Cet Addenda de traitement des Données du Revendeur (« DPA ») fait partie de l’Accord signé entre GoDaddy.com, LLC (y compris ses entités affiliées si prévu dans l’Accord) (« GoDaddy ») et vous (« Revendeur ») dans le but de vendre les produits et services GoDaddy (« Services ») GoDaddy à travers le Programme revendeur, et régit ce qui concerne le traitement de tous les renseignements personnels par le revendeur au nom de GoDaddy. Le revendeur s’engage dans ce DPA en son nom et, dans la mesure requise par les lois et réglementations applicables en matière de protection des données, au nom et de ses affiliés autorisés. Tous les termes commençant par une majuscule qui ne sont pas définis aux présentes auront la signification indiquée dans l’Accord. Les termes « nous », « notre » ou « nos » font référence à GoDaddy. Les termes « vous » et « vos » ou « revendeur » se rapportent à toute personne morale ou physique qui accepte cet accord. Aucune partie de cet Accord ne sera considérée comme conférant des droits ou des avantages à des tiers. Ce DPA deviendra effectif et exécutoire à la date de votre acceptation électronique.

Cette DPA se compose de deux (2) parties distinctes, applicables comme expliqué ci-dessous :

• Normes et exigences de confidentialité et sécurité des données : Application des normes et exigences de confidentialité et sécurité des données. Applicable à tous les revendeurs qui consultent et traitent des PII (« au sens défini ci-dessus ») conformément a la nature et la portée de leur participation au programme des revendeurs.
• Clauses contractuelles standards (et ses Annexes 1 et 2) : Application des clauses contractuelles standard. Les clauses contractuelles standard s’appliqueront aux données du client envoyées en dehors de l’EEE, directement ou par transfert, vers tout pays non reconnu par la Commission européenne comme offrant un niveau de protection adéquat pour les données à caractère personnel (tel que décrit dans le RGPD). Les clauses contractuelles standard ne s’appliqueront pas aux données client qui ne sont pas envoyées, directement ou via un transfert ultérieur, en dehors de l'EEE. Nonobstant ce qui précède, les Clauses contractuelles standard ne s’appliqueront pas si les données sont envoyées conformément à une norme de conformité reconnue pour le transfert légal de données personnelles (tel que défini dans le RGPD) en dehors de l’EEE, comme les Cadres juridiques de protection de la vie privée des États-Unis et de l’UE et des États-Unis et de la Suisse.

1. Objet et champ d’application

Ce SLA de confidentialité et de sécurité des données (« SLA de sécurité ») est joint et incorporé dans l’accord afin de garantir que toute PII (comme définie ci-dessous) collectée ou utilisée par vous est gérée de manière sécurisée et conforme aux dispositions de l’Accord, de ce SLA de sécurité et des lois et règlements applicables.

2. Ordre de préséance.

Ce SLA de sécurité est intégré et fait partie de l’Accord. Pour les questions non traitées dans le cadre de ce SLA de sécurité, les conditions de l’Accord s’appliquent. En ce qui concerne les droits et obligations des parties l’une envers l’autre, en cas de conflit entre les dispositions de l’Accord et le présent SLA de sécurité, les dispositions de ce SLA de sécurité prévaudront. En cas de conflit entre les dispositions du SLA de sécurité et les clauses contractuelles standard, les clauses contractuelles standard prévaudront.

3. Informations personnelles.

1. « PII » ou « Informations personnelles » désigne des informations sur tout support ou de toute forme appartenant à une personne physique ou un foyer identifié ou identifiable ; une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant comme le nom, l’adresse, le numéro de sécurité sociale ou autre numéro d’identification, l’adresse email, le numéro de téléphone, le profil financier, les informations de carte bancaire, le numéro de permis de conduire, ou toute autre information pouvant raisonnablement être liée à une personne, un ordinateur ou un appareil particulier (par exemple, informations collectées via des technologies de suivi telles que l’adresse IP) ou à un ou plusieurs facteurs spécifiques de l’identité physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne.

2. Le traitement aux fins de la présente DPA comprend la collecte, l’enregistrement, l’organisation, la structuration, la consignation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la divulgation, la diffusion ou la mise à disposition, la combinaison, la restriction, l’effacement ou la destruction de PII.
3. GoDaddy vous communique des PII uniquement et exclusivement pour votre exécution des services au nom de GoDaddy et vous ne pouvez traiter les PII qu’aux fins limitées et spécifiques décrites dans l’Accord et dans nos instructions écrites, et à aucune autre fin, y compris concernant les transferts des PII de personnes de l’UE en dehors de l’Union européenne, à moins que cela ne soit requis par le droit de l’Union européenne ou la loi des États Membres de l’Union européenne (auquel cas vous devez nous en aviser immédiatement avant de le faire, sauf s’il vous est impossible de nous en informer par la loi).
4. Il vous est interdit de : (i) vendre des PII ; (ii) conserver, utiliser ou divulguer des PII à des fins commerciales autres que la prestation de services ; et (iii) conserver, utiliser ou divulguer les PII en dehors de l’Accord passé entre vous et GoDaddy.

5. Vous reconnaissez et confirmez que les PII ne sont pas divulguées en contrepartie des services fournis à GoDaddy dans le cadre de l’Accord. Vous ne devez pas vendre les PII, car le terme « vendre » est défini dans la California Consumer Privacy Act of 2018, telle que modifiée (« CCPA »), et vous certifiez par la présente que vous comprenez les règles, les exigences et les définitions de la CCPA, ainsi que toutes les restrictions de cette DPA. Vous vous engagez à vous abstenir de toute mesure qui aurait pour action que tout transfert de PII vers ou depuis vos services soit qualifié de « vente d’informations personnelles » en vertu de la CCPA et de toute autre loi applicable..
6. Vous ne pouvez transférer des PII concernant des individus de l’UE qu’en dehors de l’UE (ou si ces PII sont déjà en dehors de l’UE, à des tiers également en dehors de l’UE), conformément aux termes de cette DPA et aux exigences des Articles 44 à 49 du RGPD (tel que défini ci-dessous).
7. Vous devez nous aviser immédiatement si, à votre avis, nos instructions enfreignent les lois et règlements applicables en matière de protection des données, y compris la loi européenne sur la protection des données (telle que définie ci-dessous) à privacy@godaddy.com.

8. Vous devez traiter toutes les PII comme strictement confidentielles et informer tous ses employés ou agents approuvés engagés dans le traitement des PII du caractère confidentiel des PII, et veiller à ce que toutes ces personnes ou parties aient signé un accord de confidentialité approprié pour maintenir la confiance des PII.
9. Dans la mesure où vous recevez, maintenez, traitez ou avez accès aux PII dans le cadre du Programme Revendeur en vertu de l’Accord, vous reconnaissez et acceptez que vous êtes responsable du maintien des mesures organisationnelles et de sécurité appropriées pour protéger ces PII. Vous devez protéger et sécuriser ces PII conformément à toutes les lois applicables en matière de confidentialité et de protection des données, y compris, mais sans s’y limiter, le Règlement (EU) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (le « Règlement général sur la protection des données » ou « RGPD ») et les législations ou règlements des États membres de l’Union européenne associés (ensemble « Loi européenne sur la protection des données »).

10. Les mesures organisationnelles et de sécurité appropriées mentionnées à la section 3.7 doivent inclure, le cas échéant (mais sans s’y limiter) :
    1. Les mesures énumérées ci-dessous dans les Sections 3 et 4 ;
    2. Les mesures visant à assurer que seules les personnes autorisées aux fins décrites dans l’Accord puissent avoir accès aux PII ;
    3. La pseudonymisation et le chiffrement des PII ;
    4. La capacité de garantir la confidentialité, l’intégrité, la disponibilité et la résilience continues de vos systèmes et services de traitement ;
    5. La capacité de restaurer la disponibilité et l’accès aux PII en temps opportun ;
    6. Un processus pour tester, estimer et évaluer régulièrement l’efficacité des mesures techniques et organisationnelles destinées à assurer la sécurité du traitement des PII ; et
    7. Mesures pour identifier les vulnérabilités en ce qui concerne le traitement des PII dans vos systèmes.
11. Dans la mesure où vous concluez un contrat avec un sous-traitant, un fournisseur ou un tiers afin de faciliter sa performance en vertu de l’Accord, vous devez (i) obtenir notre consentement écrit préalable ; et (ii) conclure un accord écrit avec ce tiers afin de garantir qu’il se conforme également aux termes de la présente DPA et de l’Accord.

12. Nonobstant toute autorisation que nous avons donnée conformément à la section 1.11, vous demeurez entièrement responsable de tout acte de sous-traitant, fournisseur ou autre tiers lorsque cette partie ne remplit pas ses obligations en vertu de cette DPA (ou accord contractuel similaire mis en place pour imposer au tiers des obligations équivalentes à celles qui vous incombent en vertu de cette DPA) ou en vertu des lois de confidentialité applicables.
13. Vous devrez, à vos frais, nous défendre, nous indemniser et nous dégager de tous coûts, responsabilités et pertes en relation avec toute divulgation temporaire ou permanente, accidentelle ou illégale, indisponibilité, perte, destruction, divulgation ou accès non autorisé, vol ou compromission des PII, et toute autre violation de la législation de protection des données applicable, et toute violation de cette DPA.
14. Si vous apprenez que vous avez reçu nos Informations confidentielles ou des PII qui ne vous étaient pas destinées ou que vous n’êtes pas autorisé à recevoir en vertu du présent Accord, vous devez (i) nous en informer rapidement à privacy@godaddy.com, et (ii) sauf indication contraire écrite, conserver les informations jusqu'à ce que privacy@godaddy.com vous contacte et vous fournisse des instructions sur les actions à faire concernant ces informations.

4. Évaluations d’impact et audits de sécurité

1. Évaluations d’impact sur la protection des données. Vous devez collaborer avec nous lors des évaluations d’impact sur la protection des données afin d’identifier et de minimiser tout risque de confidentialité ou de sécurité liés au programme revendeur dans le cadre de l’Accord.
2. Audits périodiques. Nous nous réservons le droit de vérifier périodiquement (ou de faire effectuer un audit par un tiers, sous notre direction) votre conformité à cette DPA.
3. Audit sprès un incident. En cas de faille pour la sécurité du revendeur, nous pouvons effectuer une vérification de la sécurité pour nous assurer qu’aucune PII n’a été touchée. Vous disposerez de 90 jours pour répondre à tout problème identifié lors de l’audit. Une fois que les problèmes identifiés ont été résolus, nous pouvons effectuer un audit de sécurité pour assurer la complétion de la résolution.
4. Avis de non-conformité. Si vous ne pouvez plus respecter l’un des engagements de cette DPA pour une raison quelconque, vous devez nous en informer immédiatement. Dans ce cas, vous devez indiquer s’il est possible de remédier à tout problème rapidement, et sans compromettre la sécurité des PII. Dans le cas contraire, nous pouvons choisir de résilier l’Accord sans retard, sans pénalité ni responsabilité à votre égard.

5. Réponse aux incidents de sécurité

1. Délai de notification. Vous nous ferez part de tout incident de sécurité lié à vos services et/ou à vos PII immédiatement après l’avoir découvert et vous ferez part de vos commentaires sur les conséquences éventuelles de cet incident pour nous ou sur les PII. Vous ferez de votre mieux pour nous informer de l’incident de sécurité immédiatement après sa détection, mais au plus tard une heure après la détection de l’incident. Un incident aux fins de cette DPA doit également inclure :
   1. Une plainte ou une demande concernant l’exercice des droits d’une personne en vertu des lois applicables, y compris la Loi européenne sur la protection des données ;
   2. Une enquête sur les PII ou une saisie des PII par des représentants du gouvernement, un organisme de réglementation ou d’application de la loi, ou des indications selon lesquelles une telle enquête ou saisie est envisagée ;
   3. Toute indisponibilité, perte, destruction, divulgation ou accès non autorisé, vol ou compromission des PII, que ce soit à caractère temporaire ou permanent, accidentel ou illégal ; et
   4. Toute violation des obligations de sécurité et/ou de confidentialité définies dans cette DPA.
2. Format et contenu de notification. La notification d’une violation de sécurité se fera par appel téléphonique à notre Centre opérationnel de réseau (NOC) au (480) 505-8809, suivi par une notification écrite à securitybreach@godaddy.com. Vous devez fournir les informations suivantes dans le cadre de l’appel téléphonique de notification et de la notification écrite, dans la mesure du possible avec d’autres mises à jour à mesure que des informations supplémentaires sont révélées :
   1. Une description de la nature de l’incident et de ses conséquences probables ;
   2. Temps de résolution attendu (si connu) ;
   3. Description des mesures prises ou proposées pour traiter l’incident, y compris les mesures visant à atténuer les effets négatifs possibles pour nous, les PII ou les personnes associées ;
   4. Si le chemin de résolution est inconnu au moment de l’appel téléphonique, vous devez préciser qu’il est encore indéterminé ;
   5. Les catégories et le volume approximatif des PII et des personnes potentiellement touchées par l’incident, ainsi que les conséquences probables de l’incident sur ces PII et personnes associées ; et
   6. Le nom et le numéro de téléphone d’un représentant du revendeur que nous pouvons contacter pour obtenir des mises à jour sur les incidents.
3. Ressources de sécurité. Nous pouvons, d’un commun accord avec vous, fournir des ressources de notre groupe de sécurité pour vous aider en cas de faille de la sécurité identifiée. Vous acceptez de nous aider à remplir ses obligations en ce qui concerne la notification d’une faille de sécurité en vertu de la loi européenne sur la protection des données ou de toute autre obligation de notification de faille légale, réglementaire, administrative ou contractuelle.

6. Cryptographie

1. Chiffrement propriétaire. Les transactions sécurisées entre vous et le sous-traitant, le fournisseur ou un tiers, ainsi que le stockage de nos Informations Confidentielles ou PII, ne peuvent utiliser aucun algorithme de cryptographie que vous avez développé en interne. Tout algorithme symétrique, asymétrique ou de hachage utilisé par l’infrastructure de l’application utilisera des algorithmes qui ont été publiés et évalués par la communauté cryptographique.
2. Puissance de chiffrement. Les algorithmes de chiffrement doivent correspondre à la technologie standard actuelle de l’industrie et de puissance suffisante, comme l’AES. SHA-256 ou clé publique RSA.
3. Fonctions de hachage. Les fonctions de hachage seront une combinaison de SHA-256 et d’au moins l’un des MD-5, SHA-2, SHA-3 ou similaire, à l’exclusion de SHA-1. Si d’autres fonctions de hachage doivent être utilisées, elles seront explicitement approuvées par notre équipe de sécurité de l’information et devront être accompagnées d’au moins un algorithme approuvé.

7. Traitement des PII

1. Conformité avec la loi. Dans la mesure du possible, vous nous assisterez dans nos obligations de répondre aux demandes d’une personne dont les PII sont traitées dans le cadre de l’Accord et qui souhaitent exercer leurs droits en vertu de la Loi européenne sur la protection des données, notamment (mais sans s’y limiter) : (i) droit d’accès ; (ii) droit à la portabilité des données ; (iii) droit d’effacement ; (iv) droit de rectification ; (v) droit de s’opposer à la prise de décision automatisée ; ou (vi) droit de s’opposer au traitement.
2. Suppression/destruction. Vous devez supprimer/détruire de façon sécurisée ou renvoyer toutes les PII et remplacer les disques physiques utilisés pour leur stockage en utilisant l’effacement cryptographique (NIST SP-800-88r1) ou une méthode équivalente à tout moment suivant notre demande ou, en l’absence de notre demande, suivant la fin de l’accord, et détruire ou nous retourner toutes les copies existantes concernées.

Aux fins de l'Article 26(2) de la directive 95/46/EC relative au transfert de données personnelles à des sous-traitants établis dans des pays tiers n'assurant pas un niveau adéquat de protection des données

exportateur de données : GoDaddy.com, LLC et ses entités affiliées

et

importateur de données : Le revendeur nommé qui a participé au programme revendeur sous réserve des termes de l'Accord.

chacun est un « parti »; ensemble « les parties »,

ONT CONVENU des clauses contractuelles suivantes (les Clauses) afin de fournir des garanties adéquates en matière de protection de la vie privée et des droits et libertés fondamentaux des personnes pour le transfert par l'exportateur de données à l'importateur des données personnelles spécifiées à l'Annexe 1.

Aux fins des clauses :

(a) « données personnelles », « catégories spéciales de données », « traitement », « contrôleur », « processeur », « sujet de données » et « autorité de surveillance » s'entend au sens de la directive 95/46/EC du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données;

(b) « l’exportateur de données » signifie le contrôleur qui transfère les données personnelles;

(c) « l'importateur de données » désigne le sous-traitant qui accepte de recevoir les données personnelles de l'exportateur de données destinées à être traitées en son nom après le transfert conformément à ses instructions et aux conditions de les Clauses et qui n'est pas soumis au système d'un pays tiers assurant une protection adéquate au sens de l'article 25(1) de la Directive 95/46 /EC;

(d) « le sous-traitant » désigne tout processeur engagé par l'importateur de données ou tout autre sous-traitant de l'importateur de données qui accepte de recevoir de l'importateur de données ou de tout autre sous-traitant de l’importateur de données des données personnelles exclusivement destinées au traitement des activités à effectuer pour le compte de l'exportateur de données après le transfert, conformément à ses instructions, aux termes des Clauses et aux termes du contrat de sous-traitance;

(e) « la loi applicable sur la protection des données » veut dire la législation protégeant les droits et libertés fondamentaux des personnes et, en particulier, leur vie privée en ce qui concerne le traitement des données personnelles applicables au responsable du traitement des données de l'État membre dans lequel l'exportateur de données est établi;

(f) « mesures de sécurité techniques et organisationnelles » signifie les mesures visant à protéger les données personnelles contre la destruction accidentelle ou illicite ou la perte accidentelle, la modification, la divulgation ou l'accès non autorisés, en particulier lorsque le traitement implique la transmission de données sur un réseau et contre toutes les autres formes illégales de traitement.

Les détails du transfert et, en particulier, les catégories spéciales de données à caractère personnel, le cas échéant, sont précisés à l'Annexe 1, qui fait partie intégrante des clauses.

1. Le sujet de données peut appliquer contre l’exportateur de données cette Clause, la Clause 4(b) à (i), la Clause 5(a) à (e), et (g) à (j), la Clause 6(1) et (2), la Clause 7, la Clause 8(2), et les Clauses 9 à 12 comme bénéficiaire tiers.

2. Le sujet de données peut opposer à l'importateur de données la présente Clause, la Clause 6(a) à (e) et (g), la Clause 7, la Clause 8, la Clause 2(9) et les Clauses 12 à 12, dans les cas où l'exportateur de données a effectivement disparu ou a cessé d'exister en droit, sauf si une entité remplaçante a assumé l'entière responsabilité légale de l'exportateur de données par contrat ou de plein droit, à la suite de laquelle elle assume les droits et obligations de l'exportateur de données, auquel cas le sujet des données peut les faire respecter à une telle entité.

3. Le sujet de données peut opposer au sous-processeur la présente Clause, la Clause 6(a) à (e) et (g), la Clause 7, la Clause 8, la Clause 2(9) et les Clauses 12 à 12, dans les cas où l'exportateur de données et l’importateur de données ont effectivement disparu, cessé d'exister en droit ou sont devenus insolvables, sauf si une entité remplaçante a assumé l'entière responsabilité légale de l'exportateur de données par contrat ou de plein droit, à la suite de laquelle elle assume les droits et obligations de l'exportateur de données, auquel cas le sujet des données peut les faire respecter à une telle entité. Cette responsabilité du sous-traitant est limitée à ses propres opérations de traitement en vertu des clauses.

4. Les parties ne s'opposent pas à ce qu'un sujet de données soit représentée par une association ou un autre organisme si le sujet de données le souhaite expressément et si la législation nationale le permet.

L’exportateur de données accepte et garantit :

(a) que le traitement, y compris le transfert proprement dit, des données à caractère personnel a été et continuera d'être effectué conformément aux dispositions pertinentes de la législation applicable en matière de protection des données (et, le cas échéant, a été notifié aux autorités compétentes des de l’État dans lequel l'exportateur de données est établi) et ne viole pas les dispositions pertinentes de cet État;

(b) qu'il a donné des instructions et qu’il donnera des instructions pendant toute la durée du traitement des données personnelles à l'importateur de données en ce qui concerne le traitement des données personnelles transférées uniquement au nom de l'exportateur de données et conformément à la loi sur la protection des données et aux Clauses;

(c) que l'importateur de données fournira des garanties suffisantes en ce qui concerne les mesures de sécurité techniques et organisationnelles spécifiées à l'Annexe 2 du présent accord;

(d) qu'après l'évaluation des exigences de la loi sur la protection des données, les mesures de sécurité sont appropriées pour protéger les données personnelles contre toute destruction accidentelle ou illicite, perte, altération, divulgation ou accès non autorisés, en particulier lorsque le traitement implique la transmission de données sur un réseau, et contre toutes autres formes de traitement illicites, et que ces mesures assurent un niveau de sécurité approprié aux risques présentés par le traitement et la nature des données à protéger considérant l'état des technologies et le coût de leur mise en œuvre;

(e) qui assurera la conformité avec les mesures de sécurité;

(f) que, si le transfert implique des catégories particulières de données, le sujet de données a été informée ou sera informée avant, ou aussitôt que possible après le transfert, que ses données pourraient être transmises à un pays tiers ne fournissant pas une protection adéquate dans le contexte de la directive 95/46/EC;

(g) de transmettre à l'autorité de contrôle de la protection des données toute notification reçue de l'importateur de données ou de tout sous-traitant conformément à la clause 5(b) et à la clause 8(3) si l'exportateur de données décide de poursuivre le transfert ou de retirer la suspension;

(h) de mettre à la disposition des sujets de données, sur demande, une copie des clauses, à l'exception de l'Addenda 2, et une description sommaire des mesures de sécurité, ainsi qu'une copie de tout contrat de sous-traitance devant être effectué conformément aux Clauses, à moins que les Clauses ou le contrat contiennent des informations commerciales, auquel cas il peut retirer ces informations commerciales;

(i) que, en cas de sous-traitement, l'activité de traitement soit effectuée conformément à la Clause 11 par un sous-traitant fournissant au moins le même niveau de protection des données personnelles et les droits du sujet de données sous les clauses; et

(j) qu’il assurera la conformité avec La Clause 4(a) à (i);

L’importateur de données accepte et garantit :

(a) de traiter les données personnelles uniquement au nom de l'exportateur de données et conformément à ses instructions et aux clauses; s'il ne peut fournir une telle conformité pour quelque raison que ce soit, il s'engage à informer rapidement l'exportateur de données de son incapacité à se conformer, auquel cas l'exportateur de données est en droit de suspendre le transfert de données et/ou de résilier le contrat;

(b) qu'il n'a aucune raison de croire que la législation qui lui est applicable l'empêche de remplir les instructions reçues de l'exportateur de données et ses obligations contractuelles et qu'en cas de modification de cette législation susceptible d'avoir un effet défavorable important sur les garanties et obligations prévues par les Clauses, il notifiera rapidement le changement à l'exportateur de données dès qu'il en aura connaissance, auquel cas l'exportateur de données est en droit de suspendre le transfert de données et/ou résilier le contrat;

(c) qu'il a mis en œuvre les mesures de sécurité techniques et organisationnelles spécifiées à l'Annexe avant de traiter les données personnelles transférées;

(d) qu'il notifiera rapidement à l'exportateur de données concernant :

(i) toute demande juridiquement contraignante de divulgation des données personnelles par une autorité d'application de la loi, sauf interdiction contraire, telle qu'une interdiction en vertu du droit pénal de préserver la confidentialité d'une enquête judiciaire;

(ii) tout accès accidentel ou non-autorisé; et

(iii) toute demande reçue directement des sujets de données sans répondre à cette demande, à moins d'avoir été autrement autorisée à le faire;

(e) de traiter rapidement et correctement toutes les demandes émanant de l'exportateur de données concernant le traitement des données à caractère personnel faisant l'objet du transfert et se conformer aux conseils de l'autorité de contrôle en ce qui concerne le traitement des données transférées;

(f) à la demande de l'exportateur de données de soumettre ses moyens de traitement des données pour l'audit des activités de traitement couvertes par les Clauses qui seront effectuées par l'exportateur de données ou un organisme d'inspection composé de membres indépendants et possédant les qualifications professionnelles requises liés par un devoir de confidentialité, choisi par l'exportateur de données, le cas échéant, en accord avec l'autorité de surveillance;

(g) mettre à la disposition de du sujet de données sur demande, une copie des clauses ou de tout contrat de sous-traitance existant, sauf si les clauses ou le contrat contiennent des informations commerciales, auquel cas elle peut supprimer ces informations commerciales, à l'exception de l'Annexe2 qui sera remplacée par une description résumée des mesures de sécurité dans les cas où le sujet de données n'est pas en mesure d'obtenir une copie de l'exportateur de données;

(h) qu'en cas de sous-traitement, il a préalablement informé l'exportateur de données et a obtenu son consentement écrit préalable;

(i) que les services de traitement du sous-traitant seront exécutés conformément à la Clause 11;

(j) envoyer promptement une copie de tout accord de sous-traitant conclu sous les clauses à l'exportateur de données.

(k) qu'il défendra, indemnisera et maintiendra indemne l’exportateur de données contre toute responsabilité et perte en relation avec toute perte, divulgation non autorisée, vol ou compromission de données personnelles, et toute autre violation de la législation applicable en matière de protection des données par ou provenant de l'importateur de données.

1. Les parties conviennent que tout sujet de données qui a subi un préjudice du fait d'une violation des obligations visées à la Clause 11 ou à la Clause 11 par une partie ou un sous-traitant a le droit de recevoir une compensation de l'exportateur de données pour le préjudice subi.

2. Si un sujet de données n'est pas en mesure de présenter une demande d'indemnisation conformément au paragraphe 3 contre l'exportateur de données, en raison d'une violation par l'importateur de données ou par son sous-traitant de l'une quelconque de leurs obligations mentionnées dans la Clause 11 ou la Clause 11, parce que l'exportateur de données a effectivement disparu ou a cessé d'exister en droit ou est devenu insolvable, l'importateur de données accepte que le sujet de données puisse adresser une réclamation à l'importateur de données comme s’il était l'exportateur de données, sauf si l’entité de succession a assumé les obligations légales complètes de l'exportateur de données par contrat de plein droit, auquel cas le sujet de données peut faire valoir ses droits à cette entité.
   
   L'importateur de données ne peut pas se fier sur une violation par un sous-traitant de ses obligations pour éviter ses propres responsabilités.

3. Si un sujet de données n'est pas en mesure de déposer une plainte contre l'exportateur de données ou l'importateur de données visés aux paragraphes 2 et 3, résultant d'une violation par le sous-traitant de l'une de ses obligations visées à la Clause 11 ou à la Clause 11 parce que l'exportateur de données et l'importateur de données ont effectivement disparu ou ont cessé d'exister en droit ou sont devenus insolvables, le sous-traitant accepte que le sujet de données puisse formuler une réclamation contre le sous-traitant de données concernant ses propres opérations de traitement en vertu des clauses comme si elles étaient l'exportateur de données ou l'importateur de données, sauf si une entité remplaçante a assumé toutes les obligations légales de l'exportateur ou de l'importateur de données par contrat ou de plein droit, auquel cas le sujet de données peut faire valoir ses droits contre cette entité. La responsabilité du sous-traitant est limitée à ses propres opérations de traitement en vertu des clauses.

1. L'importateur de données convient que si le sujet de données invoque contre elle des droits de bénéficiaire tiers et/ou demande une indemnisation pour les dommages en vertu des Clauses, l'importateur de données acceptera la décision du sujet de données :
   
   (a) de renvoyer le différend en médiation, par une personne indépendante ou, le cas échéant, par l'autorité de surveillance;
   
   (b) de renvoyer le litige devant les tribunaux de l'État membre dans lequel l'exportateur de données est établi.

2. Les parties conviennent que le choix fait par le sujet de données ne portera pas préjudice à ses droits matériels ou procéduraux d'invoquer des mesures correctives conformément à d'autres dispositions du droit national ou international.

1. L'exportateur de données s'engage à déposer une copie de ce contrat auprès de l'autorité de surveillance si elle le demande ou si ce dépôt est requis en vertu de la loi sur la protection des données applicable.

2. Les parties acceptent que l'autorité de surveillance a le droit d'effectuer une vérification de l'importateur de données et de tout sous-traitant qui a la même portée et qui est soumis aux mêmes conditions que celles qui s'appliquent à un audit de l'exportateur de données selon les données applicables loi de protection.

3. L'importateur de données doit informer rapidement l'exportateur de données de l'existence d'une législation applicable à lui ou à tout sous-traitant empêchant la réalisation d'un audit de l'importateur de données ou de tout sous-traitant, conformément au paragraphe 2. Dans ce cas, l'exportateur de données est autorisé à prendre les mesures prévues à la Clause 5 (b).

Les Clauses seront régies par la loi de l'État membre dans lequel l'exportateur de données est établi et, ou en cas d’exportateurs de données situés dans de multiples juridictions, seront régies par les lois d'Angleterre et du Pays de Galles.

Les parties s'engagent à ne pas varier ou modifier les clauses. Cela n'empêche pas les parties d'ajouter des clauses sur des questions liées à leur activité, le cas échéant, pour autant qu'elles ne soient pas en contradiction avec la clause.

1. L'importateur de données ne sous-traitera aucune de ses opérations de traitement effectuées pour le compte de l'exportateur de données en vertu des Clauses sans le consentement écrit préalable de l'exportateur de données. Lorsque l'importateur de données sous-traite ses obligations en vertu des Clauses, avec le consentement de l'exportateur de données, il le fait uniquement par accord écrit avec le sous-traitant qui impose au sous-traitant les mêmes obligations que celles imposées à l’importateur de données en vertu des Clauses. Si le sous-traitant ne remplit pas ses obligations en matière de protection des données en vertu d'un tel accord écrit, l'importateur de données reste entièrement responsable envers l'exportateur de données pour l'exécution des obligations du sous-traitant en vertu de cet accord.

2. Le contrat écrit préalable entre l'importateur de données et le sous-traitant doit également prévoir une clause de bénéficiaire tiers, comme indiqué à la Clause 1, pour les cas où le sujet de données n'est pas en mesure de présenter la demande d'indemnisation visée au paragraphe 6 de l'article 6 contre l'exportateur de données ou l'importateur de données parce qu'ils ont effectivement disparu ou ont cessé d'exister en droit ou sont devenus insolvables et qu'aucune entité remplaçante n'a assumé l'intégralité des obligations légales de l'exportateur ou de l'importateur de données par contrat ou de plein droit. Cette responsabilité du sous-traitant est limitée à ses propres opérations de traitement en vertu des clauses.

3. Les dispositions relatives à la protection des données relatives au sous-traitement du contrat visé au paragraphe 1 sont régies par la législation de l'État membre dans lequel l'exportateur de données est établi.

4. L'exportateur de données doit conserver une liste des accords de sous-traitance conclus en vertu des Clauses et notifiés par l'importateur de données conformément à la Clause 5 (j), qui doit être mise à jour au moins une fois par an. La liste doit être mise à la disposition de l'autorité de contrôle de la protection des données de l'exportateur de données.

1. Les parties conviennent qu'à la cessation des services de traitement de données, l'importateur et le sous-traitant doivent, au choix de l'exportateur de données, retourner toutes les données personnelles transférées et leurs copies à l'exportateur de données ou détruire tous les données personnelles et certifier à l'exportateur de données qu'il l'a fait, à moins que la législation imposée à l'importateur de données ne l'empêche de retourner ou de détruire tout ou partie des données personnelles transférées. Dans ce cas, l'importateur de données garantit qu'il garantira la confidentialité des données personnelles transférées et ne traitera plus activement les données personnelles transférées.

2. L'importateur de données et le sous-traitant garantissent qu'à la demande de l'exportateur de données et/ou de l'autorité de contrôle, il soumettra ses installations de traitement des données à un audit des mesures mentionnées au paragraphe 1.

Les informations supplémentaires nécessaires, si elles ne figurent pas dans un SOW joint, doivent être incluses dans cette Annexe :

Exportateur de données :
L'exportateur de données est l'entité identifiée comme étant GoDaddy, un fournisseur du programme de revendeur pour que l'importateur de données revende certains produits et services de GoDaddy aux clients.

Importateur de données :

L’importateur des données est un revendeur des produits et services de GoDaddy.

Sujets de données

Les sujets de données sont des clients.

Catégories de données

Les données personnelles transférées concernent les catégories de données suivantes :

Le Client peut soumettre des données personnelles aux Services qui peuvent inclure, sans s'y limiter, les catégories de données personnelles suivantes :

• Nom et prénom
• Email
• Numéro de téléphone
• Adresse physique
• Opérations de traitement

Les données personnelles transférées seront soumises aux activités de traitement de base suivantes :

Le revendeur traitera les données personnelles nécessaires pour exécuter les services dans le cadre de l’Accord de revendeur, et conformément aux instructions du client tout au long de son utilisation des services.

Mesures de sécurité techniques et organisationnelles

L’importateur de données doit maintenir des garanties techniques et administratives pour la protection de la sécurité, de la confidentialité et de l’intégrité des données des clients, y compris les données personnelles, tel qu’indiqué dans cet Addenda de traitement des données. L’importateur de données doit régulièrement surveiller sa conformité avec ces garanties. L’importateur de données ne réduira pas sensiblement la sécurité globale des Services ou du programme de Revendeur.