ADDENDA DE TRAITEMENT DE DONNÉES (CLIENTS)
Cet addenda de traitement de données (l’« Addenda ») est exécuté par et entre GoDaddy.com, LLC, a Delaware limited liability company et ses affiliés (« GoDaddy ») et vous (« Client ») et est annexé et complémente nos Conditions universelles de service, notre Politique de confidentialité et tous les accords régissant les Services couverts (collectivement, les « Conditions de service »). Sauf définition contraire du présent addenda, tous les termes commençant par une majuscule qui ne sont pas définis dans le présent addenda auront le sens qui leur est donné dans les Conditions d'utilisation.
1. Définitions1. Définitions. Sauf définition contraire dans les Lois applicables en matière de protection de la confidentialité des données (tel que défini ci-dessous), les termes commençant par une majuscule répertoriés dans cette Section ont les significations suivantes :
1.2. « Représentant du traitement » désigne la personne physique ou morale, l’autorité publique, l’agence ou tout autre organisme qui, seul ou conjointement avec les autres, détermine les objectifs et moyens de traitement des Données personnelles du client dans le cadre de l’Accord.
1.3 « Données personnelles du client » désigne toutes les Données personnelles (telles que définies ci-dessous) traitées par GoDaddy pour le compte du Client en lien avec l’utilisation des Services par le Client. Les Données personnelles du client n’incluent pas les Données de GoDaddy.
1.4 « Loi relative à la protection de la confidentialité des données » désigne toute loi ou réglementation applicable au traitement des Données personnelles du client dans le cadre de l’Accord.
1.5 « Personne concernée » désigne une personne physique identifiée ou identifiable à laquelle des Données personnelles spécifiques sont liées.
1.6 « Données dépersonnalisées » désigne des données qui ne peuvent pas raisonnablement identifier, faire le lien avec, décrire, être capable d’être associées avec ou être liées, directement ou indirectement, à une Personne concernée spécifique.
1.7 « Données de GoDaddy » désigne (a) toutes les informations relatives aux activités de GoDaddy et la fourniture des Services, notamment, mais sans s’y limiter, les Données personnelles concernant le Client et ses employés ou ses représentants, (b) les autres données concernant le compte du Client ou y afférentes, l’historique des transactions, l’utilisation des Services et la vérification de l’identité, et signifie qu’elles sont (c) soumises à toute restriction en vertu des Lois applicables en matière de protection de la confidentialité des données et de données dépersonnalisées.
1.8 « Données personnelles » désigne des informations liées à une personne physique identifiée ou identifiable, notamment des informations définies comme des Données personnelles, des Informations personnelles ou des Informations personnellement identifiables (« PII » pour « Personally Identifiable Information ») dans des Lois applicables en matière de protection de la confidentialité des données. Les Données personnelles n’incluent pas les Données dépersonnalisées.
1.10 « Sous-traitant » désigne une personne physique ou morale, une autorité publique, une agence ou un organisme qui traite des Données personnelles du client pour le compte d’un Responsable du traitement dans le cadre de cet Accord.
1.9 « Traitement » désigne toute opération effectuée sur les Données personnelles du client, telle que la collecte, l’utilisation, le stockage, la divulgation, l’analyse, la suppression ou la modification, qu’il s’agisse de moyens manuels ou automatisés.
1.11 Les « Données personnelles sensibles » désignent (a) numéro de sécurité sociale, numéro de passeport, numéro de permis de conduire ou tout autre identifiant similaire ; (b) numéro de carte de crédit ou de débit, informations financières, numéros de comptes bancaires ou mots de passe ; (c) informations relatives à l’emploi, aux finances, à la génétique, à la biométrie ou à la santé ; (d) affiliation raciale, ethnique, politique ou religieuse, appartenance syndicale ou informations sur la vie sexuelle ou l’orientation sexuelle ; (e) mots de passe de compte, nom de jeune fille de la mère ou date de naissance et autres informations similaires utilisée pour authentifier l’identité d’un utilisateur ; (f) casier judiciaire ; (g) données biométriques utilisées pour identifier une personne spécifique (p. ex., empreintes digitales) ; ou (h) toute autre information ou combinaison d’informations relevant de la définition des « catégories spéciales de données » en vertu de toute Loi applicable en matière de protection de la confidentialité des données.
1.12 « Services » désigne les produits ou services que GoDaddy a accepté de fournir conformément à l’Accord, qui impliquent le traitement des Données personnelles du client.
1.13 « Sous-traitant » désigne toute personne physique ou morale, autorité publique, agence ou tout organisme avec lequel GoDaddy conclut un contrat en vue du traitement des Données personnelles du client.
1.14 « Transfert » désigne (a) le transfert de Données personnelles du client du Responsable du traitement au Sous-traitant, qu’il s’agisse d’un transfert physique ou d’accorder l’accès aux Données personnelles du client détenues ou autrement contrôlées par le Responsable du traitement ou (b) un transfert ultérieur de Données personnelles du client d’un Responsable du traitement à un Sous-traitant (et tout transfert ultérieur suivant par un Sous-traitant à un autre Sous-traitant).
2.1.2 Lorsque le Client est Sous-traitant, Il (a) est seul responsable de la conformité à son ou ses accord(s) avec le(s) Responsable(s) du traitement des données au nom du ou desquels le Client traite des Données personnelles du client ; (b) dispose de toutes les autorisations nécessaires octroyées par le Responsable du traitement de fournir des Données personnelles du client à GoDaddy, et (c) se conformera à ses obligations en tant que Sous-traitant dans le cadre des Lois applicables en matière de protection de la confidentialité des données.
2.2.2 GoDaddy traitera les Données personnelles du client uniquement selon les instructions documentées aux fins limitées et spécifiques décrites dans l’Accord, le présent DPA ou tel que requis par la loi.
2.2.3 GoDaddy ne vendra, conservera, utilisera ou divulguera pas les Données personnelles du client dans un but commercial autre que la fourniture des Services.
2.2.4 GoDaddy ne traitera pas les Données personnelles du client en dehors de la relation professionnelle directe des Parties décrite dans l’Accord et le présent DPA.
2.2.5 GoDaddy ne combinera les Données personnelles du client à aucune autre donnée collectée par GoDaddy (directement ou via un quelconque tiers) d’aucune autre façon que celle autorisée dans le cadre de l’Accord.
2.2.6 GoDaddy cessera tout traitement et avertira le Client dans un délai de trois (3) jours ouvrables si GoDaddy : (a) pense qu’une instruction du Client enfreint des lois applicables en matière de protection de la confidentialité des données ou (b) détermine que GoDaddy n’est pas en mesure de se conformer aux lois applicables en matière de protection de la confidentialité des données ou à ses obligations en vertu du présent DPA.
2.3.2 Affiliés de GoDaddy. Aux fins du présent DPA, toutes les Données personnelles du client reçues par les Affiliés de GoDaddy seront considérées comme ayant été reçues par GoDaddy. GoDaddy affirme qu’Il prendra toutes les mesures raisonnablement nécessaires pour garantir que ses Affiliés se conforment aux obligations de GoDaddy en ce qui concerne le traitement des Données personnelles du client en vertu du présent DPA. GoDaddy est responsable de la conformité des Affiliés de GoDaddy à toutes les conditions du présent DPA.
3.2 Vous êtes invité à passer en revue la liste de nos Sous-traitants.
3.3 Avant de transférer des Données personnelles du client à un Sous-traitant, GoDaddy : (a) conclura un accord écrit avec le Sous-traitant qui offre au moins une protection des Données client équivalente à celle du présent DPA ; (b) exercera la diligence requise pour vérifier que le Sous-traitant peut se conformer aux conditions matérielles du présent DPA et des Lois en matière de protection de la confidentialité des données lorsqu’elles sont liées au traitement par GoDaddy des Données client, notamment les exigences de sécurité des informations des Sections 5, 6 et 8, et de l’Annexe 2 du présent DPA.
3.4 GoDaddy est responsable des actes et omissions de ses Sous-traitants, notamment des actes ou omissions des sous-traitants de son Sous-traitant. 3.5 Nouveaux Sous-traitants ; droit d’émettre une objection.
4.2 À moins que la loi l’interdise, GoDaddy avertira immédiatement le Client s’il reçoit une Procédure juridique qui nécessite que GoDaddy fournisse l’accès aux Données personnelles du client ou les divulgue.
4.3 Sauf obligation contraire imposée par la législation, GoDaddy coopérera avec le Client (aux frais raisonnables du Client) à tous les efforts du Client en vue d’éviter la divulgation des Données personnelles du client en réponse à une Procédure juridique.
5.2 Le Client reconnaît expressément que GoDaddy offre des fonctionnalités de sécurité qu’Il peut utiliser pour protéger les Données personnelles du client. Le Client est seul responsable de la prise de mesures appropriées en fonction des risques afin de protéger la sécurité du compte et des Données personnelles du client sous le contrôle du Client, notamment à l’aide de fonctionnalités de sécurité fournies par GoDaddy. Le Client est également seul responsable de veiller à ce que l’ensemble du contenu qu’Il intègre ou dont Il entraîne l’intégration aux Services est exempt de vulnérabilités qui pourraient provoquer la compromission des Données personnelles du client et des systèmes de GoDaddy, notamment, mais sans s’y limiter, des logiciels malveillants. GoDaddy n’est pas responsable de la sauvegarde des Données personnelles du client.
5.3 Le Client est tenu de se conformer à toutes les Exigences standard de sécurité des données du secteur des cartes de paiement (« PCI-DSS » pour « Payment Card Industry Data Security Standard ») et peut ne fournir à GoDaddy que les Données personnelles du client contenant des informations sur le titulaire de la carte du paiement par carte de crédit, de débit ou autre (« Données PCI-DSS ») en lien avec les Services de GoDaddy spécifiquement conçus pour traiter ces Données PCI-DSS. Le Client est seul responsable de toute violation des Exigences PCI-DSS s’Il utilise les Services de GoDaddy pour traiter ou stocker des Données PCI-DSS en dehors des offres de Services conformes à PCI-DSS de GoDaddy.
5.4 Outre les mesures requises pour que GoDaddy soit conforme à ses obligations en vertu des Lois applicables en matière de protection de la confidentialité des données et des Exigences PCI-DSS pour les Services de GoDaddy conformes à PCI-DSS, GoDaddy mettra en œuvre les mesures techniques et organisationnelles spécifiques identifiées dans l’Annexe 2 du présent DPA.
6.2 GoDaddy consentira des efforts commercialement raisonnables pour avertir le Client d’une violation de la sécurité des systèmes de GoDaddy entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisés des Données personnelles du client (« Incident de sécurité ») dans le délai requis par la loi applicable.
6.3 GoDaddy prendra les mesures appropriées basées sur les risques qui sont raisonnablement nécessaires à la maîtrise, à la réduction et à la correction d’un Incident de sécurité sans retard injustifié.
6.4 GoDaddy fournira les informations raisonnablement demandées par le Client pour évaluer l’impact d’un Incident de sécurité sur les Données personnelles du client et pour que le Client fournisse un avis d’Incident de sécurité aux autorités gouvernementales, aux Personnes concernées ou à toute autre personne.
6.5 La reconnaissance par GoDaddy d’un Incident de sécurité ou une décision d’avertir le Client d’un Incident de sécurité ne revient pas à admettre une faute ou une responsabilité.
7.2 GoDaddy ne répondra pas aux demandes de la Personne concernée, sauf en cas d’instructions documentées du Client ou si autrement requis dans le cadre de la loi applicable.
7.3 GoDaddy avertira le Client de toute demande d’une Personne concernée. Le Client est seul responsable lorsqu’il s’agit de répondre à une demande de Personne concernée. Si le Client a utilisé tous les moyens à sa disposition pour répondre à une demande d’une Personne concernée (sujette à l’accord du Client de payer à l’avance les dépenses raisonnables de GoDaddy), GoDaddy fournira au Client l’aide raisonnablement nécessaire pour Lui permettre de répondre à une demande de Personne concernée.
8.2 Demandes de renseignements relatifs à la conformité. Le Client peut régulièrement demander des informations raisonnablement nécessaires pour vérifier la conformité de GoDaddy à ses obligations en vertu des Lois applicables en matière de protection de la confidentialité des données. Si GoDaddy ne répond pas à la demande du Client dans un délai de quarante-cinq (45) jours, le Client peut résilier l’Accord. Pour éviter tout doute, rien dans le présent DPA ne donne au Client le droit d’effectuer un audit des activités, systèmes ou services de GoDaddy. L’obligation de GoDaddy en vertu de cette section est limitée à la fourniture au Client d’informations raisonnablement nécessaires pour vérifier que GoDaddy est en conformité avec ses obligations dans le cadre des Lois applicables en matière de protection de la confidentialité des données.
9.2 Si les Données personnelles du client sont originaires des États-Unis, les conditions relatives à la législation américaine sur la protection des données spécifiées dans l’Annexe 3 (Section 1) du présent DPA s’appliquent.
9.3 Si les Données personnelles du client sont originaires de l’Union européenne/Espace économique européen (« UE/EEE »), le Royaume-Uni (« UK ») ou la Suisse, ou si le Client est établi dans au moins une de ces juridictions, les conditions relatives aux Lois applicables en matière de protection de la confidentialité des données de l’UE/EEE, du Royaume-Uni et/ou de la Suisse spécifiées dans l’Annexe 3 (Section 2) du présent DPA s’appliquent.
9.4 Si un mécanisme valide de transfert international des données (« Mécanisme de transfert obligatoire ») est requis pour transférer légalement des Données personnelles du client, les conditions spécifiées dans l’Annexe 4 du présent DPA s’appliquent.
10.2 Amendement. Le présent DPA peut être modifié ou amendé par GoDaddy à sa seule discrétion conformément aux procédures définies dans l’Accord. Si le Client n’est pas d’accord avec un tel amendement, sa seule solution consiste à résilier la partie de l’Accord relative au traitement des Données personnelles du client moyennant un préavis de trente (30) jours. Sauf convention expresse et écrite par les Parties, tout amendement du présent Accord ne s’applique que dans le cadre du traitement qui survient après la date dudit amendement.
10.3 Renonciation. La renonciation à une violation du présent DPA n’est effective que si elle est stipulée par écrit par un représentant autorisé de la Partie renonçant à cette violation et si cette renonciation n’est pas interprétée comme une renonciation à une violation suivante.
10.4 Rupture. Si l’une des dispositions du présent DPA est jugée inexécutoire, elle doit être modifiée dans la mesure nécessaire pour la rendre exécutoire et le reste du présent DPA demeurera en vigueur tel que stipulé par écrit. Toutefois, si la modification d’une disposition inexécutoire se traduit par l’échec de l’objectif essentiel du présent DPA, l’ensemble du DPA sera considéré comme nul et non avenu, sauf en cas de modification conformément à la Section 10.2.
10.5 Avis. Sauf si expressément mentionné dans ce document, les avis requis dans le cadre du présent DPA seront fournis conformément aux exigences en matière d’avis indiquées dans l’Accord.
10.6 Responsabilité. Le présent DPA ne fournit aucune base aux Parties ni à aucune autre personne permettant de récupérer les dommages de tout type autre que ceux indiqués dans l’Accord et soumis à toutes les limitations qui y sont définies.
10.7 Mise en œuvre. Les conditions du présent DPA ne peuvent être mises en œuvre que par les Parties en leur propre nom et au nom de leurs affiliés respectifs conformément aux dispositions de résolution des litiges définies dans l’Accord. Cette restriction quant à la mise en œuvre n’a toutefois aucun effet sur la capacité de la Personne concernée individuelle à exercer ses droits en vertu des Lois en matière de protection de la confidentialité des données.
10.8 Résiliation. À moins d’une résiliation anticipée conformément à l’Accord, à toute autre disposition applicable du présent DPA ou à toute Loi applicable en matière de protection de la confidentialité des données, ce DPA sera résilié dès la fin du traitement ou la résiliation de l’Accord, selon l’événement le plus tardif. Suite à la résiliation du présent DPA, GoDaddy renverra, supprimera ou dépersonnalisera les Données personnelles du client conformément aux conditions de l’Accord et au présent DPA, sauf si GoDaddy doit tenir à jour les Données personnelles du client en vertu de la loi applicable. Si GoDaddy est tenu de conserver les Données personnelles du client suite à la résiliation de l’Accord, GoDaddy continuera de respecter ses obligations relatives au traitement des Données personnelles du client dans le cadre du présent DPA et renverra ou supprimera immédiatement toutes ces Données personnelles du client dès que la conservation ne sera plus légalement obligatoire.
10.9 Loi applicable et juridiction. Le présent DPA est régi par les lois stipulées dans le présent Accord, sauf exceptions découlant de la Loi relative à la protection de la confidentialité des données, auquel cas les lois en vigueur dans la juridiction prescrite par les Lois relatives à la protection de la confidentialité des données s’appliquent. Aucune disposition du présent DPA ne sera considérée comme limitant les droits ou obligations d’une personne dans le cadre des Lois applicables en matière de protection de la confidentialité des données.
La présente Annexe 1 inclut des détails du traitement des Données personnelles du client obligatoire dans le cadre des Lois sur la protection de la confidentialité des données.
Objet et durée du Traitement des Données personnelles du client :
L’objet et la durée du Traitement des Données personnelles du client sont décrits dans l’Accord.
Nature et objectif du Traitement des Données personnelles du client :
Le Traitement des Données personnelles du client par GoDaddy doit raisonnablement fournir les Services comme décrit dans l’Accord.
Type de données personnelles et Catégories de Personnes concernées :
Les types de Données personnelles du client et les catégories de Personnes concernées sont contrôlés par le Client et/ou le Responsable du traitement qui a fourni les Données personnelles du client au Client à sa seule discrétion.
Données sensibles ou catégories spéciales de données :
Les Données sensibles peuvent de temps à autre être traitées conformément à l’Accord. Les types de Données sensibles traitées dans le cadre de l’Accord sont déterminées par le Client et/ou le Responsable du traitement qui a fourni les Données sensibles au Client à sa seule discrétion.
Obligations et droits du Responsable du traitement :
Les obligations et droit du Client sont décrits dans l’Accord et le présent DPA.
Annexe 2 : Mesures de sécurité techniques et organisationnelles1. Applicabilité
2. Gestion de la confidentialité des informations et de la sécurité des données
3. Sécurité organisationnelle