soit, il s'engage à informer rapidement l'exportateur de données de son incapacité à se conformer, auquel cas l'exportateur de données est en droit de suspendre le transfert de données et/ou de résilier le contrat;

(b) qu'il n'a aucune raison de croire que la législation qui lui est applicable l'empêche de remplir les instructions reçues de l'exportateur de données et ses obligations contractuelles et qu'en cas de modification de cette législation susceptible d'avoir un effet défavorable important sur les garanties et obligations prévues par les Clauses, il notifiera rapidement le changement à l'exportateur de données dès qu'il en aura connaissance, auquel cas l'exportateur de données est en droit de suspendre le transfert de données et/ou résilier le contrat;

(c) qu'il a mis en œuvre les mesures de sécurité techniques et organisationnelles spécifiées à l'Annexe 2 avant de traiter les données personnelles transférées;

(d) qu'il notifiera rapidement à l'exportateur de données concernant :

(i) toute demande juridiquement contraignante de divulgation des données personnelles par une autorité d'application de la loi, sauf interdiction contraire, telle qu'une interdiction en vertu du droit pénal de préserver la confidentialité d'une enquête judiciaire;

(ii) tout accès accidentel ou non-autorisé, et

(iii) toute demande reçue directement des sujets de données sans répondre à cette demande, à moins d'avoir été autrement autorisée à le faire;

(e) de traiter rapidement et correctement toutes les demandes émanant de l'exportateur de données concernant le traitement des données à caractère personnel faisant l'objet du transfert et se conformer aux conseils de l'autorité de contrôle en ce qui concerne le traitement des données transférées;

(f) à la demande de l'exportateur de données de soumettre ses moyens de traitement des données pour l'audit des activités de traitement couvertes par les Clauses qui seront effectuées par l'exportateur de données ou un organisme d'inspection composé de membres indépendants et possédant les qualifications professionnelles requises liés par un devoir de confidentialité, choisi par l'exportateur de données, le cas échéant, en accord avec l'autorité de surveillance;

(g) mettre à la disposition de du sujet de données sur demande, une copie des clauses ou de tout contrat de sous-traitance existant, sauf si les clauses ou le contrat contiennent des informations commerciales, auquel cas elle peut supprimer ces informations commerciales, à l'exception de l'Annexe2 qui sera remplacée par une description résumée des mesures de sécurité dans les cas où le sujet de données n'est pas en mesure d'obtenir une copie de l'exportateur de données;

(h) qu'en cas de sous-traitement, il a préalablement informé l'exportateur de données et a obtenu son consentement écrit préalable;

(i) que les services de traitement du sous-traitant seront exécutés conformément à la Clause 11;

(j) envoyer promptement une copie de tout accord de sous-traitant conclu sous les clauses à l'exportateur de données.

Clause 6

Responsabilité

1.  Les parties conviennent que tout sujet de données qui a subi un préjudice du fait d'une violation des obligations visées à la Clause 3 ou à la Clause 11 par une partie ou un sous-traitant a le droit de recevoir une compensation de l'exportateur de données pour le préjudice subi.

2.  Si un sujet de données n'est pas en mesure de présenter une demande d'indemnisation conformément au paragraphe 1 contre l'exportateur de données, en raison d'une violation par l'importateur de données ou par son sous-traitant de l'une quelconque de leurs obligations mentionnées dans la Clause 3 ou la Clause 11, parce que l'exportateur de données a effectivement disparu ou a cessé d'exister en droit ou est devenu insolvable, l'importateur de données accepte que le sujet de données puisse adresser une réclamation à l'importateur de données comme s’il était l'exportateur de données, sauf si l’entité de succession a assumé les obligations légales complètes de l'exportateur de données par contrat de plein droit, auquel cas le sujet de données peut faire valoir ses droits à cette entité. L'importateur de données ne peut pas se fier sur une violation par un sous-traitant de ses obligations pour éviter ses propres responsabilités.

3.  Si un sujet de données n'est pas en mesure de déposer une plainte contre l'exportateur de données ou l'importateur de données visés aux paragraphes 1 et 2, résultant d'une violation par le sous-traitant de l'une de ses obligations visées à la Clause 3 ou à la Clause 11 parce que l'exportateur de données et l'importateur de données ont effectivement disparu ou ont cessé d'exister en droit ou sont devenus insolvables, le sous-traitant accepte que le sujet de données puisse formuler une réclamation contre le sous-traitant de données concernant ses propres opérations de traitement en vertu des clauses comme si elles étaient l'exportateur de données ou l'importateur de données, sauf si une entité remplaçante a assumé toutes les obligations légales de l'exportateur ou de l'importateur de données par contrat ou de plein droit, auquel cas le sujet de données peut faire valoir ses droits contre cette entité. La responsabilité du sous-traitant est limitée à ses propres opérations de traitement en vertu des clauses.

Clause 7

Médiation et juridiction

1.  L'importateur de données convient que si le sujet de données invoque contre elle des droits de bénéficiaire tiers et/ou demande une indemnisation pour les dommages en vertu des Clauses, l'importateur de données acceptera la décision du sujet de données :

(a) de renvoyer le différend en médiation, par une personne indépendante ou, le cas échéant, par l'autorité de surveillance;

(b) de renvoyer le litige devant les tribunaux de l'État membre dans lequel l'exportateur de données est établi.

2.  Les parties conviennent que le choix fait par le sujet de données ne portera pas préjudice à ses droits matériels ou procéduraux d'invoquer des mesures correctives conformément à d'autres dispositions du droit national ou international.

Clause 8

Coopérations avec des autorités de surveillance

1.  L'exportateur de données s'engage à déposer une copie de ce contrat auprès de l'autorité de surveillance si elle le demande ou si ce dépôt est requis en vertu de la loi sur la protection des données applicable.

2.  Les parties acceptent que l'autorité de surveillance a le droit d'effectuer une vérification de l'importateur de données et de tout sous-traitant qui a la même portée et qui est soumis aux mêmes conditions que celles qui s'appliquent à un audit de l'exportateur de données selon les données applicables loi de protection.

3.  L'importateur de données doit informer rapidement l'exportateur de données de l'existence d'une législation applicable à lui ou à tout sous-traitant empêchant la réalisation d'un audit de l'importateur de données ou de tout sous-traitant, conformément au paragraphe 2. Dans ce cas, l'exportateur de données est autorisé à prendre les mesures prévues à la Clause 5 (b).

Clause 9

Loi applicable

Les Clauses seront régies par la loi de l'État membre dans lequel l'exportateur de données est établi et, en cas de doute ou en cas de multiples exportateurs de données, seront régies par les lois d'Angleterre et du Pays de Galles. 

Clause 10

Variation du contrat

Les parties s'engagent à ne pas varier ou modifier les clauses. Cela n'empêche pas les parties d'ajouter des clauses sur des questions liées à leur activité, le cas échéant, pour autant qu'elles ne soient pas en contradiction avec la clause.

Clause 11

Sous-traitement

1.  L'importateur de données ne sous-traitera aucune de ses opérations de traitement effectuées pour le compte de l'exportateur de données en vertu des Clauses sans le consentement écrit préalable de l'exportateur de données. Lorsque l'importateur de données sous-traite ses obligations en vertu des Clauses, avec le consentement de l'exportateur de données, il le fait uniquement par accord écrit avec le sous-traitant qui impose au sous-traitant les mêmes obligations que celles imposées à l’importateur de données en vertu des Clauses. Si le sous-traitant ne remplit pas ses obligations en matière de protection des données en vertu d'un tel accord écrit, l'importateur de données reste entièrement responsable envers l'exportateur de données pour l'exécution des obligations du sous-traitant en vertu de cet accord.

2.  Le contrat écrit préalable entre l'importateur de données et le sous-traitant doit également prévoir une clause de bénéficiaire tiers, comme indiqué à la Clause 3, pour les cas où le sujet de données n'est pas en mesure de présenter la demande d'indemnisation visée au paragraphe 1 de l'article 6 contre l'exportateur de données ou l'importateur de données parce qu'ils ont effectivement disparu ou ont cessé d'exister en droit ou sont devenus insolvables et qu'aucune entité remplaçante n'a assumé l'intégralité des obligations légales de l'exportateur ou de l'importateur de données par contrat ou de plein droit. Cette responsabilité du sous-traitant est limitée à ses propres opérations de traitement en vertu des clauses.

3.  Les dispositions relatives à la protection des données relatives au sous-traitement du contrat visé au paragraphe 1 sont régies par la législation de l'État membre dans lequel l'exportateur de données est établi.

4.  L'exportateur de données doit conserver une liste des accords de sous-traitance conclus en vertu des Clauses et notifiés par l'importateur de données conformément à la Clause 5 (j), qui doit être mise à jour au moins une fois par an. La liste doit être mise à la disposition de l'autorité de contrôle de la protection des données de l'exportateur de données.

Clause 12

Obligation suivant la fin des services de traitement des données personnelles

1.  Les parties conviennent qu'à la cessation des services de traitement de données, l'importateur et le sous-traitant doivent, au choix de l'exportateur de données, retourner toutes les données personnelles transférées et leurs copies à l'exportateur de données ou détruire tous les données personnelles et certifier à l'exportateur de données qu'il l'a fait, à moins que la législation imposée à l'importateur de données ne l'empêche de retourner ou de détruire tout ou partie des données personnelles transférées. Dans ce cas, l'importateur de données garantit qu'il garantira la confidentialité des données personnelles transférées et ne traitera plus activement les données personnelles transférées.

2.  L'importateur de données et le sous-traitant garantissent qu'à la demande de l'exportateur de données et/ou de l'autorité de contrôle, il soumettra ses installations de traitement des données à un audit des mesures mentionnées au paragraphe 1.

**********************************************

Annexe 1 aux clauses contractuelles standards

Exportateur de données

L'exportateur de données est l'entité identifiée comme « Client » dans l’Addenda

importateur de données

L'importateur de données est GoDaddy.com, LLC , un fournisseur de services hébergés.

Sujet de données

Les opérations de traitement sont définies à la section 1.3 et à l'annexe 1 de l'Addenda.

Catégories de données

Les opérations de traitement sont définies à la section 1.3 et à l'annexe 1 de l'Addenda.

Opérations de traitement

Les opérations de traitement sont définies à la section 1.3 et à l'annexe 1 de l'Addenda.

Annexe 2 aux clauses contractuelles standards

Cette annexe fait partie des clauses.  En achetant les Services couverts de GoDaddy, l'Addenda et la présente Annexe 2 sont réputés comme acceptés et exécutés par et entre les parties.

Description des mesures de sécurité techniques et organisationnelles mises en œuvre par l'importateur de données conformément aux clauses 4(d) et 5(c) (ou document/législation ci-joint) :

Les mesures de sécurité techniques et organisationnelles mises en œuvre par l'importateur de données sont décrites dans l'addenda, en particulier à l'annexe 2, qui y est incorporée et jointe.


1             Exigences obligatoires de la législation nationale applicable à l'importateur de données qui n'excèdent pas ce qui est nécessaire dans une société démocratique sur la base de l'un des intérêts énumérés à l'Article 13(1), de la directive 95/46 /EC, à savoir si elles constituent une mesure nécessaire pour sauvegarder la sécurité nationale, la défense, la sécurité publique, la prévention, la recherche, la détection et la poursuite d'infractions pénales ou de déontologie pour les professions réglementées, un intérêt économique ou financier important de l'État ou la protection des sujets de données ou les droits et libertés d'autrui, ne sont pas en contradiction avec les clauses contractuelles standard. Certains exemples de telles exigences obligatoires qui n'excèdent pas ce qui est nécessaire dans une société démocratique sont, entre autres, les sanctions internationalement reconnues, les exigences en matière de déclaration fiscale ou les exigences de déclaration anti-blanchiment d'argent._

Révisé : 2019-01-29
Copyright © 2019 GoDaddy.com, LLC Tous droits réservés.