Addendum sur le Traitement des Données des Clients de Secureframe
Dernière mise à jour : 25 mai 2023
Cet Addendum sur le Traitement des Données, y compris ses annexes et les Clauses Contractuelles Types (collectivement, le « DPA »), est incorporé dans et est soumis aux termes et conditions des Conditions d'Utilisation de Secureframe (l'« Accord ») entre l'entité contractante Secureframe identifiée dans l'Accord (« Secureframe ») et la partie identifiée comme le client dans l'Accord (« Client ») en vertu duquel Secureframe fournit certains Services au Client.
Tous les termes en majuscules non définis dans ce DPA auront les significations énoncées dans l'Accord. Ce DPA est un supplément à l'Accord et définit les rôles et obligations qui s'appliquent lorsque Secureframe traite des Données Personnelles pour le compte du Client lors de la fourniture des Services protégés par les Lois Applicables sur la Protection des Données en vertu de l'Accord.
En concluant l'Accord, le Client conclut ce DPA et les Clauses Contractuelles Types (le cas échéant et telles que définies ci-dessous) en son nom et, dans la mesure requise par les Lois Applicables sur la Protection des Données, au nom et pour le compte de ses Affiliés (le cas échéant) autorisés à utiliser les Services. Aux fins de ce DPA uniquement, et sauf indication contraire, le terme « Client » inclura le Client et ses Affiliés.
Les parties conviennent de ce qui suit :
1. Définitions
1.1. « Affiliés » désigne une entité qui contrôle, est contrôlée ou est sous contrôle commun, directement ou indirectement, avec une autre entité. « Contrôle » signifie une propriété, une participation ou un intérêt similaire représentant cinquante pour cent (50 %) ou plus des intérêts totaux (mesurés sur une base entièrement diluée) alors en circulation de l'entité en question. Le terme « Contrôlé » sera interprété en conséquence.
1.2. « Lois Applicables sur la Protection des Données » désigne toutes les lois et réglementations de protection des données et de confidentialité applicables à la prestation des Services de Secureframe à ses clients en général, y compris, sans s'y limiter, la Loi Européenne sur la Protection des Données et la Loi Américaine sur la Protection des Données (sans égard à l'utilisation particulière des Services par le Client).
1.3. « Contrôleur » désigne une entité qui détermine seule ou conjointement avec d'autres les finalités et les moyens du traitement des Données Personnelles. Aux fins de ce DPA, un Contrôleur inclut une « entreprise » telle que ce terme est défini par la Loi Américaine sur la Protection des Données ou une désignation similaire en vertu des Lois Applicables sur la Protection des Données.
1.4. « Données du Client » désigne toutes les Données Personnelles traitées par Secureframe conformément à la Section 2.1 de ce DPA dans le cadre des Services, et comme décrit plus en détail dans les Annexes 1 et 2 de ce DPA (le cas échéant).
1.5. « Europe » désigne, aux fins de ce DPA, les États membres de l'Espace Économique Européen ("EEE"), la Suisse et le Royaume-Uni ("Royaume-Uni").
1.6. "Loi européenne sur la protection des données" signifie (i) le Règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement général sur la protection des données) ("RGPD"); (ii) le RGPD tel que sauvegardé dans le droit britannique en vertu de l'article 3 de la loi britannique de 2018 sur le retrait de l'Union européenne (collectivement désignés à ces fins sous le nom de "UK GDPR"); (iii) la Loi fédérale suisse sur la protection des données du 19 juin 1992 et ses ordonnances correspondantes ("LPD suisse"); (iv) la directive sur la vie privée et les communications électroniques (Directive 2002/58/CE); (v) toute loi nationale applicable sur la protection des données adoptée en vertu ou en application de ou qui s'applique conjointement avec (i), (ii), (iii) ou (iv) (dans chaque cas, tel que remplacé, modifié ou révisé de temps à autre).
1.7. "Données personnelles" signifie toutes les informations relatives à une personne physique identifiée ou identifiable ou à un consommateur ("Personne concernée"), y compris toute donnée ou information considérée comme "donnée personnelle", "information personnellement identifiable" et/ou "information personnelle" en vertu de la Loi applicable sur la protection des données.
1.8. "Traiter", "Traitements", "Traitement", "Traité" signifie toute opération ou ensemble d'opérations effectuées sur des Données personnelles, que ce soit ou non par des moyens automatisés, telles que la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou l'altération, la récupération, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, l'alignement ou la combinaison, la restriction, l'effacement, la destruction ou la création d'informations à partir de Données personnelles.
1.9. "Sous-traitant" signifie une entité qui Traite des Données personnelles au nom et conformément aux instructions d'un Responsable de traitement. Aux fins de ce DPA, un Sous-traitant comprend un "fournisseur de services" tel que ce terme est défini par la loi américaine sur la protection des données, ou toute désignation similaire ou analogue en vertu de la Loi applicable sur la protection des données.
1.10. "Transfert restreint" signifie : (i) lorsque le RGPD s'applique, un transfert de Données personnelles de l'EEE vers un pays hors de l'EEE qui n'est pas soumis à une décision d'adéquation de la Commission européenne; (ii) lorsque le UK GDPR s'applique, un transfert de Données personnelles du Royaume-Uni vers tout autre pays qui n'est pas basé sur des règlements d'adéquation conformément à l'article 17A de la loi de 2018 sur la protection des données; et (iii) lorsque la LPD suisse s'applique, un transfert de Données personnelles vers un pays hors de la Suisse qui n'est pas inclus sur la liste des juridictions adéquates publiée par le Préposé fédéral suisse à la protection des données et à la transparence.
1.11. "Incident de sécurité" signifie une violation des données personnelles ou toute violation confirmée de la sécurité qui entraîne la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès accidentel ou illicite aux Données des clients transmises, stockées ou autrement Traitées par Secureframe en relation avec la fourniture des Services. "Incident de sécurité" ne comprend pas les tentatives ou activités infructueuses qui ne compromettent pas la sécurité des Données personnelles, y compris les tentatives de connexion infructueuses, les pings, les analyses de ports, les attaques par déni de service et autres attaques réseau sur les pare-feux ou les systèmes en réseau.
1.12. "Clauses contractuelles types" ou "SCCs" désigne les clauses contractuelles types pour le transfert de données personnelles vers des pays tiers adoptées par la Commission européenne dans sa décision d'exécution (UE) 2021/91 du 4 juin 2021.
1.13. "Sous-traitant" désigne tout tiers qui a accès aux données du client et qui est engagé par Secureframe ou ses Affiliés pour aider à remplir ses obligations en ce qui concerne la fourniture des services en vertu de l'accord ou de ce DPA. Les sous-traitants peuvent inclure des tiers ou des affiliés de Secureframe, mais excluront tout employé, contractant ou consultant de Secureframe.
1.14. “Autorité de surveillance” désigne toute autorité réglementaire, de surveillance, gouvernementale, agence d'état, procureur général ou autre autorité compétente ayant juridiction ou supervision sur la conformité avec la loi applicable sur la protection des données.
1.15. "Addendum UK" désigne l'"Addendum UK aux clauses contractuelles types de l'UE" émis par le Bureau du Commissaire à l'information en vertu de l'article 119A(1) de la loi britannique sur la protection des données de 2018.
1.16. "Loi de protection des données des États-Unis" désigne toutes les lois et réglementations en matière de confidentialité applicables aux États-Unis, y compris la California Consumer Privacy Act, telle que modifiée par la California Privacy Rights Act (“CCPA”), ainsi que toute réglementation et orientation qui peut être émise en vertu de celle-ci ; et, le cas échéant, (ii) la Virginia Consumer Data Protection Act ("CDPA"); (iii) la Colorado Privacy Act ("CPA"); (iv) la Utah Consumer Privacy Act (“UCPA”); (v) la Connecticut Data Privacy Act ("CTDPA"); dans chaque cas tel que peut être modifié ou remplacé de temps en temps.
2. Étendue et relation des parties
2.1. Étendue. Ce DPA s'applique dans la mesure où Secureframe traite des données client protégées par la loi sur la protection des données applicable dans le cadre de la fourniture des services en vertu de l'accord comme suit :
2.1.1. Lorsque le client est un contrôleur des données client couvertes par ce DPA, Secureframe sera un processeur traitant les données client au nom du client et ce DPA s'appliquera en conséquence;
2.1.2. Lorsqu'ils utilisent et dans la mesure où Secureframe et/ou chaque Affilié Secureframe concerné traitent les données client en tant que contrôleur, Secureframe traitera ces données client en conformité avec la loi applicable sur la protection des données, la politique de confidentialité de Secureframe qui peut être trouvée à https://secureframe.com/privacy, et les sections 3, 5.1, 5.2, 6, 7, et 9.1.3 de ce DPA, dans la mesure applicable uniquement.
2.2. Traitement des Données Personnelles par Secureframe. En tant que sous-traitant, Secureframe ne traitera les Données Client qu'aux fins décrites dans les Annexes 1 et 2 de ce DPA (les « Objectifs Commerciaux ») et uniquement conformément aux instructions documentées et légales du Client, sauf dans la mesure requise par la Loi Applicable sur la Protection des Données. Les parties conviennent que ce DPA et le Contrat définissent les instructions complètes et finales du Client à l'égard du traitement des Données Client par Secureframe, et (le cas échéant) incluent et sont conformes à toutes les instructions des Contrôleurs tiers, et tout traitement en dehors du champ de ces instructions (le cas échéant) devra faire l'objet d'un accord écrit préalable entre le Client et Secureframe. Sans préjudice de la Section 2.3, Secureframe notifiera le Client par écrit, à moins d'en être interdit en vertu de la Loi Applicable sur la Protection des Données, s'il prend conscience ou croit que toute instruction de traitement du Client viole la Loi Applicable sur la Protection des Données. Le cas échéant, le Client sera responsable de toute communication, notification, assistance et/ou autorisation que Secureframe pourrait devoir fournir à ou recevoir d'un Contrôleur tiers.
2.3. Responsabilités du Client. Le Client est responsable de la légalité du traitement des Données Client en vertu ou en relation avec le Contrat. Le Client déclare et garantit que (i) il a fourni et continuera de fournir toutes les notifications et a obtenu et continuera d'obtenir tous les consentements, permissions et droits nécessaires en vertu de la Loi Applicable sur la Protection des Données pour que Secureframe puisse traiter légalement les Données Client aux fins prévues par le Contrat ; (ii) il a respecté la Loi Applicable sur la Protection des Données en tant que Contrôleur des Données Client pour la collecte et la fourniture à Secureframe et ses sous-traitants de ces Données Client ; et (iii) il veillera à ce que ses instructions de traitement soient conformes aux lois applicables (y compris la Loi Applicable sur la Protection des Données) et que le traitement des Données Client par Secureframe conformément aux instructions du Client ne conduise pas Secureframe à enfreindre la Loi Applicable sur la Protection des Données.
2.4. Données Agrégées. Nonobstant ce qui précède ou toute disposition contraire dans le Contrat, le Client reconnaît que Secureframe et ses Affiliés auront le droit de collecter et de créer des informations anonymisées, agrégées et/ou dépersonnalisées (telles que définies par la Loi Applicable sur la Protection des Données) pour ses propres finalités commerciales légitimes.
3. Secureframe en tant que Contrôleur
3.1. Chaque partie sera individuellement et séparément responsable de se conformer aux obligations qui s'appliquent à elle en tant que Contrôleur distinct et indépendant en vertu de la Loi Applicable sur la Protection des Données et aucune des parties ne sera responsable de la conformité de l'autre partie à la Loi Applicable sur la Protection des Données.
4. Sous-traitance
4.1. Sous-traitants Autorisés. Le Client accorde par la présente une autorisation générale à Secureframe pour engager des sous-traitants pour traiter les Données Client au nom du Client (en ce qui concerne son rôle de sous-traitant). Les sous-traitants engagés par Secureframe dépendent des Services achetés par le Client et sont disponibles sur le site web de Secureframe à l'adresse www.secureframe.com/subprocessors (« Liste des Sous-traitants »).
4.2. Notification. Secureframe notifiera le Client de tout nouvel engagement d'un sous-traitant au moins dix (10) jours avant tout changement en envoyant un e-mail à l'adresse e-mail désignée par le Client pour recevoir les notifications.
5. Sécurité et Audits
5.1. Mesures de sécurité. Secureframe mettra en œuvre et maintiendra des mesures de sécurité techniques et organisationnelles appropriées conçues pour protéger les Données Client contre les Incidents de sécurité et pour préserver la sécurité et la confidentialité des Données Client. Ces mesures comprendront, au minimum, les mesures décrites à l'Annexe 3 de ce DPA ("Mesures de sécurité"). Secureframe s'assurera que toute personne autorisée par Secureframe à traiter les Données Client sera soumise à une obligation de confidentialité appropriée (qu'il s'agisse d'une obligation contractuelle ou légale).
5.2. Mises à jour des mesures de sécurité. Le Client reconnaît que les Mesures de sécurité sont soumises aux progrès et développements techniques et que Secureframe peut mettre à jour et/ou modifier les Mesures de sécurité de temps en temps, à condition que ces mises à jour et/ou modifications n'entraînent pas une dégradation matérielle de la sécurité globale des Services achetés par le Client.
5.3. Responsabilités de sécurité du client. Nonobstant ce qui précède, le Client convient qu'à l'exception de ce qui est prévu par ce DPA, il est responsable de l'utilisation sécurisée des Services, y compris la sécurisation de ses identifiants d'authentification de compte, la protection de la sécurité des Données Client lorsqu'elles transitent vers et depuis les Services et la prise de toutes les mesures appropriées pour chiffrer ou sauvegarder de manière sécurisée les Données Client traitées dans le cadre des Services. Le Client mettra en œuvre et maintiendra des mesures de sécurité techniques et organisationnelles appropriées conçues pour protéger les Données Personnelles contre les Incidents de sécurité et pour préserver la sécurité et la confidentialité des Données Personnelles pendant qu'elles sont sous son contrôle.
5.4. Réponse aux incidents de sécurité. Lorsqu'il prend connaissance d'un Incident de sécurité, Secureframe notifiera le Client sans retard injustifié et fournira des informations en temps opportun concernant l'Incident de sécurité au fur et à mesure qu'elles deviennent connues ou selon les demandes raisonnables du Client. La notification ou la réponse de Secureframe à un Incident de sécurité conformément à cette section ne sera pas interprétée comme une reconnaissance par Secureframe d'une faute ou d'une responsabilité quelconque en ce qui concerne l'Incident de sécurité.
5.5. Audits de sécurité. Sur demande écrite du Client, Secureframe fournira des réponses écrites (qui peuvent inclure des résumés/extraits de rapports d'audit) à toutes les demandes raisonnables d'informations faites par le Client concernant son traitement des Données Client nécessaires pour confirmer la conformité de Secureframe à ce DPA, à condition que le Client n'exerce ce droit qu'une fois par période de 12 mois glissants. Nonobstant ce qui précède, le Client peut également exercer ce droit d'audit dans le cas où le Client est expressément demandé ou requis de fournir cette information à une autorité de protection des données, ou si Secureframe a subi un Incident de sécurité, ou sur une autre base raisonnablement similaire. Rien dans les présentes ne doit être interprété comme obligeant Secureframe à fournir : (i) des secrets commerciaux ou toute information propriétaire ; (ii) toute information qui violerait les obligations de confidentialité, les obligations contractuelles ou la législation applicable de Secureframe ; ou (iii) toute information dont la divulgation pourrait menacer, compromettre ou mettre en danger la sécurité, la confidentialité ou l'intégrité de l'infrastructure, des réseaux, des systèmes ou des données de Secureframe.
6. Transferts internationaux
6.1. Lieux de traitement. Le Client reconnaît et accepte que Secureframe et ses Sous-traitants peuvent transférer (y compris effectuer des Transferts restreints) et traiter les Données Client aux États-Unis et partout dans le monde où Secureframe, ses Affiliés ou ses Sous-traitants maintiennent des opérations de traitement, comme décrit plus en détail dans la Liste des Sous-traitants. Les parties s'assureront que ces transferts sont effectués en conformité avec les exigences de la Législation applicable sur la protection des données et ce DPA.
7. Suppression des Données Client
7.1. Suppression. À la résiliation ou à l'expiration de l'Accord, à la demande du Client, Secureframe supprimera toutes les Données Client traitées par Secureframe en tant que Processeur (y compris les copies) en sa possession ou sous son contrôle conformément à l'Accord, sauf si cette exigence ne s'applique pas dans la mesure où Secureframe est tenu par la loi applicable de conserver tout ou une partie des Données Client, ou aux Données Client qu'il a archivées sur les systèmes de sauvegarde, lesquelles Secureframe devra isoler et protéger de toute autre traitement et supprimer conformément à ses pratiques de suppression, sauf dans la mesure requise par la loi applicable. Les Données Client traitées par Secureframe en tant que Contrôleur seront supprimées ou conservées conformément à la Déclaration de confidentialité de Secureframe.
8. Droits des individus et coopération
8.1. Requêtes de la personne concernée. Dans la mesure où le Client est incapable d'accéder indépendamment aux Données Client pertinentes au sein des Services, Secureframe fournira, aux frais du Client et en tenant compte de la nature du Traitement, une coopération raisonnable pour aider le Client à répondre à toute demande d'individus ou des autorités de protection des données applicables concernant le Traitement des Données Client en vertu de l'Accord. Dans le cas où une telle demande est faite directement à Secureframe, et que Secureframe est en mesure de discerner facilement que cette demande est associée au Client, Secureframe ne répondra pas directement à cette communication sans l'autorisation préalable du Client, sauf si cela est légalement obligatoire. Si Secureframe est tenu de répondre à une telle demande, Secureframe en informera rapidement le Client et lui fournira une copie de la demande, sauf s'il est légalement interdit de le faire.
9. Conditions spécifiques à la juridiction
9.1. Europe. Dans la mesure où les Données Client sont soumises à la loi européenne sur la protection des données, les conditions suivantes s'appliqueront en plus des conditions du reste de ce DPA:
9.1.1. Obligations des sous-traitants. Secureframe doit : (i) conclure un accord écrit avec chaque sous-traitant imposant des conditions de protection des données qui obligent le sous-traitant à protéger les Données Client selon la norme requise par la loi européenne sur la protection des données applicable et ce DPA; et (ii) rester responsable de sa conformité aux obligations de ce DPA et de tout acte ou omission du sous-traitant qui entraînerait une violation par Secureframe de l'une de ses obligations en vertu de ce DPA. Secureframe fera des efforts raisonnables pour fournir des extraits pertinents de l'accord avec tout sous-traitant qu'il désigne au Client sur demande.
9.1.2. Objections aux sous-traitants. Le Client peut s'opposer par écrit à la nomination d'un nouveau sous-traitant par Secureframe pour des raisons raisonnables liées à la protection des données (par exemple, si rendre les Données Clients accessibles au sous-traitant peut violer la loi européenne sur la protection des données ou affaiblir les protections de ces Données Client) en notifiant Secureframe rapidement par écrit dans les cinq (5) jours calendaires suivant la réception de l'avis de Secureframe conformément à la section 4.1 ci-dessus. Cet avis doit expliquer les raisons raisonnables de l'objection et les parties doivent discuter de ces préoccupations de bonne foi dans le but de parvenir à une résolution commercialement raisonnable. Si aucune résolution ne peut être atteinte, Secureframe, à sa seule discrétion, soit ne nommera pas le sous-traitant, soit permettra au Client de suspendre ou de résilier le Produit affecté conformément aux dispositions de résiliation de l'Accord sans responsabilité pour l'une ou l'autre des parties (mais sans préjudice des frais encourus par le Client avant la suspension ou la résiliation). Si ce droit d'objection n'est pas exercé par le Client selon les termes décrits ci-dessus, le silence sera réputé constituer une approbation de cet engagement.
9.1.3. Transferts restreints. Les parties conviennent que lorsque le transfert de Données Personnelles du Client (en tant qu'« exportateur de données ») vers Secureframe (en tant qu'« importateur de données ») est un transfert restreint, il sera soumis aux clauses contractuelles standard, qui seront automatiquement incorporées par référence et feront partie intégrante de ce DPA, comme suit:
A. Secureframe en tant que sous-traitant. En ce qui concerne les Données Client qui sont protégées par le RGPD de l'UE et qui sont Traitée conformément à la Section 2.1.1 du présent APD, les CCT s'appliquent, complétées comme suit : i. Le Module Deux s'appliquera ; ii. À la Clause 7, la clause facultative de jonction s'appliquera ; iii. À la Clause 9, l'Option 2 s'appliquera et la période de préavis pour les changements de Sous-traitant est identifiée dans la Section 4 ci-dessus ; iv. À la Clause 11, le langage facultatif ne s'appliquera pas ; v. À la Clause 17, l'Option 1 s'appliquera et les CCT seront régis par la loi de l'État membre de l'UE dans lequel se trouve l'exportateur de données et en l'absence d'une telle loi, le droit irlandais ; vi. À la Clause 18(b), les litiges seront résolus devant les tribunaux de l'État membre de l'UE dans lequel se trouve l'exportateur de données et en l'absence d'une telle loi, le droit irlandais ; vii. L'Annexe I des CCT sera réputée complétée avec les informations indiquées dans l'Annexe 1 du présent APD ; et viii. Sous réserve des Sections 5.1 et 5.2 du présent APD, l'Annexe II des CCT sera réputée complétée avec les informations indiquées dans l'Annexe 3 de cet APD.
B. Secureframe en tant que Responsable du traitement. En ce qui concerne les Données Client qui sont protégées par le RGPD de l'UE et qui sont Traitée conformément à la Section 2.1.2 du présent APD, les CCT s'appliquent, complétées comme suit : i. Le Module Un s'appliquera ; ii. À la Clause 7, la clause facultative de jonction s'appliquera ; iii. À la Clause 11, le langage facultatif ne s'appliquera pas ; iv. À la Clause 17, l'Option 1 s'appliquera et les CCT seront régis par la loi de l'État membre de l'UE dans lequel se trouve l'exportateur de données et en l'absence d'une telle loi, le droit irlandais ; v. À la Clause 18(b), les litiges seront résolus devant les tribunaux de l'État membre de l'UE dans lequel se trouve l'exportateur de données et en l'absence d'une telle loi, le droit irlandais ; vi. L'Annexe I des CCT sera réputée complétée avec les informations indiquées dans l'Annexe 2 du présent APD ; et, vii. Sous réserve des Sections 5.1 et 5.2 du présent APD, l'Annexe II des CCT sera réputée complétée avec les informations indiquées dans l'Annexe 3 de cet APD.
C. Transferts relatifs au Royaume-Uni. En ce qui concerne les Données Client qui sont protégées par le RGPD du Royaume-Uni, les CCT : (i) s'appliqueront telles que complétées conformément aux sous-paragraphes (A) et (B) ci-dessus ; et (ii) seront réputées modifiées comme spécifié par l'Addendum Royaume-Uni joint en tant qu'Annexe 4, qui sera réputée exécutée par les parties. Toutes contradictions entre les termes des CCT et l'Addendum Royaume-Uni seront résolues conformément à la Section 10 et Section 11 de l'Addendum Royaume-Uni.
D. Transferts relatifs à la Suisse. En ce qui concerne les Données Client qui sont protégées par la LPD suisse, les CCT tels que mis en œuvre dans les sous-paragraphes (A) et (B) ci-dessus s'appliqueront avec les modifications suivantes : i. Les références au « Règlement (UE) 2016/679 » seront interprétées comme des références à la LPD suisse ; ii. Les références à des Articles spécifiques du « Règlement (UE) 2016/679 » seront remplacées par l'article ou la section équivalent de la LPD suisse ; iii. Les références à « UE », « Union », « État membre » et « la loi de l'État membre » seront remplacées par les références à « Suisse », ou « droit suisse » ; iv. Le terme « état membre » ne doit pas être interprété de manière à exclure les personnes concernées en Suisse de la possibilité de poursuivre en justice leurs droits dans leur lieu de résidence habituelle (c'est-à-dire la Suisse) ; v. La Clause 13(a) et la Partie C de l'Annexe I ne sont pas utilisées et l'« autorité de surveillance compétente » est le Préposé fédéral à la protection des données et à l'information suisse ; vi. Les références à l'« autorité de surveillance compétente » et aux « tribunaux compétents » seront remplacées par des références au « Préposé fédéral à la protection des données et à l'information suisse » et aux « tribunaux compétents de la Suisse » ; vii. à la Clause 17, les CCT seront régis par les lois de la Suisse ; viii. La Clause 18(b) devra préciser que les litiges seront résolus devant les tribunaux compétents de Suisse ; et ix. les CCT protégeront également les données des entités légales jusqu'à l'entrée en vigueur de la révision de la Loi fédérale suédoise sur la protection des données.
E. Conflits. Il n'est pas dans l'intention de l'une ou l'autre des parties de contredire ou restreindre l'une quelconque des dispositions énoncées dans les CCT et, en conséquence, si et dans la mesure où les CCT entrent en conflit avec une quelconque disposition de l'Accord (y compris le présent APD), les CCT prévaudront dans la mesure de ce conflit.
9.1.4. Arrangement de Transfert Alternatif. Si, et dans la mesure où Secureframe adopte une solution d'exportation de données alternative (y compris l'adoption de Règles Corporatives Contraignantes ou toute nouvelle version de ou successeur aux CCT ou au Bouclier de Protection des Données adopté conformément à la législation européenne applicable en matière de protection des données) pour le transfert des Données Client comme prescrit par les Lois Européennes Applicables en Matière de Protection des Données ("Mécanisme de Transfert Alternatif"), le Mécanisme de Transfert Alternatif s'appliquera au lieu de tout mécanisme de transfert applicable décrit dans ce DPA (mais seulement dans la mesure où ce Mécanisme de Transfert Alternatif est conforme à la législation européenne applicable en matière de protection des données et s'étend aux territoires vers lesquels les Données Client sont transférées) et le Client accepte d'exécuter d'autres documents supplémentaires et de prendre d'autres actions supplémentaires qui peuvent être raisonnablement nécessaires pour donner un effet juridique à ce Mécanisme de Transfert Alternatif. De plus, si et dans la mesure où un tribunal compétent ou une autorité de contrôle ayant compétence l'ordonne (pour quelque raison que ce soit) que les mesures décrites dans ce DPA ne peuvent pas être invoquées pour transférer légalement des Données Client vers un pays qui n'assure pas un niveau de protection adéquat (au sens de la législation européenne applicable en matière de protection des données), les parties coopéreront raisonnablement pour convenir et prendre toutes les mesures qui peuvent être raisonnablement nécessaires pour mettre en œuvre des mesures ou garanties supplémentaires non décrites dans ce DPA ou des mécanismes de transfert alternatifs ("Arrangements de Transfert Alternatifs") pour permettre le transfert légal de ces Données Client.
9.1.5. Évaluation de l'Impact sur la Protection des Données. Dans la mesure où Secureframe est tenu en vertu de la législation européenne applicable en matière de protection des données, Secureframe fournira les informations raisonnablement demandées concernant le traitement des Données Client par Secureframe en vertu de l'Accord et du DPA pour permettre au Client de réaliser des évaluations d'impact sur la protection des données ou des consultations préalables avec les Autorités de Contrôle comme requis par la loi.
9.2. États-Unis. Secureframe se conformera aux exigences des Lois Américaines Applicables en Matière de Protection des Données (le cas échéant). Les termes en majuscules utilisés mais non définis dans cette Section 9.2 auront la même signification que dans les Lois Américaines Applicables en Matière de Protection des Données. Les parties conviennent que Secureframe est un "fournisseur de services" dans l'exécution de ses obligations en vertu des présentes, et que le Client est une "entreprise", et que le transfert de Données Client à Secureframe ne sera pas considéré comme une "vente" ou un "partage".
9.2.1. Secureframe ne doit traiter les Données Client que pour les Fins Commerciales.
9.2.2. En tant que fournisseur de services, Secureframe ne doit pas : a) vendre ou partager les Données Client, tels que ces termes sont définis dans les Lois Américaines en Matière de Protection des Données ; b) conserver, utiliser ou divulguer les Données Client à toute autre fin que pour les Fins Commerciales, y compris conserver, utiliser ou divulguer les Données Client à des fins commerciales autres que les Fins Commerciales, ou autrement autorisées par les Lois Américaines en Matière de Protection des Données ; c) conserver, utiliser ou divulguer les Données Client en dehors de la relation commerciale directe entre Secureframe et le Client ; ou d) combiner les Données Client que Secureframe reçoit de, ou au nom de, le Client avec des informations personnelles qu'il reçoit de, ou au nom de, une autre personne ou personnes, ou collecte de ses propres interactions avec le consommateur, sous réserve que Secureframe puisse combiner des informations personnelles pour réaliser toute Fin Commerciale conformément aux Lois Américaines en Matière de Protection des Données.
9.2.3. Secureframe doit: (a) fournir une assistance raisonnable au Client lorsqu'une évaluation des risques, un audit de cybersécurité ou similaire est requis en vertu des Lois Américaines en Matière de Protection des Données et/ou une requête, une enquête, une plainte ou une consultation préalable avec une Autorité de Contrôle est requise sur la conformité aux Lois Américaines en Matière de Protection des Données ; (b) accorder au Client le droit de prendre les mesures raisonnables et appropriées pour aider à garantir que Secureframe utilise les Données Client d'une manière conforme aux obligations du Client en vertu des Lois Américaines en Matière de Protection des Données ; (c) notifier le Client si Secureframe détermine qu'il ne peut plus satisfaire à ses obligations en vertu des Lois Américaines en Matière de Protection des Données ; (d) accorder au Client le droit, moyennant un préavis raisonnable, de prendre toutes les mesures raisonnables et appropriées pour mettre fin et remédier à toute utilisation non autorisée des Données Client.
9.2.4. To the extent required by US Data Protection Law, Customer shall inform Secureframe of any consumer requests made pursuant to US Data Protection Law that Secureframe must comply with, and shall provide all information reasonably necessary for Secureframe to comply with such request.
10. Miscellaneous
10.1. Disclosures. Customer acknowledges that Secureframe may disclose this DPA (including the Standard Contractual Clauses) and any relevant privacy provisions in the Agreement to the U.S. Department of Commerce, the Federal Trade Commission, a European data protection authority or any other U.S. or European judicial or regulatory body upon their request.
10.2. Necessary Modifications. Notwithstanding anything to the contrary in the Agreement, Secureframe may modify the terms of this DPA where necessary to (i) comply with a request or order by a Supervisory Authority; (ii) comply with Applicable Data Protection Law; or (iii) implement or adhere to standard contractual clauses, approved codes of conduct or certifications, binding corporate rules, or other compliance mechanisms, which may be permitted under Applicable Data Protection Law. Supplemental terms may be added as an Annex to this DPA where such terms only apply to the Processing of Customer Data under the Applicable Data Protection Law of specific countries or jurisdictions. Secureframe shall provide notice of such changes to Customer, and the modified DPA shall become effective in accordance with the terms of the Agreement or, if not specified in the Agreement, as otherwise provided on Secureframe's website.
10.3. Conflicts. Except for the changes made by this DPA, the Agreement remains unchanged and in full force and effect. If there is any conflict between this DPA and the Agreement, this DPA shall prevail to the extent of that conflict.
10.4. Claims. Any claims brought under or in connection with this DPA shall be subject to the terms and conditions, including but not limited to, the exclusions and limitations set forth in the Agreement. In particular, any claim or remedy Customer or its Affiliates may have against Secureframe, its Affiliates, employees, contractors, agents and Sub-processors, arising under or in connection with this DPA, whether in contract, tort (including negligence) or under any other theory of liability, shall to the maximum extent permitted by law be subject to the limitations and exclusions of liability in the Agreement. Accordingly, any reference in the Agreement to the liability of a party means the aggregate liability of that party and all of its Affiliates under and in connection with the Agreement and this DPA together. Notwithstanding the foregoing, in no event may any party limit its liability with respect to any data subject rights or data protection authorities under this DPA.
10.5. Severability. If any provision or part-provision of this DPA is or becomes invalid, illegal or unenforceable, it shall be deemed deleted, but that shall not affect the validity and enforceability of the rest of the DPA.
10.6. Governing Law. This DPA shall be governed by and construed in accordance with the governing law and jurisdiction provisions in the Agreement, unless required otherwise by Applicable Data Protection Law or the SCCs.
ANNEXE 1 (TRANSFERTS C2P)
Description des activités de traitement / transfert
Annexe 1(A) Liste des parties :
| Data Exporter | Data Importer |
|---|---|
| Name: the party identified as the "Customer" in the Agreement and this DPA | Name: Secureframe, Inc. ("Secureframe") |
| Address: As set out in the Agreement | Address: 548 Market St., Suite 30287, San Francisco, CA, 94104 USA |
| Contact Person's Name, position and contact details: The contact details specified in this DPA or the Agreement or otherwise associated with Customer's account | Contact Person's Name, position and contact details: Legal Department, legal@secureframe.com |
| Activities relevant to the transfer: See Annex 1(B) below | Activities relevant to the transfer: See Annex 1(B) below |
| Role: Controller | Role: Processor |
Annexe 1(B) Description du transfert
| Description | |
|---|---|
| Categories of data subjects: |
|
| Categories of personal data: |
Depending on the Services selected by Customer, Secureframe may process the following categories of personal data:
|
| Sensitive data (if applicable) and applied restrictions or safeguards: | N/A. Customer shall not use the Services to collect, transmit, provide, or otherwise make available sensitive data. |
| Frequency of the transfer: | Customer Data is transferred in accordance with Customer’s documented lawful instructions as described in Section 2.2. of the DPA. |
| Nature of processing: | Customer Data transferred will be processed in accordance with the Agreement and with this DPA. |
| Purpose(s) of the data transfer and further processing: | Providing the Services to Customer. |
| Retention period (or, if not possible to determine, the criteria used to determine that period): | See Section 7.1. of the DPA. |
Annexe 1(C) : Autorité de contrôle compétente
L'autorité de contrôle compétente sera déterminée conformément à la législation européenne sur la protection des données.
ANNEXE 2 (TRANSFERTS C2C)
Description des activités de traitement / transfert
Annexe 1(A) Liste des parties :
| Data Exporter | Data Importer |
|---|---|
| Name: the party identified as the "Customer" in the Agreement and this DPA | Name: Secureframe, Inc. ("Secureframe") |
| Address: As set out in the Agreement | Address: 548 Market St., Suite 30287, San Francisco, CA, 94104 USA |
| Contact Person's Name, position and contact details: The contact details specified in this DPA or the Agreement or otherwise associated with Customer's account | Contact Person's Name, position and contact details: Legal Department, legal@secureframe.com |
| Activities relevant to the transfer: See Annex 1(B) below | Activities relevant to the transfer: See Annex 1(B) below |
| Role: Controller | Role: Controller |
Annexe 1(B) Description du transfert :
| Description | |
|---|---|
| Categories of data subjects: |
|
| Categories of personal data: |
Personal data may include:
|
| Sensitive data (if applicable) and applied restrictions or safeguards: | N/A. |
| Frequency of the transfer: | Frequency of transfer depends on Customer’s use of the Services. |
| Nature of processing: | Secureframe offers automated security and compliance solutions. The Services are set out in the Agreement. |
| Purpose(s) of the data transfer and further processing: | Secureframe will process the personal data for the following business purposes (i) account registration, (ii) order and purchase, (iii) customer communications and support, (iv) to operate and enhance Secureframe offerings; (v) to prevent, detect and investigate security incidents; and (vi) to resist and respond to malicious, deceptive, fraudulent or illegal actions. |
| Retention period (or, if not possible to determine, the criteria used to determine that period): | See Secureframe’s Privacy Policy as applicable. |
Annexe 1(C) Autorité de contrôle compétente :
L'autorité de contrôle compétente sera déterminée conformément à la législation européenne sur la protection des données.
ANNEXE 3
Mesures techniques et organisationnelles
Les mesures techniques et organisationnelles suivantes sont en place sur l'ensemble des Services pour protéger les données personnelles traitées par Secureframe.
| Measure | Description |
|---|---|
| Measures of pseudonymisation and encryption of personal data | Secureframe uses encryption at rest and encryption in transit for the protection of personal data |
| Measures for ensuring ongoing confidentiality, integrity, availability and resilience of processing systems and services | Secureframe is SOC 2 and ISO 27001 compliant and, as a result, has processes in place designed to ensure confidentiality, integrity and availability of its systems for the benefit of customers. |
| Measures for ensuring the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident | Secureframe performs routine backups and retains such backups for a necessary period of time to ensure restoration and access, if relevant. |
| Processes for regularly testing, assessing and evaluating the effectiveness of technical and organisational measures in order to ensure the security of the processing | Secureframe performs internal audits and external audits at least annually to ensure the effectiveness of technical and organisational measures. |
| Measures for user identification and authorisation | Customers may login via Google Workspace or Office 365 and are therefore responsible for such user identification and authorisation. |
| Measures for the protection of data during transmission | Secureframe uses encryption in transit to protect data during transmission. |
| Measures for the protection of data during storage | Secureframe uses encryption at rest to protect data during storage. |
| Measures for ensuring physical security of locations at which personal data are processed. | Secureframe’s services and data are hosted in AWS’ facilities in the USA and protected by AWS in accordance with their security protocols. Access limited to approved personnel. |
| Measures for ensuring events logging | Secureframe uses logging and monitoring to capture events. |
| Measures for ensuring system configuration, including default configuration | Secureframe monitors for drift configuration. |
| Measures for internal IT and IT security governance and management | Secureframe is SOC 2 and ISO 27001 compliant and, as a result, has processes in place designed to ensure security governance and management. |
| Measures for certification/assurance of processes and products | Secureframe is SOC 2 and ISO 27001 compliant. |
| Measures for ensuring data minimisation | Secureframe limits the data which it captures and stores only such data necessary to deliver the services. |
| Measures for ensuring data quality | Customers are in-control of the data provided to Secureframe and Secureframe ensures that such data is valid. |
| Measures for ensuring limited data retention | Secureframe only retains data for as long you are a customer and will remove such data upon request. |
| Measures for ensuring accountability | Secureframe follows a set of policies including data protection and processing policies in order to ensure accountability to external third-parties. |
| Measures for allowing data portability and ensuring erasure | Secureframe follows standard data portability practices. |
ANNEXE 4
Addendum du Royaume-Uni
Cette annexe 4 fait partie intégrante de ce DPA et s'applique conformément à la section 9.1.3(C) (Transferts relatifs au Royaume-Uni) du DPA.
| Start Date | The date of the Agreement. | |
|---|---|---|
| Parties | Exporter | Importer |
| Parties’ details | Name: The entity identified as the Customer in the Agreement and this DPA.
Address: The address for the Customer associated with its account or otherwise specified in this DPA or the Agreement. Contact person’s name, position and contact details: The contact details specified in this DPA or the Agreement or otherwise associated with Customer's account |
Name: Secureframe, Inc. ("Secureframe")
Address: 548 Market St., Suite 30287, San Francisco, CA, 94104 USA
Contact person’s name, position and contact details: Legal Department, legal@secureframe.com |
| Addendum SCCs | The Approved SCCs, including the Appendix Information and with only the following modules, clauses or optional provisions of the approved SCCs brought into effect for the purposes of this Addendum: See Section 9.1.3(C) of the DPA. |
|---|
| Appendix Information | See Schedules 1 and 2 |
|---|
| Ending this Addendum when the Approved Addendum changes | Neither Party |
|---|
| Mandatory Clauses | Part 2: Mandatory Clauses of the UK Addendum, as it is revised under Section 18 of those Mandatory Clauses |
|---|