GoDaddy

ADDENDA DE TRAITEMENT DE DONNÉES (CLIENTS)

Dernière révision : 27.09.2021

Cet addenda de traitement de données (l’« Addenda ») est exécuté par et entre GoDaddy.com, LLC, a Delaware limited liability company et ses affiliés (« GoDaddy ») et vous (« Client ») et est annexé et complémente nos Conditions universelles de service, notre Politique de confidentialité et tous les accords régissant les Services couverts (collectivement, les « Conditions de service »).  Sauf définition contraire du présent addenda, tous les termes commençant par une majuscule qui ne sont pas définis dans le présent addenda auront le sens qui leur est donné dans les Conditions d'utilisation.

1. Définitions

« Affiliés » désigne toute entité qui est contrôlée par, contrôle ou est en contrôle commun avec GoDaddy.

«CCPA » désigne le California Consumer Privacy Act, Cal. Civ. Code 1798.100 et seq., y compris toutes les modifications et tous les règlements d’application associés qui entrent en vigueur à la date d’entrée en vigueur du présent Addenda de traitement des données ou après cette date.

« Services couverts » désigne les services hébergés qui pourraient impliquer notre Traitement des Données personnelles et inclut les services hébergés soumis aux conditions générales des Accords suivants : (1) Services de marketing par email, (2) Hébergement, (3) Boutique en ligne/Panier flash, (4) Services de sites web, (5) Service Workspace.

« Données du Client » désigne les données personnelles de tout sujet de données traité par GoDaddy dans le réseau GoDaddy au nom du Client conformément aux conditions d’utilisation ou en relation avec celles-ci.

« Contrôleur de données » désigne le Client, en tant qu’entité qui détermine les objectifs et les moyens du Traitement des Données personnelles.

« Processeur de données » désigne GoDaddy, en tant qu’entité qui traite les Données personnelles au nom du Contrôleur de données, ou le fournisseur de services conformément à la définition donnée par le CCPA

« Lois sur la protection des données » désigne toutes les lois et réglementations relatives au Traitement des Données personnelles en vertu de l’Accord, y compris (i) les Principes australiens de protection de la vie privée et la Loi australienne sur la protection de la vie privée (1988), (ii) la Lei Geral de Proteção de Dados (LGPD) du Brésil, (iii) le California Consumer Privacy Act (CCPA), (iv) le Personal Information Protection and Electronic Documents Act (PIPEDA), loi fédérale canadienne, (v) le Règlement général sur la protection des données (RGPD) de l’Union européenne, (vi) toute loi nationale sur la protection des données adoptée en vertu ou conformément au RGPD (vii) la directive européenne sur la vie privée en ligne (directive 2002/58/CE), (viii) le Personal Data Protection Act (PDPA) de 2012 de Singapour, (ix) la loi fédérale suisse sur la protection des données du 19 juin 1992 et son ordonnance, (x) le RGPD ou la loi sur la protection des données de 2018 du Royaume-Uni ; dans chaque cas, tels qu’elles peuvent être modifiées, annulées ou remplacées.

« Sujet de données » signifie l’individu relié aux données personnelles.

« EEE » signifie l’Espace Économique Européen.

« RGPD » désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

« GoDaddyRéseau » signifie les installations du centre de données de GoDaddy, les serveurs, l’équipement réseau et les systèmes logiciels hôtes (par exemple, les pare-feu virtuels) qui sont sous le contrôle de GoDaddy et sont utilisés pour fournir les Services couverts.

« Données personnelles » désigne toute information associée à une personne ou un foyer identifié ou identifiable, telle que définie par les lois sur la protection des données.

« Traitement » désigne toute opération ou ensemble d’opérations effectuées sur des Données personnelles, que ce soit par collecte, enregistrement, organisation, structuration, stockage, adaptation ou modification, récupération, consultation, utilisation, divulgation par transmission, diffusion ou autre mise à disposition, alignement ou combinaison, restriction, effacement ou destruction. « Traitement », « traitements » et « traité » seront interprétés en conséquence. Les détails du traitement sont énoncés dans l’Annexe 1.

« Incident de sécurité » soit (a) une violation de la sécurité des Normes de sécurité de GoDaddy entraînant la destruction accidentelle ou illicite, la perte, la modification, la divulgation non autorisée ou l’accès aux Données du Client ; ou (b) tout accès non autorisé à l’équipement ou aux installations de GoDaddy, dans le cas où un tel accès entraîne la destruction, la perte, la divulgation non autorisée ou la modification des Données client.

« Normes de sécurité » signifie les normes de sécurité jointes à cet Addenda comme Annexe 2.

« Données sensibles » signifie (a) numéro de sécurité sociale, numéro de passeport, numéro de permis de conduire ou tout autre identifiant similaire (ou toute partie de celui-ci) ; (b) numéro de carte de crédit ou de débit (autre que les quatre derniers chiffres tronqués d’une carte de crédit ou de débit), informations financières, numéros de comptes bancaires ou mots de passe ; (c) informations relatives à l’emploi, aux finances, à la génétique, à la biométrie ou à la santé ; (d) affiliation raciale, ethnique, politique ou religieuse, appartenance syndicale ou informations sur la vie sexuelle ou l’orientation sexuelle ; (e) mots de passe de compte, nom de jeune fille de la mère ou date de naissance ; (f) casier judiciaire ; ou (g) toute autre information ou combinaison d’informations relevant de la définition des « catégories spéciales de données » en vertu du RGPD ou de toute autre loi ou réglementation en vigueur relative à la vie privée et à la protection des données.

« Clauses contractuelles standard » ou « SCC » désigne les clauses standard de protection des données inhérentes au transfert de données personnelles entre un contrôleur et un sous-traitant établi dans des pays tiers qui n’assurent pas un niveau adéquat de protection des données, telles que décrites dans l’Article 46 du RGPD et approuvées par la décision 2021/914 de la Commission européenne du 4 juin 2021. Module 2 (contrôleur vers sous-traitant) - les clauses contractuelles standard figurent dans l’Annexe 4.

« Sous-traitant » désigne tout Sous-traitant de données engagé par le Sous-traitant pour traiter des données pour le compte du Contrôleur de données.

« Clauses contractuelles standard du Royaume-Uni » désigne les clauses standard de protection des données inhérentes au transfert de données personnelles aux sous-traitants établis dans des pays tiers qui n’assurent pas un niveau adéquat de protection des données, telles que décrites dans l’Article 46 du RGPD britannique et approuvées par la décision 2010/87/UE de la Commission européenne. Les clauses contractuelles standard du Royaume-Uni figurent dans l’Annexe 4.                            

2. Traitement des données

2.1 Portée et rôles. Cet Addenda s’applique lorsque les Données du Client sont traitées par GoDaddy où GoDaddy agira en tant que responsable du traitement des données pour le compte du client en tant que responsable du traitement des Données du Client.

2.2 Détails de traitement de données. L’objet du traitement des Données du Client par GoDaddy est l’exécution des Services couverts conformément aux Conditions d’utilisation. GoDaddy traitera uniquement les Données du Client au nom de et conformément aux instructions documentées du client aux fins suivantes : (i) Traitement conformément aux Conditions d’utilisation ; (ii) traitement initié par les utilisateurs finaux dans leur utilisation des Services couverts ; (iii) Traitement pour se conformer à d’autres instructions raisonnables et documentées fournies par les clients (par exemple, par email) lorsque ces instructions sont conformes aux Conditions d’utilisation. GoDaddy ne sera pas tenu de : (a) traiter, conserver, utiliser, vendre ou divulguer les Données du Client sauf si cela est nécessaire pour fournir les Services couverts conformément aux Conditions d’utilisation, ou si la loi l’exige ; (b) vendre les Données du Client à un tiers ; (c) conserver, utiliser ou divulguer les Données du Client en dehors de la relation commerciale directe entre GoDaddy et le client.

Pour éviter tout doute, les instructions du client concernant le traitement des données personnelles doivent être conformes à toutes les lois applicables sur la confidentialité des données. Le client assume la totale responsabilité de l’exactitude, de la qualité et de la légalité des Données personnelles et des moyens par lesquels il les a obtenues. GoDaddy ne sera pas tenu de respecter ou d’observer les instructions du client si ces instructions sont susceptibles d’enfreindre les lois sur la protection des données. La durée du traitement, la nature et l’objet du traitement, les types de Données personnelles et les catégories de données traitées dans le cadre du présent Addenda sont précisés à l’Annexe 1 (« Détails du traitement ») du présent Addenda.

3. Confidentialité des données client

GoDaddy ne divulguera pas les Données du client à un gouvernement ou à une autre tierce partie, sauf si cela est nécessaire pour se conformer à la loi ou à une ordonnance valide et contraignante d’un organisme chargé de l’application de la loi (telle qu’une assignation à comparaître ou une ordonnance d’un tribunal). Dans le cas où GoDaddy reçoit une assignation civile valide, et dans la mesure permise, GoDaddy s'efforcera de fournir au client un préavis raisonnable de la demande par email ou par courrier postal, afin de permettre au client de demander une ordonnance conservatoire ou tout autre recours approprié

4. Sécurité

4.1 GoDaddy a mis en œuvre et maintiendra les mesures techniques et organisationnelles pour le réseau GoDaddy décrites dans la présente section et décrites dans l’Annexe 2 du présent Addenda, Normes de sécurité. En particulier, GoDaddy a mis en place et maintiendra les mesures techniques et organisationnelles suivantes concernant (i) la sécurité du réseau GoDaddy ; (ii) la sécurité physique des installations ; (iii) les contrôles entourant l’accès des employés et des sous-traitants à (i) et/ou (ii) ; et (iv) les processus de test, d’estimation et d’évaluation de l’efficacité des mesures techniques et organisationnelles mises en œuvre par GoDaddy. Dans l’éventualité où nous ne serions pas en mesure de respecter l’une des obligations énoncées aux présentes, nous vous en informerons dès que possible par écrit (via notre site web et par email).

4.2 GoDaddy rend disponible un certain nombre de fonctions de sécurité et de fonctionnalités que le Client peut choisir d'utiliser en relation avec les Services couverts. Le Client est responsable de (a) configurer correctement les Services couverts, (b) utiliser les contrôles disponibles en relation avec les Services couverts (y compris les contrôles de sécurité) pour assurer la confidentialité, l'intégrité, la disponibilité et la résilience continue des systèmes et services de traitement, (c) utiliser les contrôles disponibles dans le cadre des Services couverts (y compris les contrôles de sécurité) pour permettre au Client de rétablir la disponibilité et l'accès aux Données du Client en temps opportun en cas de défaillance physique ou technique (par exemple des sauvegardes ou un archivage périodique des Données du client) ; et (d) prendre les mesures que le Client considère appropriées pour assurer la sécurité, la protection et la suppression des Données du Client, y compris l'utilisation de chiffrement pour protéger les Données du client contre tout accès non autorisé et mesurer les droits de contrôle d’accès aux données du client.

5. Droits des sujets de données

En tenant compte de la nature des Services couverts, GoDaddy propose au Client certains contrôles tels que décrits dans la section « Sécurité » de cet Addenda que le Client peut choisir d'utiliser pour récupérer, corriger, supprimer ou restreindre l'utilisation et le partage des Données du Client tel que décrit dans les Services couverts. Le Client peut utiliser ces contrôles en tant que mesures techniques et organisationnelles pour l'assister dans le cadre de ses obligations en vertu des lois applicables en matière de confidentialité, y compris ses obligations relatives à la réponse aux demandes des Sujets de données. Dans la mesure où cela est commercialement raisonnable et dans la mesure où la loi l'exige ou le permet, GoDaddy le notifiera sans délai si GoDaddy reçoit directement une demande de la part d'un sujet de données (« Demande de sujet de données »). En outre, lorsque l'utilisation des Services couverts par le Client limite sa capacité à répondre à une Demande de données, GoDaddy peut, lorsque cela est légalement autorisé et approprié et sur demande spécifique du Client, fournir une assistance commercialement raisonnable pour répondre à la demande, aux frais du client (le cas échéant).

6. Sous-traitement

6.1 Sous-traitements autorisés. Le Client accepte que GoDaddy puisse utiliser des Sous-traitants pour remplir ses obligations contractuelles en vertu de ses Conditions d'utilisation et de cet Addenda ou pour fournir certains services en son nom, tels que la fourniture de services d'assistance. Par la présente, le client consent à l'utilisation des sous-processeurs de GoDaddy comme décrit dans cette section. Sauf comme stipulé dans la présente section ou autrement explicitement autorisé par vous, GoDaddy n'autorisera aucune autre activité de sous-traitement.

6.2 Obligations de sous-traitants. Où GoDaddy utilise un sous-traitant autorisé tel que décrit à la Section 6.1 :

(i) GoDaddy limitera l'accès du Sous-traitant aux Données client uniquement à ce qui est nécessaire pour maintenir les Services couverts ou pour fournir les Services couverts au Client et aux utilisateurs finaux conformément aux Services couverts. GoDaddy empêchera le sous-traitant d'accéder aux données du client à d'autres fins ;

(ii) GoDaddy conclura un accord écrit avec le sous-traitant et, dans la mesure où le sous-traitant exécute les mêmes services de traitement des données que ceux fournis par GoDaddy dans le cadre du présent addenda, GoDaddy imposera au sous-traitant les mêmes obligations contractuelles que GoDaddy détient en vertu du présent addenda ; et

(iii) GoDaddy demeurera responsable de sa conformité concernant les obligations du présent addenda et de tout acte ou omission du sous-traitant qui entraînerait une violation de la part de GoDaddy d’une des obligations de GoDaddy aux termes du présent addenda.

6.3 Nouveaux sous-traitants.  Nous pouvons à tout moment engager de nouveaux Sous-traitants dans le cadre et sous réserve des conditions du présent Addenda.  Dans ce cas, nous fournirons un préavis de 30 jours (via notre site web et par email) avant que tout nouveau Sous-traitant obtienne les Données du Client. Si le Client n’approuve pas un nouveau Sous-traitant, alors le Client peut résilier les Services couverts sans pénalité en fournissant, dans les 10 jours suivant la réception d’un avis de notre part, un avis écrit de résiliation qui comprend une explication des raisons du refus. Si les Services couverts font partie d’un achat groupé ou d’une offre groupée, alors toute résiliation s’appliquera à son intégralité.

7. Incident de sécurité

7.1 Incident de sécurité. Si GoDaddy a connaissance d’un incident de sécurité, GoDaddy prendra les mesures suivantes sans retard injustifié : (a) notifier le client de l’incident de sécurité ; et (b) prendre des mesures raisonnables pour atténuer les effets et minimiser les dommages résultant de l’incident de sécurité.

7.2 Assistance GoDaddy.  Pour aider le client en cas de notifications de la violation des données personnelles, le client est tenu de respecter toutes les lois applicables en matière de vie privée. GoDaddy inclura dans la notification les informations relatives à l'Incident de sécurité dans la mesure où GoDaddy est raisonnablement capable de révéler ces informations au client, en tenant compte de la nature des services couverts, des informations mises à la disposition de GoDaddy et de toute restriction concernant la divulgation des informations, telle que la confidentialité.  

7.3 Incidents de sécurité échoués. Le client accepte que :

(i) Un Incident de sécurité échoué ne sera pas soumis aux termes de cet Addenda. Un incident de sécurité échoué n'entraîne aucun accès non autorisé aux données du client ou à l'un des réseaux, équipements ou installations de GoDaddy stockant les données du client, et peut inclure, sans limitation, des pings et autres attaques de diffusion sur les pare-feu ou serveurs de périphérie, analyses de ports, tentatives de connexion infructueuses, attaques par déni de service, reniflage de paquets (ou autres accès non autorisés aux données de trafic qui n'aboutissent pas à un accès au-delà de l’en-tête) ou incidents similaires ; et

(ii) L’obligation pour GoDaddy de signaler ou répondre à un incident de sécurité en vertu du présent article n'est pas et ne sera pas interprétée comme une reconnaissance par GoDaddy de toute faute ou responsabilité de GoDaddy concernant l'incident de sécurité.

7.4 Notification. La notification d’incidents de sécurité, le cas échéant, sera envoyée à un ou plusieurs administrateurs du client par tous les moyens sélectionnés par GoDaddy, y compris par email. Il est de la responsabilité exclusive du client de s’assurer que les administrateurs du client conservent des informations de contact précises sur la console de gestion de GoDaddy et sécurisent la transmission à tout moment.

8. Droits du client

8.1 Détermination Indépendante. Le Client est tenu responsable de vérifier les informations mises à disposition par GoDaddy relatives à la sécurité des données et à ses normes de sécurité et de déterminer si les Services couverts répondent aux exigences et aux obligations légales du Client ainsi qu'aux obligations du Client en vertu de cet Addenda. Les informations mises à disposition sont destinées à aider le Client à se conformer aux obligations du Client en vertu des lois applicables en matière de confidentialité, y compris le RGPD, en matière d'évaluations d'impact sur la protection des données et de consultation préalable.

8.2 Droits d’audit de client. Le client a le droit de confirmer la conformité de GoDaddy au présent Addenda, tel qu’il s’applique aux Services couverts, en faisant une demande spécifique par écrit, à intervalles raisonnables, à l’adresse indiquée dans les Conditions d’utilisation. Si GoDaddy refuse de suivre toute instruction demandée par le Client concernant un audit ou une inspection dûment demandé et délimité, le Client est en droit de résilier le présent Addenda et les Conditions d’utilisation.

9. Transferts des données des clients

9.1** Traitement basé aux États-Unis.** Sauf indication contraire dans les conditions d’utilisation, les Données du Client seront transférées hors du Royaume-Uni ou de l’EEE et traitées aux États-Unis.

9.2 Application des clauses contractuelles standard. Les clauses contractuelles standard s’appliqueront aux Données du Client transférées en dehors de l’EEE, directement ou par transfert, vers tout pays non reconnu par la Commission européenne comme offrant un niveau de protection adéquat pour les Données du Client. Les Clauses contractuelles standard ne s’appliqueront pas aux Données du Client qui ne sont pas transférées, directement ou via un transfert ultérieur, en dehors de l’EEE. Nonobstant ce qui précède, les Clauses contractuelles standard ne s’appliqueront pas si les données sont transférées conformément à une norme de conformité reconnue pour le transfert légal de Données personnelles en dehors de l’EEE, par exemple si nécessaire pour l’exécution des Services couverts conformément aux Conditions d’utilisation ou avec votre consentement.

9.3 Application of UK Standard Contractual Clauses. The UK Standard Contractual Clauses will apply to Customer Data transferred via Covered Services from the United Kingdom, either directly or via onward transfer, to any country not recognized by the competent United Kingdom regulatory authority or governmental body as providing an adequate level of protection for Customer Data. The UK Standard Contractual Clauses will not apply to Customer Data that is not transferred, either directly or via onward transfer, outside the United Kingdom. Notwithstanding the foregoing, the UK Standard Contractual Clauses will not apply where the data is transferred in accordance with a recognized compliance standard for the lawful transfer of Customer Data outside the United Kingdom, such as when necessary for the performance of Covered Services pursuant to the Terms of Service or with your consent.

10. Résiliation de l’addenda

Cet Addenda restera en vigueur jusqu'à la fin de notre traitement conformément aux Conditions d'utilisation (la « Date de résiliation »).   

11. Retour ou suppression des données du client

Comme décrit dans les Services couverts, le Client peut recevoir des contrôles pouvant être utilisés pour récupérer ou supprimer des Données du Client. La suppression des Données du Client aura lieu trente (30) jours après la Date de Résiliation, sous réserve des conditions des Services Couverts particuliers.

12. Limites de responsabilité

La responsabilité de chaque partie dans le cadre du présent Addenda sera soumise aux exclusions et limitations de responsabilité énoncées dans les Conditions d'utilisation. Le client convient que les pénalités réglementaires encourues par GoDaddy en relation avec les données du client résultant du non-respect par le client de ses obligations en vertu du présent addenda et des lois applicables en matière de protection de la vie privée seront prises en compte et réduiront la responsabilité de GoDaddy en vertu des Conditions d'utilisation comme s'il s'agissait d'une responsabilité envers le Client en vertu des Conditions d'utilisation.

13. Conditions d’utilisation complètes; Conflit

Le présent Addenda annule et remplace l’intégralité des déclarations, ententes, accords ou communications antérieurs ou contemporains entre le client et GoDaddy, qu’ils soient écrits ou oraux, concernant l’objet du présent Addenda, y compris tout Addenda relatif au traitement des données conclu entre GoDaddy et le Client en ce qui concerne le traitement des données personnelles et la libre circulation de ces données.  À l’exception de ce qui a été modifié par le présent Addenda, les Conditions d’utilisation resteront pleinement en vigueur.  En cas de conflit entre les conditions d’utilisation et le présent Addenda, les conditions de cet Addenda prévaudront.

Annexe 1

 DÉTAILS DU TRAITEMENT

 1. Nature et objets du traitement. GoDaddy traitera les Données du Client nécessaires pour exécuter les Services couverts conformément aux Conditions d’utilisation et aux instructions supplémentaires du Client tout au long de son utilisation des Services couverts.

 2. Durée du traitement. Sous réserve des Sections 10 et 11 du présent Addenda, GoDaddy traitera les Données du Client pendant la date effective des Conditions d’utilisation. Nonobstant ce qui précède, GoDaddy peut conserver les Données du Client, ou toute partie de celles-ci, si les lois ou règlements en vigueur l’exigent, y compris les Lois de protection des données en vigueur, à condition que lesdites Données du Client restent protégées conformément aux termes du présent Addenda et aux Lois de protection des données en vigueur.

3. Catégories de données. Le Client peut télécharger des données personnelles dans le cadre de son utilisation des Services couverts, dans la mesure dans laquelle le Client détermine et contrôle, à sa seule discrétion, ce qui peut inclure, mais sans s’y limiter, aux données personnelles relatives aux catégories de sujets de données suivantes :

  • Perspectives, clients, partenaires commerciaux et vendeurs de clients (personnes physiques)
  • Employés ou contacts des clients du client, partenaires commerciaux et vendeurs
  • Employés, agents, conseillers, pigistes du Client (personnes physiques)
  • Utilisateurs du client autorisés par le client à utiliser les Services couverts

4. Catégories de Données personnelles Le Client peut télécharger des Données personnelles dans le cadre de son utilisation des Services couverts, dont le type et la mesure sont déterminés et contrôlés par le Client à sa seule discrétion, et qui peuvent inclure, mais sans s’y limiter, les catégories suivantes de données personnelles de sujets de données : 

  • Nom
  • Adresse
  • Numéro de téléphone
  • Date de naissance
  • Adresse email
  • Autres données collectées qui pourraient identifier directement ou indirectement les sujets de données.

5. Données sensibles ou catégories spéciales de données. Le Client peut télécharger des Données sensibles dans le cadre de son utilisation des Services couverts. Le type et l’étendue de ces dernières sont déterminés et contrôlés par le Client à sa seule discrétion. Il incombe au client d’appliquer des restrictions ou des mesures de protection qui tiennent entièrement compte de la nature des données et des risques encourus avant de transmettre ou de traiter des Données sensibles via les Services couverts.

Annexe 2

Normes de sécurité

I.  Mesures techniques et organisationnelles  

Nous nous engageons à protéger les informations de nos clients.  Tenant compte des meilleures pratiques, des coûts de mise en œuvre, de la nature, de la portée, des circonstances et des finalités du traitement, ainsi que de la probabilité différente de survenue et de la gravité du risque d'atteinte aux droits et libertés des personnes physiques, nous prenons les mesures techniques et organisationnelles suivantes.  Lors de la sélection des mesures, la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes sont prises en compte. Une récupération rapide après un incident physique ou technique est garantie.

II.  Programme de confidentialité de données  

Notre Programme de confidentialité des données est établi pour maintenir une structure de gouvernance globale des données et des informations sécurisées tout au long de leur cycle de vie. Ce programme est piloté par le bureau du responsable de la protection des données, qui supervise la mise en œuvre des pratiques de confidentialité et des mesures de sécurité. Nous testons et évaluons régulièrement l'efficacité de son programme de protection des données et de ses normes de sécurité.

1. Confidentialité. « La confidentialité signifie que les données personnelles sont protégées contre toute divulgation non autorisée. »  

Nous utilisons plusieurs mesures physiques et logiques pour protéger la confidentialité des données personnelles de ses clients. Ces mesures comprennent :   

  Sécurité physique  

  • Systèmes de contrôle d'accès physique en place (Contrôle d'accès au badge, Surveillance de sécurité d’événements etc.) 
  • Systèmes de surveillance, y compris les alarmes et, le cas échéant, la surveillance CCTV
  • Politiques de bureaux rangés et contrôles en place (verrouillage des ordinateurs non surveillés, classeurs verrouillés, etc.)  
  • Gestion d’accès des visiteurs
  • Destruction de données sur des supports physiques et des documents (déchiquetage, démagnétisation, etc.)

  Contrôle d’accès et prévention d’accès non autorisé 

  • Restrictions d'accès utilisateur appliquées et autorisations d'accès basées sur les rôles fournis/révisés selon le principe de séparation des tâches
  • Méthodes d’authentification et d’autorisation sécurisées (Authentification multifactorielle, autorisation basée sur un certificat, désactivation/déconnexion automatique, etc.) 
  • Gestion de mot de passe centralisée et politiques de mots de passe forts/complexes (nombre de caractères ou complexité des caractères minimum, expiration de mots passe, etc.)   
  • Accès contrôlé aux e-mails et à Internet
  • Gestion antivirus
  • Système de gestion de la prévention des intrusions

Chiffrement   

  • Chiffrement de la communication externe et interne via des protocoles cryptographiques forts
  • Chiffrement des données PII/SPII au repos (bases de données, répertoires partagés, etc.)   
  • Chiffrement de disque complet pour les PC et les portables de l’entreprise
  • Chiffrement des médias de stockage
  • Les connexions à distance aux réseaux de l'entreprise sont chiffrées par VPN
  • Sécurisation du cycle de vie des clés de chiffrement

 Minimisation des données    

  • Minimisation PII/SPI dans les applications, le débogage et les journaux de sécurité
  • Utilisation de pseudonymes dans les données personnelles pour empêcher l'identification directe d'un individu
  • Séparation des données stockées par fonction (test, développement, en ligne)
  • Séparation logique des données par droits d'accès basés sur les rôles
  • Durée de conservation des données définie pour les données personnelles

Tests de sécurité     

  • Test de pénétration pour les réseaux et plates-formes d'entreprise critiques hébergeant des données personnelles
  • Vérifications régulières de réseau et de vulnérabilités

2. Intégrité. « L'intégrité consiste à assurer l'exactitude (intégrité) des données et le bon fonctionnement des systèmes. Lorsque le terme intégrité est utilisé en relation avec le terme « données », il exprime le fait que les données sont complètes et inchangées. »  

Des contrôles appropriés de changement et de gestion des journaux sont en place, en plus des contrôles d'accès pour pouvoir maintenir l'intégrité des données personnelles telles que :    

Gestion des modifications et des versions    

  • Processus de gestion des modifications et des versions, y compris (analyse d'impact, approbations, tests, avis de sécurité, mise en scène, surveillance, etc.)  
  • Provision d’accès basée sur les rôles et les fonctions (ségrégations des tâches) sur les environnements de production

Journalisation et surveillance

  • Enregistrement dans les journaux des accès et changements aux données
  • Audit et journaux de sécurité centralisés
  • Contrôle de l'exhaustivité et de l'exactitude du transfert de données (contrôle de bout en bout)

3. Disponibilité. « La disponibilité des services et des systèmes informatiques, des applications informatiques et des fonctions de réseau informatique ou d'information est garantie, si les utilisateurs sont en mesure de les utiliser comme prévu à tout moment. »    

Nous mettons en œuvre des mesures de continuité et de sécurité appropriées pour maintenir la disponibilité de ses services et des données résidant dans ces services :    

  • Tests de basculement réguliers appliqués aux services critiques
  • Surveillance et rapports complets des performances/de la disponibilité pour les systèmes critiques
  • Programme de réponse aux incidents de sécurité
  • Données critiques soit dupliquées ou sauvegardées (Sauvegardes cloud/Disques dur/Duplication de base de données, etc.) 
  • Entretien planifié de logiciels, d’infrastructure et de sécurité en place (Mises à jour logiciels et de sécurité etc.)   
  • Systèmes redondants et résilients (grappes de serveurs, bases de données en miroir, configurations à haute disponibilité, etc.) situés sur des emplacements hors site et/ou séparés géographiquement
  • Utilisation d'alimentation sans interruption, défaillance de matériel et de systèmes réseau redondants
  • Systèmes d’alarme et de sécurité en place
  • Mesures de protection physique en place pour les sites critiques (protection contre les surtensions, sols surélevés, systèmes de refroidissement, détecteurs d'incendie et/ou de fumée, systèmes d'extinction d'incendie, etc.) 
  • Protection DDoS pour maintenir la disponibilité
  • Tests de charge et de stress

4Instructions de traitement de données. « Les instructions de traitement de données visent à garantir que les données personnelles ne seront traitées que conformément aux instructions du contrôleur des données et aux mesures prises par l’entreprise. »  

Nous avons établi des politiques et des accords de confidentialité internes et menons des formations régulières sur la confidentialité pour les employés afin de garantir le traitement des données personnelles en accord avec les préférences et instructions des clients.   

  • Modalités de vie privée et de confidentialité en place dans les contrats des employés
  • Formations régulières sur la confidentialité et la sécurité des données pour les employés
  • Dispositions contractuelles appropriées concernant les accords avec les sous-traitants pour gérer les droits de contrôle éducatifs
  • Contrôles de confidentialité réguliers pour les fournisseurs de services externes
  • Fournir aux clients un contrôle total sur leurs préférences en matière de traitement des données
  • Audits de sécurité réguliers

Annexe 3 - Sous-traitants GoDaddy

Nom de l’entreprise
Pays de la société
Description du service
Catégories de données
Acronis International GmbH Suisse Sauvegarde des clients Instantanés des sauvegardes.
Automattic Inc États-Unis d’Amérique Extensions et modules complémentaires de WooCommerce dans eCcommerce WordPress. Profils d’utilisateurs de WordPress (y compris le nom et l’adresse email) et ceux de tout employé/entrepreneur.
Cisco International Limited, Cisco Solutions GmbH, Cisco Systems Inc Royaume Uni, Allemagne, États-Unis d’Amérique Fournir et gérer des solutions en réseau dans le cadre de notre réseau, y compris l’analyse des métadonnées. Traiter les métadonnées des adresses IP, les horodatages et le trafic réseau.
cPanel Inc États-Unis d’Amérique Logiciel de gestion cPanel pour les produits d’hébergement et de serveur. Toutes les données des clients conservées dans cPanel.
DENIC eG Allemagne Enregistrement des domaines .de Toutes les informations relatives au compte nécessaires pour fournir le domaine. Informations WHOIS.
Equinix Netherlands BV Pays-Bas Data center en colocation aux Pays-Bas. Aucune donnée personnelle n’est traitée intentionnellement.
EURid vzw Belgique Enregistrement des domaines .eu Toutes les informations relatives au compte nécessaires pour fournir le domaine. Informations WHOIS.
Juniper Networks Inc États-Unis d’Amérique Fournir et gérer des solutions en réseau dans le cadre de notre réseau, y compris l’analyse des métadonnées. Adresses IP, horodatage, trafic réseau
LivePerson Inc États-Unis d’Amérique Outil de discussion « LiveEngage » sur notre site web. Transcriptions des discussions, informations automatisées telles que l’adresse IP, le système d’exploitation et le type d’appareil.
LvivIT Ukraine Fourniture d’un support opérationnel à la plateforme. Toutes les informations sur le compte du client.
OVH Groupe SAS France Data center en colocation en Allemagne, revente de produits de serveurs. Les données hébergées par le client, y compris, mais sans s’y limiter, les sites web, les applications et les données du ou des clients du client. Ces dernières peuvent également inclure le trafic réseau.
Plesk International GmbH Allemagne Panneau de contrôle Plesk pour VPS et serveurs dédiés et Website Builder Plus. Toutes les données des clients conservées dans le panneau de contrôle Plesk, ainsi que toutes les données des clients conservées sur un site web hébergé.
Datadock SARL France Data center en colocation en France. Services matériels et réseau. Aucune donnée personnelle n’est traitée intentionnellement.
GoDaddy Media Temple Inc d/b/a Sucuri États-Unis d’Amérique
Produit SAAS : Sécuriser les sites web des clients contre les logiciels malveillants
Toutes les informations de compte nécessaires à la fourniture du site web, ainsi que les données des clients stockées sur le site web hébergé.
GoDaddy Media Temple Inc d/b/a Sucuri États-Unis d’Amérique Interne : Pare-feu d’application web sur les sites web de nos marques et dans les panneaux de contrôle des clients pour protéger les infrastructures informatiques des marques et les données des clients. Inspection du trafic des sites web. Métadonnées des adresses IP, horodatages et trafic réseau.
Starfield Technologies LLC États-Unis d’Amérique Certificats SSL. Toutes les informations relatives au compte du client nécessaires à l’obtention d’un certificat SSL.
DomainsByProxy LLC États-Unis d’Amérique Services de confidentialité de domaine. Enregistrement du domaine et coordonnées du contact.
GoDaddy Sellbrite, Inc. États-Unis d’Amérique Outil de vente en ligne Données sur les transactions et les produits de la boutique en ligne.
GoDaddy Payments LLC États-Unis d’Amérique Outils de traitement des paiements.  

Annexe 4

Voir la Section 9.2 de l’Addenda pour l’applicabilité de ces SCC

Clauses contractuelles standard (contrôleurs vers sous-traitants)

SECTION I

Clause 1

Objectif et champ d’application

  1. Les présentes clauses contractuelles standard ont pour objet de garantir le respect des exigences du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données personnelles et à la libre circulation de ces données (Règlement général sur la protection des données) pour le transfert de données vers un pays tiers.
  2. Les Parties :
    1. la ou les personnes physiques ou morales, l’autorité/les autorités publiques, l’agence/les agences ou tout autre organisme (ci-après dénommées « entité(s) ») transférant les données personnelles, telles qu’énumérées dans l’Annexe I.A (ci-après « exportateur de données ») et
    2. l’entité/les entités d’un pays tiers recevant les données personnelles de l’exportateur de données, directement ou indirectement par l’intermédiaire d’une autre entité également Partie aux présentes Clauses, telle qu’indiquée dans l’Annexe I.A (ci-après « importateur de données »), ont accepté les présentes clauses contractuelles standard (ci-après : « Clauses »).
  3. Les présentes Clauses s’appliquent au transfert de données personnelles tel que spécifié dans l’Annexe I.B.
  4. L’Annexe aux présentes Clauses contenant les Annexes qui y sont mentionnées fait partie intégrante des présentes Clauses.

Clause 2

Effet et invariabilité des clauses

  1. Les présentes Clauses précisent des garanties appropriées, y compris des droits exécutoires et des recours juridiques efficaces, au profit du sujet de données conformément à l’Article 46(1) et à l’Article 46(2)(c), du Règlement (UE) 2016/679 et, en ce qui concerne les transferts de données entre les contrôleurs et les sous-traitants et/ou entre sous-traitants, des clauses contractuelles standard conformément à l’Article 28(7) du Règlement (UE) 2016/679, à condition qu’elles ne soient pas modifiées, hormis pour sélectionner le ou les modules appropriés, ou pour ajouter ou mettre à jour des informations dans l’Annexe. Les Parties peuvent toutefois inclure les clauses contractuelles standard prévues dans les présentes Clauses dans un contrat plus large et/ou ajouter d’autres clauses ou des garanties supplémentaires, pour autant qu’elles ne contredisent pas, directement ou indirectement, les présentes Clauses ou ne portent pas atteinte aux droits ou libertés fondamentaux des sujets de données.
  2. Les présentes Clauses sont sans préjudice des obligations auxquelles l’exportateur de données est soumis en vertu du Règlement (UE) 2016/679.

Clause 3

Bénéficiaires tiers

  1. Les sujets de données peuvent invoquer les présentes Clauses, en tant que bénéficiaires tiers, et les appliquer à l’exportateur de données et/ou à l’importateur de données, avec les exceptions suivantes :
    1. Clause 1, Clause 2, Clause 3, Clause 6, Clause 7 ;
    2. Clause 8.1(b), 8.9(a), (c), (d) et (e) ;
    3. Clause 9(a), (c), (d) et (e) ;
    4. Clause 12(a), (d) et (f) ;
    5. Clause 13 ;
    6. Clause 15.1(c), (d) et (e) ;
    7. Clause 16(e) ; (viii) Clause 18(a) et (b).
  2. Le paragraphe (a) est sans préjudice des droits des personnes concernées en vertu du Règlement (UE) 2016/679.

Clause 4

Interprétation

  1. Lorsque les présentes Clauses utilisent des termes qui sont définis dans le Règlement (UE) 2016/679, ces termes ont la même signification que dans ledit Règlement.
  2. Les présentes Clauses doivent être lues et interprétées à la lumière des dispositions du Règlement (UE) 2016/679.
  3. Les présentes Clauses ne doivent pas être interprétées d’une manière induisant des conflits avec les droits et obligations prévus par le Règlement (UE) 2016/679.

Clause 5

Hiérarchie

En cas de contradiction entre les présentes Clauses et les dispositions des accords connexes entre les Parties, existant au moment où les présentes Clauses sont convenues ou conclues par la suite, les présentes Clauses prévaudront.

Clause 6

Description du ou des transferts

Les détails du ou des transferts, et notamment les catégories de données personnelles qui sont transférées et la ou les finalités pour lesquelles elles sont transférées, sont précisés dans l’Annexe I.B.

Clause 7 - OMISSION INTENTIONNELLE

SECTION II - OBLIGATIONS DES PARTIES

Clause 8

Garanties de protection des données

L’exportateur de données garantit le déploiement d’efforts raisonnables pour déterminer que l’importateur de données est en mesure, par la mise en œuvre de mesures techniques et organisationnelles appropriées, de satisfaire à ses obligations en vertu des présentes Clauses.

8.1 Instructions

  1. L’importateur de données ne traite les données personnelles que sur instructions documentées de l’exportateur de données. L’exportateur de données peut donner de telles instructions pendant toute la durée du contrat.
  2. L’importateur de données informe immédiatement l’exportateur de données s’il ne peut pas suivre ces instructions.

8.2 Limitation de l’objet

L’importateur de données traite les données personnelles aux fins spécifiques du transfert uniquement, telles que définies dans l’Annexe I.B, sauf instructions supplémentaires de l’exportateur de données.

8.3 Transparence

L’exportateur de données met gratuitement à la disposition du sujet de données une copie des présentes Clauses, y compris l’Annexe telle que complétée par les Parties, à la demande. Dans la mesure où cela est nécessaire pour protéger les secrets d’affaires ou d’autres informations confidentielles, y compris les mesures décrites dans l’Annexe II et les données personnelles, l’exportateur de données peut expurger une partie du texte de l’Annexe des présentes Clauses avant d’en partager une copie, mais il doit fournir un résumé significatif lorsque le sujet de données ne pourrait pas en comprendre le contenu ou exercer ses droits. Les Parties fournissent à la demande au sujet de données les raisons des expurgations, dans la mesure du possible sans révéler les informations expurgées. La présente Clause est sans préjudice des obligations de l’exportateur de données en vertu des Articles 13 et 14 du Règlement (UE) 2016/679.

8.4 Précision

Si l’importateur de données s’aperçoit que les données personnelles qu’il a reçues sont inexactes ou obsolètes, il en informe l’exportateur de données dans les meilleurs délais. Le cas échéant, l’importateur de données coopère avec l’exportateur de données pour effacer ou rectifier les données.

8.5 Durée du traitement et effacement ou restitution des données

Le traitement par l’importateur de données n’intervient que pendant la durée indiquée à l’Annexe I.B. Après la fin de la prestation des services de traitement, l’importateur de données, au choix de l’exportateur de données, supprime toutes les données personnelles traitées au nom de l’exportateur de données et certifie à ce dernier l’exécution de cette tâche, ou renvoie à l’exportateur de données toutes les données personnelles traitées en son nom et supprime les copies existantes. Jusqu’à ce que les données soient supprimées ou restituées, l’importateur de données doit continuer à garantir le respect des présentes Clauses. Si l’importateur de données doit respecter des lois locales en vigueur interdisant le renvoi ou la suppression des données personnelles, il garantit qu’il continuera à respecter les présentes Clauses et qu’il ne traitera lesdites données que dans la mesure et pour la durée requises par cette loi locale. Cette disposition est sans préjudice de la Clause 14, en particulier de l’obligation faite à l’importateur de données, en vertu de la Clause 14(e), d’informer l’exportateur de données pendant toute la durée du contrat s’il a des raisons de croire qu’il est ou est devenu soumis à des lois ou des pratiques non conformes aux exigences de la Clause 14(a).

8.6 Sécurité du traitement

  1. L’importateur de données et, l’exportateur de données lors de la transmission, mettent en œuvre les mesures techniques et organisationnelles appropriées pour garantir la sécurité des données, y compris la protection contre une violation de la sécurité entraînant la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé auxdites données de manière accidentelle ou illicite (ci-après « violation des données personnelles »). Pour évaluer le niveau de sécurité approprié, les Parties tiennent dûment compte de l’état de la technique, des coûts de mise en œuvre, de la nature, de la portée, du contexte et de la ou des finalités du traitement, ainsi que des risques que présente le traitement pour les sujets de données. Les Parties doivent envisager notamment de recourir au cryptage ou à la pseudonymisation, y compris lors de la transmission, lorsque l’objet du traitement peut être atteint de cette manière. En cas de pseudonymisation, les informations supplémentaires permettant d’attribuer les données personnelles à une sujet de données spécifique restent, dans la mesure du possible, sous le contrôle exclusif de l’exportateur de données. En se conformant aux obligations qui lui incombent en vertu du présent paragraphe, l’importateur de données met au moins en œuvre les mesures techniques et organisationnelles spécifiées dans l’Annexe II. L’importateur de données effectue des contrôles réguliers pour s’assurer que ces mesures continuent à fournir un niveau de sécurité approprié.
  2. L’importateur de données n’octroie l’accès aux données personnelles aux membres de son personnel que dans la mesure strictement nécessaire à l’exécution, à la gestion et au suivi du contrat. Il s’assure que les personnes autorisées à traiter les données personnelles se sont engagées à respecter la confidentialité ou sont soumises à une obligation réglementaire de confidentialité appropriée.
  3. En cas de violation de données personnelles concernant des données personnelles traitées par l’importateur de données en vertu des présentes Clauses, ledit importateur prend des mesures appropriées pour remédier à la violation, y compris des mesures visant à atténuer ses effets négatifs. Après avoir pris connaissance de la violation, l’importateur de données notifie également l’exportateur de données dans les meilleurs délais. Cette notification contient les coordonnées d’une personne à contacter pouvant fournir de plus amples informations, une description de la nature de la violation (y compris, si possible, les catégories et le nombre approximatif de sujets de données et d’enregistrements de données personnelles concernés), ses conséquences probables et les mesures prises ou proposées pour y remédier, y compris, le cas échéant, les mesures visant à atténuer ses éventuels effets négatifs. Lorsque, et dans la mesure où, il n’est pas possible de fournir toutes les informations simultanément, la notification initiale contient les informations disponibles tandis que d’autres informations sont fournies ultérieurement et dans les meilleurs délais, au fur et à mesure qu’elles deviennent disponibles.
  4. L’importateur de données coopère avec l’exportateur de données et l’assiste pour lui permettre de se conformer aux obligations qui lui incombent en vertu du Règlement (UE) 2016/679, en particulier pour notifier l’autorité de contrôle compétente et les sujets de données affectés, en tenant compte de la nature du traitement et des informations dont dispose l’importateur de données.

8.7 Données sensibles

Lorsque le transfert concerne des données personnelles qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, des données génétiques ou biométriques permettant d’identifier une personne physique de manière unique, des données relatives à la santé, à la vie sexuelle ou à l’orientation sexuelle d’une personne, ou des données relatives aux condamnations pénales et aux infractions (ci-après les « données sensibles »), l’importateur de données applique les restrictions spécifiques et/ou les garanties supplémentaires décrites dans l’Annexe I.B.

8.8 Transferts ultérieurs

L’importateur de données ne divulgue les données personnelles à un tiers que sur instructions documentées de l’exportateur de données. De plus, les données ne peuvent être divulguées à un tiers situé en dehors de l’Union européenne (dans le même pays que l’importateur de données ou dans un autre pays tiers, ci-après « transfert ultérieur ») que si le tiers est ou accepte d’être lié par les présentes Clauses, en vertu du Module approprié, ou si :

  1. le transfert ultérieur est effectué vers un pays bénéficiant d’une décision d’adéquation en vertu de l’Article 45 du Règlement (UE) 2016/679 qui couvre le transfert ultérieur ;
  2. le tiers assure par ailleurs des garanties appropriées conformément aux Articles 46 ou 47 du Règlement (UE) 2016/679 en ce qui concerne le traitement en question ;
  3. le transfert ultérieur est nécessaire pour la constatation, l’exercice ou la défense de droits dans le cadre de procédures administratives, réglementaires ou judiciaires spécifiques ; ou (iv) le transfert ultérieur est nécessaire pour protéger les intérêts vitaux du sujet de données ou d’une autre personne physique.
  4. Tout transfert ultérieur est soumis au respect par l’importateur de données de toutes les autres garanties prévues par les présentes Clauses, en particulier la limitation de la finalité.

8.9 Documentation et conformité

  1. L’importateur de données doit traiter rapidement et de manière adéquate les demandes de l’exportateur de données relatives au traitement prévu par les présentes Clauses.
  2. Les Parties doivent être en mesure de prouver qu’elles respectent les présentes Clauses. L’importateur de données conserve notamment une documentation appropriée sur les activités de traitement effectuées pour le compte de l’exportateur de données.
  3. L’importateur de données met à la disposition de l’exportateur de données toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans les présentes Clauses et, à la demande de l’exportateur de données, il permet et contribue aux audits des activités de traitement couvertes par les présentes Clauses, à intervalles raisonnables ou e cas de suspicions de non-conformité. Pour décider d’un examen ou d’un audit, l’exportateur de données peut prendre en compte les certifications pertinentes détenues par l’importateur de données.
  4. L’exportateur de données peut choisir de réaliser l’audit lui-même ou de mandater un auditeur indépendant. Les audits peuvent inclure des inspections des locaux ou des installations physiques de l’importateur de données et sont, le cas échéant, réalisés avec un préavis raisonnable.
  5. Les Parties mettent les informations visées aux paragraphes (b) et (c), y compris les résultats de tout audit, à la disposition de l’autorité de contrôle compétente à la demande.

Clause 9

Recours à des sous-traitants

  1. L’importateur de données dispose de l’autorisation générale de l’exportateur de données pour engager un ou plusieurs sous-traitants figurant sur une liste convenue. L’importateur de données informe spécifiquement l’exportateur de données par écrit de toute modification escomptée de cette liste par l’ajout ou le remplacement de sous-traitants au moins quinze (15) jours à l’avance, moyennant quoi l’exportateur de données a suffisamment de temps pour pouvoir s’opposer à ces modifications avant l’engagement du ou des sous-traitants. L’importateur de données fournit à l’exportateur de données les informations nécessaires pour permettre à ce dernier d’exercer son droit d’opposition.
  2. Lorsque l’importateur de données engage un sous-traitant pour effectuer des activités de traitement spécifiques (pour le compte de l’exportateur de données), il le fait par le biais d’un contrat écrit qui prévoit, en substance, les mêmes obligations en matière de protection des données que celles qui lient l’importateur de données en vertu des présentes Clauses, y compris en termes de droits des tiers bénéficiaires pour les sujets de données. Les Parties conviennent que, en se conformant à la présente Clause, l’importateur de données remplit ses obligations en vertu de la Clause 8.8. L’importateur de données veille à ce que le sous-traitant respecte les obligations auxquelles l’importateur de données est soumis en vertu des présentes Clauses.
  3. L’importateur de données fournit, à la demande de l’exportateur de données, une copie dudit accord de sous-traitance et de tout amendement ultérieur à l’exportateur de données. L’importateur de données peut rédiger le texte de l’accord avant d’en partager une copie dans la mesure où cela est nécessaire pour protéger les secrets d’affaires ou d’autres informations confidentielles, y compris les données personnelles.
  4. L’importateur de données reste entièrement responsable envers l’exportateur de données de l’exécution des obligations du sous-traitant en vertu du contrat qui les lie. L’importateur de données informe l’exportateur de données de tout manquement du sous-traitant aux obligations qui lui incombent en vertu de ce contrat.
  5. L’importateur de données convient avec le sous-traitant d’une clause de bénéficiaire tiers en vertu de laquelle (dans le cas où l’importateur de données a disparu dans les faits, a cessé d’exister en droit ou est devenu insolvable) l’exportateur de données est habilité à résilier le contrat du sous-traitant et à demander au sous-traitant d’effacer ou de restituer les données personnelles.

Clause 10

Droits des sujets de données

  1. L’importateur de données informe rapidement l’exportateur de données de toute demande qu’il a reçue d’un sujet de données. Il ne répond pas lui-même à cette demande, sauf s’il y a été autorisé par l’exportateur de données.
  2. L’importateur de données aide l’exportateur de données à remplir ses obligations concernant les réponses à apporter aux demandes des sujets de données relatives à l’exercice de leurs droits en vertu du Règlement (UE) 2016/679. À cet égard, les Parties définissent dans l’Annexe II les mesures techniques et organisationnelles appropriées visant à fournit l’assistance, compte tenu de la nature du traitement, ainsi que la portée et l’étendue de l’assistance requise.
  3. En remplissant les obligations qui lui incombent en vertu des paragraphes (a) et (b), l’importateur de données se conforme aux instructions de l’exportateur de données.

Clause 11

Réparation

  1. L’importateur de données notifie aux sujets de données, dans un format transparent et facilement accessible, par le biais d’un avis individuel ou sur son site web, les coordonnées d’un interlocuteur autorisé à traiter les plaintes. Il traite rapidement toute plainte qu’il reçoit d’un sujet de données.
  2. En cas de litige entre un sujet de données et l’une des Parties en ce qui concerne le respect des présentes Clauses, cette Partie s’efforcera autant que possible de résoudre le problème à l’amiable dans un délai convenable. Les Parties se tiennent mutuellement informées de tels différends et, le cas échéant, coopèrent à leur résolution.
  3. Lorsque le sujet de données invoque un droit de bénéficiaire tiers conformément à la Clause 3, l’importateur de données accepte la décision du sujet de données de :
    1. déposer une plainte auprès de l’autorité de contrôle de l’État membre de sa résidence habituelle ou de son lieu de travail, ou auprès de l’autorité de contrôle compétente en vertu de la Clause 13 ;
    2. soumettre le litige aux tribunaux compétents conformément à la Clause 18.
  4. Les Parties acceptent que le sujet de données puisse être représenté par un organisme, une organisation ou une association à but non lucratif dans les conditions prévues à l’Article 80(1) du Règlement (UE) 2016/679.
  5. L’importateur de données doit se conformer à une décision qui est contraignante en vertu du droit applicable au sein de l’UE ou des États membres.
  6. L’importateur de données convient que le choix effectué par le sujet de données ne portera pas atteinte à ses droits substantiels et procéduraux d’introduire des recours conformément aux lois applicables.

Clause 12

Responsabilité

  1. Chaque Partie est responsable envers la ou les autres Parties des dommages qu’elle lui ou leur cause par toute violation des présentes Clauses.
  2. L’importateur de données est responsable envers le sujet de données, et le sujet de données peut prétendre à une indemnisation, pour tout dommage matériel ou immatériel que l’importateur de données ou son sous-traitant ultérieur cause au sujet de données en violant les droits du tiers bénéficiaire en vertu des présentes Clauses.
  3. Nonobstant le paragraphe (b), l’exportateur de données est responsable envers le sujet de données, et le sujet de données peut prétendre à une indemnisation, pour tout dommage matériel ou immatériel que l’exportateur de données ou l’importateur de données (ou son sous-traitant) cause au sujet de données en violant les droits du tiers bénéficiaire en vertu des présentes Clauses. Cela est sans préjudice de la responsabilité de l’exportateur de données et, lorsque l’exportateur de données est un sous-traitant agissant pour le compte d’un contrôleur, de la responsabilité du contrôleur en vertu du Règlement (UE) 2016/679 ou du Règlement (UE) 2018/1725, selon le cas.
  4. Les Parties conviennent que si l’exportateur de données est tenu responsable, en vertu du paragraphe (c), des dommages causés par l’importateur de données (ou son sous-traitant), il sera en droit de réclamer à l’importateur de données la partie de l’indemnisation correspondant à la responsabilité de l’importateur de données dans les dommages.
  5. Lorsque plus d’une Partie est responsable de tout dommage causé au sujet de données à la suite d’une violation des présentes Clauses, toutes les Parties responsables sont conjointement et solidairement responsables et le sujet de données a le droit d’intenter une action en justice contre l’une de ces Parties.
  6. Les Parties conviennent que si l’une des Parties est tenue responsable en vertu du paragraphe (e), elle aura le droit de réclamer à l’autre ou aux autres Parties la partie de l’indemnisation correspondant à sa ou leur responsabilité dans le dommage.
  7. L’importateur de données ne peut pas invoquer le comportement d’un sous-traitant pour éviter sa propre responsabilité.

Clause 13

Supervision

  1. L’autorité de contrôle chargée de veiller au respect du Règlement (UE) 2016/679 par l’exportateur de données en ce qui concerne le transfert de données, comme indiqué dans l’Annexe I.C, agit en tant qu’autorité de contrôle compétente.
  2. L’importateur de données accepte de se soumettre à la juridiction de l’autorité de contrôle compétente et de coopérer avec elle dans le cadre de toute procédure visant à assurer le respect des présentes Clauses. L’importateur de données accepte notamment de répondre aux demandes de renseignements, de se soumettre à des audits et de se conformer aux mesures adoptées par l’autorité de contrôle, y compris les mesures correctives et compensatoires. Il fournit à l’autorité de contrôle une confirmation écrite que les mesures nécessaires ont été prises.

SECTION III – LOIS ET OBLIGATIONS LOCALES EN CAS D’ACCÈS PAR LES AUTORITÉS PUBLIQUES

Clause 14

Lois et pratiques locales affectant le respect des Clauses

  1. Les Parties garantissent qu’elles n’ont aucune raison de croire que les lois et pratiques du pays tiers de destination applicables au traitement des données personnelles par l’importateur de données, y compris les exigences en matière de divulgation des données personnelles ou les mesures autorisant les autorités publiques à y accéder, empêchent l’importateur de données de remplir ses obligations en vertu des présentes Clauses. Il est entendu que les lois et pratiques qui respectent l’essence des droits et libertés fondamentaux et n’excèdent pas ce qui est nécessaire et proportionné dans une société démocratique pour préserver l’un des objectifs énumérés à l’Article 23(1) du Règlement (UE) 2016/679, ne sont pas en contradiction avec les présentes Clauses.
  2. Les Parties déclarent qu’en fournissant la garantie prévue au paragraphe (a), elles ont notamment dûment tenu compte des éléments suivants :
    1. les circonstances spécifiques du transfert, y compris la longueur de la chaîne de traitement, le nombre d’acteurs impliqués et les canaux de transmission utilisés ; les transferts ultérieurs prévus ; le type de destinataire ; l’objet du traitement ; les catégories et le format des données personnelles transférées ; le secteur économique dans lequel le transfert intervient ; le lieu de stockage des données transférées ;
    2. les lois et pratiques du pays tiers de destination (y compris celles qui exigent la divulgation des données aux autorités publiques ou qui autorisent leur accès par ces autorités) appropriées à la lumière des circonstances spécifiques du transfert, et les limitations et garanties applicables ;
    3. toute garantie contractuelle, technique ou organisationnelle pertinente mise en place pour compléter les garanties prévues par les présentes Clauses, y compris les mesures appliquées lors de la transmission et du traitement des données personnelles dans le pays de destination.
  3. L’importateur de données garantit que, dans le cadre de l’évaluation prévue au paragraphe (b), il a fait tout son possible pour fournir à l’exportateur de données les informations pertinentes et accepte de continuer à coopérer avec l’exportateur de données pour garantir le respect des présentes Clauses.
  4. Les Parties conviennent de fournir l’évaluation visée au paragraphe (b) et de la mettre à la disposition de l’autorité de contrôle compétente à la demande.
  5. L’importateur de données accepte d’informer rapidement l’exportateur de données si, après avoir accepté les présentes Clauses et pendant la durée du contrat, il a des raisons de croire qu’il est ou est devenu soumis à des lois ou des pratiques non conformes aux exigences du paragraphe (a), y compris suite à un changement intervenu dans les lois du pays tiers ou à une mesure (telle qu’une demande de divulgation) indiquant une application de ces lois dans la pratique qui n’est pas conforme aux exigences du paragraphe (a).
  6. Suite à une notification en vertu du paragraphe (e), ou si l’exportateur de données a d’autres raisons de croire que l’importateur de données ne peut plus remplir ses obligations en vertu des présentes Clauses, l’exportateur de données identifie rapidement les mesures appropriées (par exemple, des mesures techniques ou organisationnelles permettant de garantir la sécurité et la confidentialité) à adopter par lui-même et/ou l’importateur de données pour faire face à la situation. L’exportateur de données suspend le transfert de données s’il considère qu’aucune garantie appropriée ne permet d’assurer ce transfert ou si l’autorité de contrôle compétente lui demande de le faire. Dans ce cas, l’exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement des données personnelles en vertu des présentes Clauses. Si le contrat implique plus de deux Parties, l’exportateur de données ne peut exercer ce droit de résiliation qu’à l’égard de la Partie concernée, sauf si les Parties en ont convenu autrement. Lorsque le contrat est résilié en vertu de la présente Clause, les Clauses 16(d) et (e) s’appliquent.

Clause 15

Obligations de l’importateur de données en cas d’accès par les autorités publiques

15.1 Notification

  1. L’importateur de données accepte d’informer rapidement l’exportateur de données et, si possible, le sujet de données (si nécessaire avec l’aide de l’exportateur de données) s’il :
    1. reçoit une demande juridiquement contraignante d’une autorité publique, y compris des autorités judiciaires, en vertu des lois du pays de destination, pour la divulgation de données à caractère personnel transférées conformément aux présentes Clauses ; cette notification comprendra des informations sur les données personnelles demandées, l’autorité requérante, la base juridique de la demande et la réponse fournie ; ou
    2. a connaissance d’un accès direct des autorités publiques aux données personnelles transférées en vertu des présentes Clauses conformément aux lois du pays de destination ; cette notification doit inclure toutes les informations dont dispose l’importateur.
  2. Si l’importateur de données n’est pas autorisé à informer l’exportateur de données et/ou le sujet de données en vertu des lois en vigueur dans le pays de destination, l’importateur de données accepte de faire tout son possible pour obtenir une dérogation à l’interdiction, en vue de communiquer autant d’informations que possible, dans les meilleurs délais. L’importateur de données s’engage à tout mettre en œuvre pour fournir les informations à la demande de l’exportateur de données.
  3. Lorsque la législation du pays de destination le permet, l’importateur de données accepte de fournir à l’exportateur de données, à intervalles réguliers pendant la durée du contrat, autant d’informations pertinentes que possible sur les demandes reçues (en particulier, le nombre de demandes, le type de données demandées, l’autorité ou les autorités requérantes, si les demandes ont été contestées et l’issue de ces contestations, etc.).
  4. L’importateur de données accepte de conserver les informations visées aux paragraphes (a) à (c) pendant toute la durée du contrat et de les mettre à la disposition de l’autorité de contrôle compétente à la demande.
  5. Les paragraphes (a) à (c) sont sans préjudice de l’obligation de l’importateur de données, conformément à la Clause 14(e) et à la Clause 16, d’informer rapidement l’exportateur de données lorsqu’il n’est pas en mesure de se conformer à ces Clauses.

15.2 Examen de la légalité et de la minimisation des données

  1. L’importateur de données accepte d’examiner la légalité de la demande de divulgation, en particulier si elle reste dans les limites des pouvoirs accordés à l’autorité publique requérante, et de contester la demande si, après une évaluation minutieuse, il conclut qu’il existe des motifs raisonnables de considérer qu’elle est illégale au regard des lois du pays de destination, des obligations applicables en vertu du droit international et des principes de courtoisie internationale. L’importateur de données doit, dans les mêmes conditions, poursuivre les possibilités de recours. Lorsqu’il conteste une demande, l’importateur de données demande des mesures provisoires en vue de suspendre les effets de la demande jusqu’à ce que l’autorité judiciaire compétente ait statué sur son bien-fondé. Il ne divulgue pas les données personnelles demandées tant qu’il n’est pas tenu de le faire en vertu des règles de procédure applicables. Ces exigences sont sans préjudice des obligations de l’importateur de données en vertu de la Clause 14(e).
  2. L’importateur de données accepte de fournir son évaluation juridique et toute contestation de la demande de divulgation et, dans la mesure où les lois du pays de destination le permettent, de mettre la documentation à la disposition de l’exportateur de données. Il le met également à la disposition de l’autorité de contrôle compétente à la demande.
  3. L’importateur de données accepte de fournir la quantité minimale d’informations autorisée lorsqu’il répond à une demande de divulgation, sur la base d’une interprétation raisonnable de la demande.

SECTION IV – DISPOSITIONS FINALES

Clause 16

Non-respect des Clauses et résiliation

  1. L’importateur de données doit informer rapidement l’exportateur de données s’il ne peut pas se conformer aux présentes Clauses, pour quelque raison que ce soit.
  2. Si l’importateur de données ne respecte pas les présentes Clauses ou n’est pas en mesure de les respecter, l’exportateur de données suspendra le transfert de données personnelles à l’importateur de données jusqu’à ce que la conformité soit à nouveau assurée ou que le contrat soit résilié. Cela est sans préjudice de la Clause 14(f).
  3. L’exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement des données personnelles en vertu des présentes Clauses, lorsque :
    1. l’exportateur de données a suspendu le transfert de données personnelles à l’importateur de données conformément au paragraphe (b) et le respect des présentes Clauses n’est pas rétabli dans un délai raisonnable et, en tout état de cause, dans un délai d’un mois à compter de la suspension ;
    2. l’importateur de données est en violation substantielle ou persistante des présentes Clauses ; ou
    3. l’importateur de données ne se conforme pas à une décision contraignante d’un tribunal ou d’une autorité de contrôle compétente concernant ses obligations en vertu des présentes Clauses. Le cas échéant, il informe l’autorité de contrôle compétente de ce non-respect. Lorsque le contrat implique plus de deux Parties, l’exportateur de données ne peut exercer ce droit de résiliation qu’à l’égard de la Partie concernée, à moins que les Parties n’en aient convenu autrement.
  4. Les données personnelles qui ont été transférées avant la résiliation du contrat conformément au paragraphe (c) sont, au choix de l’exportateur de données, immédiatement restituées à l’exportateur de données ou supprimées dans leur intégralité. Les mêmes directives s’appliquent pour toute copie des données. L’importateur de données certifie la suppression des données à l’exportateur de données. Jusqu’à ce que les données soient supprimées ou restituées, l’importateur de données doit continuer à garantir le respect des présentes Clauses. Si des lois locales applicables à l’importateur de données interdisent la restitution ou la suppression des données personnelles transférées, l’importateur de données garantit qu’il continuera à garantir le respect des présentes Clauses et ne traitera les données que dans la mesure et pour la durée requises par cette loi locale.
  5. Chaque Partie peut révoquer son accord la liant par les présentes Clauses lorsque (i) la Commission européenne adopte une décision en vertu de l’Article 45(3) du Règlement (UE) 2016/679 qui couvre le transfert de données personnelles auquel les présentes Clauses s’appliquent ; ou (ii) le Règlement (UE) 2016/679 devient partie intégrante du cadre juridique du pays vers lequel les données personnelles sont transférées. Cela est sans préjudice des autres obligations s’appliquant au traitement en question en vertu du Règlement (UE) 2016/679

Clause 17

Loi applicable

Les présentes Clauses sont régies par le droit de l’un des États membres de l’Union européenne, à condition que ce droit permette le recours à des bénéficiaires tiers. Les Parties conviennent que c’est la loi de la République fédérale d’Allemagne qui s’applique.

Clause 18

Choix du forum et de la juridiction

  1. Tout litige découlant des présentes Clauses sera résolu par les tribunaux d’un État membre de l’UE.
  2. Les Parties conviennent qu’il s’agit des tribunaux de la République fédérale d’Allemagne.
  3. Un sujet de données peut également intenter une action en justice contre l’exportateur de données et/ou l’importateur de données devant les tribunaux de l’État membre dans lequel il a sa résidence habituelle.
  4. Les Parties acceptent de se soumettre à la juridiction de ces tribunaux.

Annexe I aux clauses contractuelles standard

A. LISTE DES PARTIES
Exportateur(s) de données : L’exportateur de données est l’entité identifiée comme étant le « Client » dans l’Addenda
Signature et date : À compter de la date d’acceptation électronique par l’Exportateur de données des Conditions d’utilisation de l’Importateur de données, l’Exportateur de données est considéré comme ayant signé les présentes Clauses contractuelles standard.
Rôle : Contrôleur

Importateur(s) de données : GoDaddy.com, LLC
Coordonnées du contact : Office of the Data Protection Officer – privacy@godaddy.com
Signature et date : À compter de la date d’acceptation électronique par l’Exportateur de données des Conditions d’utilisation de l’Importateur de données, l’Importateur de données est considéré comme ayant signé les présentes Clauses contractuelles standard.
Rôle : Sous-traitant

B. DESCRIPTION DU TRANSFERT Les catégories de personnes dont les données personnelles sont transférées sont décrites dans l’Annexe 1 de l’Addenda.

Les catégories de données personnelles transférées sont décrites dans l’Annexe 1 de l’Addenda.

Les données sensibles transférées sont décrites dans l’Annexe 1 de l’Addenda.

La fréquence du transfert est continue pendant la durée des Conditions d’utilisation.

La nature du traitement est décrite dans la Section 2.2 et l’Annexe 1 de l’Addenda.

La ou les finalités du transfert et du traitement ultérieur des données sont décrites dans la Section 2.2 et l’Annexe 1 de l’Addenda.

La période pendant laquelle les données personnelles seront conservées est décrite dans l’Annexe 1 de l’Addenda.

Pour les transferts aux sous-traitants, l’objet, la nature et la durée du traitement sont précisés dans l’Annexe III des Clauses contractuelles standard.

C. AUTORITÉ DE SURVEILLANCE COMPÉTENTE Le North Rhine-Westphalia State Commissioner for Data Protection and Freedom of Information (« LDI NRW ») est l’autorité de contrôle compétente.

Annexe II aux clauses contractuelles standard

Les mesures de sécurité techniques et organisationnelles mises en œuvre par l’Importateur de données figurent dans l’Annexe 2 de l’Addenda.

Annexe III aux clauses contractuelles standard

La liste des sous-traitants figure dans l’Annexe 3 de l’Addenda.

Annex I to the Standard Contractual Clauses

A. LIST OF PARTIES
Data Exporter(s): The data exporter is the entity identified as “Customer” in the Addendum
Signature and date: As of the date of Data Exporter’s electronic acceptance of Data Importer’s Terms of Service, Data Exporter is deemed to have signed these standard contractual clauses.
Role: Controller

Data importer(s): GoDaddy.com, LLC, a Delaware limited liability company
Contact details: Office of the Data Protection Officer – privacy@secureserver.net
Signature and date: As of the date of Data Exporter’s electronic acceptance of Data Importer’s Terms of Service, Data Importer is deemed to have signed these standard contractual clauses.
Role: Processor

B. DESCRIPTION OF TRANSFER Categories of data subjects whose personal data is transferred are described in Appendix 1 of the Addendum.

Categories of personal data transferred are described in Appendix 1 of the Addendum.

Sensitive data transferred are described in Appendix 1 of the Addendum.

The frequency of the transfer is a continuous basis for the duration of the Terms of Service.

Nature of the processing is described in Section 2.2 and Appendix 1 of the Addendum.

Purpose(s) of the data transfer and further processing are described in Section 2.2 and Appendix 1 of the Addendum.

The period for which the personal data will be retained described in Appendix 1 of the Addendum.

For transfers to (sub-) processors, the subject matter, nature and duration of the processing is set forth in Annex III to the Standard Contractual Clauses.

C. COMPETENT SUPERVISORY AUTHORITY The North Rhine-Westphalia State Commissioner for Data Protection and Freedom of Information ('LDI NRW') is the competent supervisory authority.

Annex II to the Standard Contractual Clauses

The technical and organizational security measures implemented by the Data Importer are as in Annex 2 of the Addendum.

Annex III to the Standard Contractual Clauses

List of sub-processors are in Appendix 3 of the Addendum.


Les versions traduites des accords juridiques et des politiques sont uniquement fournies à titre de commodité pour faciliter la lecture et la compréhension des versions en anglais. En fournissant des traductions des accords juridiques et des politiques, l'objectif n'est pas d'aboutir à un accord juridiquement contraignant, ni de se substituer à la validité juridique des versions en anglais. En cas de litige ou de conflit, les versions en anglais des accords juridiques et des politiques régissent nos relations et prévaudront sur les conditions énoncées dans toute autre langue.