GoDaddy
ADDENDA DE TRAITEMENT DE DONNÉES (CLIENTS)
Cet addenda de traitement de données (l’« Addenda ») est exécuté par et entre GoDaddy.com, LLC, a Delaware limited liability company et ses affiliés (« GoDaddy ») et vous (« Client ») et est annexé et complémente nos Conditions universelles de service, notre Politique de confidentialité et tous les accords régissant les Services couverts (collectivement, les « Conditions de service »). Sauf définition contraire du présent addenda, tous les termes commençant par une majuscule qui ne sont pas définis dans le présent addenda auront le sens qui leur est donné dans les Conditions d'utilisation.
1. Définitions
1. Définitions. Sauf définition contraire dans les Lois applicables en matière de protection de la confidentialité des données (tel que défini ci-dessous), les termes commençant par une majuscule répertoriés dans cette Section ont les significations suivantes :
1.1 « Affilié » désigne une entité qui contrôle ou est sous contrôle commun avec une Partie. « Contrôle » désigne la propriété directe ou indirecte, ou le contrôle d’au moins cinquante pour cent (50 %) des droits de vote d’une entité.
1.2. « Représentant du traitement » désigne la personne physique ou morale, l’autorité publique, l’agence ou tout autre organisme qui, seul ou conjointement avec les autres, détermine les objectifs et moyens de traitement des Données personnelles du client dans le cadre de l’Accord.
1.3 « Données personnelles du client » désigne toutes les Données personnelles (telles que définies ci-dessous) traitées par GoDaddy pour le compte du Client en lien avec l’utilisation des Services par le Client. Les Données personnelles du client n’incluent pas les Données de GoDaddy.
1.4 « Loi relative à la protection de la confidentialité des données » désigne toute loi ou réglementation applicable au traitement des Données personnelles du client dans le cadre de l’Accord.
1.5 « Personne concernée » désigne une personne physique identifiée ou identifiable à laquelle des Données personnelles spécifiques sont liées.
1.6 « Données dépersonnalisées » désigne des données qui ne peuvent pas raisonnablement identifier, faire le lien avec, décrire, être capable d’être associées avec ou être liées, directement ou indirectement, à une Personne concernée spécifique.
1.7 « Données de GoDaddy » désigne (a) toutes les informations relatives aux activités de GoDaddy et la fourniture des Services, notamment, mais sans s’y limiter, les Données personnelles concernant le Client et ses employés ou ses représentants, (b) les autres données concernant le compte du Client ou y afférentes, l’historique des transactions, l’utilisation des Services et la vérification de l’identité, et signifie qu’elles sont (c) soumises à toute restriction en vertu des Lois applicables en matière de protection de la confidentialité des données et de données dépersonnalisées.
1.8 « Données personnelles » désigne des informations liées à une personne physique identifiée ou identifiable, notamment des informations définies comme des Données personnelles, des Informations personnelles ou des Informations personnellement identifiables (« PII » pour « Personally Identifiable Information ») dans des Lois applicables en matière de protection de la confidentialité des données. Les Données personnelles n’incluent pas les Données dépersonnalisées.
1.10 « Sous-traitant » désigne une personne physique ou morale, une autorité publique, une agence ou un organisme qui traite des Données personnelles du client pour le compte d’un Responsable du traitement dans le cadre de cet Accord.
1.9 « Traitement » désigne toute opération effectuée sur les Données personnelles du client, telle que la collecte, l’utilisation, le stockage, la divulgation, l’analyse, la suppression ou la modification, qu’il s’agisse de moyens manuels ou automatisés.
1.11 Les « Données personnelles sensibles » désignent (a) numéro de sécurité sociale, numéro de passeport, numéro de permis de conduire ou tout autre identifiant similaire ; (b) numéro de carte de crédit ou de débit, informations financières, numéros de comptes bancaires ou mots de passe ; (c) informations relatives à l’emploi, aux finances, à la génétique, à la biométrie ou à la santé ; (d) affiliation raciale, ethnique, politique ou religieuse, appartenance syndicale ou informations sur la vie sexuelle ou l’orientation sexuelle ; (e) mots de passe de compte, nom de jeune fille de la mère ou date de naissance et autres informations similaires utilisée pour authentifier l’identité d’un utilisateur ; (f) casier judiciaire ; (g) données biométriques utilisées pour identifier une personne spécifique (p. ex., empreintes digitales) ; ou (h) toute autre information ou combinaison d’informations relevant de la définition des « catégories spéciales de données » en vertu de toute Loi applicable en matière de protection de la confidentialité des données.
1.12 « Services » désigne les produits ou services que GoDaddy a accepté de fournir conformément à l’Accord, qui impliquent le traitement des Données personnelles du client.
1.13 « Sous-traitant » désigne toute personne physique ou morale, autorité publique, agence ou tout organisme avec lequel GoDaddy conclut un contrat en vue du traitement des Données personnelles du client.
1.14 « Transfert » désigne (a) le transfert de Données personnelles du client du Responsable du traitement au Sous-traitant, qu’il s’agisse d’un transfert physique ou d’accorder l’accès aux Données personnelles du client détenues ou autrement contrôlées par le Responsable du traitement ou (b) un transfert ultérieur de Données personnelles du client d’un Responsable du traitement à un Sous-traitant (et tout transfert ultérieur suivant par un Sous-traitant à un autre Sous-traitant).
2. Traitement des données
2.1
Client en tant que Responsable du traitement ou que Sous-traitant
2.1.1 Lorsque le Client est Responsable du traitement, Il (a) est seul responsable de la définition des objectifs et des moyens de traitement des Données personnelles du client, (b) dispose de l’ensemble de l’autorité, des raisons, droits et autorisations nécessaires pour fournir des Données personnelles du client à GoDaddy et (c) se conformera à ses obligations en tant que Responsable du traitement dans le cadre des Lois applicables en matière de protection de la confidentialité des données.
2.1.2 Lorsque le Client est Sous-traitant, Il (a) est seul responsable de la conformité à son ou ses accord(s) avec le(s) Responsable(s) du traitement des données au nom du ou desquels le Client traite des Données personnelles du client ; (b) dispose de toutes les autorisations nécessaires octroyées par le Responsable du traitement de fournir des Données personnelles du client à GoDaddy, et (c) se conformera à ses obligations en tant que Sous-traitant dans le cadre des Lois applicables en matière de protection de la confidentialité des données.
2.2
GoDaddy en tant que Processeur ou Sous-traitant.
2.2.1 GoDaddy prendra toutes les mesures raisonnablement nécessaires pour permettre au Client de se conformer aux obligations du Client en tant que Responsable du traitement et/ou Sous-traitant dans le cadre des Lois applicables en matière de protection de la confidentialité des données conformément au caractère, à la nature, à la portée et à l’objectif des Services fournis par GoDaddy. Pour éviter tout doute, GoDaddy n’est pas tenu de prendre des mesures pour modifier ou rendre les Services de GoDaddy conformes à l’usage spécifique du Client. La seule solution du Client dans l’éventualité où les Services sont reconnus comme non conformes à l’usage spécifique du Client est la résiliation d’une partie de l’Accord liée au traitement des Données personnelles du client.
2.2.2 GoDaddy traitera les Données personnelles du client uniquement selon les instructions documentées aux fins limitées et spécifiques décrites dans l’Accord, le présent DPA ou tel que requis par la loi.
2.2.3 GoDaddy ne vendra, conservera, utilisera ou divulguera pas les Données personnelles du client dans un but commercial autre que la fourniture des Services.
2.2.4 GoDaddy ne traitera pas les Données personnelles du client en dehors de la relation professionnelle directe des Parties décrite dans l’Accord et le présent DPA.
2.2.5 GoDaddy ne combinera les Données personnelles du client à aucune autre donnée collectée par GoDaddy (directement ou via un quelconque tiers) d’aucune autre façon que celle autorisée dans le cadre de l’Accord.
2.2.6 GoDaddy cessera tout traitement et avertira le Client dans un délai de trois (3) jours ouvrables si GoDaddy : (a) pense qu’une instruction du Client enfreint des lois applicables en matière de protection de la confidentialité des données ou (b) détermine que GoDaddy n’est pas en mesure de se conformer aux lois applicables en matière de protection de la confidentialité des données ou à ses obligations en vertu du présent DPA.
2.3
Affiliés de .
2.3.1 Affiliés du client. Aux fins du présent DPA, toutes les Données personnelles fournies à GoDaddy ou aux Affiliés de GoDaddy par l’Affilié d’un client pour le traitement au nom du Client et/ou de l’Affilié du client seront considérées comme des Données personnelles du client et comme si elles avaient été fournies par le Client. Le Client affirme qu’Il prendra toutes les mesures raisonnablement nécessaires pour garantir que ses Affiliés se conforment à toutes les obligations du Client concernant le présent DPA. Le Client est responsable de la conformité de ses Affiliés à toutes les conditions du présent DPA.
2.3.2 Affiliés de GoDaddy. Aux fins du présent DPA, toutes les Données personnelles du client reçues par les Affiliés de GoDaddy seront considérées comme ayant été reçues par GoDaddy. GoDaddy affirme qu’Il prendra toutes les mesures raisonnablement nécessaires pour garantir que ses Affiliés se conforment aux obligations de GoDaddy en ce qui concerne le traitement des Données personnelles du client en vertu du présent DPA. GoDaddy est responsable de la conformité des Affiliés de GoDaddy à toutes les conditions du présent DPA.
6. Sous-traitement
3.1 Le Client fournit une autorisation générale pour que GoDaddy engage des sous-traitants.
3.2 Vous êtes invité à passer en revue la liste de nos
Sous-traitants.
3.3 Avant de transférer des Données personnelles du client à un Sous-traitant, GoDaddy : (a) conclura un accord écrit avec le Sous-traitant qui offre au moins une protection des Données client équivalente à celle du présent DPA ; (b) exercera la diligence requise pour vérifier que le Sous-traitant peut se conformer aux conditions matérielles du présent DPA et des Lois en matière de protection de la confidentialité des données lorsqu’elles sont liées au traitement par GoDaddy des Données client, notamment les exigences de sécurité des informations des Sections 5, 6 et 8, et de l’Annexe 2 du présent DPA.
3.4 GoDaddy est responsable des actes et omissions de ses Sous-traitants, notamment des actes ou omissions des sous-traitants de son Sous-traitant.
3.5
Nouveaux Sous-traitants ; droit d’émettre une objection.
3.5.1 GoDaddy consentira des efforts raisonnables pour avertir le Client par écrit au moins soixante (60) jours à l’avance si GoDaddy envisage de désigner un nouveau Sous-traitant ; à condition, toutefois, que le préavis de soixante (60) jours ne soit pas obligatoire et que GoDaddy avertisse le Client dans les meilleurs délais après la désignation d’un nouveau Sous-traitant si une désignation immédiate est requise pour préserver la sécurité des Données personnelles du client ou pour se conformer à la loi applicable.
3.5.2 Si le Client émet une objection raisonnable à l’encontre d’un nouveau Sous-traitant, Il doit avertir GoDaddy par écrit dans un délai de trente (30) jours après la désignation du Sous-traitant. À la seule discrétion de GoDaddy, GoDaddy peut consentir des efforts commercialement raisonnables pour traiter l’objection du Client. Si les Parties ne peuvent pas résoudre l’objection du Client dans un délai de trente (30) jours, le Client peut résilier le présent DPA et toute partie de l’Accord liée au traitement des Données personnelles du client.
3.5.3 Si le Client n’émet aucune objection à l’encontre d’un nouveau Sous-traitant dans un délai de tente (30) jours suivant l’avis de désignation du Sous-traitant, le Client est considéré comme ayant accepté le nouveau Sous-traitant.
3.5.4 L’avis de nouveau Sous-traitant peut être fourni par la mise à jour de la liste de Sous-traitants décrite dans la Section 3.2.
4. Procédure juridique et autres Demandes de tiers pour les Données personnelles du client
4.1 GoDaddy ne répondra à aucune demande informelle de Données personnelles du client émanant d’un organisme gouvernemental, d’une agence chargée de faire respecter la loi ni d’aucune autre personne, sauf en réponse à une assignation, un mandat de perquisition, une ordonnance du tribunal ou toute autre procédure juridique similaire (collectivement désignés par « Procédure juridique »), sauf lorsque leur communication est exigée par GoDaddy à son entière discrétion comme étant (a) exigée par la loi, (b) nécessaire à la protection des systèmes ou données de GoDaddy contre tout préjudice ou abus, ou (c) nécessaire à la protection de GoDaddy ou de toute autre personne contre tout dommage ou préjudice physique.
4.2 À moins que la loi l’interdise, GoDaddy avertira immédiatement le Client s’il reçoit une Procédure juridique qui nécessite que GoDaddy fournisse l’accès aux Données personnelles du client ou les divulgue.
4.3 Sauf obligation contraire imposée par la législation, GoDaddy coopérera avec le Client (aux frais raisonnables du Client) à tous les efforts du Client en vue d’éviter la divulgation des Données personnelles du client en réponse à une Procédure juridique.
4. Sécurité
5.1 GoDaddy gère un programme de sécurité des informations qui inclut des mesures organisationnelles et techniques appropriées et documentées pour assurer un niveau de sécurité approprié au risque pour les Données personnelles du client en vertu de l’Accord, notamment des mesures spécifiques requises par les Lois applicables en matière de protection de la confidentialité des données.
5.2 Le Client reconnaît expressément que GoDaddy offre des fonctionnalités de sécurité qu’Il peut utiliser pour protéger les Données personnelles du client. Le Client est seul responsable de la prise de mesures appropriées en fonction des risques afin de protéger la sécurité du compte et des Données personnelles du client sous le contrôle du Client, notamment à l’aide de fonctionnalités de sécurité fournies par GoDaddy. Le Client est également seul responsable de veiller à ce que l’ensemble du contenu qu’Il intègre ou dont Il entraîne l’intégration aux Services est exempt de vulnérabilités qui pourraient provoquer la compromission des Données personnelles du client et des systèmes de GoDaddy, notamment, mais sans s’y limiter, des logiciels malveillants. GoDaddy n’est pas responsable de la sauvegarde des Données personnelles du client.
5.3 Le Client est tenu de se conformer à toutes les Exigences standard de sécurité des données du secteur des cartes de paiement (« PCI-DSS » pour « Payment Card Industry Data Security Standard ») et peut ne fournir à GoDaddy que les Données personnelles du client contenant des informations sur le titulaire de la carte du paiement par carte de crédit, de débit ou autre (« Données PCI-DSS ») en lien avec les Services de GoDaddy spécifiquement conçus pour traiter ces Données PCI-DSS. Le Client est seul responsable de toute violation des Exigences PCI-DSS s’Il utilise les Services de GoDaddy pour traiter ou stocker des Données PCI-DSS en dehors des offres de Services conformes à PCI-DSS de GoDaddy.
5.4 Outre les mesures requises pour que GoDaddy soit conforme à ses obligations en vertu des Lois applicables en matière de protection de la confidentialité des données et des Exigences PCI-DSS pour les Services de GoDaddy conformes à PCI-DSS, GoDaddy mettra en œuvre les mesures techniques et organisationnelles spécifiques identifiées dans l’Annexe 2 du présent DPA.
6. Incidents de sécurité des données
6.1 GoDaddy offre au Client de nombreuses opportunités d’accéder aux Données personnelles du client et de les contrôler alors qu’Elles sont traitées pour le compte du Client. GoDaddy n’est responsable d’aucune destruction, perte, altération ou divulgation non autorisée accidentelle ou illégale des Données personnelles du client, ni de l’accès à celles-ci qui ne résulterait pas d’une compromission des systèmes de GoDaddy. Les Incidents de sécurité dont GoDaddy n’est pas responsable sont par exemple l’incapacité du Client de préserver la confidentialité de ses mots de passe, le téléchargement de contenu malveillant ou toute autre vulnérabilité de la sécurité provoquée par ou introduite dans les Services et l’environnement hébergé du Client par le Client.
6.2 GoDaddy consentira des efforts commercialement raisonnables pour avertir le Client d’une violation de la sécurité des systèmes de GoDaddy entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisés des Données personnelles du client (« Incident de sécurité ») dans le délai requis par la loi applicable.
6.3 GoDaddy prendra les mesures appropriées basées sur les risques qui sont raisonnablement nécessaires à la maîtrise, à la réduction et à la correction d’un Incident de sécurité sans retard injustifié.
6.4 GoDaddy fournira les informations raisonnablement demandées par le Client pour évaluer l’impact d’un Incident de sécurité sur les Données personnelles du client et pour que le Client fournisse un avis d’Incident de sécurité aux autorités gouvernementales, aux Personnes concernées ou à toute autre personne.
6.5 La reconnaissance par GoDaddy d’un Incident de sécurité ou une décision d’avertir le Client d’un Incident de sécurité ne revient pas à admettre une faute ou une responsabilité.
5. Droits des sujets de données
7.1 Le Client est seul responsable de répondre aux demandes d’exercice des droits d’une Personne concernée en vertu des Lois en matière de protection de la confidentialité des données, des politiques de confidentialité du Client ou des conditions d’utilisation du Client, notamment, mais sans s’y limiter, aux demandes de renseignement, d’accès, de correction ou de suppression des Données personnelles du client (« Demandes de la personne concernée »).
7.2 GoDaddy ne répondra pas aux demandes de la Personne concernée, sauf en cas d’instructions documentées du Client ou si autrement requis dans le cadre de la loi applicable.
7.3 GoDaddy avertira le Client de toute demande d’une Personne concernée. Le Client est seul responsable lorsqu’il s’agit de répondre à une demande de Personne concernée. Si le Client a utilisé tous les moyens à sa disposition pour répondre à une demande d’une Personne concernée (sujette à l’accord du Client de payer à l’avance les dépenses raisonnables de GoDaddy), GoDaddy fournira au Client l’aide raisonnablement nécessaire pour Lui permettre de répondre à une demande de Personne concernée.
8. Évaluations d’impact sur la protection des données, Consultation précédente et Demandes d’informations sur la conformité
8.1
Évaluations d’impact sur la protection des données ; Consultation précédente. GoDaddy fournira aux frais du Client une aide raisonnable à ce dernier pour effectuer des évaluations de l’impact sur la protection des données et des consultations auprès des autorités gouvernementales ou des régulateurs en ce qui concerne le traitement des Données personnelles du client.
8.2 Demandes de renseignements relatifs à la conformité. Le Client peut régulièrement demander des informations raisonnablement nécessaires pour vérifier la conformité de GoDaddy à ses obligations en vertu des Lois applicables en matière de protection de la confidentialité des données. Si GoDaddy ne répond pas à la demande du Client dans un délai de quarante-cinq (45) jours, le Client peut résilier l’Accord. Pour éviter tout doute, rien dans le présent DPA ne donne au Client le droit d’effectuer un audit des activités, systèmes ou services de GoDaddy. L’obligation de GoDaddy en vertu de cette section est limitée à la fourniture au Client d’informations raisonnablement nécessaires pour vérifier que GoDaddy est en conformité avec ses obligations dans le cadre des Lois applicables en matière de protection de la confidentialité des données.
9. Exigences spécifiques à la juridiction et Transferts internationaux de Données personnelles
9.1 Le traitement des Données personnelles du client en vertu du présent DPA peuvent impliquer le traitement réglementé par au moins une Loi de protection de la confidentialité des données et/ou peut impliquer le transfert international de Données personnelles du client.
9.2 Si les Données personnelles du client sont originaires des États-Unis, les conditions relatives à la législation américaine sur la protection des données spécifiées dans l’Annexe 3 (Section 1) du présent DPA s’appliquent.
9.3 Si les Données personnelles du client sont originaires de l’Union européenne/Espace économique européen (« UE/EEE »), le Royaume-Uni (« UK ») ou la Suisse, ou si le Client est établi dans au moins une de ces juridictions, les conditions relatives aux Lois applicables en matière de protection de la confidentialité des données de l’UE/EEE, du Royaume-Uni et/ou de la Suisse spécifiées dans l’Annexe 3 (Section 2) du présent DPA s’appliquent.
9.4 Si un mécanisme valide de transfert international des données (« Mécanisme de transfert obligatoire ») est requis pour transférer légalement des Données personnelles du client, les conditions spécifiées dans l’Annexe 4 du présent DPA s’appliquent.
10. Généralités
10.1
Accord complet ; Interprétation. Le présent DPA constitue la totalité de l’accord conclu entre les Parties concernant l’objet du présent DPA et remplace l’ensemble précédent ou contemporain de représentations, conventions, accords et communications survenus entre les Parties, que ce soit par écrit ou à l’oral, concernant l’objet du présent DPA. En cas de conflit entre le présent DPA et l’Accord (ou tout autre accord conclu entre les Parties), le présent DPA régira et contrôlera en ce qui concerne l’objet du présent DPA. En cas de conflit entre l’une des conditions du présent DPA et les Dispositions de transfert obligatoire décrites dans l’Annexe 4, ces Dispositions de transfert obligatoire prévaudront.
10.2 Amendement. Le présent DPA peut être modifié ou amendé par GoDaddy à sa seule discrétion conformément aux procédures définies dans l’Accord. Si le Client n’est pas d’accord avec un tel amendement, sa seule solution consiste à résilier la partie de l’Accord relative au traitement des Données personnelles du client moyennant un préavis de trente (30) jours. Sauf convention expresse et écrite par les Parties, tout amendement du présent Accord ne s’applique que dans le cadre du traitement qui survient après la date dudit amendement.
10.3 Renonciation. La renonciation à une violation du présent DPA n’est effective que si elle est stipulée par écrit par un représentant autorisé de la Partie renonçant à cette violation et si cette renonciation n’est pas interprétée comme une renonciation à une violation suivante.
10.4 Rupture. Si l’une des dispositions du présent DPA est jugée inexécutoire, elle doit être modifiée dans la mesure nécessaire pour la rendre exécutoire et le reste du présent DPA demeurera en vigueur tel que stipulé par écrit. Toutefois, si la modification d’une disposition inexécutoire se traduit par l’échec de l’objectif essentiel du présent DPA, l’ensemble du DPA sera considéré comme nul et non avenu, sauf en cas de modification conformément à la Section 10.2.
10.5 Avis. Sauf si expressément mentionné dans ce document, les avis requis dans le cadre du présent DPA seront fournis conformément aux exigences en matière d’avis indiquées dans l’Accord.
10.6 Responsabilité. Le présent DPA ne fournit aucune base aux Parties ni à aucune autre personne permettant de récupérer les dommages de tout type autre que ceux indiqués dans l’Accord et soumis à toutes les limitations qui y sont définies.
10.7 Mise en œuvre. Les conditions du présent DPA ne peuvent être mises en œuvre que par les Parties en leur propre nom et au nom de leurs affiliés respectifs conformément aux dispositions de résolution des litiges définies dans l’Accord. Cette restriction quant à la mise en œuvre n’a toutefois aucun effet sur la capacité de la Personne concernée individuelle à exercer ses droits en vertu des Lois en matière de protection de la confidentialité des données.
10.8 Résiliation. À moins d’une résiliation anticipée conformément à l’Accord, à toute autre disposition applicable du présent DPA ou à toute Loi applicable en matière de protection de la confidentialité des données, ce DPA sera résilié dès la fin du traitement ou la résiliation de l’Accord, selon l’événement le plus tardif. Suite à la résiliation du présent DPA, GoDaddy renverra, supprimera ou dépersonnalisera les Données personnelles du client conformément aux conditions de l’Accord et au présent DPA, sauf si GoDaddy doit tenir à jour les Données personnelles du client en vertu de la loi applicable. Si GoDaddy est tenu de conserver les Données personnelles du client suite à la résiliation de l’Accord, GoDaddy continuera de respecter ses obligations relatives au traitement des Données personnelles du client dans le cadre du présent DPA et renverra ou supprimera immédiatement toutes ces Données personnelles du client dès que la conservation ne sera plus légalement obligatoire.
10.9 Loi applicable et juridiction. Le présent DPA est régi par les lois stipulées dans le présent Accord, sauf exceptions découlant de la Loi relative à la protection de la confidentialité des données, auquel cas les lois en vigueur dans la juridiction prescrite par les Lois relatives à la protection de la confidentialité des données s’appliquent. Aucune disposition du présent DPA ne sera considérée comme limitant les droits ou obligations d’une personne dans le cadre des Lois applicables en matière de protection de la confidentialité des données.
Annexe 1 : Détails du traitement des Données personnelles du client
La présente Annexe 1 inclut des détails du traitement des Données personnelles du client obligatoire dans le cadre des Lois sur la protection de la confidentialité des données.
Objet et durée du Traitement des Données personnelles du client :
L’objet et la durée du Traitement des Données personnelles du client sont décrits dans l’Accord.
Nature et objectif du Traitement des Données personnelles du client :
Le Traitement des Données personnelles du client par GoDaddy doit raisonnablement fournir les Services comme décrit dans l’Accord.
Type de données personnelles et Catégories de Personnes concernées :
Les types de Données personnelles du client et les catégories de Personnes concernées sont contrôlés par le Client et/ou le Responsable du traitement qui a fourni les Données personnelles du client au Client à sa seule discrétion.
Données sensibles ou catégories spéciales de données :
Les Données sensibles peuvent de temps à autre être traitées conformément à l’Accord. Les types de Données sensibles traitées dans le cadre de l’Accord sont déterminées par le Client et/ou le Responsable du traitement qui a fourni les Données sensibles au Client à sa seule discrétion.
Obligations et droits du Responsable du traitement :
Les obligations et droit du Client sont décrits dans l’Accord et le présent DPA.
Annexe 2 : Mesures de sécurité techniques et organisationnelles
1. Applicabilité
1.1 Les exigences de cette Annexe 2 s’appliquent à GoDaddy et à tout Sous-traitant (notamment, mais sans s’y limiter, à tous les fournisseur de services cloud) utilisé par GoDaddy pour fournir les Services et/ou traiter les Données personnelles du client.
1.2 Si GoDaddy utilise un Sous-traitant pour fournir les Services et/ou traiter les Données personnelles du client, GoDaddy devra s’assurer que ce Sous-traitant se conforme à chacune des exigences de l’Annexe.
2. Gestion de la confidentialité des informations et de la sécurité des données
2.1
Processus de gestion des risques. GoDaddy mettra en place un processus approprié de gestion des risques pour encadrer, évaluer et surveiller les risques pour les Données personnelles du client, et y répondre, conformément aux obligations de GoDaddy en vertu de l’Accord, du DPA et des lois applicables.
2.2
Portée du programme de sécurité des informations. Au minimum, le programme de sécurité des informations de GoDaddy, notamment l’ensemble des stratégies de protection des données et de la confidentialité applicables, sera conçu pour :
2.2.1 Protéger la confidentialité, l’intégrité et la disponibilité des Données personnelles du client en possession ou sous le contrôle de GoDaddy, ou auxquelles GoDaddy a accès ; et
2.2.2 Protéger contre toute menace ou tout danger pouvant raisonnablement être anticipé pour la confidentialité, l’intégrité et la disponibilité des Données personnelles du client.
2.3
Mises à jour du programme de sécurité des informations. GoDaddy procédera régulièrement à des révisions et des mises à jour de son programme de sécurité des informations conformément aux pratiques standard du secteur et aux cadres appropriés au type, au volume et au niveau de sensibilité des Données personnelles du client traitées par GoDaddy.
2.4
Évaluations des risques et tests. GoDaddy procédera régulièrement à des évaluations des risques de tous les systèmes traitant des Données personnelles du client et effectuera à intervalles réguliers des tests de pénétration tiers sur les applications et l’infrastructure utilisées pour fournir les Services, tel que considéré comme raisonnablement nécessaire par GoDaddy.
2.5
Continuité et résilience. GoDaddy mettra en œuvre des mesures appropriées de protection de l’intégrité et de la disponibilité de ses systèmes qui traitent les Données personnelles du client, notamment des mesures, telles que la surveillance des performances et de la disponibilité, la conception de systèmes redondants et résilients, l’utilisation d’une alimentation électrique sans coupure, des protections DDoS, des tests de charge et de stress, et d’autres mesures similaires.
3. Sécurité organisationnelle
3.1 Responsabilité. GoDaddy développera et mettra en place des stratégies de sécurité des informations écrites et des procédures qui définissent clairement la responsabilité de la protection des Données personnelles du client au sein de GoDaddy, notamment en désignant au moins une personne plus spécifique comme responsable de l’administration du programme de sécurité des informations de GoDaddy et de la protection des Données personnelles du client.
3.2 Gestion et contrôles des ressources. GoDaddy mettra en place une stratégie de gestion des ressources et des contrôles des ressources, notamment la classification des ressources et un inventaire des appareils et systèmes permettant de fournir les Services et/ou de traiter les Données personnelles du client.
3.3 Sécurité physique. GoDaddy mettra également en place des contrôles basés sur les risques pour assurer la sécurité physique de ses équipements, notamment en prenant des mesures raisonnables pour garantir que seuls les utilisateurs autorisés ont accès aux appareils électroniques, réseaux, systèmes critiques, applications, salles de serveur, salles de communication et environnements de travail de GoDaddy. Les mesures dont GoDaddy peut se servir, le cas échéant, comprennent, mais ne s’y limitent pas, les alarmes, la surveillance CCTV, la gestion des accès des visiteurs et la destruction des Données personnelles sur des appareils physiques avant leur élimination/recyclage.
4. Opérations de sécurité
4.1 Configuration d’un système sécurisé. GoDaddy établira des contrôles pour vérifier que les systèmes utilisés pour fournir les Services et/ou pour traiter les Données personnelles du client sont configurés de manière sécurisée.
4.2 Gestion des vulnérabilités et des correctifs. GoDaddy établira et entretiendra un système de gestion des vulnérabilités et des correctifs qui garantit que tous les systèmes utilisés pour fournir les Services et/ou traiter les Données personnelles du client sont équipés des correctifs appropriés aux vulnérabilités de sécurité connues dans un délai raisonnable en fonction de la criticité du correctif et de la sensibilité des Données personnelles du client.
4.3 Prévention des logiciels malveillants. GoDaddy mettra en place des contrôles de détection, de prévention et de remédiation à des fins de protection contre les logiciels malveillants (notamment des programmes appropriés de sensibilisation des utilisateurs).
4.4 Journalisation et audit. GoDaddy se servira d’un programme de gestion des journaux qui définit la portée, la création, le stockage, l’analyse et l’élimination des journaux à l’aide de normes sectorielles basées sur les risques.
4.5 Détection des Incidents de sécurité et réponse. GoDaddy gérera des systèmes basés sur les risques pour la détection d’incidents de sécurité tel que requis par la Section 6 de l’Accord, notamment l’utilisation de la détection des intrusions et de systèmes de prévention des intrusions.
5. Formation
GoDaddy s’assurera que son personnel bénéficie de formations régulières concernant ses obligations en matière de confidentialité et de protection des données en lien avec les Données personnelles du client.
6. Contrôles d’accès
6.1 Identification unique. GoDaddy attribuera des informations d’identification utilisateur uniques individuelles au personnel bénéficiant d’un accès aux Données personnelles du client, notamment, mais sans s’y limiter, au personnel bénéficiant d’un accès administratif.
6.2 Gestion des mots de passe. GoDaddy mettra en place des stratégies et procédures de gestion des mots de passe, notamment des stratégies de mot de passe et de gestion centralisée des mots de passe.
6.3 Authentification multi-facteur. GoDaddy mettra en place une authentification multi-facteur pour l’accès à distance aux réseaux, systèmes ou applications utilisés pour traiter et/ou stocker des Données personnelles du client.
6.4 Privilège minimum. GoDaddy limitera l’accès aux Données personnelles du client au personnel tenu par des obligations de confidentialité appropriées et ayant « besoin de connaître » ou « besoin d’un accès » à des fins de fourniture des Services.
7. Contrôles de sécurité des données
7.1 Ségrégation des données. GoDaddy gérera les Données personnelles du client dans des environnements sécurisés et logiquement distincts.
7.2 Chiffrement et autres mesures. GoDaddy utilisera des mesures appropriées basées sur les risques pour protéger les Données personnelles du client, notamment le chiffrement, l’utilisation de pseudonymes et d’autres mesures appropriées, telles que l’emploi d’algorithmes pour le hachage des secrets, notamment des mots de passe et des jetons d’API permettant d’accéder aux systèmes contenant des Données personnelles du client.
Annexe 3 : Termes spécifiques à la juridiction
1. États-Unis
1.1
Californie.
1.1.1 Définitions.
1.1.1.1 Les termes suivants sont spécifiquement définis conformément aux définitions présentées dans la législation californienne relative à la protection de la confidentialité des données : « Entreprise », « Objectif commercial », « Fournisseur de services », « Vendre », « Partager » et « Tiers ».
1.1.1.2 Le terme «Données personnelles du client » comprend les informations personnelles d’une personne physique ou d’un ménage identifié ou identifiable.
1.1.2 Rôles des parties.
1.1.2.1 Si le Client est considéré comme une Entreprise en vertu de la législation californienne applicable relative à la protection de la confidentialité des données, toutes les références aux droits et obligations du Client en tant que Responsable du traitement en vertu du présent DPA sont également considérées comme faisant référence aux droits et obligations du Client en tant qu’Entreprise. Si le Client est considéré comme un Fournisseur de services en vertu de la législation californienne applicable relative à la protection de la confidentialité des données, toutes les références aux droits et obligations du Client en tant que Sous-traitant en vertu du présent DPA sont également considérées comme faisant référence aux droits et obligations du Client en tant que Fournisseur de services.
1.1.2.2 Si GoDaddy est considérée comme un Fournisseur de services ou un Tiers en vertu de la législation californienne applicable relative à la protection de la confidentialité des données, toutes les références aux droits et obligations de GoDaddy en tant que Processeur ou que Sous-traitant en vertu du présent DPA sont également considérées comme faisant référence aux droits et obligations de GoDaddy en tant que Fournisseur de services ou que Tiers, selon le cas.
1.2
L’ensemble des États américains (notamment la Californie).
1.2.1 GoDaddy ne peut pas (a) vendre ni partager des Données personnelles du client, (b) conserver, utiliser ou divulguer des Données personnelles du client à aucune autre fin que les fins professionnelles spécifiées dans l’Accord, ou (c) conserver, utiliser ou divulguer des Données personnelles du client en dehors de la relation professionnelle directe entre GoDaddy et l’Entreprise.
1.2.2 L’accès de GoDaddy aux Données personnelles du client ne fait pas partie de la réflexion échangée par les Parties dans le cadre de l’Accord.
1.2.3 Le Client aura le droit de prendre des mesures raisonnables pour : (a) vérifier que GoDaddy traite les Données personnelles du client de manière cohérente avec le présent DPA, notamment en exerçant les droits définis dans la Section 8 du DPA ; (b) demander l’arrêt et la correction des activités de traitement de GoDaddy exercées en violation des conditions du DPA, et (c) prendre toute autre mesure raisonnable (tel que déterminé à la seule discrétion du Client) pour garantir la conformité de GoDaddy au présent DPA. Si GoDaddy n’est pas en mesure de ou ne souhaite pas se conformer aux demandes raisonnables du Client conformément à cette Section 1.2.3, la seule solution du Client consiste à résilier le présent DPA et cette partie de l’Accord liée au traitement des Données personnelles du client.
1.2.4 GoDaddy certifie qu’elle comprend et se conformera aux obligations en vertu des Lois en matière de protection de la confidentialité des données et du présent DPA, notamment toutes les restrictions du traitement des Données personnelles du client.
2. Union européenne/Espace économique européen
2.1 Sous-traitants
2.1.1 Lorsque GoDaddy engage un Sous-traitant, elle :
2.1.1.1 Exige que le Sous-traitant respecte les mesures techniques et organisationnelles présentées dans les Sections 5, 6 et 8 et l’Annexe 2 du DPA appropriées à la nature du traitement par le Sous-traitant, notamment, mais sans s’y limiter, toutes les mesures techniques et organisationnelles requises par l’Article 28 du Règlement général sur la protection des données (« RGPD ») européen ; et
2.1.1.2 Exige que le Sous-traitant accepte par écrit de traiter les Données personnelles du client uniquement (a) dans l’UE/EEE, (b) dans un autre pays au sujet duquel la Commission européenne a déclaré qu’il offrait un niveau « adéquat » de protection des données ou (c) selon les conditions présentées dans l’Annexe 4 concernant les Transferts internationaux de Données personnelles du client.
2.2 Responsabilité pour les sanctions réglementaires. Nonobstant les autres conditions indiquées dans le présent DPA ou l’Accord (notamment les obligations d’indemnisation des Parties en vertu de l’Accord), aucune des Parties ne sera tenue responsable des amendes émises ou imposées par une autorité réglementaire ou un organisme gouvernemental à l’encontre de l’autre Partie, notamment les amendes conformément à l’Article 83 du RGPD européen.
3. Suisse
3.1 Lorsque GoDaddy engage un Sous-traitant, elle :
3.1.1 Exige que le Sous-traitant respecte les mesures techniques et organisationnelles présentées dans les Sections 5, 6 et 8 et l’Annexe 2 du DPA appropriées à la nature du traitement par le Sous-traitant, notamment, mais sans s’y limiter, toutes les mesures techniques et organisationnelles requises par l’Article 28 du RGPD ; et
3.1.2 Exige que le Sous-traitant accepte par écrit de traiter les Données personnelles du client uniquement (a) en Suisse, (b) dans l’UE/EEE, (c) dans un autre pays au sujet duquel la Commission européenne a déclaré qu’il offrait un niveau « adéquat » de protection des données ou (d) selon les conditions présentées dans l’Annexe 4 concernant les Transferts internationaux de Données personnelles du client.
3.2 Dans la mesure où les Transferts de Données personnelles du client depuis la Suisse sont soumis aux Clauses contractuelles types de l’UE (tel que défini dans l’Annexe 4), les amendements suivants s’appliquent :
3.2.1 Les références aux « États membres » seront interprétées de manière à inclure la Suisse ; et
3.2.2 Dans la mesure où les Transferts sont soumis à la Loi fédérale sur la protection des données (« FADP » pour « Federal Act on Data Protection »), les références au « Règlement (UE) 2016/679 » seront considérées comme des références à la FADP.
3.3 Dans la mesure requises par la FADP, les Clauses contractuelles types de l’UE seront considérées comme incluant les données relatives aux entités juridiques en tant que Données personnelles du client.
4. Royaume-Uni
4.1 Les références au « RGPD » seront considérées comme des références aux lois et règlements correspondants du Royaume-Uni, notamment, mais sans s’y limiter, au RGPD du Royaume-Uni et à la loi britannique sur la protection des données de 2018 (UK Data Protection Act of 2018).
4.2 Lorsqu’une Entreprise engage un Sous-traitant, elle :
4.2.1 Exige que le Sous-traitant respecte les mesures techniques et organisationnelles présentées dans les Sections 5, 6 et 8 et l’Annexe 2 du DPA appropriées à la nature du traitement par le Sous-traitant, notamment, mais sans s’y limiter, toutes les mesures techniques et organisationnelles requises par l’Article 28 du RGPD du Royaume-Uni ; et
4.2.2 Exige que le Sous-traitant accepte par écrit de traiter les Données personnelles du client uniquement (a) au Royaume-Uni, (b) dans l’UE/EEE, (c) dans un autre pays au sujet duquel le Royaume-Uni a déclaré qu’il offrait un niveau « adéquat » de protection des données ou (d) selon les conditions présentées dans l’Annexe 4 concernant les Transferts internationaux de Données personnelles du client.
Annexe 4 : Mécanismes internationaux de transfert transfrontalier obligatoires
1. Définitions
1.1 Le « Cadre de protection de la confidentialité des données » (« DPF » pour « Data Privacy Framework ») désigne les programmes de certification du Cadre de protection de la confidentialité des données entre l’Union européenne et les États-Unis, la Suisse et les États-Unis, ou le Royaume-Uni et les États-Unis mis en place par le Department of Commerce des États-Unis [www.dataprivacyframework.gov](www.dataprivacyframework.gov).
1.2 Le « Pont de données entre le Royaume-Uni et les États-Unis » désigne l’extension pour le Royaume-Uni au DPF UE-U.S.
1.3 Les « Clauses contractuelles types de l’UE » désignent les clauses contractuelles standard approuvées par la Commission européenne et jointes à l’annexe de la décision 2021/914 de juin 2021.
1.4 L’Accord de transfert international de données (« UK IDTA » pour « UK International Data Transfer Agreement ») au Royaume-Uni, émis par le Bureau britannique du commissaire à l’information, Version B1.0, est considéré comme exécuté par les Parties à compter de la date d’entrée en vigueur de l’Accord et les Clauses contractuelles types de l’UE sont considérées comme modifiées tel que spécifié par le UK IDTA en lien avec les transferts de données à partir du Royaume-Uni.
2. Ordre de préséance
2.1 Aucun Mécanisme de transfert obligatoire n’est utilisé si un transfert est effectué vers un pays considéré comme offrant un niveau adéquat de protection des données par les Lois applicables en matière de protection de la confidentialité des données du pays depuis lequel ces Données personnelles du client sont transférées.
2.2 Si un Transfert est requis et s’Il est couvert par plusieurs Mécanismes de transfert obligatoires, le Transfert sera soumis au Mécanisme de transfert obligatoire conformément à l’ordre suivant de préséance : (a) DPF applicable à l’UE ou à la Suisse ; (b) Pont de données entre le Royaume-Uni et les États-Unis ; (c) Clauses contractuelles types de l’UE ; (d) Accord de transfert international des données (« IDTA » pour « International Data Transfer Agreement ») du Royaume-Uni ; ou (e) tout autre Mécanisme de transfert obligatoire permis en vertu de la loi applicable en matière de protection de la confidentialité des données.
2.3 Si un Mécanisme de transfert obligatoire est considéré comme non valide après l’exécution du présent Accord, tous les Transferts futurs seront considérés comme effectués par le Mécanisme de transfert obligatoire valide applicable suivant.
3. Cadre de protection de la confidentialité des données
3.1
Auto-certification.
3.1.1 Certification de GoDaddy. GoDaddy déclare son auto-certification dans le cadre du DPF. GoDaddy accepte (a) de fournir au moins le même niveau de protection de toutes les Données personnelles du client que celui requis conformément aux Principes de confidentialité des données du DPF ; (b) d’avertir le Client par écrit dans les meilleurs délais en cas de retrait, de résiliation, de révocation ou de toute autre invalidation de la certification de GoDaddy par rapport au DPF ; et (c) de prendre des mesures raisonnables et appropriées en cas d’avis écrit du Client pour arrêter et corriger tout traitement non autorisé des Données personnelles du client.
3.1.2 Certification de l’Entreprise. Dans la mesure où l’Entreprise est certifiée dans le cadre du DPF, Elle accepte (a) de fournir au moins le même niveau de protection de toutes les Données personnelles que celui requis conformément aux Principes de confidentialité des données du DPF ; (b) d’avertir GoDaddy par écrit dans les meilleurs délais en cas de retrait, de résiliation, de révocation ou de toute autre invalidation de la certification de l’Entreprise par rapport au DPF ; et (c) de prendre des mesures raisonnables et appropriées en cas d’avis écrit de GoDaddy pour arrêter et corriger tout traitement non autorisé des Données personnelles du client.
3.2
Statut
3.2.1 DPF UE-US. Le DPF UE-US est considéré comme fournissant un niveau adéquat de protection des données par la Commission européenne conformément à une décision d’adéquation du 10 juillet 2023 et est en vigueur depuis le 10 octobre 2023.
3.2.2 Pont de données entre le Royaume-Uni et les États-Unis. Le Pont de données entre le Royaume-Uni et les États-Unis est considéré comme fournissant un niveau adéquat de protection des données par le secrétaire d’État britannique pour la science, l’innovation et la technologie, qui a établi des réglementations d’adéquation au Parlement à partir du 21 septembre 2023. Les réglementations du Pont de données entre le Royaume-Uni et les États-Unis sont entrées en vigueur à partir du 12 octobre 2023 et les Transferts applicables seront effectués conformément au Pont de données entre le Royaume-Uni et les États-Unis à compter de cette date.
3.2.3 DPF Suisse-É.U. Le DPF Suisse-É.U. n’est pas encore entré en vigueur.
3.2.3.1 Les Parties conviennent que, dans la mesure où les conditions du présent DPA sont cohérentes avec le DPF suisse ou son équivalent raisonnable, lorsqu’ils entrent en vigueur, les Transferts applicables de Données personnelles du client depuis la Suisse seront traités comme s’ils étaient réalisés dans le cadre du DPF suisse.
3.2.3.2 Dans la mesure où d’autres conditions sont requises en vue d’un ajout au présent DPA par le DPF suisse, les Parties conviennent que ces conditions seront automatiquement incorporées sans action supplémentaire de la part des Parties ; sous réserve que ces conditions supplémentaires n’imposent aucune obligation matérielle supplémentaire aux Parties ni ne dégradent sensiblement les conditions générales originales de l’Accord.
3.2.3.3 Dans la mesure où des conditions supplémentaires ne peuvent pas être ajoutées à ce DPF, le présent DPA peut être modifié de manière à autoriser les Transferts conformément au DPF suisse.
3.2.3.4 Nonobstant toute autre condition du présent DPA, rien dans ce DPA ne limite, restreint, ou n’affecte d’aucune autre manière la capacité des Parties à transférer des Données personnelles conformément à un autre mécanisme de transfert des données légal.
3.3 L’entreprise et les Sous-traitants de l’Entreprise prendront toutes les mesures nécessaires pour permettre à GoDaddy de respecter ses obligations de Responsable du traitement et/ou de Sous-traitant dans le cadre du DPF, notamment, mais sans s’y limiter, en assistant GoDaddy et/ou le Responsable du traitement pour répondre aux demandes des particuliers d’exercer leurs droits de Personne concernée.
4. Clauses contractuelles types de l’UE
4.1 Pour les Transferts de données personnelles depuis l’UE/EEE et la Suisse soumis aux Clauses contractuelles types de l’UE, le Module Deux (transfert de Responsable du traitement à Sous-traitant) ou le Module Trois (transfert de Sous-traitant à Sous-traitant) s’applique selon que GoDaddy est un Responsable du traitement ou un Sous-traitant en ce qui concerne les Données personnelles du client à transférer.
4.2 En ce qui concerne les Modules Deux et Trois des CCT de l’UE :
4.2.1 Concernant la Clause 7, la clause d’adhésion facultative ne sera pas appliquée.
4.2.2 Concernant la Clause 9, l’Option 2 sera appliquée et le processus de fourniture d’un avis et d’un délai pour les objections aux modifications apportées par le Sous-traitant sera celui indiqué dans la Section 3 du DPA.
4.2.3 Concernant la Clause 11, la langue facultative ne sera pas appliquée.
4.2.4 Concernant la Clause 17 (Option 1), les Clauses contractuelles types de l’UE seront régies par les lois internes de l’Allemagne.
4.2.5 Concernant la Clause 18(b), les litiges relatifs au DPA seront résolus en République fédérale d’Allemagne.
4.3 Dans le cadre de l’Annexe I, Partie A :
4.3.1 Exportateur de données
4.3.1.1 L’Exportateur de données sera l’Entreprise.
4.3.1.2 L’Entreprise peut être contactée aux adresses indiquées dans les dispositions en matière de notification de l’Accord.
4.3.1.3 En signant le présent DPA, l’Entreprise est considérée comme ayant signé ces Clauses contractuelles types de l’UE, y compris leurs Annexes, à compter de la date d’entrée en vigueur de l’Accord.
4.3.2 Importateur de données
4.3.2.1 L’Importateur de données sera GoDaddy et/ou des affiliés autorisés de GoDaddy.
4.3.2.2 GoDaddy peut être contacté aux adresses indiquées dans les dispositions en matière de notification de l’Accord ou à l’adresse privacy@GoDaddy.com.
4.3.2.3 En signant le présent DPA, GoDaddy est considérée comme ayant signé ces Clauses contractuelles types d