Accord de Traitement des Données

Forward Email data processing agreement

Termes Clés

Terme Valeur
Accord Ce DPA complète les Conditions d'Utilisation
Sous-traitants Approuvés Cloudflare (États-Unis ; fournisseur DNS, réseau et sécurité), DataPacket (États-Unis/Royaume-Uni ; fournisseur d'hébergement), Digital Ocean (États-Unis ; fournisseur d'hébergement), GitHub (États-Unis ; hébergement de code source, CI/CD et gestion de projet), Vultr (États-Unis ; fournisseur d'hébergement), Stripe (États-Unis ; processeur de paiement), PayPal (États-Unis ; processeur de paiement)
Contact Sécurité du Fournisseur security@forwardemail.net
Politique de Sécurité Voir notre Politique de Sécurité sur GitHub
État Gouvernant L'État du Delaware, États-Unis

Modifications de l'Accord

Ce document est une dérivation des Conditions Standard du DPA Common Paper (Version 1.0) et les modifications suivantes ont été apportées :

  1. Droit applicable et tribunaux choisis a été inclus comme section ci-dessous avec l’État Gouvernant identifié ci-dessus.
  2. Relation avec le Prestataire de Services a été inclus comme section ci-dessous.

1. Relations entre le Sous-traitant et le Sous-sous-traitant

1. Prestataire en tant que Sous-traitant

Dans les situations où le Client est un Responsable du traitement des Données Personnelles du Client, le Prestataire sera considéré comme un Sous-traitant traitant les Données Personnelles pour le compte du Client.

2. Prestataire en tant que Sous-sous-traitant

Dans les situations où le Client est un Sous-traitant des Données Personnelles du Client, le Prestataire sera considéré comme un Sous-sous-traitant des Données Personnelles du Client.

2. Traitement

1. Détails du traitement

L’Annexe I(B) en page de couverture décrit l’objet, la nature, la finalité et la durée de ce traitement, ainsi que les Catégories de Données Personnelles collectées et les Catégories de Personnes Concernées.

2. Instructions de traitement

Le Client donne instruction au Prestataire de traiter les Données Personnelles du Client : (a) pour fournir et maintenir le Service ; (b) comme cela peut être précisé davantage par l’utilisation du Service par le Client ; (c) comme documenté dans le Contrat ; et (d) comme documenté dans toute autre instruction écrite donnée par le Client et reconnue par le Prestataire concernant le traitement des Données Personnelles du Client dans le cadre de ce DPA. Le Prestataire respectera ces instructions sauf interdiction par les Lois Applicables. Le Prestataire informera immédiatement le Client s’il est dans l’incapacité de suivre les instructions de traitement. Le Client a donné et ne donnera que des instructions conformes aux Lois Applicables.

3. Traitement par le Prestataire

Le Prestataire ne traitera les Données Personnelles du Client qu’en conformité avec ce DPA, y compris les détails de la page de couverture. Si le Prestataire met à jour le Service pour modifier ou inclure de nouveaux produits, fonctionnalités ou fonctionnalités, le Prestataire peut modifier les Catégories de Personnes Concernées, les Catégories de Données Personnelles, les Données de Catégorie Spéciale, les Restrictions ou Garanties relatives aux Données de Catégorie Spéciale, la Fréquence des Transferts, la Nature et la Finalité du Traitement, et la Durée du Traitement selon les besoins pour refléter les mises à jour en informant le Client des mises à jour et changements.

4. Traitement par le Client

Lorsque le Client est un Sous-traitant et que le Prestataire est un Sous-sous-traitant, le Client respectera toutes les Lois Applicables qui s’appliquent au traitement des Données Personnelles du Client par le Client. L’accord du Client avec son Responsable du traitement exigera de même que le Client respecte toutes les Lois Applicables qui s’appliquent au Client en tant que Sous-traitant. De plus, le Client respectera les exigences relatives aux Sous-sous-traitants dans l’accord du Client avec son Responsable du traitement.

Le Client s’est conformé et continuera de se conformer à toutes les Lois Applicables en matière de protection des données concernant la fourniture des Données Personnelles du Client au Prestataire et/ou au Service, y compris en effectuant toutes les divulgations, en obtenant tous les consentements, en offrant un choix adéquat et en mettant en œuvre les garanties pertinentes requises par les Lois Applicables en matière de protection des données.

6. Sous-traitants

a. Le Prestataire ne fournira, ne transférera ni ne remettra aucune Donnée Personnelle Client à un Sous-traitant sauf si le Client a approuvé le Sous-traitant. La liste actuelle des Sous-traitants Approuvés inclut l'identité des Sous-traitants, leur pays de localisation, et les tâches de Traitement prévues. Le Prestataire informera le Client au moins 10 jours ouvrables à l'avance et par écrit de tout changement envisagé concernant les Sous-traitants Approuvés, que ce soit par ajout ou remplacement d'un Sous-traitant, ce qui permet à le Client d'avoir suffisamment de temps pour s'opposer aux changements avant que le Prestataire ne commence à utiliser le(s) nouveau(x) Sous-traitant(s). Le Prestataire fournira à le Client les informations nécessaires pour permettre à le Client d'exercer son droit de s'opposer au changement des Sous-traitants Approuvés. Le Client dispose de 30 jours après notification d'un changement aux Sous-traitants Approuvés pour s'opposer, faute de quoi le Client sera réputé accepter les changements. Si le Client s'oppose au changement dans les 30 jours suivant la notification, le Client et le Prestataire coopéreront de bonne foi pour résoudre l'objection ou la préoccupation de le Client.

b. Lorsqu'il fait appel à un Sous-traitant, le Prestataire aura un accord écrit avec le Sous-traitant garantissant que ce dernier n'accède et n'utilise les Données Personnelles Client (i) que dans la mesure nécessaire pour exécuter les obligations sous-traitées, et (ii) conformément aux termes du Contrat.

c. Si le RGPD s'applique au Traitement des Données Personnelles Client, (i) les obligations de protection des données décrites dans cette DPA (telles que visées à l'article 28(3) du RGPD, le cas échéant) s'imposent également au Sous-traitant, et (ii) l'accord de le Prestataire avec le Sous-traitant incorporera ces obligations, y compris les détails sur la manière dont le Prestataire et son Sous-traitant coordonneront leurs réponses aux demandes ou requêtes concernant le Traitement des Données Personnelles Client. De plus, le Prestataire partagera, à la demande de le Client, une copie de ses accords (y compris les amendements) avec ses Sous-traitants. Dans la mesure nécessaire pour protéger les secrets commerciaux ou autres informations confidentielles, y compris les données personnelles, le Prestataire pourra expurger le texte de son accord avec son Sous-traitant avant de partager une copie.

d. Le Prestataire reste pleinement responsable de toutes les obligations sous-traitées à ses Sous-traitants, y compris des actes et omissions de ses Sous-traitants dans le Traitement des Données Personnelles Client. Le Prestataire informera le Client de tout manquement de ses Sous-traitants à remplir une obligation matérielle concernant les Données Personnelles Client en vertu de l'accord entre le Prestataire et le Sous-traitant.

3. Transferts Restreints

1. Autorisation

Le Client accepte que le Prestataire puisse transférer des Données Personnelles Client en dehors de l'EEE, du Royaume-Uni ou d'un autre territoire géographique pertinent, dans la mesure nécessaire à la fourniture du Service. Si le Prestataire transfère des Données Personnelles Client vers un territoire pour lequel la Commission européenne ou une autre autorité de contrôle compétente n'a pas émis de décision d'adéquation, le Prestataire mettra en œuvre des garanties appropriées pour le transfert des Données Personnelles Client vers ce territoire, conformément aux Lois Applicables en matière de Protection des Données.

2. Transferts hors EEE

Le Client et le Prestataire conviennent que si le RGPD protège le transfert des Données Personnelles Client, que le transfert est effectué par le Client depuis l'intérieur de l'EEE vers le Prestataire en dehors de l'EEE, et que ce transfert n'est pas régi par une décision d'adéquation prise par la Commission européenne, alors en concluant cette DPA, le Client et le Prestataire sont réputés avoir signé les CCT EEE et leurs Annexes, qui sont incorporés par référence. Tout transfert de ce type est effectué conformément aux CCT EEE, qui sont complétés comme suit : a. Le Module Deux (Contrôleur vers Processeur) des CCT EEE s'applique lorsque le Client est un Contrôleur et que le Fournisseur traite les Données Personnelles du Client pour le compte du Client en tant que Processeur.

b. Le Module Trois (Processeur vers Sous-Processeur) des CCT EEE s'applique lorsque le Client est un Processeur et que le Fournisseur traite les Données Personnelles du Client pour le compte du Client en tant que Sous-processeur.

c. Pour chaque module, ce qui suit s'applique (lorsque applicable) :

  1. La clause d'ancrage optionnelle de la Clause 7 ne s'applique pas ;

  2. Dans la Clause 9, l'Option 2 (autorisation écrite générale) s'applique, et la période minimale de préavis pour les modifications du Sous-processeur est de 10 jours ouvrables ;

  3. Dans la Clause 11, le langage optionnel ne s'applique pas ;

  4. Toutes les crochets dans la Clause 13 sont supprimés ;

  5. Dans la Clause 17 (Option 1), les CCT EEE seront régies par les lois de l’État Membre Gouvernant ;

  6. Dans la Clause 18(b), les litiges seront résolus devant les tribunaux de l’État Membre Gouvernant ; et

  7. La page de couverture de ce DPA contient les informations requises dans les Annexes I, II et III des CCT EEE.

3. Transferts hors Royaume-Uni

Le Client et le Fournisseur conviennent que si le RGPD britannique protège le transfert des Données Personnelles du Client, que le transfert est effectué par le Client depuis le Royaume-Uni vers le Fournisseur situé hors du Royaume-Uni, et que ce transfert n’est pas régi par une décision d’adéquation prise par le Secrétaire d’État britannique, alors en concluant ce DPA, le Client et le Fournisseur sont réputés avoir signé l’Addendum UK et ses Annexes, qui sont incorporés par référence. Tout transfert de ce type est effectué conformément à l’Addendum UK, qui est complété comme suit :

a. La Section 3.2 de ce DPA contient les informations requises dans le Tableau 2 de l’Addendum UK.

b. Le Tableau 4 de l’Addendum UK est modifié comme suit : Aucune des parties ne peut mettre fin à l’Addendum UK comme indiqué dans la Section 19 de l’Addendum UK ; dans la mesure où l’ICO émet un Addendum Approuvé révisé en vertu de la Section ‎18 de l’Addendum UK, les parties travailleront de bonne foi pour réviser ce DPA en conséquence.

c. La page de couverture contient les informations requises par les Annexes 1A, 1B, II et III de l’Addendum UK.

4. Autres transferts internationaux

Pour les transferts de Données Personnelles où la loi suisse (et non la loi d’un État membre de l’EEE ou du Royaume-Uni) s’applique à la nature internationale du transfert, les références au RGPD dans la Clause 4 des CCT EEE sont, dans la mesure légalement requise, modifiées pour faire référence à la Loi fédérale suisse sur la protection des données ou son successeur, et le concept d’autorité de contrôle inclura le Préposé fédéral à la protection des données et à la transparence suisse.

4. Réponse aux incidents de sécurité

  1. Dès qu’il prend connaissance d’un Incident de Sécurité, le Fournisseur : (a) notifiera le Client sans délai indu lorsque cela est possible, mais au plus tard 72 heures après avoir pris connaissance de l’Incident de Sécurité ; (b) fournira des informations en temps utile sur l’Incident de Sécurité dès qu’elles seront connues ou raisonnablement demandées par le Client ; et (c) prendra rapidement des mesures raisonnables pour contenir et enquêter sur l’Incident de Sécurité. La notification ou la réponse du Fournisseur à un Incident de Sécurité telle que requise par ce DPA ne sera pas interprétée comme une reconnaissance par le Fournisseur d’une faute ou d’une responsabilité pour l’Incident de Sécurité.

5. Audit & Rapports

1. Droits d’audit

Le Fournisseur fournira au Client toutes les informations raisonnablement nécessaires pour démontrer sa conformité à ce DPA et permettra et contribuera aux audits, y compris les inspections par le Client, afin d’évaluer la conformité du Fournisseur à ce DPA. Toutefois, le Fournisseur peut restreindre l’accès aux données ou informations si l’accès du Client à ces informations porterait atteinte aux droits de propriété intellectuelle, aux obligations de confidentialité ou à d’autres obligations du Fournisseur en vertu des Lois Applicables. Le Client reconnaît et accepte qu’il exercera ses droits d’audit en vertu de ce DPA et de tout droit d’audit accordé par les Lois sur la Protection des Données Applicables uniquement en instruisant le Fournisseur de se conformer aux exigences de rapport et de diligence raisonnable ci-dessous. Le Fournisseur conservera les enregistrements de sa conformité à ce DPA pendant 3 ans après la fin du DPA.

2. Rapports de sécurité

Le Client reconnaît que le Fournisseur est régulièrement audité selon les normes définies dans la Politique de sécurité par des auditeurs tiers indépendants. Sur demande écrite, le Fournisseur fournira à le Client, de manière confidentielle, une copie résumée de son Rapport en vigueur afin que le Client puisse vérifier la conformité de le Fournisseur aux normes définies dans la Politique de sécurité.

3. Diligence raisonnable en matière de sécurité

En plus du Rapport, le Fournisseur répondra aux demandes raisonnables d’informations formulées par le Client pour confirmer la conformité de le Fournisseur avec le présent DPA, y compris les réponses aux questionnaires de sécurité de l’information, de diligence raisonnable et d’audit, ou en fournissant des informations supplémentaires sur son programme de sécurité de l’information. Toutes ces demandes doivent être faites par écrit et adressées au Contact Sécurité du Fournisseur et ne peuvent être faites qu’une fois par an.

6. Coordination et coopération

1. Réponse aux demandes

Si le Fournisseur reçoit une demande ou une requête de la part de toute autre personne concernant le Traitement des Données Personnelles du Client, le Fournisseur informera le Client de la demande et le Fournisseur ne répondra pas à la demande sans le consentement préalable de le Client. Des exemples de ce type de demandes incluent une ordonnance judiciaire, administrative ou d’une agence réglementaire concernant les Données Personnelles du Client lorsque la notification à le Client n’est pas interdite par la Loi Applicable, ou une demande d’un sujet de données. Si la Loi Applicable le permet, le Fournisseur suivra les instructions raisonnables de le Client concernant ces demandes, y compris fournir des mises à jour de statut et d’autres informations raisonnablement demandées par le Client. Si un sujet de données fait une demande valide en vertu des Lois Applicables sur la Protection des Données pour supprimer ou se désinscrire de la transmission par le Client de Données Personnelles à le Fournisseur, le Fournisseur assistera le Client dans l’exécution de cette demande conformément à la Loi Applicable sur la Protection des Données. Le Fournisseur coopérera et fournira une assistance raisonnable à le Client, aux frais de le Client, dans toute réponse juridique ou autre procédure engagée par le Client en réponse à une demande tierce concernant le Traitement par le Fournisseur des Données Personnelles du Client en vertu du présent DPA.

2. DPIA et DTIA

Si requis par les Lois Applicables sur la Protection des Données, le Fournisseur assistera raisonnablement le Client dans la conduite de toute évaluation d’impact sur la protection des données ou évaluation d’impact sur le transfert de données mandatée ainsi que dans les consultations avec les autorités de protection des données compétentes, en tenant compte de la nature du Traitement et des Données Personnelles du Client.

7. Suppression des Données Personnelles du Client

1. Suppression par le Client

Le Fournisseur permettra à le Client de supprimer les Données Personnelles du Client d’une manière conforme aux fonctionnalités des Services. Le Fournisseur se conformera à cette instruction dès que raisonnablement possible, sauf si une conservation supplémentaire des Données Personnelles du Client est requise par la Loi Applicable.

2. Suppression à l’expiration du DPA

a. Après l’expiration du DPA, le Fournisseur retournera ou supprimera les Données Personnelles du Client selon les instructions de le Client, sauf si une conservation supplémentaire des Données Personnelles du Client est requise ou autorisée par la Loi Applicable. Si le retour ou la destruction est impraticable ou interdit par les Lois Applicables, le Fournisseur fera des efforts raisonnables pour empêcher tout Traitement supplémentaire des Données Personnelles du Client et continuera à protéger les Données Personnelles du Client restant en sa possession, garde ou contrôle. Par exemple, les Lois Applicables peuvent exiger que le Fournisseur continue d’héberger ou de traiter les Données Personnelles du Client. b. Si le Client et le Fournisseur ont intégré les CEE SCC ou l'Addendum UK dans le cadre de ce DPA, le Fournisseur ne fournira au Client la certification de suppression des Données Personnelles décrite dans la Clause 8.1(d) et la Clause 8.5 des CEE SCC que si le Client en fait la demande.

8. Limitation de Responsabilité

1. Plafonds de Responsabilité et Renonciation aux Dommages-intérêts

Dans la mesure maximale permise par les Lois Applicables sur la Protection des Données, la responsabilité cumulative totale de chaque partie envers l'autre partie découlant de ou liée à ce DPA sera soumise aux renonciations, exclusions et limitations de responsabilité énoncées dans le Contrat.

Toute réclamation faite contre le Fournisseur ou ses Affiliés découlant de ou liée à ce DPA ne peut être engagée que par l'entité Client qui est partie au Contrat.

3. Exceptions

  1. Ce DPA ne limite aucune responsabilité envers un individu concernant les droits de protection des données de cet individu en vertu des Lois Applicables sur la Protection des Données. De plus, ce DPA ne limite aucune responsabilité entre les parties pour les violations des CEE SCC ou de l'Addendum UK.

9. Conflits Entre Documents

  1. Ce DPA fait partie intégrante et complète le Contrat. En cas d'incohérence entre ce DPA, le Contrat, ou l'une de leurs parties, la partie listée en premier prévaudra sur la partie listée en dernier pour cette incohérence : (1) les CEE SCC ou l'Addendum UK, (2) ce DPA, puis (3) le Contrat.

10. Durée du Contrat

Ce DPA commencera lorsque le Fournisseur et le Client accepteront une Page de Garde pour le DPA et signeront ou accepteront électroniquement le Contrat et se poursuivra jusqu'à l'expiration ou la résiliation du Contrat. Cependant, le Fournisseur et le Client resteront chacun soumis aux obligations de ce DPA et des Lois Applicables sur la Protection des Données jusqu'à ce que le Client cesse de transférer les Données Personnelles du Client à le Fournisseur et que le Fournisseur cesse de Traiter les Données Personnelles du Client.

11. Droit Applicable et Tribunaux Choisis

Nonobstant les clauses de droit applicable ou similaires du Contrat, toutes les interprétations et litiges concernant ce DPA seront régis par les lois de l’État Gouvernant sans tenir compte de ses dispositions relatives aux conflits de lois. De plus, et nonobstant la sélection du forum, la compétence ou les clauses similaires du Contrat, les parties conviennent de porter toute action judiciaire, procédure ou instance concernant ce DPA devant, et chaque partie se soumet irrévocablement à la compétence exclusive des tribunaux de l’État Gouvernant.

12. Relation de Prestataire de Services

Dans la mesure où la California Consumer Privacy Act, Cal. Civ. Code § 1798.100 et suivants ("CCPA") s'applique, les parties reconnaissent et conviennent que le Fournisseur est un prestataire de services et reçoit des Données Personnelles de le Client pour fournir le Service tel que convenu dans le Contrat, ce qui constitue un objectif commercial. Le Fournisseur ne vendra aucune Donnée Personnelle fournie par le Client dans le cadre du Contrat. De plus, le Fournisseur ne conservera, n'utilisera ni ne divulguera aucune Donnée Personnelle fournie par le Client dans le cadre du Contrat sauf dans la mesure nécessaire pour fournir le Service pour le Client, comme indiqué dans le Contrat, ou comme permis par les Lois Applicables sur la Protection des Données. Le Fournisseur certifie qu'il comprend les restrictions de ce paragraphe.

13. Définitions

  1. « Lois Applicables » désigne les lois, règles, règlements, ordonnances judiciaires et autres exigences contraignantes d'une autorité gouvernementale pertinente qui s'appliquent à ou régissent une partie.

  2. « Lois Applicables en Matière de Protection des Données » désigne les Lois Applicables qui régissent la manière dont le Service peut traiter ou utiliser les informations personnelles, données personnelles, informations personnellement identifiables ou autre terme similaire d'un individu.

  3. « Responsable du traitement » aura la ou les significations données dans les Lois Applicables en Matière de Protection des Données pour la société qui détermine la finalité et l'étendue du Traitement des Données Personnelles.

  4. « Page de Garde » désigne un document signé ou accepté électroniquement par les parties qui intègre ces Conditions Standard du DPA et identifie le Fournisseur, le Client, ainsi que l'objet et les détails du traitement des données.

  5. « Données Personnelles du Client » désigne les Données Personnelles que le Client télécharge ou fournit à le Fournisseur dans le cadre du Service et qui sont régies par ce DPA.

  6. « DPA » désigne ces Conditions Standard du DPA, la Page de Garde entre le Fournisseur et le Client, ainsi que les politiques et documents référencés ou annexés à la Page de Garde.

  7. « CCE EEE » désigne les clauses contractuelles types annexées à la Décision d'exécution 2021/914 de la Commission européenne du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données personnelles vers des pays tiers conformément au Règlement (UE) 2016/679 du Parlement européen et du Conseil.

  8. « Espace économique européen » ou « EEE » désigne les États membres de l'Union européenne, la Norvège, l'Islande et le Liechtenstein.

  9. « RGPD » désigne le Règlement (UE) 2016/679 tel qu'il est mis en œuvre par la législation locale dans le pays membre de l'EEE concerné.

  10. « Données Personnelles » aura la ou les significations données dans les Lois Applicables en Matière de Protection des Données pour les informations personnelles, données personnelles ou autre terme similaire.

  11. « Traitement » ou « Traiter » aura la ou les significations données dans les Lois Applicables en Matière de Protection des Données pour toute utilisation ou exécution d'une opération informatique sur des Données Personnelles, y compris par des méthodes automatiques.

  12. « Sous-traitant » aura la ou les significations données dans les Lois Applicables en Matière de Protection des Données pour la société qui Traite des Données Personnelles pour le compte du Responsable du traitement.

  13. « Rapport » désigne les rapports d'audit préparés par une autre société selon les normes définies dans la Politique de Sécurité pour le compte du Fournisseur.

  14. « Transfert Restreint » désigne (a) lorsque le RGPD s'applique, un transfert de données personnelles depuis l'EEE vers un pays hors de l'EEE qui n'est pas soumis à une décision d'adéquation de la Commission européenne ; et (b) lorsque le RGPD britannique s'applique, un transfert de données personnelles depuis le Royaume-Uni vers tout autre pays qui n'est pas soumis aux règlements d'adéquation adoptés conformément à l'article 17A de la loi britannique sur la protection des données de 2018.

  15. « Incident de Sécurité » désigne une violation de Données Personnelles telle que définie à l'article 4 du RGPD.

  16. « Service » désigne le produit et/ou les services décrits dans le Contrat.

  17. « Données Sensibles » aura la signification donnée à l'article 9 du RGPD.

  18. « Sous-traitant secondaire » aura la ou les significations données dans les Lois Applicables en Matière de Protection des Données pour une société qui, avec l'approbation et l'acceptation du Responsable du traitement, assiste le Sous-traitant dans le Traitement des Données Personnelles pour le compte du Responsable du traitement.

  19. « RGPD britannique » désigne le Règlement (UE) 2016/679 tel qu'il est mis en œuvre par la section 3 de la loi britannique sur le retrait de l'Union européenne (Withdrawal) de 2018 au Royaume-Uni.

  20. « Addendum Royaume-Uni » désigne l'avenant relatif au transfert international de données aux CCE EEE émis par le Commissaire à l'information pour les parties effectuant des Transferts Restreints en vertu de l'article S119A(1) de la loi britannique sur la protection des données de 2018.

Crédits

Ce document est une dérivation des Conditions Standard du DPA Common Paper (Version 1.0) et est sous licence CC BY 4.0.