Les versions traduites des accords juridiques et des politiques sont uniquement fournies à titre de commodité pour faciliter la lecture et la compréhension des versions en anglais. En fournissant des traductions des accords juridiques et des politiques, l'objectif n'est pas d'aboutir à un accord juridiquement contraignant, ni de se substituer à la validité juridique des versions en anglais. En cas de litige ou de conflit, les versions en anglais des accords juridiques et des politiques régissent nos relations et prévaudront sur les conditions énoncées dans toute autre langue.
ADDENDA DE TRAITEMENT DE DONNÉES (CLIENTS)
Cet addenda de traitement de données (l’« Addenda ») est exécuté par et entre GoDaddy.com, LLC, a Delaware limited liability company et ses affiliés (« GoDaddy ») et vous (« Client ») et est annexé et complémente nos Conditions universelles de service, notre Politique de confidentialité et tous les accords régissant les Services couverts (collectivement, les « Conditions de service »). Sauf définition contraire du présent addenda, tous les termes commençant par une majuscule qui ne sont pas définis dans le présent addenda auront le sens qui leur est donné dans les Conditions d'utilisation.
1. Définitions« Affiliés » désigne toute entité qui est contrôlée par, contrôle ou est en contrôle commun avec GoDaddy.
« Services couverts » tous les services hébergés que nous vous proposons qui pourraient impliquer notre traitement des données personnelles.
« Données du client » désigne les données personnelles de tout sujet de données traité par GoDaddy dans le réseau GoDaddy au nom du client conformément aux conditions d'utilisation ou en relation avec celles-ci.
« Contrôleur de données » désigne le Client, en tant qu'entité qui détermine les objectifs et les moyens du Traitement des Données Personnelles.
« Processeur de données » signifie GoDaddy, en tant qu'entité qui traite les données personnelles au nom du contrôleur de données.
« Lois de protection des données » désigne toutes les lois et tous les règlements, y compris les lois et règlements de l'Union européenne, applicables au traitement des données à caractère personnel en vertu de l'Accord.
« Sujet de données » signifie l’individu relié aux données personnelles.
« EEE » signifie l’Espace Économique Européen.
« Réseau GoDaddy » signifie les installations du centre de données de GoDaddy, les serveurs, l'équipement réseau et les systèmes logiciels hôtes (par exemple, les pare-feu virtuels) qui sont sous le contrôle de GoDaddy et sont utilisés pour fournir les services couverts.
« Données personnelles » signifie toute information reliée à une personne identifiée ou identifiable.
« Traitement » désigne toute opération ou ensemble d'opérations effectuées sur des Données personnelles, que ce soit par collecte, enregistrement, organisation, structuration, stockage, adaptation ou modification, récupération, consultation, utilisation, divulgation par transmission, diffusion ou autre mise à disposition, alignement ou combinaison, restriction, effacement ou destruction. « Traitement », « traitements » et « traité » seront interprétés en conséquence. Les détails du traitement sont énoncés dans l’Annexe 1.
« Incident de sécurité » soit (a) une violation de la sécurité des Normes de sécurité de GoDaddy entraînant la destruction accidentelle ou illicite, la perte, la modification, la divulgation non autorisée ou l'accès à des Données du Client; ou (b) tout accès non autorisé à un équipement ou à des installations de GoDaddy, dans un des cas où un tel accès entraîne la destruction, la perte, la divulgation non autorisée ou la modification des Données du client.
« Normes de sécurité » signifie les normes de sécurité jointes à cet Addenda comme Annexe 2.
« Clauses contractuelles standard » ou « SCC » signifie Annexe 3, jointe au présent Addenda et faisant partie de celui-ci conformément à la décision de la Commission européenne du 5 février 2010 relative aux clauses contractuelles standard pour le transfert de données personnelles vers des processeurs établis dans des pays tiers conformément à la directive.
« Sous-traitant » désigne tout processeur de données engagé par le processeur pour traiter des données pour le compte du contrôleur de données.
2. Traitement des données2.1 Portée et rôles. Cet addenda s'applique lorsque les données du client sont traitées par GoDaddy. Dans ce contexte, GoDaddy agira en tant que responsable du traitement des données pour le client en tant que contrôleur des données concernant les données du client.
2.2 Détails de traitement de données. L'objet du traitement des Données du client par GoDaddy est l'exécution des Services couverts conformément aux Conditions d'utilisation et aux accords spécifiques au produit. GoDaddy ne traitera que les Données du Client au nom de et conformément aux instructions documentées du Client aux fins suivantes : (i) Traitement conformément aux Conditions d'utilisation ou à l'accord produit spécifique applicable; (ii) traitement initié par les utilisateurs finaux dans leur utilisation des Services couverts; (iii) Traitement pour se conformer à d'autres instructions raisonnables et documentées fournies par les clients (par exemple par e-mail) lorsque ces instructions sont conformes aux termes de l'accord. GoDaddy ne sera pas tenu de respecter ou d'observer les instructions du Client si de telles instructions violent le RGPD ou toute autre loi applicable relative à la confidentialité des données. La durée du traitement, la nature et l'objet du traitement, les types de données à caractère personnel et les catégories de données traitées dans le cadre du présent addenda sont précisés à l'annexe 1 (« Détails du traitement ») du présent addenda.
3. Confidentialité des données clientGoDaddy ne divulguera pas les données du client à un gouvernement ou à une autre tierce partie, sauf si cela est nécessaire pour se conformer à la loi ou à une ordonnance valide et contraignante d'un organisme chargé de l'application de la loi (telle qu'une assignation à comparaître ou une ordonnance d'un tribunal). Si un organisme chargé de l'application de la loi envoie une demande de données client à GoDaddy, GoDaddy tentera de le rediriger pour qu'il demande ces données directement au client. Dans le cadre de cet effort, GoDaddy peut fournir les coordonnées de base du client à l'organisme d'application de la loi. Si vous êtes contraint de divulguer des Données du Client à un organisme d'application de la loi, GoDaddy avisera de façon raisonnable le Client de la demande pour permettre au client d’obtenir une ordonnance de protection ou un autre recours approprié, sauf s’il est légalement interdit pour GoDaddy de le faire.
4. Sécurité4.1 GoDaddy a mis en œuvre et maintiendra les mesures techniques et organisationnelles pour le réseau GoDaddy décrites dans la présente section et décrites dans l’Annexe 2 du présent Addenda, Normes de sécurité. En particulier, GoDaddy a mis en place et maintiendra les mesures techniques et organisationnelles suivantes concernant (i) la sécurité du réseau GoDaddy ; (ii) la sécurité physique des installations ; (iii) les contrôles entourant l’accès des employés et des sous-traitants à (i) et/ou (ii) ; et (iv) les processus de test, d’estimation et d’évaluation de l’efficacité des mesures techniques et organisationnelles mises en œuvre par GoDaddy. Dans l’éventualité où nous ne serions pas en mesure de respecter l’une des obligations énoncées aux présentes, nous vous en informerons dès que possible par écrit (via notre site web ou par email).
4.2 GoDaddy rend disponible un certain nombre de fonctions de sécurité et de fonctionnalités que le Client peut choisir d'utiliser en relation avec les Services couverts. Le Client est responsable de (a) configurer correctement les Services couverts, (b) utiliser les contrôles disponibles en relation avec les Services couverts (y compris les contrôles de sécurité) pour assurer la confidentialité, l'intégrité, la disponibilité et la résilience continue des systèmes et services de traitement, (c) utiliser les contrôles disponibles dans le cadre des Services couverts (y compris les contrôles de sécurité) pour permettre au Client de rétablir la disponibilité et l'accès aux Données du Client en temps opportun en cas de défaillance physique ou technique (par exemple des sauvegardes ou un archivage périodique des Données du client) ; et (d) prendre les mesures que le Client considère appropriées pour assurer la sécurité, la protection et la suppression des Données du Client, y compris l'utilisation de chiffrement pour protéger les Données du client contre tout accès non autorisé et mesurer les droits de contrôle d’accès aux données du client.
5. Droits des sujets de donnéesEn tenant compte de la nature des Services couverts, GoDaddy propose au Client certains contrôles tels que décrits dans la section « Sécurité » de cet Addenda que le Client peut choisir d'utiliser pour récupérer, corriger, supprimer ou restreindre l'utilisation et le partage des Données du Client tel que décrit dans les Services couverts. Le Client peut utiliser ces contrôles en tant que mesures techniques et organisationnelles pour l'assister dans le cadre de ses obligations en vertu des lois applicables en matière de confidentialité, y compris ses obligations relatives à la réponse aux demandes des Sujets de données. Dans la mesure où cela est commercialement raisonnable et dans la mesure où la loi l'exige ou le permet, GoDaddy le notifiera sans délai si GoDaddy reçoit directement une demande de la part d'un sujet de données (« Demande de sujet de données »). En outre, lorsque l'utilisation des Services couverts par le Client limite sa capacité à répondre à une Demande de données, GoDaddy peut, lorsque cela est légalement autorisé et approprié et sur demande spécifique du Client, fournir une assistance commercialement raisonnable pour répondre à la demande, aux frais du client (le cas échéant).
6. Sous-traitement6.1 Sous-traitants autorisés. Le Client accepte que GoDaddy puisse utiliser des Sous-traitants pour remplir ses obligations contractuelles en vertu de ses Conditions d’utilisation et du présent Addenda ou pour fournir certains services en son nom, tels que la fourniture de services d’assistance. Par la présente, le Client accepte que GoDaddy fasse appel à des Sous-traitants comme décrit dans la présente Section.
6.2 Obligations des sous-traitants. Où GoDaddy fait appel à un sous-traitant autorisé tel que décrit à la Section 6.1 :
(i) GoDaddy limitera l’accès du Sous-traitant aux Données du Client au strict nécessaire pour assurer les Services couverts ou pour fournir les Services couverts au Client et aux utilisateurs finaux conformément aux Conditions d’utilisation. GoDaddy empêchera le sous-traitant d’accéder aux données du Client à toute autre fin ;
(ii) GoDaddy conclura un accord écrit avec le sous-traitant et, dans la mesure où le sous-traitant exécute les mêmes services de traitement des données que ceux fournis par GoDaddy dans le cadre du présent Addenda, GoDaddy imposera essentiellement au sous-traitant les mêmes obligations contractuelles que celles auxquelles GoDaddy est soumis en vertu du présent Addenda ; et
(iii) GoDaddy demeurera responsable de sa conformité concernant les obligations du présent Addenda et de tout acte ou omission du sous-traitant qui entraînerait une violation de la part de GoDaddy d’une des obligations de GoDaddy aux termes du présent Addenda.
6.3 Nouveaux Sous-traitants. Nous pouvons à tout moment engager de nouveaux Sous-traitants dans le cadre et sous réserve des conditions du présent Addenda. Dans ce cas, nous fournirons un préavis de 30 jours (via notre site web ou par email) avant que tout nouveau Sous-traitant obtienne les Données du Client. Si le Client n’approuve pas un nouveau Sous-traitant, le Client est alors autorisé à résilier les Services couverts sans pénalité en fournissant, dans les 10 jours suivant la réception d’un avis de notre part, un avis écrit de résiliation qui comprend une explication des raisons du refus. Si les Services couverts font partie d’un achat groupé ou d’une offre groupée, alors toute résiliation s’appliquera à son intégralité.
7. Notification de brèche de sécurité7.1 Incident de sécurité. Si GoDaddy a connaissance d’un incident de sécurité, GoDaddy prendra les mesures suivantes sans retard injustifié : (a) notifier le client de l’incident de sécurité ; et (b) prendre des mesures raisonnables pour atténuer les effets et minimiser les dommages résultant de l’incident de sécurité.
7.2 Assistance GoDaddy. Pour aider le Client en cas de notifications de violation des données personnelles, le Client est tenu de respecter toutes les lois applicables en matière de protection des données. GoDaddy inclura dans la notification les informations relatives à l’Incident de sécurité dans la mesure où GoDaddy est raisonnablement capable de révéler ces informations au Client, en tenant compte de la nature des Services couverts, des informations mises à la disposition de GoDaddy et de toute restriction concernant la divulgation des informations, telle que la confidentialité.
7.3 Incidents de sécurité échoués. Le Client convient qu’un Incident de sécurité ayant échoué ne sera pas soumis aux termes du présent Addenda. Un Incident de sécurité ayant échoué est un incident qui n’a pas donné lieu à un accès non autorisé aux Données du Client ou à l’un des réseaux, équipements ou installations de GoDaddy stockant les Données du Client, et peut inclure, sans limitation, des pings et autres attaques de diffusion sur les pare-feu ou serveurs de périphérie, analyses de ports, tentatives de connexion infructueuses, des attaques par déni de service, reniflage de paquets (ou autres accès non autorisés aux données de trafic qui n’aboutissent pas à un accès au-delà de l’en-tête) ou des incidents similaires.
7.4 Notification. La notification d’incidents de sécurité, le cas échéant, sera envoyée à un ou plusieurs administrateurs du client par tous les moyens sélectionnés par GoDaddy, y compris par email. Il est de la responsabilité exclusive du client de s’assurer que les administrateurs du client conservent des informations de contact précises sur la console de gestion de GoDaddy et sécurisent la transmission à tout moment.
7.5 Absence de reconnaissance d’une faute de la part de GoDaddy : l’obligation de GoDaddy de signaler ou répondre à un Incident de sécurité en vertu de la présente Section n’est pas et ne sera pas interprétée comme une reconnaissance par GoDaddy de toute faute ou responsabilité de GoDaddy concernant l’Incident de sécurité.
8. Droits du client8.1 Détermination Indépendante. Le Client est tenu responsable de vérifier les informations mises à disposition par GoDaddy relatives à la Sécurité des données et à ses Normes de sécurité et de déterminer si les Services couverts répondent aux exigences et aux obligations légales du Client ainsi qu’aux obligations du Client en vertu de cet Addenda. Les informations mises à disposition ont pour but d’aider le Client à se conformer aux obligations du Client dans le cadre de la législation sur la Protection des données applicable. Le Client accepte que les Services couverts et les Normes de sécurité mis en œuvre et gérés par GoDaddy garantissent un niveau de sécurité approprié par rapport au risque encouru par les données personnelles (en prenant en compte la technologie, les coûts de mise en œuvre et la nature, la portée, le contexte et les objectifs du traitement des données personnelles, ainsi que les risques encourus par les personnes).
8.2 Droits d’audit de client. Le client a le droit de confirmer la conformité de GoDaddy au présent Addenda, tel qu’il s’applique aux Services couverts, en faisant une demande spécifique par écrit, à intervalles raisonnables, à l’adresse indiquée dans les Conditions d’utilisation. Si GoDaddy refuse de suivre toute instruction demandée par le Client concernant un audit ou une inspection dûment demandé et délimité, le Client est en droit de résilier le présent Addenda et les Conditions d’utilisation.
9. Transferts de données personnelles9.1** Traitement basé aux États-Unis.** Sauf indication contraire dans les conditions d’utilisation, les Données du Client seront transférées hors du Royaume-Uni ou de l’EEE et traitées aux États-Unis.
9.2 Application des Clauses contractuelles types de l’UE. Le Module Deux (Responsable à l’égard du Sous-traitant) des Clauses contractuelles types de l’UE ou le Module Trois (Responsable à l’égard du Responsable) des Clauses contractuelles types de l’UE s’appliqueront aux Données du Client transférées en dehors de l’EEE, directement ou par transfert, vers tout pays non reconnu par la Commission européenne comme offrant un niveau de protection adéquat pour les Données du Client. Ces Clauses contractuelles types de l’UE ne s’appliqueront pas aux Données du Client qui ne sont pas transférées, directement ou via un transfert ultérieur, en dehors de l’EEE. Nonobstant ce qui précède, les présentes Clauses contractuelles types de l’UE ne s’appliqueront pas si les données sont transférées conformément à une norme de conformité reconnue pour le transfert légal de Données personnelles en dehors de l’EEE, par exemple si nécessaire dans le cadre de l’exécution des Services couverts conformément aux Conditions d’utilisation ou avec votre consentement.
- Pour chaque Module, le cas échéant :
- dans la Clause 7 des Clauses contractuelles types de l’UE, la clause d’entrée facultative ne s’appliquera pas ;
- dans la Clause 9 des Clauses contractuelles types de l’UE, l’Option 2 s’appliquera et le délai de préavis écrit des changements de sous-traitant sera celui prévu à la Section 6.3 (Nouveaux sous-traitants) du présent Addenda ;
- dans la Clause 11 des Clauses contractuelles types de l’UE, la langue facultative ne s’appliquera pas ;
- dans la Clause 17 (Option 1), les Clauses contractuelles types de l’UE seront régies par la législation allemande ;
- dans la Clause 18(b) des Clauses contractuelles types de l’UE, les litiges seront tranchés par les tribunaux de la République fédérale d’Allemagne ;
- dans l’Annexe I, Partie A des Clauses contractuelles types de l’UE :
- Liste des Parties
Exportateur(s) de données : L’exportateur de données est l’entité identifiée comme étant le « Client » dans l’Addenda
Date et signature : À compter de la date d’acceptation électronique par l’Exportateur de données des Conditions d’utilisation de l’Importateur de données, l’Exportateur de données est considéré comme avoir signé les présentes Clauses contractuelles types de l’UE.
Rôle : Responsable (au titre du Module deux) ou Sous-traitant (au titre du Module Trois)
Importateur(s) de données : GoDaddy.com, LLC
Coordonnées : Bureau du Délégué à la Protection des données – privacy@godaddy.com
Date et signature : À compter de la date d’acceptation électronique par l’Exportateur de données des Conditions d’utilisation de l’Importateur de données, l’Importateur de données est considéré avoir signé les présentes Clauses contractuelles types de l’UE.
Rôle : Sous-traitant
- Liste des Parties
- dans l’Annexe I, Partie B des Clauses contractuelles types de l’UE :
- Description du transfert
Les catégories de Personnes concernées dont les données personnelles sont transférées sont décrites à l’Annexe 1 de l’Addenda.
Les catégories de données personnelles transférées sont décrites dans l’Annexe 1 de l’Addenda. Les données sensibles transférées sont décrites dans l’Annexe 1 du présent Addenda.
La fréquence de transfert est continue pendant la durée des Conditions d’utilisation.
La nature du traitement est décrite dans la Section 2.2 et l’Annexe 1 de l’Addenda.
Le ou les objectifs du transfert des données et autre traitement sont décrits dans la Section 2.2 et l’Annexe 1 du présent Addenda.
La durée pendant laquelle les données personnelles seront conservées est décrite dans l’Annexe 1 du présent Addenda.
Pour les transferts aux sous-traitants, l’objet, la nature et la durée du traitement sont définis dans l’Annexe III des Clauses contractuelles types.
- Description du transfert
- dans l’Annexe I, Partie C des Clauses contractuelles types de l’UE :
- Autorité de surveillance compétente
Le Commissaire de Rhénanie du Nord-Westphalie à la protection des données et à la liberté d’information (« LDI NRW ») est l’autorité de contrôle compétente.
- Autorité de surveillance compétente
- dans l’Annexe II des Clauses contractuelles types de l’UE :
Les mesures de sécurité techniques et organisationnelles mises en œuvre par l’Importateur des données sont définies dans l’Annexe 2 de l’Addenda. - dans l’Annexe III des Clauses contractuelles types de l’UE :
La liste des sous-traitants se trouve dans l’Annexe 3 du présent Addenda.
9.3 Application of UK International Data Transfer Addendum. The UK International Data Transfer Addendum will apply to Customer Data transferred via Covered Services from the United Kingdom, either directly or via onward transfer, to any country not recognized by the competent United Kingdom regulatory authority or governmental body as providing an adequate level of protection for Customer Data. The UK International Data Transfer Addendum will not apply to Customer Data that is not transferred, either directly or via onward transfer, outside the United Kingdom. Notwithstanding the foregoing, the UK International Data Transfer Addendum will not apply where the data is transferred in accordance with a recognized compliance standard for the lawful transfer of Customer Data outside the United Kingdom, such as when necessary for the performance of Covered Services pursuant to the Terms of Service or with your consent.
- Pour les transferts de données à partir du Royaume-Uni qui sont soumis à l’Addenda sur les transferts internationaux des données applicables au Royaume-Uni, l’Addenda sur les transferts internationaux des données applicables au Royaume-Uni sera réputé conclu (et intégré au présent Addenda par cette référence) et terminé comme suit :
- Dans le Tableau 1 de l’Addenda sur les transferts internationaux des données applicables au Royaume-Uni, les coordonnées et informations des parties se trouvent dans la Section 9.2 (i)(f) du présent Addenda.
- Dans le Tableau 2 de l’Addenda sur le transferts internationaux des données applicables au Royaume-Uni, les informations sur la version des Clauses contractuelles types de l’UE, les modules et les clauses sélectionnées auxquelles l’Addenda sur les transferts internationaux des données applicables au Royaume-Uni est ajouté se trouvent dans la Section 9.2 (Clauses contractuelles types de l’UE) du présent Addenda.
- Dans le Tableau 3 de l’Addenda sur les transferts internationaux des données applicables au Royaume-Uni :
- La liste des Parties se trouve dans la Section 9.2 (i)(f) du présent Addenda.
- La description des transferts se trouve dans la Section 1 (Nature et objectif du traitement) de l’Annexe 1 (Détails du traitement des données) du présent Addenda.
- L’Annexe II se trouve dans l’Annexe 2 (Normes de sécurité) du présent Addenda
- La liste des sous-traitants se trouve dans l’Annexe 3 du présent Addenda.
- Dans le Tableau 4 de l’Addenda sur les transferts internationaux des données applicables au Royaume-Uni, l’Importateur et l’Exportateur peuvent mettre fin à l’Addenda sur les transferts internationaux des données applicables au Royaume-Uni conformément aux conditions de l’Addenda sur les transferts internationaux des données applicables au Royaume-Uni.
Cet Addenda restera en vigueur jusqu'à la fin de notre traitement conformément aux Conditions d'utilisation (la « Date de résiliation »).
11. Retour ou suppression des données du clientComme décrit dans les Services couverts, le Client peut recevoir des contrôles pouvant être utilisés pour récupérer ou supprimer des Données du Client. Toute suppression des Données du Client sera régie par les conditions des Services couverts particuliers.
12. Limites de responsabilitéLa responsabilité de chaque partie dans le cadre du présent Addenda sera soumise aux exclusions et limitations de responsabilité énoncées dans les Conditions d'utilisation. Le client convient que les pénalités réglementaires encourues par GoDaddy en relation avec les données du client résultant du non-respect par le client de ses obligations en vertu du présent addenda et des lois applicables en matière de protection de la vie privée seront prises en compte et réduiront la responsabilité de GoDaddy en vertu des Conditions d'utilisation comme s'il s'agissait d'une responsabilité envers le Client en vertu des Conditions d'utilisation.
13. Conditions d’utilisation complètes; ConflitLe présent Addenda annule et remplace toutes les représentations, accords ou communications antérieurs ou contemporains entre le Client et GoDaddy, qu'ils soient écrits ou verbaux, concernant l'objet du présent Addenda, y compris tout addenda relatif au traitement des données conclu entre GoDaddy et le Client concernant la traitement des données à caractère personnel et sur la libre circulation de ces données. À l'exception de ce qui a été modifié par le présent addenda, les conditions d'utilisation resteront pleinement en vigueur. En cas de conflit entre tout autre accord entre les parties, y compris les conditions de service et le présent addenda, les conditions de cet addenda prévaudront.
** ************************************************
Annexe 1DÉTAILS DU TRAITEMENT
1. Nature et objets du traitement. GoDaddy traitera les Données du Client nécessaires pour exécuter les Services couverts conformément aux Conditions d’utilisation et aux instructions supplémentaires du Client tout au long de son utilisation des Services couverts.
2. Durée du traitement. Sous réserve des Sections 10 et 11 du présent Addenda, GoDaddy traitera les Données du Client pendant la date effective des Conditions d’utilisation. Nonobstant ce qui précède, GoDaddy peut conserver les Données du Client, ou toute partie de celles-ci, si les lois ou règlements en vigueur l’exigent, y compris les Lois de protection des données en vigueur, à condition que lesdites Données du Client restent protégées conformément aux termes du présent Addenda et aux Lois de protection des données en vigueur.
3. Catégories de Personnes concernées. Le Client est autorisé à télécharger des Données personnelles dans le cadre de son utilisation des Services couverts, la mesure dans laquelle le Client détermine et contrôle, à sa seule discrétion, ce qui peut inclure, mais sans s’y limiter, les Données personnelles relatives aux catégories de Personnes concernées suivantes :
- Prospects, clients, partenaires commerciaux et fournisseurs du Client (personnes physiques)
- Employés ou personnes de contact des prospects du Client, clients, partenaires commerciaux et fournisseurs
- Employés, agents, conseillers, travailleurs indépendants du Client (personnes physiques)
- Utilisateurs du Client autorisés par le Client à utiliser les Services couverts
4. Catégories de Données personnelles Le Client peut télécharger des Données personnelles dans le cadre de son utilisation des Services couverts, dont le type et la mesure sont déterminés et contrôlés par le Client à sa seule discrétion, et qui peuvent inclure, mais sans s’y limiter, les catégories suivantes de données personnelles de sujets de données :
- Nom
- Adresse
- Numéro de téléphone
- Date de naissance
- Adresse email
- Autres données collectées qui pourraient identifier directement ou indirectement les sujets de données.
5. Données sensibles ou catégories spéciales de données. Le Client peut télécharger des Données sensibles dans le cadre de son utilisation des Services couverts. Le type et l’étendue de ces dernières sont déterminés et contrôlés par le Client à sa seule discrétion. Il incombe au client d’appliquer des restrictions ou des mesures de protection qui tiennent entièrement compte de la nature des données et des risques encourus avant de transmettre ou de traiter des Données sensibles via les Services couverts.
Annexe 2
Normes de sécurité
I. Mesures techniques et organisationnelles
Nous nous engageons à protéger les informations de nos clients. Tenant compte des meilleures pratiques, des coûts de mise en œuvre, de la nature, de la portée, des circonstances et des finalités du traitement, ainsi que de la probabilité différente de survenue et de la gravité du risque d’atteinte aux droits et libertés des personnes physiques, nous prenons les mesures techniques et organisationnelles suivantes. Lors de la sélection des mesures, la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes sont prises en compte.
II. Programme de confidentialité de données
Notre Programme de confidentialité des données est établi pour maintenir une structure de gouvernance globale des données et des informations sécurisées tout au long de leur cycle de vie. Ce programme est piloté par le bureau du responsable de la protection des données, qui supervise la mise en œuvre des pratiques de confidentialité et des mesures de sécurité. Nous testons et évaluons régulièrement l'efficacité de son programme de protection des données et de ses normes de sécurité.
1. Confidentialité. « La confidentialité signifie que les données personnelles sont protégées contre toute divulgation non autorisée. »
Nous utilisons plusieurs mesures physiques et logiques pour protéger la confidentialité des données personnelles de ses clients. Ces mesures comprennent :
Sécurité physique
- Systèmes de contrôle d'accès physique en place (Contrôle d'accès au badge, Surveillance de sécurité d’événements etc.)
- Systèmes de surveillance, y compris les alarmes et, le cas échéant, la surveillance CCTV
- Politiques de bureaux rangés et contrôles en place (verrouillage des ordinateurs non surveillés, classeurs verrouillés, etc.)
- Gestion d’accès des visiteurs
- Destruction de données sur des supports physiques et des documents (déchiquetage, démagnétisation, etc.)
Contrôle d’accès et prévention d’accès non autorisé
- Restrictions d'accès utilisateur appliquées et autorisations d'accès basées sur les rôles fournis/révisés selon le principe de séparation des tâches
- Méthodes d’authentification et d’autorisation sécurisées (Authentification multifactorielle, autorisation basée sur un certificat, désactivation/déconnexion automatique, etc.)
- Gestion de mot de passe centralisée et politiques de mots de passe forts/complexes (nombre de caractères ou complexité des caractères minimum, expiration de mots passe, etc.)
- Accès contrôlé aux e-mails et à Internet
- Gestion antivirus
- Système de gestion de la prévention des intrusions
Chiffrement
- Chiffrement de la communication externe et interne via des protocoles cryptographiques sécurisés
- Chiffrement des données personnelles et des données sensibles inactives (bases de données, annuaires partagés, etc.)
- Chiffrement de disque complet pour les PC et les portables de l’entreprise
- Chiffrement des médias de stockage
- Les connexions à distance aux réseaux de l’entreprise sont chiffrées par VPN
- Sécurisation du cycle de vie des clés de chiffrement
Minimisation des données
- Minimisation PII/SPI dans les applications, le débogage et les journaux de sécurité
- Utilisation de pseudonymes dans les données personnelles pour empêcher l'identification directe d'un individu
- Séparation des données stockées par fonction (test, développement, en ligne)
- Séparation logique des données par droits d'accès basés sur les rôles
- Durée de conservation des données définie pour les données personnelles
Tests de sécurité
- Test de pénétration pour les réseaux et plates-formes d'entreprise critiques hébergeant des données personnelles
- Vérifications régulières de réseau et de vulnérabilités
2. Intégrité. « L'intégrité consiste à assurer l'exactitude (intégrité) des données et le bon fonctionnement des systèmes. Lorsque le terme intégrité est utilisé en relation avec le terme « données », il exprime le fait que les données sont complètes et inchangées. »
Des contrôles appropriés de changement et de gestion des journaux sont en place, en plus des contrôles d'accès pour pouvoir maintenir l'intégrité des données personnelles telles que :
Gestion des modifications et des versions
- Processus de gestion des modifications et des versions, y compris (analyse d'impact, approbations, tests, avis de sécurité, mise en scène, surveillance, etc.)
- Provision d’accès basée sur les rôles et les fonctions (ségrégations des tâches) sur les environnements de production
Journalisation et surveillance
- Enregistrement dans les journaux des accès et changements aux données
- Audit et journaux de sécurité centralisés
- Contrôle de l'exhaustivité et de l'exactitude du transfert de données (contrôle de bout en bout)
3. Disponibilité. « La disponibilité des services et des systèmes informatiques, des applications informatiques et des fonctions de réseau informatique ou d'information est garantie, si les utilisateurs sont en mesure de les utiliser comme prévu à tout moment. »
Nous mettons en œuvre des mesures de continuité et de sécurité appropriées pour maintenir la disponibilité de ses services et des données résidant dans ces services :
- Tests de basculement réguliers appliqués aux services critiques
- Surveillance et rapports complets des performances/de la disponibilité pour les systèmes critiques
- Programme de réponse aux incidents de sécurité
- Données critiques soit dupliquées ou sauvegardées (Sauvegardes cloud/Disques dur/Duplication de base de données, etc.)
- Entretien planifié de logiciels, d’infrastructure et de sécurité en place (Mises à jour logiciels et de sécurité etc.)
- Systèmes redondants et résilients (grappes de serveurs, bases de données en miroir, configurations à haute disponibilité, etc.) situés sur des emplacements hors site et/ou séparés géographiquement
- Utilisation d'alimentation sans interruption, défaillance de matériel et de systèmes réseau redondants
- Systèmes d’alarme et de sécurité en place
- Mesures de protection physique en place pour les sites critiques (protection contre les surtensions, sols surélevés, systèmes de refroidissement, détecteurs d'incendie et/ou de fumée, systèmes d'extinction d'incendie, etc.)
- Protection DDoS pour maintenir la disponibilité
- Tests de charge et de stress
4. Instructions de traitement de données. « Les instructions de traitement de données visent à garantir que les données personnelles ne seront traitées que conformément aux instructions du contrôleur des données et aux mesures prises par l’entreprise. »
Nous avons établi des politiques et des accords de confidentialité internes et menons des formations régulières sur la confidentialité pour les employés afin de garantir le traitement des données personnelles en accord avec les préférences et instructions des clients.
- Modalités de vie privée et de confidentialité en place dans les contrats des employés
- Formations régulières sur la confidentialité et la sécurité des données pour les employés
- Dispositions contractuelles appropriées concernant les accords avec les sous-traitants pour gérer les droits de contrôle éducatifs
- Contrôles de confidentialité réguliers pour les fournisseurs de services externes
- Fournir aux clients un contrôle total sur leurs préférences en matière de traitement des données
- Audits de sécurité réguliers
Annexe 3 - Sous-traitants GoDaddy
Les versions traduites des accords juridiques et des politiques sont uniquement fournies à titre de commodité pour faciliter la lecture et la compréhension des versions en anglais. En fournissant des traductions des accords juridiques et des politiques, l'objectif n'est pas d'aboutir à un accord juridiquement contraignant, ni de se substituer à la validité juridique des versions en anglais. En cas de litige ou de conflit, les versions en anglais des accords juridiques et des politiques régissent nos relations et prévaudront sur les conditions énoncées dans toute autre langue.