Addendum relatif au traitement des données personnelles(ATDP)
Addendum relatif au traitement des données personnelles(ATDP)
Le présent Addendum relatif au traitement des données personnelles (”ATDP”) fait partie du Contrat entre la SAS GoodBarber («WMaker») et le Client («Client») et entrera en vigueur à la date à laquelle les deux parties exécuteront cet «Addendum relatif au traitement des données personnelles» (Date d'Entrée en vigueur). Les termes en majuscules non définis dans cet ATDP ont la signification qui leur est donnée dans les Conditions Générales de Service (CGS).
Ce document fait partie d’un lot commun comprenant également les documents suivants :
Politique de confidentialités xxxxx://xxx.xxxxxx.xxx/xxxxxxx/
Conditions Générales de Services XXxxxx.xxx xxxxx://xxx.xxxxxx.xxx/_xxxx/xxx.xxx
Conditions Générales de Services XXxxxx.xx xxxxx://xxx.xxxxxx.xx/xxxx/xxx/xxx-xxxxx.xxx
Addendum : Traitement des données personnelles xxxxx://xxx.xxxxxx.xxx/_xxxx/xxxxxxxx.xxx
Politique en matière de cookies xxxxx://xxx.xxxxxx.xxx/_xxxx/xxxxxxx.xxx
1.Définitions
"Affilié" se rapporte à toute entité ou personne qui, directement ou indirectement, contrôle, est contrôlée par ou se trouve sous contrôle commun avec une entité.
“Contrat” désigne les conditions générales d’utilisation de WMaker (Conditions Générales de Service - CGS), qui régissent la fourniture des Services au Client, ces conditions pouvant être mises à jour de temps à autre par WMaker.
« Contrôle » désigne la propriété, des droits de vote ou des intérêts équivalents représentant au moins cinquante pour cent (50 %) du total des intérêts alors en
circulation de l'entité considérée . Le terme "contrôlé" sera interprété en conséquence.
"Données du Client" désigne toutes les données personnelles que WMaker traite au nom du Client en tant que sous-traitant dans le cadre de sa prestation de Services, comme décrit plus précisément dans cet Addendum.
"Lois sur la Protection des Données" désigne l’ensemble de lois sur la protection des données et le respect de la vie privée applicables au traitement des données à caractère personnel en vertu du Contrat, y compris, le cas échéant, la législation européenne sur la protection des données.
“Responsable du traitement” signifie une entité qui détermine les finalités et les moyens du traitement de données à caractère personnel.
"Sous-Traitant" désigne une entité qui traite des données à caractère personnel pour le compte d'un Responsable du Traitement.
Le “Règlement européen en matière de protection des données personnelles” désigne (i) avant le 25 mai 2018, la directive 95/46/CE du Parlement et du Conseil Européen relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ("Directive") et à compter du 25 mai 2018, le Règlement 2016/679 du Parlement et du Conseil Européen relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement Général sur les Données Personnelles) (“RGDP”); et la (ii) Directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (Directive “Vie privée et communications électroniques”) et la mise en œuvre au niveau national (pouvant être amendées ou remplacées).
“EEE" signifie, aux fins du présent ATDP, l'Espace Économique Européen, le Royaume-Uni et la Suisse.
“Groupe d'entreprises” désigne une entreprise qui exerce le contrôle et les entreprises qu'elle contrôle.
"Données personnelles" ou “Données à caractère Personnel” désignent toute information relative à une personne physique identifiée ou identifiable.
"Traitement" à la signification qui lui est donnée dans le RGDP; de ce fait "processus" et "traité" doivent être interprétés en conséquence.
“Violation de données à caractère personnel” désigne toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé aux Données Client.
"Services" désigne les services, produits, applications, outils, composants hors ligne et fonctionnalités (individuellement "Service" ou collectivement les "Services") fournis par notre société SAS GoodBarber, ainsi que ses affiliés, dirigeants, directeurs, employés, agents et filiales (ci-après «WMakerr», «nous», «notre» ou «nos»).
"Autre Sous-traitant" désigne toute personne physique ou morale qui traite des données à caractère personnel, engagé par WMaker ou ses Affiliés pour l'aider à remplir ses obligations en ce qui concerne la fourniture des Services conformément au Contrat ou à cet ATDP.
2. Accord contractuel
2.1 Les parties conviennent que le présent ATDP annule et remplace tout ATDP existant que les parties pourraient avoir conclu antérieurement dans le cadre de la fourniture de Services.
2.2 À l'exception des changements apportés par cet ATDP, le Contrat reste inchangé et en vigueur. En cas de conflit entre cet ATDP et le Contrat, le Contrat prévaudra dans l’examen de ce conflit.
2.3 Toute réclamation portée en vertu ou en relation avec cet ATDP sera soumise aux conditions générales, y compris, mais sans s'y limiter, aux exclusions et aux limitations prévues dans le Contrat.
2.4 Toute réclamation à l'encontre de WMaker ou de ses Affiliés dans le cadre du présent ATDP doit être dirigée exclusivement contre l’une des entités qui fait partie du Contrat. En aucun cas, une partie ne peut limiter sa responsabilité en ce qui concerne les droits de protection des données à caractère personnel d'un individu en vertu du présent ATDP ou autrement. Le Client accepte en outre que toute pénalité réglementaire encourue par WMaker en rapport avec les Données Client, résultant
du ou en relation avec le non-respect de la part du Client de ses obligations ou de toute loi applicable sur la protection des données à caractère personnel en vertu du présent ATDP, ne sera pas la responsabilité de WMaker mais du Client, comme prévu dans le Contrat.
2.5 Personne d’autre qu’une des parties de cet ATDP, ses successeurs ou cessionnaires autorisés n'a le droit de faire appliquer l'une quelconque de ses clauses.
2.6 Le présent ATDP sera régi et interprété conformément aux dispositions légales et juridictionnelles présentes dans le Contrat, sauf obligation contraire imposée par la législation prévue en matière de protection des données à caractère personnel.
3. Le cadre et l’applicabilité de cet ATDP
3.1 Le présent ATDP s'applique uniquement dans la mesure où WMaker traite des données personnelles qui proviennent de l'EEE, ou qui sont soumises à la Législation Européenne sur la protection des données au nom du Client en tant que sous-traitant conformément au Contrat conclu.
3.2 La partie A (à savoir les Sections 4 à 8 (inclus) de cet ATDP, ainsi que l'annexe A du présent ATDP) s'applique au traitement des Données Clients dans le cadre de cet ATDP à compter de la date d'entrée en vigueur.
3.3 La partie B (soit les Sections 9 à 12 (inclus) de cet ATDP) s'appliquera au traitement des Données Client dans le cadre de l'ATDP à compter du 25 mai 2018 inclus. Afin d'éviter toute confusion, la partie B s'appliquera en complément et non en remplacement des termes de la partie A.
Partie A: Obligations en matière de protection des données personnelles
4. Les rôles et le cadre du traitement des données
4.1 Les rôles des parties.
Entre WMaker et le Client, le Client est le responsable du traitement des Données Personnelles Client et WMaker ne traite les Données Client qu’en qualité de
sous-traitant agissant au nom du Client.
4.2.Le Client traite les Données Client.
Le Client reconnaît (i) qu’il doit se conformer à ses obligations en tant que Responsable du Traitement de Données, en vertu des Lois sur la Protection des Données Personnelles, concernant son traitement des Données Client et les instructions de traitement qu'il transmet à WMaker; et (ii) qu’il a correctement informé et qu’il a obtenu (ou obtiendra) tous les consentements et droits nécessaires en vertu des Xxxx sur la Protection des Données pour que WMaker puisse traiter les Données Client et fournir les Services conformément au Contrat et à l’ATDP.
4.3. Traitemlent des Données Client par WMaker.
WMaker ne traitera les Données du Client qu'aux fins décrites dans cet ATDP et uniquement conformément aux consignes licites et documentées du Client.
Les parties conviennent que cet ATDP et le Contrat énoncent les instructions complètes et finales de la part du Client à WMaker concernant le traitement des Données Client. Tout traitement des données en dehors du cadre de ces instructions, nécessite un accord écrit préalable entre le Client et WMaker.
4.4 Détails du traitement des données
(a) Objet: Dans le cadre de cet ATDP, ce sont les Données Client qui font l’objet d’un traitement des données.
(b) Durée: Dans le cadre de cet ADTP, tout comme entre WMaker et le Client, la durée du traitement des données s’arrête au moment de la résiliation du Contrat, conformément à ses termes.
(c) Bien fondé: Le bien fondé du traitement des données dans le cadre de cet ADTP est la fourniture des Services au Client et l'exécution des obligations de WMaker en vertu du Contrat (y compris de cet ADTP) ou autrement convenu par les parties.
(d) Nature du traitement: WMaker fournit un service en ligne composé d'outils permettant au Client de créer son/ses propre/s site/s comme décrit dans le Contrat.
(e) Catégories de personnes concernées: Toute personne accédant et/ou utilisant les Services via le compte du Client ("Utilisateurs"); et toute personne: (i) dont les
informations sont stockées ou collectées via les Services, ou (ii) avec qui les Utilisateurs interagissent ou communiquent via les Services (collectivement, les
«Utilisateurs finaux»).
(f) Types de données client:
(i) Client et Utilisateurs: identification et coordonnées (nom, adresse, titre, coordonnées); informations financières (informations sur les cartes de crédit et le compte bancaire, informations de paiement et de facturation); Informations technologiques (IT) (adresses IP, données d'utilisation, données de cookies, données de navigation en ligne, données de localisation, données de navigateur);
(ii) Utilisateurs finaux: identification et coordonnées (nom, date de naissance, sexe, général, profession ou autres informations démographiques, adresse, titre, coordonnées, y compris l’adresse mail), intérêts personnels ou préférences (y compris les préférences marketing et les informations de profil sur les médias sociaux); Informations technologiques (adresses IP, données d'utilisation, données de cookies, données de navigation en ligne, données de localisation, données de navigateur).
4.5 Nonobstant toute disposition contraire dans le Contrat (ATDP compris), le Client reconnaît que WMaker a le droit d'utiliser et de divulguer des données relatives au fonctionnement, au support et/ou à l’utilisation des Services à des fins commerciales légitimes, telles que la facturation, la gestion de compte, le support technique, le développement et la commercialisation des produits. Dans la mesure où ces données sont considérées comme des Données Personnelles en vertu des Xxxx sur la protection des données, WMaker est le Responsable du Traitement de ces données et traite ces données conformément à sa Politique de Confidentialité et à ses Lois de protection des Données.
4.6 Technologies de suivi. Le Client admet que, pour fournir un service performant, WMaker utilise des cookies, des identifiants uniques, des balises Web et des technologies de suivi similaires («Technologies de suivi»). Le Client doit maintenir les mécanismes de notification et de consentement, donner la possibilité d’accepter ou de refuser les cookies comme requis par les Lois de Protection des Données, pour permettre à WMaker de déployer légalement des technologies de suivi sur les périphériques des Utilisateurs Finaux (définis ci-dessous) et comme décrit plus en détail dans la “Politique en matière de Cookies” de WMaker..
5. Autres Sous-traitants
5.1 Les Autres Sous-traitants autorisés. Le Client accepte que WMaker puisse engager des Autres Sous-traitants pour traiter les Données Client au nom du Client. Les Autres sous-traitants actuellement engagés par WMaker et autorisés par le Client sont énumérés dans l'Annexe A.
5.2 Les obligations des Autres Sous-traitants. WMaker devra: (i) conclure un accord écrit avec l’Autre Sous-traitant lui imposant des conditions de protection des données qui exigent que l’Autre Sous-traitant protège les données du client selon les normes requises par les Lois sur la Protection des Données Personnelles ; et (ii) WMaker demeure responsable de tout acte ou omission de l’Autre Sous-traitant qui l’amènerait à manquer à l’une de ses obligations en conformité avec le présent ATDP.
6. Sécurité
6.1 Mesures de sécurité. Conformément aux normes de sécurité décrites dans l'annexe B (Mesures de sécurité), WMaker mettra en œuvre et maintiendra des mesures de sécurité techniques et organisationnelles appropriées pour protéger les données à caractère personnel des clients contre toute violation de la sécurité et pour préserver la confidentialité de ces données.
6.2 Mises à jour des Mesures de Sécurité. Le Client est responsable de l'examen des informations relatives à la sécurité des Données à Caractère Personnel mises à disposition par WMaker. Le Client doit décider si les Services répondent ou non, à ses exigences et aux obligations légales en vertu des Lois sur la Protection des Données. Le client reconnaît que les Mesures de Sécurité font l'objet de progrès techniques et sont en constant développement et que pour ces raisons WMaker peut mettre à jour ou modifier les mesures de sécurité de temps à autre, à condition que ces mises à jour n'entraînent pas la dégradation de la sécurité globale des Services achetés par le Client.
6.3 Les Responsabilités du Client. Nonobstant ce qui précède, le Client accepte que, sauf dispositions contraires dans cet ATDP, il est responsable de sa propre utilisation des Services et de la la sécurisation de ses informations d'authentification, de la protection des Données du Client lors de son transit vers et depuis les Services. Il doit aussi prendre toutes les mesures appropriées afin de crypter ou de sauvegarder en toute sécurité les Données Client téléchargées sur les Services.
7. Localisation des Centre de Données
WMaker traite et gère les opérations de traitement des Données Client en France. WMaker peut transférer et traiter les Données Client partout dans le monde où ses Affiliés ou ses Autres Sous-traitants effectuent des opérations de traitement de données. WMaker doit en tout temps fournir un niveau de protection adéquat dans le traitement des données à caractère personnel, conformément aux exigences des Lois sur la Protection des Données.
Partie B: Obligations du RGDP à partir du 25 mai 2018
8. Sécurité supplémentaire
8.1 Confidentialité du traitement. WMaker veillera à ce que toute personne autorisée par WMaker à traiter les Données Client (y compris son personnel, ses agents et sous-traitants) soit soumise à une obligation de confidentialité appropriée (qu'il s'agisse d'une obligation contractuelle ou légale).
8.2 Réponse aux violations de sécurité. Après avoir pris connaissance d'une Violation de sécurité, WMaker informera le Client sans retard indu et lui fournira en temps utile des informations relatives à cet incident dès qu'il sera connu ou raisonnablement demandé par le Client.
9. Changement d’Autre Sous-traitant
9.1 WMaker doit (i) sur demande écrite du Client, fournir une liste à jour des Autres Sous-traitants désignés; et (ii) informer le Client (un mail suffira), au moins 10 jours avant, si des Autres Sous-traitants seront ajoutés ou supprimés.
9.2 Le Client peut s'opposer par écrit à la nomination d'un nouvel Autre Sous-traitant par WMaker dans les cinq (5) jours calendaires suivant cette notification, à condition que cette objection soit fondée sur des motifs raisonnables relatifs à la protection des données. Si tel est le cas, les parties doivent en discuter en vue de parvenir à une solution. Si cela n'est pas possible, le Client peut suspendre ou résilier le Contrat (sans préjudice des frais encourus par le Client avant la suspension ou la résiliation).
10. Restitution ou suppression des données
10.1 Lors de la résiliation ou de l'expiration du Contrat, WMaker (à la discrétion du Client) supprimera ou restituera au Client toutes les Données Client (y compris les
copies) en sa possession ou sous son contrôle; hormis le cas où WMaker serait tenu par la loi applicable de conserver certaines ou toutes les Données Client.
11. Coopération
11.1 Les Services fournissent au Client un certain nombre de fonctionnalités que le Client pourra utiliser pour récupérer, corriger, supprimer ou restreindre les Données du Client. Il pourra aussi les utiliser pour répondre aux demandes des personnes concernées ou assister les autorités compétentes en matière de protection des données, comme prévu dans le cadre de ses obligations au RGDP. Dans le cas où le Client n'est pas en mesure d'accéder de façon autonome aux Données Client depuis les fonctionnalités proposées par les Services, WMaker l’aidera à répondre (aux frais du Client) aux demandes des particuliers ou des autorités compétentes en matière de traitement des données personnelles. Dans le cas où une telle demande est faite directement à WMaker, WMaker ne répondra pas directement à cette requête sans l'autorisation préalable du Client, à moins d'y être contraint par la loi. Si WMaker est tenu de répondre à une telle demande, WMaker avisera le client dans les plus brefs délais et lui fournira une copie de la demande, à moins d'avoir une interdiction légale de le faire.
11.2 Si un organisme chargé de l'application de la loi envoi à WMaker une demande d’accès aux Données Client (par une assignation ou une ordonnance du tribunal, par exemple), WMaker lui répondra de demander ces informations directement au Client. Dans le cadre de cette procédure, WMaker peut fournir les coordonnées du Client à l'organisme chargé de l'application de la loi. Si WMaker est forcé de divulguer les Données Client à un organisme, WMaker avisera le Client de la demande (sauf si interdit par la loi) afin de lui permettre de prendre les mesures appropriés.
11.3 Dans la mesure où WMaker est soumis à la Législation Européenne sur la Protection des Données Personnelles, WMaker doit fournir (aux frais du Client) des informations sur les Services afin de permettre au Client d'organiser des consultations préalables et de réaliser des évaluations d'impact sur la protection des données et de la vie privée.
EN FOI DE QUOI, les parties ont fait exécuter cet ATDP par leur représentant autorisé:
Le Client | SAS GoodBarber d/b/a WMaker |
Nom: Titre: Date: | Nom: Xxxxxx XXXXXX Titre: COO/Co-founder Date: 19 Avril 2018 |
Annexe A - Liste des sous-traitants de WMaker
WMaker utilise ses affiliés et plusieurs Autres Sous-traitants pour l'assister dans la fourniture des Services (tel que décrit dans le Contrat). Ces Autres Sous-traitants décrits ci-dessous fournissent des services d'hébergement et de stockage dans le cloud; des services de livraison et d'examen de contenu; assistent WMaker dans la fourniture de service clientèle, assurent un suivi en cas d’incidents, contribuent en cas d'intervention, de diagnostic et de résolution des incidents.
Entity Name | Corporate Location |
California, USA | |
OVH | France |
Gandi | France |
Annexe B - Mesures de sécurité
Sécurité des Data Center
WMaker délivre chaque mois des millions de pages vues à des centaines de milliers d’utilisateurs. Notre infrastructure est composée de plusieurs ressources hébergées dans des datacenter de renommée mondiale et situés en France.
L’accès physique à nos Data Center est protégé 24/24 et 7/7 avec des accès personnel sécurisés, une authentification d’accès obligatoire et une surveillance des entrées/sorties.
Nous avons des systèmes de défense contre les attaques DDOS dans tous nos centres de données, ainsi qu'une utilisation renforcée des pare-feu afin de protéger et d’isoler notre réseau et notre infrastructure des pénétration extérieures.
L'accès à nos serveurs n’est autorisé qu’à nos administrateurs systèmes, via des connexions sécurisées.
Protection contre la perte ou la corruption de données
Nous déployons plusieures couches logicielles empêchant la corruption de données d’un compte utilisateur à un autre.
Les données sont répliquées à plusieurs endroits et sauvegardées régulièrement dans des lieux distincts... Nous sécurisons toutes les données dans 3 datacenters physiquement différents et situés en France.
Sécurité applicative
Les passwords de WMaker sont hachés. Nos propres équipes ne peuvent pas les connaître.. Si vous perdez votre password, il ne peut pas être récupéré. Vous pouvez seulement le réinitialiser.
Toutes les pages d’authentification en particulier et toutes les pages en général sont sécurisées par le protocole TLSv1.2.
Nous faisons régulièrement des audits de sécurités externes en utilisants différents fournisseurs. Les tests impliquent des tentatives d’intrusions et de vulnérabilités.
Sécurité informatique interne
L’accès aux locaux de WMaker est sécurisé. L’entrée s’effectue en utilisant un badge d’authentification nominatif et strictement personnel. Les locaux sont équipés de vidéo surveillance.
Nous disposons d'une équipe dédiée à la sécurité interne qui surveille constamment notre environnement pour détecter ses vulnérabilités. Ils effectuent des tests de pénétration sur notre environnement et ils sont entraînés pour détecter et contrer les techniques de manipulation sociale..
Protocoles internes et éducation
Nous sensibilisons régulièrement nos employées aux meilleures pratiques en matière de sécurités, notamment en ce qui concerne l’identification des techniques de manipulation sociale, e phishing et les piratages.
Protection contre les abus
Nous pouvons prendre toutes les mesures pour nous protéger, si votre ordinateur s’est fait piraté et que quelqu’un entre sur votre compte WMaker cela n’est bon ni pour nous ni pour vous.
Nous surveillons et suspendons les comptes qui ont des signes d’activité étranges si nous détectons des abus.