Accord de traitement des données

Termes clés

Terme	Valeur
Accord	Ce DPA complète le Terms of Service
Sous-traitants agréés	Cloudflare (États-Unis ; fournisseur DNS, réseau et sécurité), DataPacket (États-Unis/Royaume-Uni ; fournisseur d'hébergement), Digital Ocean (États-Unis ; fournisseur d'hébergement), Vultr (États-Unis ; fournisseur d'hébergement), Stripe (États-Unis ; processeur de paiement), PayPal (États-Unis ; processeur de paiement)
Contact de sécurité du fournisseur	security@forwardemail.net
Politique de sécurité	Voir our Security Policy on GitHub
État au pouvoir	L'État du Delaware, États-Unis

Modifications apportées à l'accord

Ce document est un dérivé de Conditions générales de la DPA (version 1.0) et les modifications suivantes ont été apportées :

1. Loi applicable et tribunaux choisis a été inclus comme section ci-dessous avec Governing State identifié ci-dessus.
2. Relation avec le prestataire de services a été inclus comme section ci-dessous.

1. Relations entre processeur et sous-traitant

1. Fournisseur en tant que processeur

Dans les situations où le Client est un Responsable du traitement des Données Personnelles du Client, le Fournisseur sera considéré comme un Sous-traitant qui traite les Données Personnelles pour le compte du Client.

2. Fournisseur en tant que sous-traitant

Dans les situations où le Client est un sous-traitant des données personnelles du client, le Fournisseur sera considéré comme un sous-traitant des données personnelles du client.

2. Traitement de

1. Détails du traitement

L'annexe I(B) de la page de couverture décrit l'objet, la nature, la finalité et la durée de ce traitement, ainsi que les catégories de données personnelles collectées et les catégories de personnes concernées.

2. Instructions de traitement

Le Client demande au Fournisseur de traiter les Données personnelles du Client : (a) pour fournir et maintenir le Service ; (b) comme cela peut être spécifié ultérieurement par l'utilisation du Service par le Client ; (c) comme documenté dans le Contrat ; et (d) comme documenté dans toute autre instruction écrite donnée par le Client et reconnue par le Fournisseur concernant le Traitement des Données personnelles du Client en vertu du présent DPA. Le Fournisseur se conformera à ces instructions, sauf si les lois applicables l'interdisent. Le Fournisseur informera immédiatement le Client s'il n'est pas en mesure de suivre les instructions de Traitement. Le Client a donné et ne donnera que des instructions conformes aux lois applicables.

3. Traitement par le fournisseur

Le Fournisseur traitera uniquement les Données Personnelles du Client conformément au présent DPA, y compris les informations figurant sur la Page de Couverture. Si le Fournisseur met à jour le Service pour mettre à jour des produits, fonctionnalités ou caractéristiques existants ou en inclure de nouveaux, il peut modifier les Catégories de Personnes Concernées, les Catégories de Données Personnelles, les Données de Catégorie Spéciale, les Restrictions ou Garanties des Données de Catégorie Spéciale, la Fréquence de Transfert, la Nature et la Finalité du Traitement et la Durée du Traitement, selon les besoins, afin de refléter les mises à jour en informant le Client des mises à jour et des modifications.

4. Traitement client

Lorsque le Client est un Sous-traitant et le Fournisseur un Sous-traitant ultérieur, le Client se conformera à toutes les lois applicables au Traitement des Données Personnelles du Client par le Client. L'accord du Client avec son Responsable du Traitement exigera également que le Client se conforme à toutes les lois applicables qui lui sont applicables en tant que Sous-traitant. De plus, le Client se conformera aux exigences du Sous-traitant ultérieur prévues dans l'accord du Client avec son Responsable du Traitement.

5. Consentement au traitement

Le Client a respecté et continuera de respecter toutes les lois applicables en matière de protection des données concernant la fourniture de données personnelles du client au Fournisseur et/ou au Service, y compris en effectuant toutes les divulgations, en obtenant tous les consentements, en offrant un choix adéquat et en mettant en œuvre les garanties pertinentes requises par les lois applicables en matière de protection des données.

6. Sous-traitants

a. Le Fournisseur ne fournira, ne transférera ni ne transmettra aucune donnée personnelle du Client à un Sous-traitant ultérieur, sauf si le Client l'a approuvé. La liste actuelle des Sous-traitants ultérieurs approuvés comprend l'identité des Sous-traitants ultérieurs, leur pays d'implantation et leurs tâches de Traitement prévues. Le Fournisseur informera le Client par écrit au moins 10 jours ouvrés à l'avance de toute modification prévue des Sous-traitants ultérieurs approuvés, que ce soit par ajout ou remplacement d'un Sous-traitant ultérieur, ce qui lui permettra de disposer de suffisamment de temps pour s'opposer à ces modifications avant que le Fournisseur ne commence à utiliser le(s) nouveau(x) Sous-traitant(s). Le Fournisseur fournira au Client les informations nécessaires pour lui permettre d'exercer son droit d'opposition à la modification des Sous-traitants ultérieurs approuvés. Le Client dispose de 30 jours après notification d'une modification des Sous-traitants agréés pour s'y opposer. À défaut, il sera réputé accepter les modifications. Si le Client s'oppose à la modification dans les 30 jours suivant la notification, le Client et le Fournisseur coopéreront de bonne foi pour résoudre l'objection ou la préoccupation du Client.

b. Lors de l'engagement d'un sous-traitant, le fournisseur aura un accord écrit avec le sous-traitant qui garantit que le sous-traitant accède et utilise uniquement les données personnelles du client (i) dans la mesure requise pour exécuter les obligations qui lui sont sous-traitées, et (ii) conformément aux termes de l'accord.

c. Si le RGPD s'applique au traitement des données personnelles des clients, (i) les obligations en matière de protection des données décrites dans le présent APD (telles que visées à l'article 28(3) du RGPD, le cas échéant) sont également imposées au sous-traitant ultérieur, et (ii) l'accord du prestataire avec le sous-traitant ultérieur intégrera ces obligations, y compris les détails sur la manière dont le prestataire et son sous-traitant ultérieur se coordonneront pour répondre aux demandes de renseignements ou aux requêtes concernant le traitement des données personnelles des clients. En outre, le prestataire partagera, à la demande du client, une copie de ses accords (y compris toute modification) avec ses sous-traitants ultérieurs. Dans la mesure nécessaire à la protection des secrets d'affaires ou d'autres informations confidentielles, y compris les données personnelles, le prestataire peut rédiger le texte de son accord avec son sous-traitant ultérieur avant d'en partager une copie.

d. Le Fournisseur reste entièrement responsable de toutes les obligations sous-traitées à ses sous-traitants, y compris les actes et omissions de ses sous-traitants dans le traitement des données personnelles du client. Le Fournisseur informera le client de tout manquement de ses sous-traitants à une obligation matérielle concernant les données personnelles du client en vertu de l'accord entre le Fournisseur et le sous-traitant.

3. Transferts restreints

1. Autorisation

Le Client accepte que le Prestataire puisse transférer ses Données Personnelles hors de l'EEE, du Royaume-Uni ou de tout autre territoire géographique concerné, si nécessaire à la fourniture du Service. Si le Prestataire transfère ses Données Personnelles vers un territoire pour lequel la Commission européenne ou une autre autorité de contrôle compétente n'a pas émis de décision d'adéquation, il mettra en œuvre les garanties appropriées pour le transfert des Données Personnelles vers ce territoire, conformément aux lois applicables en matière de protection des données.

2. Transferts hors EEE

Le Client et le Fournisseur conviennent que si le RGPD protège le transfert des Données Personnelles du Client, que ce transfert s'effectue du Client depuis l'EEE vers le Fournisseur hors de l'EEE et qu'il n'est pas régi par une décision d'adéquation de la Commission européenne, alors, en concluant le présent ATD, le Client et le Fournisseur sont réputés avoir signé les CCT de l'EEE et leurs annexes, qui sont incorporées par référence. Un tel transfert est effectué conformément aux CCT de l'EEE, qui sont complétées comme suit :

a. Le module deux (du responsable du traitement au sous-traitant) des SCC de l'EEE s'applique lorsque le client est un responsable du traitement et que le fournisseur traite les données personnelles du client pour le client en tant que sous-traitant.

b. Le module trois (Sous-traitant à sous-traitant) des SCC de l'EEE s'applique lorsque le Client est un sous-traitant et que le Fournisseur traite les données personnelles du client pour le compte du Client en tant que sous-traitant.

c. Pour chaque module, les dispositions suivantes s'appliquent (le cas échéant) :

1. La clause d’amarrage facultative de l’article 7 ne s’applique pas ;

2. Dans la clause 9, l’option 2 (autorisation écrite générale) s’applique, et le délai minimum de préavis des changements de sous-traitant est de 10 jours ouvrables ;

3. Dans l’article 11, le langage facultatif ne s’applique pas ;

4. Tous les crochets de l’article 13 sont supprimés ;

5. Dans la clause 17 (option 1), les SCC de l'EEE seront régies par les lois de l'État membre régissant ;

6. Dans la clause 18(b), les litiges seront résolus devant les tribunaux de l'État membre régissant ; et

7. La page de couverture du présent DPA contient les informations requises à l'annexe I, à l'annexe II et à l'annexe III des CCT de l'EEE.

3. Transferts hors Royaume-Uni

Le Client et le Fournisseur conviennent que si le RGPD britannique protège le transfert des Données personnelles du Client, que ce transfert est effectué du Client depuis le Royaume-Uni vers le Fournisseur hors du Royaume-Uni et qu'il n'est pas régi par une décision d'adéquation prise par le Secrétaire d'État du Royaume-Uni, alors, en concluant le présent ATD, le Client et le Fournisseur sont réputés avoir signé l'Avenant britannique et ses annexes, qui sont incorporés par référence. Tout transfert de ce type est effectué conformément à l'Avenant britannique, qui est complété comme suit :

a. La section 3.2 du présent DPA contient les informations requises dans le tableau 2 de l’addendum du Royaume-Uni.

b. Le tableau 4 de l'addendum du Royaume-Uni est modifié comme suit : Aucune des parties ne peut mettre fin à l'addendum du Royaume-Uni comme indiqué dans la section 19 de l'addendum du Royaume-Uni ; dans la mesure où l'ICO publie un addendum approuvé révisé en vertu de la section 18 de l'addendum du Royaume-Uni, les parties travailleront de bonne foi pour réviser le présent DPA en conséquence.

c. La page de couverture contient les informations requises par l’annexe 1A, l’annexe 1B, l’annexe II et l’annexe III de l’addendum du Royaume-Uni.

4. Autres transferts internationaux

Pour les transferts de données personnelles lorsque le droit suisse (et non le droit d'un État membre de l'EEE ou du Royaume-Uni) s'applique à la nature internationale du transfert, les références au RGPD dans la clause 4 des SCC de l'EEE sont, dans la mesure où la loi l'exige, modifiées pour faire référence à la loi fédérale suisse sur la protection des données ou à son successeur, et le concept d'autorité de contrôle inclura le Préposé fédéral suisse à la protection des données et à la transparence.

4. Réponse aux incidents de sécurité

1. Dès qu'il aura connaissance d'un incident de sécurité, le Fournisseur devra : (a) informer le Client sans délai excessif lorsque cela est possible, mais au plus tard 72 heures après avoir pris connaissance de l'incident de sécurité ; (b) fournir des informations en temps opportun sur l'incident de sécurité dès qu'elles seront connues ou selon ce que le Client demandera raisonnablement ; et (c) prendre rapidement des mesures raisonnables pour contenir l'incident de sécurité et enquêter sur celui-ci. La notification ou la réponse du Fournisseur à un incident de sécurité, telle que requise par le présent DPA, ne sera pas interprétée comme une reconnaissance par le Fournisseur de toute faute ou responsabilité pour l'incident de sécurité.

5. Audit et rapports

1. Droits d'audit

Le Fournisseur fournira au Client toutes les informations raisonnablement nécessaires pour démontrer sa conformité au présent ATD et autorisera et contribuera aux audits, y compris les inspections par le Client, afin d'évaluer sa conformité au présent ATD. Cependant, le Fournisseur peut restreindre l'accès aux données ou aux informations si l'accès du Client à ces informations aurait un impact négatif sur ses droits de propriété intellectuelle, ses obligations de confidentialité ou d'autres obligations en vertu des lois applicables. Le Client reconnaît et accepte qu'il n'exercera ses droits d'audit en vertu du présent ATD et tout droit d'audit accordé par les lois applicables sur la protection des données qu'en demandant au Fournisseur de se conformer aux exigences de reporting et de diligence raisonnable ci-dessous. Le Fournisseur conservera des enregistrements de sa conformité au présent ATD pendant 3 ans après l'expiration du présent ATD.

2. Rapports de sécurité

Le Client reconnaît que le Fournisseur est régulièrement audité par des auditeurs tiers indépendants conformément aux normes définies dans la Politique de sécurité. Sur demande écrite, le Fournisseur lui fournira, à titre confidentiel, un résumé de son rapport en vigueur afin qu'il puisse vérifier sa conformité aux normes définies dans la Politique de sécurité.

3. Diligence raisonnable en matière de sécurité

Outre le Rapport, le Fournisseur répondra aux demandes d'informations raisonnables formulées par le Client afin de confirmer sa conformité au présent DPA, notamment en répondant aux questionnaires de sécurité de l'information, de diligence raisonnable et d'audit, ou en fournissant des informations complémentaires sur son programme de sécurité de l'information. Toutes ces demandes doivent être formulées par écrit et adressées au Contact Sécurité du Fournisseur et ne peuvent être formulées qu'une fois par an.

6. Coordination et coopération

1. Réponse aux demandes de renseignements

Si le Fournisseur reçoit une demande de renseignements ou une requête de la part d'une autre personne concernant le traitement des données personnelles du Client, il en informera le Client et n'y répondra pas sans son consentement préalable. Parmi ces demandes, on peut citer une ordonnance d'un organisme judiciaire, administratif ou réglementaire concernant les données personnelles du Client, lorsque la notification du Client n'est pas interdite par la loi applicable, ou une demande d'une personne concernée. Si la loi applicable l'autorise, le Fournisseur suivra les instructions raisonnables du Client concernant ces demandes, notamment en lui fournissant des mises à jour de statut et d'autres informations raisonnablement demandées par le Client. Si une personne concernée fait une demande valide en vertu des lois applicables en matière de protection des données pour supprimer ou refuser que le Client fournisse des Données personnelles du Client au Fournisseur, le Fournisseur aidera le Client à répondre à la demande conformément à la loi applicable en matière de protection des données. Le Fournisseur coopérera avec le Client et lui fournira une assistance raisonnable, aux frais du Client, dans toute réponse juridique ou autre action procédurale entreprise par le Client en réponse à une demande d'un tiers concernant le Traitement des Données personnelles du Client par le Fournisseur en vertu du présent DPA.

2. DPIA et DTIA

Si les lois applicables en matière de protection des données l'exigent, le Fournisseur aidera raisonnablement le Client à effectuer les évaluations d'impact sur la protection des données ou les évaluations d'impact sur le transfert de données et les consultations avec les autorités compétentes en matière de protection des données, en tenant compte de la nature du traitement et des données personnelles du client.

7. Suppression des données personnelles du client

1. Suppression par le client

Le Fournisseur permettra au Client de supprimer les Données Personnelles du Client d'une manière compatible avec la fonctionnalité des Services. Le Fournisseur se conformera à cette instruction dès que raisonnablement possible, sauf si un stockage supplémentaire des Données Personnelles du Client est requis par la Loi Applicable.

2. Suppression à l'expiration du DPA

a. Après l'expiration du DPA, le Fournisseur restituera ou supprimera les Données Personnelles du Client selon les instructions du Client, sauf si un stockage supplémentaire des Données Personnelles du Client est requis ou autorisé par la Loi Applicable. Si la restitution ou la destruction est impossible ou interdite par la Loi Applicable, le Fournisseur mettra en œuvre des efforts raisonnables pour empêcher tout traitement supplémentaire des Données Personnelles du Client et continuera de protéger les Données Personnelles du Client restant en sa possession, sous sa garde ou son contrôle. Par exemple, la Loi Applicable peut obliger le Fournisseur à continuer d'héberger ou de traiter les Données Personnelles du Client.

b. Si le Client et le Fournisseur ont conclu les SCC de l'EEE ou l'Addendum du Royaume-Uni dans le cadre du présent DPA, le Fournisseur ne fournira au Client la certification de suppression des Données personnelles décrite dans la Clause 8.1(d) et la Clause 8.5 des SCC de l'EEE que si le Client en fait la demande.

8. Limitation de responsabilité

1. Plafonds de responsabilité et renonciation aux dommages

Dans la mesure maximale autorisée par les lois applicables en matière de protection des données, la responsabilité cumulative totale de chaque partie envers l'autre partie découlant du présent DPA ou liée à celui-ci sera soumise aux renonciations, exclusions et limitations de responsabilité énoncées dans l'Accord.

2. Réclamations entre parties liées

Toute réclamation formulée contre le Fournisseur ou ses sociétés affiliées découlant du présent DPA ou en relation avec celui-ci ne peut être déposée que par l'entité Client qui est partie au Contrat.

3. Exceptions

1. Le présent ATD ne limite aucune responsabilité envers une personne quant à ses droits en matière de protection des données en vertu des lois applicables en matière de protection des données. De plus, le présent ATD ne limite aucune responsabilité entre les parties en cas de violation des CCT de l'EEE ou de l'addendum britannique.

9. Conflits entre documents

1. Le présent ATD fait partie intégrante de l'Accord et le complète. En cas d'incohérence entre le présent ATD, l'Accord ou l'une de leurs parties, la partie mentionnée précédemment prévaudra sur la partie mentionnée ultérieurement : (1) les CCT de l'EEE ou l'Addendum britannique, (2) le présent ATD, puis (3) l'Accord.

10. Durée de l'accord

Le présent Accord sur la protection des données entrera en vigueur dès que le Fournisseur et le Client auront convenu d'une page de couverture et signé ou accepté électroniquement le Contrat. Il restera en vigueur jusqu'à son expiration ou sa résiliation. Toutefois, le Fournisseur et le Client resteront soumis aux obligations du présent Accord sur la protection des données et aux lois applicables en matière de protection des données jusqu'à ce que le Client cesse de transférer ses Données personnelles au Fournisseur et que le Fournisseur cesse de les traiter.

11. Loi applicable et tribunaux choisis

Nonobstant le droit applicable ou les clauses similaires du Contrat, toute interprétation et tout litige relatif au présent ATD seront régis par le droit de l'État compétent, sans égard à ses dispositions relatives aux conflits de lois. En outre, et nonobstant les clauses de choix du for, de compétence ou autres clauses similaires du Contrat, les parties conviennent d'intenter toute action en justice, procédure ou procédure relative au présent ATD devant les tribunaux de l'État compétent, et chaque partie se soumet irrévocablement à la compétence exclusive de ces tribunaux.

12. Relation avec le fournisseur de services

Dans la mesure où la loi californienne sur la protection de la vie privée des consommateurs, Cal. Civ. Code § 1798.100 et suivants (« CCPA ») s'applique, les parties reconnaissent et conviennent que le Fournisseur est un prestataire de services et reçoit des Données personnelles du Client pour fournir le Service comme convenu dans le Contrat, ce qui constitue un objectif commercial. Le Fournisseur ne vendra aucune Donnée personnelle fournie par le Client dans le cadre du Contrat. De plus, le Fournisseur ne conservera, n'utilisera ni ne divulguera aucune Donnée personnelle fournie par le Client dans le cadre du Contrat, sauf si cela est nécessaire à la fourniture du Service pour le Client, comme indiqué dans le Contrat, ou comme autorisé par les lois applicables en matière de protection des données. Le Fournisseur certifie qu'il comprend les restrictions de ce paragraphe.

13. Définitions

1. « Lois applicables » désigne les lois, règles, règlements, ordonnances judiciaires et autres exigences contraignantes d’une autorité gouvernementale compétente qui s’appliquent à une partie ou la régissent.

2. « Lois applicables en matière de protection des données » désigne les lois applicables qui régissent la manière dont le Service peut traiter ou utiliser les informations personnelles, les données personnelles, les informations personnellement identifiables ou tout autre terme similaire d'un individu.

3. « Responsable du traitement » aura la ou les significations données dans les lois applicables en matière de protection des données pour la société qui détermine la finalité et l'étendue du traitement des données personnelles.

4. « Page de couverture » désigne un document signé ou accepté électroniquement par les parties qui intègre les présentes Conditions générales DPA et identifie le Fournisseur, le Client, ainsi que l'objet et les détails du traitement des données.

5. « Données personnelles du client » désigne les données personnelles que le client télécharge ou fournit au fournisseur dans le cadre du service et qui sont régies par le présent DPA.

6. « DPA » désigne les présentes Conditions générales DPA, la page de couverture entre le Fournisseur et le Client, ainsi que les politiques et documents référencés ou joints à la page de couverture.

7. « CSC EEE » désigne les clauses contractuelles types annexées à la décision d'exécution 2021/914 de la Commission européenne du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil européen.

8. « Espace économique européen » ou « EEE » désigne les États membres de l’Union européenne, la Norvège, l’Islande et le Liechtenstein.

9. « RGPD » désigne le règlement de l'Union européenne 2016/679 tel que mis en œuvre par la législation locale dans le pays membre concerné de l'EEE.

10. « Données personnelles » aura la ou les significations données dans les lois applicables en matière de protection des données pour les informations personnelles, les données personnelles ou tout autre terme similaire.

11. « Traitement » ou « Traiter » aura la ou les significations données dans les lois applicables en matière de protection des données pour toute utilisation ou exécution d'une opération informatique sur des données personnelles, y compris par des méthodes automatiques.

12. « Sous-traitant » aura la ou les significations données dans les lois applicables en matière de protection des données pour la société qui traite les données personnelles pour le compte du responsable du traitement.

13. « Rapport » désigne les rapports d’audit préparés par une autre société conformément aux normes définies dans la politique de sécurité au nom du fournisseur.

14. « Transfert restreint » désigne (a) lorsque le RGPD s'applique, un transfert de données personnelles de l'EEE vers un pays extérieur à l'EEE qui n'est pas soumis à une détermination d'adéquation par la Commission européenne ; et (b) lorsque le RGPD du Royaume-Uni s'applique, un transfert de données personnelles du Royaume-Uni vers tout autre pays qui n'est pas soumis aux réglementations d'adéquation adoptées conformément à l'article 17A de la loi britannique sur la protection des données de 2018.

15. « Incident de sécurité » désigne une violation de données personnelles telle que définie à l'article 4 du RGPD.

16. « Service » désigne le produit et/ou les services décrits dans le Contrat.

17. « Données de catégorie spéciale » aura la signification donnée à l’article 9 du RGPD.

18. « Sous-traitant » aura la ou les significations données dans les lois applicables en matière de protection des données pour une société qui, avec l'approbation et l'acceptation du responsable du traitement, aide le sous-traitant à traiter les données personnelles pour le compte du responsable du traitement.

19. « RGPD britannique » désigne le règlement de l'Union européenne 2016/679 tel que mis en œuvre par l'article 3 de la loi de 2018 sur le retrait de l'Union européenne au Royaume-Uni.

20. « Addendum du Royaume-Uni » désigne l'addendum international sur le transfert de données aux SCC de l'EEE publié par le Commissaire à l'information pour les parties effectuant des transferts restreints en vertu de l'article 119A(1) de la loi de 2018 sur la protection des données.

Crédits

Ce document est un dérivé de Conditions générales de la DPA (version 1.0) et est sous licence CC BY 4.0.