GoDaddyADDENDA RELATIF AU TRAITEMENT DES DONNÉES

Le présent Addenda relatif au traitement des données (l’« Addenda ») est exécuté par et entre GoDaddy.com, LLC, a Delaware limited liability company et ses Affiliés (« GoDaddy ») et vous (le « Client ») et est annexé et complète nos Conditions universelles d’utilisation, notre Politique de confidentialité ainsi que tous les accords régissant les Services couverts (collectivement, les « Conditions d’utilisation »).

1.1 Sauf définition contraire dans le présent Addenda, tous les termes commençant par une majuscule qui ne sont pas définis dans le présent Addenda auront le sens qui leur est donné dans les Conditions d’utilisation.

« Affiliés » désigne toute entité qui est contrôlée par, contrôle ou est contrôlée conjointement avec GoDaddy.

« Services couverts » désigne les services hébergés qui pourraient impliquer notre Traitement des Données personnelles et inclut les services hébergés soumis aux conditions générales des Accords suivants : (1) Services de marketing par email, (2) Hébergement, (3) Boutique en ligne/Panier flash, (4) Services de sites web, (5) Service Workspace.

Les « Données du Client » désignent les Données personnelles de toute Personne concernée traitées par GoDaddy dans le réseau GoDaddy au nom du Client conformément aux Conditions d’utilisation ou en relation avec celles-ci.

Les « Lois sur la Protection des données » désignent toutes les lois et réglementations relatives au Traitement des Données personnelles en vertu de l’Accord, y compris, mais sans s’y limiter (i) les Principes australiens de protection de la vie privée et la Loi australienne sur la protection de la vie privée (1988), (ii) la Lei Geral de Proteção de Dados (LGPD) du Brésil, (iii) le California Consumer Privacy Act (CCPA), (iv) la loi fédérale canadienne Personal Information Protection and Electronic Documents Act (PIPEDA), (v) le Règlement général sur la protection des données (RGPD) de l’Union européenne, (vi) toute loi nationale sur la protection des données adoptée en vertu ou conformément au RGPD (vii) la directive européenne sur la vie privée en ligne (Directive 2002/58/CE), (viii) le Personal Data Protection Act (PDPA) de 2012 de Singapour, (ix) la loi fédérale suisse sur la protection des données du 19 juin 1992 et son ordonnance, et (x) le RGPD ou la loi sur la protection des données de 2018 du Royaume-Uni ; dans chaque cas, telles qu’elles peuvent être modifiées, annulées ou remplacées.

« EEE » désigne l’Espace Économique Européen.

Le « RGPD de l’UE » désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la Directive 95/46/CE.

Les « Clauses contractuelles types de l’UE » désignent les clauses de protection des données types approuvées par décision de la Commission européenne 2021/914 du 4 juin 2021, intégrées aux présentes par cette référence. Les Clauses contractuelles types de l’UE Module Deux (Responsable vers Sous-traitant) et Module Trois (Sous-traitant vers Responsable) sont disponibles au téléchargement sur le site web EUR-Lex.

Le « GoDaddyRéseau » signifie les installations du centre de données de GoDaddy, les serveurs, l’équipement réseau et les systèmes logiciels hôtes (par exemple, les pare-feu virtuels) qui sont sous le contrôle de GoDaddy et sont utilisés pour fournir les Services couverts.

Un « Incident de sécurité » signifie une violation de sécurité des normes de sécurité de GoDaddy entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisés des Données du Client sur des systèmes gérés ou contrôlés par GoDaddy.

Les « Normes de sécurité » signifient les normes de sécurité jointes à cet Addenda en tant qu’Annexe 2.

Les « Données sensibles » signifient (a) numéro de sécurité sociale, numéro de passeport, numéro de permis de conduire ou tout autre identifiant similaire (ou toute partie de celui-ci) ; (b) numéro de carte de crédit ou de débit (autre que les quatre derniers chiffres tronqués d’une carte de crédit ou de débit), informations financières, numéros de comptes bancaires ou mots de passe ; (c) informations relatives à l’emploi, aux finances, à la génétique, à la biométrie ou à la santé ; (d) affiliation raciale, ethnique, politique ou religieuse, appartenance syndicale ou informations sur la vie sexuelle ou l’orientation sexuelle ; (e) mots de passe de compte, nom de jeune fille de la mère ou date de naissance ; (f) casier judiciaire ; ou (g) toute autre information ou combinaison d’informations relevant de la définition des « catégories spéciales de données » en vertu du RGPD ou de toute autre loi ou réglementation en vigueur relative à la vie privée et à la protection des données.

Un « Sous-traitant » désigne tout sous-traitant de données engagé par le Sous-traitant pour traiter des données pour le compte du responsable.

« RGPD britannique » correspond au RGPD de l’UE tel qu’il a été amendé et incorporé dans la législation britannique au titre de la loi de 2018 concernant le retrait du Royaume-Uni de l’Union européenne (Brexit), et à la législation dérivée applicable en vertu de cette loi.

L’« Addenda relatif aux transferts internationaux des données du Royaume-Uni » désigne l’Addenda sur les transferts internationaux des données au titre des Clauses contractuelles types de l’UE publiées par le Commissaire britannique à l’information, Version B1.0, en vigueur le 21 mars 2022, intégré aux présentes par cette référence. L’addenda sur le transfert international des données britannique est disponible au téléchargement sur le site web du Commissaire à l’information britannique

1.2 Les termes « données personnelles », « personne concernée », « traitement », « responsable du traitement » et « sous-traitant » tels qu’ils sont utilisés dans le présent Addenda ont la signification donnée dans le RGPD de l’UE quelle que soit la législation applicable en matière de Protection des données.

2.1 GoDaddy en qualité de Sous-traitant. Les parties conviennent et acceptent ce qui suit : (i) que GoDaddy est un sous-traitant des Données du Client conformément à la législation sur la Protection des données ; (ii) que le Client est le responsable du traitement des Données ou le sous-traitant des Données du Client, selon le cas, conformément à la législation sur la Protection des données ; et (iii) que chaque partie respectera ses obligations conformément à la législation en vigueur sur la Protection des données en ce qui concerne le traitement des Données du Client.

2.2 Détails du traitement des données. L’objet du traitement des Données du Client par GoDaddy est l’exécution des Services couverts conformément aux Conditions d’utilisation. GoDaddy traitera uniquement les Données du Client au nom de et conformément aux instructions documentées du Client aux fins suivantes : (i) traitement conformément aux Conditions d’utilisation ; (ii) traitement initié par les utilisateurs finaux dans le cadre de leur utilisation des Services couverts ; (iii) traitement pour se conformer à d’autres instructions raisonnables et documentées fournies par les Clients (par exemple, par email) lorsque ces instructions sont conformes aux Conditions d’utilisation. GoDaddy ne sera pas tenu de : (a) traiter, conserver, utiliser, vendre ou divulguer les Données du Client, sauf si cela est nécessaire pour fournir les Services couverts conformément aux Conditions d’utilisation, ou si la loi l’exige ; (b) vendre les Données du Client à un tiers ; (c) conserver, utiliser ou divulguer les Données du Client en dehors de la relation commerciale directe entre GoDaddy et le Client.

Pour dissiper toute ambiguïté, les instructions du Client concernant le traitement des Données du Client doivent être conformes à toutes les lois applicables en matière de Protection des données. Le Client est le seul responsable de l’exactitude, de la qualité et de la légalité des Données du Client et des moyens par lesquels le Client s’est procuré les Données du Client. Si le Client est responsable des Données du Client, le Client convient et accepte ce qui suit : (i) Vous devez raisonnablement avoir recours à des moyens commerciaux pour indiquer clairement et obtenir le consentement pour, toute collecte, tout partage et toute utilisation de données nécessaires à l’exécution des Services couverts ; et (ii) Vous devez indiquer clairement qu’en conséquence de votre utilisation des Services couverts, les données des utilisateurs finaux peuvent être traitées en dehors de leur pays d’origine. Si le Client est un sous-traitant des Données du Client, le Client garantit que les instructions et les actions du Client en rapport avec les Données du Client, y compris la désignation de GoDaddy en qualité d’autre sous-traitant, ont été autorisées par le responsable concerné. GoDaddy n’est pas tenu de se conformer ni de respecter les instructions du Client si ces instructions sont contraires aux lois sur la Protection des données. La durée du Traitement, la nature et l’objet du Traitement, les types de Données personnelles et les catégories de Personnes concernées traitées dans le cadre du présent Addenda sont précisés à l’Annexe 1 (« Détails du traitement des données ») du présent Addenda.

GoDaddy ne divulguera pas les Données du client à un gouvernement ou à une autre tierce partie, sauf si cela est nécessaire pour se conformer à la loi ou à une ordonnance valide et contraignante d’un organisme chargé de l’application de la loi (telle qu’une assignation à comparaître ou une ordonnance d’un tribunal). Dans le cas où GoDaddy reçoit une assignation civile valide, et dans la mesure permise, GoDaddy s'efforcera de fournir au client un préavis raisonnable de la demande par email ou par courrier postal, afin de permettre au client de demander une ordonnance conservatoire ou tout autre recours approprié

4.1 GoDaddy a mis en œuvre et maintiendra les mesures techniques et organisationnelles pour le réseau GoDaddy décrites dans la présente section et décrites dans l’Annexe 2 du présent Addenda, Normes de sécurité. En particulier, GoDaddy a mis en place et maintiendra les mesures techniques et organisationnelles suivantes concernant (i) la sécurité du réseau GoDaddy ; (ii) la sécurité physique des installations ; (iii) les contrôles entourant l’accès des employés et des sous-traitants à (i) et/ou (ii) ; et (iv) les processus de test, d’estimation et d’évaluation de l’efficacité des mesures techniques et organisationnelles mises en œuvre par GoDaddy. Dans l’éventualité où nous ne serions pas en mesure de respecter l’une des obligations énoncées aux présentes, nous vous en informerons dès que possible par écrit (via notre site web ou par email).

4.2 GoDaddy rend disponible un certain nombre de fonctions de sécurité et de fonctionnalités que le Client peut choisir d'utiliser en relation avec les Services couverts. Le Client est responsable de (a) configurer correctement les Services couverts, (b) utiliser les contrôles disponibles en relation avec les Services couverts (y compris les contrôles de sécurité) pour assurer la confidentialité, l'intégrité, la disponibilité et la résilience continue des systèmes et services de traitement, (c) utiliser les contrôles disponibles dans le cadre des Services couverts (y compris les contrôles de sécurité) pour permettre au Client de rétablir la disponibilité et l'accès aux Données du Client en temps opportun en cas de défaillance physique ou technique (par exemple des sauvegardes ou un archivage périodique des Données du client) ; et (d) prendre les mesures que le Client considère appropriées pour assurer la sécurité, la protection et la suppression des Données du Client, y compris l'utilisation de chiffrement pour protéger les Données du client contre tout accès non autorisé et mesurer les droits de contrôle d’accès aux données du client.

En tenant compte de la nature des Services couverts, GoDaddy propose au Client certains contrôles que le Client peut choisir d’utiliser pour récupérer, corriger, supprimer ou restreindre l’utilisation et le partage des Données du Client tels que décrits dans les Services couverts. Le Client est autorisé à utiliser ces contrôles en tant que mesures techniques et organisationnelles pour l’assister dans le cadre de ses obligations en vertu des lois applicables en matière de Protection des données, y compris ses obligations relatives à la réponse aux demandes des Personnes concernées. Dans la mesure où cela est commercialement raisonnable et dans la mesure où la loi l’exige ou le permet, GoDaddy le notifiera sans délai si GoDaddy reçoit directement une demande de la part d’une Personne concernée pour exercer de tels droits en vertu de la législation en vigueur sur la Protection des données (« Demande d’une Personne concernée »). En outre, lorsque l’utilisation des Services couverts par le Client limite sa capacité à répondre à une Demande d’une Personne concernée, GoDaddy peut, lorsque cela est légalement autorisé et approprié et sur demande spécifique du Client, fournir une assistance commercialement raisonnable pour répondre à la demande, aux frais du Client (le cas échéant).

6.1 Sous-traitants autorisés. Le Client accepte que GoDaddy puisse utiliser des Sous-traitants pour remplir ses obligations contractuelles en vertu de ses Conditions d’utilisation et du présent Addenda ou pour fournir certains services en son nom, tels que la fourniture de services d’assistance. Par la présente, le Client accepte que GoDaddy fasse appel à des Sous-traitants comme décrit dans la présente Section.

6.2 Obligations des sous-traitants. Où GoDaddy fait appel à un sous-traitant autorisé tel que décrit à la Section 6.1 :

(i) GoDaddy limitera l’accès du Sous-traitant aux Données du Client au strict nécessaire pour assurer les Services couverts ou pour fournir les Services couverts au Client et aux utilisateurs finaux conformément aux Conditions d’utilisation. GoDaddy empêchera le sous-traitant d’accéder aux données du Client à toute autre fin ;

(ii) GoDaddy conclura un accord écrit avec le sous-traitant et, dans la mesure où le sous-traitant exécute les mêmes services de traitement des données que ceux fournis par GoDaddy dans le cadre du présent Addenda, GoDaddy imposera essentiellement au sous-traitant les mêmes obligations contractuelles que celles auxquelles GoDaddy est soumis en vertu du présent Addenda ; et

(iii) GoDaddy demeurera responsable de sa conformité concernant les obligations du présent Addenda et de tout acte ou omission du sous-traitant qui entraînerait une violation de la part de GoDaddy d’une des obligations de GoDaddy aux termes du présent Addenda.

6.3 Nouveaux Sous-traitants.  Nous pouvons à tout moment engager de nouveaux Sous-traitants dans le cadre et sous réserve des conditions du présent Addenda.  Dans ce cas, nous fournirons un préavis de 30 jours (via notre site web ou par email) avant que tout nouveau Sous-traitant obtienne les Données du Client. Si le Client n’approuve pas un nouveau Sous-traitant, le Client est alors autorisé à résilier les Services couverts sans pénalité en fournissant, dans les 10 jours suivant la réception d’un avis de notre part, un avis écrit de résiliation qui comprend une explication des raisons du refus. Si les Services couverts font partie d’un achat groupé ou d’une offre groupée, alors toute résiliation s’appliquera à son intégralité.

7.1 Incident de sécurité. Si GoDaddy a connaissance d’un incident de sécurité, GoDaddy prendra les mesures suivantes sans retard injustifié : (a) notifier le client de l’incident de sécurité ; et (b) prendre des mesures raisonnables pour atténuer les effets et minimiser les dommages résultant de l’incident de sécurité.

7.2 Assistance GoDaddy. Pour aider le Client en cas de notifications de violation des données personnelles, le Client est tenu de respecter toutes les lois applicables en matière de protection des données. GoDaddy inclura dans la notification les informations relatives à l’Incident de sécurité dans la mesure où GoDaddy est raisonnablement capable de révéler ces informations au Client, en tenant compte de la nature des Services couverts, des informations mises à la disposition de GoDaddy et de toute restriction concernant la divulgation des informations, telle que la confidentialité.

7.3 Incidents de sécurité échoués. Le Client convient qu’un Incident de sécurité ayant échoué ne sera pas soumis aux termes du présent Addenda. Un Incident de sécurité ayant échoué est un incident qui n’a pas donné lieu à un accès non autorisé aux Données du Client ou à l’un des réseaux, équipements ou installations de GoDaddy stockant les Données du Client, et peut inclure, sans limitation, des pings et autres attaques de diffusion sur les pare-feu ou serveurs de périphérie, analyses de ports, tentatives de connexion infructueuses, des attaques par déni de service, reniflage de paquets (ou autres accès non autorisés aux données de trafic qui n’aboutissent pas à un accès au-delà de l’en-tête) ou des incidents similaires.

7.4 Notification. La notification d’incidents de sécurité, le cas échéant, sera envoyée à un ou plusieurs administrateurs du client par tous les moyens sélectionnés par GoDaddy, y compris par email. Il est de la responsabilité exclusive du client de s’assurer que les administrateurs du client conservent des informations de contact précises sur la console de gestion de GoDaddy et sécurisent la transmission à tout moment.

7.5 Absence de reconnaissance d’une faute de la part de GoDaddy : l’obligation de GoDaddy de signaler ou répondre à un Incident de sécurité en vertu de la présente Section n’est pas et ne sera pas interprétée comme une reconnaissance par GoDaddy de toute faute ou responsabilité de GoDaddy concernant l’Incident de sécurité.

8.1 Détermination Indépendante. Le Client est tenu responsable de vérifier les informations mises à disposition par GoDaddy relatives à la Sécurité des données et à ses Normes de sécurité et de déterminer si les Services couverts répondent aux exigences et aux obligations légales du Client ainsi qu’aux obligations du Client en vertu de cet Addenda. Les informations mises à disposition ont pour but d’aider le Client à se conformer aux obligations du Client dans le cadre de la législation sur la Protection des données applicable. Le Client accepte que les Services couverts et les Normes de sécurité mis en œuvre et gérés par GoDaddy garantissent un niveau de sécurité approprié par rapport au risque encouru par les données personnelles (en prenant en compte la technologie, les coûts de mise en œuvre et la nature, la portée, le contexte et les objectifs du traitement des données personnelles, ainsi que les risques encourus par les personnes).

8.2 Droits d’audit de client. Le client a le droit de confirmer la conformité de GoDaddy au présent Addenda, tel qu’il s’applique aux Services couverts, en faisant une demande spécifique par écrit, à intervalles raisonnables, à l’adresse indiquée dans les Conditions d’utilisation. Si GoDaddy refuse de suivre toute instruction demandée par le Client concernant un audit ou une inspection dûment demandé et délimité, le Client est en droit de résilier le présent Addenda et les Conditions d’utilisation.

9.1** Traitement basé aux États-Unis.** Sauf indication contraire dans les conditions d’utilisation, les Données du Client seront transférées hors du Royaume-Uni ou de l’EEE et traitées aux États-Unis.

9.2 Application des Clauses contractuelles types de l’UE. Le Module Deux (Responsable à l’égard du Sous-traitant) des Clauses contractuelles types de l’UE ou le Module Trois (Responsable à l’égard du Responsable) des Clauses contractuelles types de l’UE s’appliqueront aux Données du Client transférées en dehors de l’EEE, directement ou par transfert, vers tout pays non reconnu par la Commission européenne comme offrant un niveau de protection adéquat pour les Données du Client. Ces Clauses contractuelles types de l’UE ne s’appliqueront pas aux Données du Client qui ne sont pas transférées, directement ou via un transfert ultérieur, en dehors de l’EEE. Nonobstant ce qui précède, les présentes Clauses contractuelles types de l’UE ne s’appliqueront pas si les données sont transférées conformément à une norme de conformité reconnue pour le transfert légal de Données personnelles en dehors de l’EEE, par exemple si nécessaire dans le cadre de l’exécution des Services couverts conformément aux Conditions d’utilisation ou avec votre consentement.

1. Pour chaque Module, le cas échéant :
   1. dans la Clause 7 des Clauses contractuelles types de l’UE, la clause d’entrée facultative ne s’appliquera pas ;
   2. dans la Clause 9 des Clauses contractuelles types de l’UE, l’Option 2 s’appliquera et le délai de préavis écrit des changements de sous-traitant sera celui prévu à la Section 6.3 (Nouveaux sous-traitants) du présent Addenda ;
   3. dans la Clause 11 des Clauses contractuelles types de l’UE, la langue facultative ne s’appliquera pas ;
   4. dans la Clause 17 (Option 1), les Clauses contractuelles types de l’UE seront régies par la législation allemande ;
   5. dans la Clause 18(b) des Clauses contractuelles types de l’UE, les litiges seront tranchés par les tribunaux de la République fédérale d’Allemagne ;
   6. dans l’Annexe I, Partie A des Clauses contractuelles types de l’UE :
      • Liste des Parties
        
        Exportateur(s) de données : L’exportateur de données est l’entité identifiée comme étant le « Client » dans l’Addenda
        Date et signature : À compter de la date d’acceptation électronique par l’Exportateur de données des Conditions d’utilisation de l’Importateur de données, l’Exportateur de données est considéré comme avoir signé les présentes Clauses contractuelles types de l’UE.
        Rôle : Responsable (au titre du Module deux) ou Sous-traitant (au titre du Module Trois)
        
        Importateur(s) de données : GoDaddy.com, LLC
        Coordonnées : Bureau du Délégué à la Protection des données – privacy@godaddy.com
        Date et signature : À compter de la date d’acceptation électronique par l’Exportateur de données des Conditions d’utilisation de l’Importateur de données, l’Importateur de données est considéré avoir signé les présentes Clauses contractuelles types de l’UE.
        Rôle : Sous-traitant
   7. dans l’Annexe I, Partie B des Clauses contractuelles types de l’UE :
      • Description du transfert
        
        Les catégories de Personnes concernées dont les données personnelles sont transférées sont décrites à l’Annexe 1 de l’Addenda.
        Les catégories de données personnelles transférées sont décrites dans l’Annexe 1 de l’Addenda. Les données sensibles transférées sont décrites dans l’Annexe 1 du présent Addenda.
        La fréquence de transfert est continue pendant la durée des Conditions d’utilisation.
        La nature du traitement est décrite dans la Section 2.2 et l’Annexe 1 de l’Addenda.
        Le ou les objectifs du transfert des données et autre traitement sont décrits dans la Section 2.2 et l’Annexe 1 du présent Addenda.
        La durée pendant laquelle les données personnelles seront conservées est décrite dans l’Annexe 1 du présent Addenda.
        Pour les transferts aux sous-traitants, l’objet, la nature et la durée du traitement sont définis dans l’Annexe III des Clauses contractuelles types.
   8. dans l’Annexe I, Partie C des Clauses contractuelles types de l’UE :
      • Autorité de surveillance compétente
        Le Commissaire de Rhénanie du Nord-Westphalie à la protection des données et à la liberté d’information (« LDI NRW ») est l’autorité de contrôle compétente.
   9. dans l’Annexe II des Clauses contractuelles types de l’UE :
      
      Les mesures de sécurité techniques et organisationnelles mises en œuvre par l’Importateur des données sont définies dans l’Annexe 2 de l’Addenda.
   10. dans l’Annexe III des Clauses contractuelles types de l’UE :
       
       La liste des sous-traitants se trouve dans l’Annexe 3 du présent Addenda.

9.3 Application of UK International Data Transfer Addendum. The UK International Data Transfer Addendum will apply to Customer Data transferred via Covered Services from the United Kingdom, either directly or via onward transfer, to any country not recognized by the competent United Kingdom regulatory authority or governmental body as providing an adequate level of protection for Customer Data. The UK International Data Transfer Addendum will not apply to Customer Data that is not transferred, either directly or via onward transfer, outside the United Kingdom. Notwithstanding the foregoing, the UK International Data Transfer Addendum will not apply where the data is transferred in accordance with a recognized compliance standard for the lawful transfer of Customer Data outside the United Kingdom, such as when necessary for the performance of Covered Services pursuant to the Terms of Service or with your consent.

1. Pour les transferts de données à partir du Royaume-Uni qui sont soumis à l’Addenda sur les transferts internationaux des données applicables au Royaume-Uni, l’Addenda sur les transferts internationaux des données applicables au Royaume-Uni sera réputé conclu (et intégré au présent Addenda par cette référence) et terminé comme suit :
   1. Dans le Tableau 1 de l’Addenda sur les transferts internationaux des données applicables au Royaume-Uni, les coordonnées et informations des parties se trouvent dans la Section 9.2 (i)(f) du présent Addenda.
   2. Dans le Tableau 2 de l’Addenda sur le transferts internationaux des données applicables au Royaume-Uni, les informations sur la version des Clauses contractuelles types de l’UE, les modules et les clauses sélectionnées auxquelles l’Addenda sur les transferts internationaux des données applicables au Royaume-Uni est ajouté se trouvent dans la Section 9.2 (Clauses contractuelles types de l’UE) du présent Addenda.
   3. Dans le Tableau 3 de l’Addenda sur les transferts internationaux des données applicables au Royaume-Uni :
      1. La liste des Parties se trouve dans la Section 9.2 (i)(f) du présent Addenda.
      2. La description des transferts se trouve dans la Section 1 (Nature et objectif du traitement) de l’Annexe 1 (Détails du traitement des données) du présent Addenda.
      3. L’Annexe II se trouve dans l’Annexe 2 (Normes de sécurité) du présent Addenda
      4. La liste des sous-traitants se trouve dans l’Annexe 3 du présent Addenda.
   4. Dans le Tableau 4 de l’Addenda sur les transferts internationaux des données applicables au Royaume-Uni, l’Importateur et l’Exportateur peuvent mettre fin à l’Addenda sur les transferts internationaux des données applicables au Royaume-Uni conformément aux conditions de l’Addenda sur les transferts internationaux des données applicables au Royaume-Uni.

Cet Addenda restera en vigueur jusqu'à la fin de notre traitement conformément aux Conditions d'utilisation (la « Date de résiliation »).   

Comme décrit dans les Services couverts, le Client peut recevoir des contrôles pouvant être utilisés pour récupérer ou supprimer des Données du Client. La suppression des Données du Client aura lieu trente (30) jours après la Date de Résiliation, sous réserve des conditions des Services Couverts particuliers. Le Client reconnaît qu’il est de sa responsabilité d’exporter, avant la Date de résiliation, toutes les données du Client qu’il souhaite conserver après la Date de résiliation.

La responsabilité de chaque partie dans le cadre du présent Addenda sera soumise aux exclusions et limitations de responsabilité énoncées dans les Conditions d’utilisation. Le Client accepte que les pénalités réglementaires encourues par GoDaddy en relation avec les Données du Client résultant du non-respect par le Client de ses obligations en vertu du présent Addenda et des lois applicables en matière de Protection des données seront prises en compte et réduiront la responsabilité de GoDaddy en vertu des Conditions d’utilisation comme s’il s’agissait d’une responsabilité envers le Client en vertu des Conditions d’utilisation.

Le présent Addenda annule et remplace l’intégralité des déclarations, ententes, accords ou communications antérieurs ou actuels entre le client et GoDaddy, qu’ils soient écrits ou tacites, concernant l’objet du présent Addenda, y compris tout Addenda relatif au traitement des données conclu entre GoDaddy et le Client en ce qui concerne le traitement des données personnelles et la libre circulation de ces données.  En cas de désaccord ou d’incohérence entre les Clauses contractuelles types de l’UE ou l’Addenda relatif aux transferts internationaux de données applicables au Royaume-Uni et d’autres dispositions du présent Addenda ou des Conditions d’utilisation, les dispositions des Clauses contractuelles types de l’UE ou de l’Addenda relatif aux transferts internationaux des données applicables au Royaume-Uni, selon le cas, prévaudront. À l’exception de ce qui a été modifié par le présent Addenda, les Conditions d’utilisation resteront pleinement en vigueur.  En cas de conflit entre les Conditions d’utilisation et le présent Addenda, les conditions de cet Addenda prévaudront.

 DÉTAILS DU TRAITEMENT

 1. Nature et objets du traitement. GoDaddy traitera les Données du Client nécessaires pour exécuter les Services couverts conformément aux Conditions d’utilisation et aux instructions supplémentaires du Client tout au long de son utilisation des Services couverts.

 2. Durée du traitement. Sous réserve des Sections 10 et 11 du présent Addenda, GoDaddy traitera les Données du Client pendant la date effective des Conditions d’utilisation. Nonobstant ce qui précède, GoDaddy peut conserver les Données du Client, ou toute partie de celles-ci, si les lois ou règlements en vigueur l’exigent, y compris les Lois de protection des données en vigueur, à condition que lesdites Données du Client restent protégées conformément aux termes du présent Addenda et aux Lois de protection des données en vigueur.

3. Catégories de Personnes concernées. Le Client est autorisé à télécharger des Données personnelles dans le cadre de son utilisation des Services couverts, la mesure dans laquelle le Client détermine et contrôle, à sa seule discrétion, ce qui peut inclure, mais sans s’y limiter, les Données personnelles relatives aux catégories de Personnes concernées suivantes :

• Prospects, clients, partenaires commerciaux et fournisseurs du Client (personnes physiques)
• Employés ou personnes de contact des prospects du Client, clients, partenaires commerciaux et fournisseurs
• Employés, agents, conseillers, travailleurs indépendants du Client (personnes physiques)
• Utilisateurs du Client autorisés par le Client à utiliser les Services couverts

4. Catégories de Données personnelles Le Client peut télécharger des Données personnelles dans le cadre de son utilisation des Services couverts, dont le type et la mesure sont déterminés et contrôlés par le Client à sa seule discrétion, et qui peuvent inclure, mais sans s’y limiter, les catégories suivantes de données personnelles de sujets de données : 

• Nom
• Adresse
• Numéro de téléphone
• Date de naissance
• Adresse email
• Autres données collectées qui pourraient identifier directement ou indirectement les sujets de données.

5. Données sensibles ou catégories spéciales de données. Le Client peut télécharger des Données sensibles dans le cadre de son utilisation des Services couverts. Le type et l’étendue de ces dernières sont déterminés et contrôlés par le Client à sa seule discrétion. Il incombe au client d’appliquer des restrictions ou des mesures de protection qui tiennent entièrement compte de la nature des données et des risques encourus avant de transmettre ou de traiter des Données sensibles via les Services couverts.

Normes de sécurité

I.  Mesures techniques et organisationnelles  

Nous nous engageons à protéger les informations de nos clients.  Tenant compte des meilleures pratiques, des coûts de mise en œuvre, de la nature, de la portée, des circonstances et des finalités du traitement, ainsi que de la probabilité différente de survenue et de la gravité du risque d’atteinte aux droits et libertés des personnes physiques, nous prenons les mesures techniques et organisationnelles suivantes.  Lors de la sélection des mesures, la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes sont prises en compte.

II.  Programme de confidentialité de données  

Notre Programme de confidentialité des données est établi pour maintenir une structure de gouvernance globale des données et des informations sécurisées tout au long de leur cycle de vie. Ce programme est piloté par le bureau du responsable de la protection des données, qui supervise la mise en œuvre des pratiques de confidentialité et des mesures de sécurité. Nous testons et évaluons régulièrement l'efficacité de son programme de protection des données et de ses normes de sécurité.

1. Confidentialité. « La confidentialité signifie que les données personnelles sont protégées contre toute divulgation non autorisée. »  

Nous utilisons plusieurs mesures physiques et logiques pour protéger la confidentialité des données personnelles de ses clients. Ces mesures comprennent :   

  Sécurité physique  

• Systèmes de contrôle d'accès physique en place (Contrôle d'accès au badge, Surveillance de sécurité d’événements etc.) 
• Systèmes de surveillance, y compris les alarmes et, le cas échéant, la surveillance CCTV
• Politiques de bureaux rangés et contrôles en place (verrouillage des ordinateurs non surveillés, classeurs verrouillés, etc.)  
• Gestion d’accès des visiteurs
• Destruction de données sur des supports physiques et des documents (déchiquetage, démagnétisation, etc.)

  Contrôle d’accès et prévention d’accès non autorisé 

• Restrictions d'accès utilisateur appliquées et autorisations d'accès basées sur les rôles fournis/révisés selon le principe de séparation des tâches
• Méthodes d’authentification et d’autorisation sécurisées (Authentification multifactorielle, autorisation basée sur un certificat, désactivation/déconnexion automatique, etc.) 
• Gestion de mot de passe centralisée et politiques de mots de passe forts/complexes (nombre de caractères ou complexité des caractères minimum, expiration de mots passe, etc.)   
• Accès contrôlé aux e-mails et à Internet
• Gestion antivirus
• Système de gestion de la prévention des intrusions

Chiffrement   

• Chiffrement de la communication externe et interne via des protocoles cryptographiques sécurisés
• Chiffrement des données personnelles et des données sensibles inactives (bases de données, annuaires partagés, etc.)   
• Chiffrement de disque complet pour les PC et les portables de l’entreprise   
• Chiffrement des médias de stockage  
• Les connexions à distance aux réseaux de l’entreprise sont chiffrées par VPN  
• Sécurisation du cycle de vie des clés de chiffrement

 Minimisation des données    

• Minimisation PII/SPI dans les applications, le débogage et les journaux de sécurité
• Utilisation de pseudonymes dans les données personnelles pour empêcher l'identification directe d'un individu
• Séparation des données stockées par fonction (test, développement, en ligne)
• Séparation logique des données par droits d'accès basés sur les rôles
• Durée de conservation des données définie pour les données personnelles

Tests de sécurité     

• Test de pénétration pour les réseaux et plates-formes d'entreprise critiques hébergeant des données personnelles
• Vérifications régulières de réseau et de vulnérabilités

2. Intégrité. « L'intégrité consiste à assurer l'exactitude (intégrité) des données et le bon fonctionnement des systèmes. Lorsque le terme intégrité est utilisé en relation avec le terme « données », il exprime le fait que les données sont complètes et inchangées. »  

Des contrôles appropriés de changement et de gestion des journaux sont en place, en plus des contrôles d'accès pour pouvoir maintenir l'intégrité des données personnelles telles que :    

Gestion des modifications et des versions    

• Processus de gestion des modifications et des versions, y compris (analyse d'impact, approbations, tests, avis de sécurité, mise en scène, surveillance, etc.)  
• Provision d’accès basée sur les rôles et les fonctions (ségrégations des tâches) sur les environnements de production

Journalisation et surveillance

• Enregistrement dans les journaux des accès et changements aux données
• Audit et journaux de sécurité centralisés
• Contrôle de l'exhaustivité et de l'exactitude du transfert de données (contrôle de bout en bout)

3. Disponibilité. « La disponibilité des services et des systèmes informatiques, des applications informatiques et des fonctions de réseau informatique ou d'information est garantie, si les utilisateurs sont en mesure de les utiliser comme prévu à tout moment. »    

Nous mettons en œuvre des mesures de continuité et de sécurité appropriées pour maintenir la disponibilité de ses services et des données résidant dans ces services :    

• Tests de basculement réguliers appliqués aux services critiques
• Surveillance et rapports complets des performances/de la disponibilité pour les systèmes critiques
• Programme de réponse aux incidents de sécurité
• Données critiques soit dupliquées ou sauvegardées (Sauvegardes cloud/Disques dur/Duplication de base de données, etc.) 
• Entretien planifié de logiciels, d’infrastructure et de sécurité en place (Mises à jour logiciels et de sécurité etc.)   
• Systèmes redondants et résilients (grappes de serveurs, bases de données en miroir, configurations à haute disponibilité, etc.) situés sur des emplacements hors site et/ou séparés géographiquement
• Utilisation d'alimentation sans interruption, défaillance de matériel et de systèmes réseau redondants
• Systèmes d’alarme et de sécurité en place
• Mesures de protection physique en place pour les sites critiques (protection contre les surtensions, sols surélevés, systèmes de refroidissement, détecteurs d'incendie et/ou de fumée, systèmes d'extinction d'incendie, etc.) 
• Protection DDoS pour maintenir la disponibilité
• Tests de charge et de stress

4. Instructions de traitement de données. « Les instructions de traitement de données visent à garantir que les données personnelles ne seront traitées que conformément aux instructions du contrôleur des données et aux mesures prises par l’entreprise. »  

Nous avons établi des politiques et des accords de confidentialité internes et menons des formations régulières sur la confidentialité pour les employés afin de garantir le traitement des données personnelles en accord avec les préférences et instructions des clients.   

• Modalités de vie privée et de confidentialité en place dans les contrats des employés
• Formations régulières sur la confidentialité et la sécurité des données pour les employés
• Dispositions contractuelles appropriées concernant les accords avec les sous-traitants pour gérer les droits de contrôle éducatifs
• Contrôles de confidentialité réguliers pour les fournisseurs de services externes
• Fournir aux clients un contrôle total sur leurs préférences en matière de traitement des données
• Audits de sécurité réguliers