Accord sur le Traitement des Données Personnelles

Accord sur le Traitement des Données Personnelles

 
Dernière révision et mise à jour réalisées le 29 octobre 2020. Cliquez ici pour voir la dernière version.

Le 29 octobre 2020, nous avons mis à jour notre Accord sur le Traitement des Données Personnelles (« Data Processing Agreement » ou « DPA ») de la manière suivante :

  • Nous avons clarifié nos garanties en matière de protection des données afin de nous assurer que tout transfert international est effectué sur une base juridique valable.
  • Nous avons mis à jour notre liste de sous-traitants pour l’aligner sur notre utilisation au sein l’entreprise fusionnée suite à l’acquisition de Mailjet par Mailgun en octobre 2019.
  • Nous avons intégré des clauses contractuelles types dans notre DPA par défaut.
  • Nous avons mis à jour nos mesures de sécurité techniques et organisationnelles en place pour les aligner sur nos normes de sécurité au sein de l’entreprise fusionnée.

 
La version précédente de notre Accord sur le Traitement des Données Personnelles, datant du 27 décembre 2019, peut être consultée ci-dessous.

***

Le présent Accord sur le traitement des Données Personnelles (« Data Processing Agreement » ou « DPA ») énonce l’accord des parties concernant les conditions régissant le Traitement de Données à Caractère Personnel selon les Conditions d’Utilisation de Mailjet (le « Contrat »). Le présent DPA prend effet, et remplace tout accord de Traitement de Données antérieur, à la date de sa dernière modification.

Dans le cadre de l’exécution des Services en application du Contrat, Mailjet peut traiter certaines Données à Caractère Personnel pour le compte du Client, auquel cas les Parties conviennent de respecter les modalités et conditions énoncées dans le présent DPA.

À toutes fins liées aux présentes, le Client est le Responsable de Traitement de ses Données à Caractère Personnel et Mailjet est le sous-traitant de ces Données, sauf lorsque le Client agit en qualité de sous-traitant des Données à Caractère Personnel, auquel cas Mailjet est un Sous-Traitant Ultérieur.

Mailjet pourra régulièrement mettre à jour le présent DPA. Si vous possédez un compte Mailjet actif, nous vous informerons de toutes modifications importantes.

1. Objet et durée

(1) Le Sous-Traitant et les autres entités chargées du Traitement des Données, telles que répertoriées à l’Article 7 du présent DPA, exécutent des services informatiques pour le Responsable de Traitement, dans le cadre du contrat de prestation de services conclu entre les Parties. Les services informatiques sont définis comme des « services de Traitement de Données réparti » qui ne sont pas caractérisés par une coopération bilatérale classique entre le Sous-Traitant et le Responsable de Traitement, mais sont générés par plusieurs Sous-Traitants chargés d’exécuter des fonctions de traitement successives.

(2) Étant donné que les Données à Caractère Personnel seront traitées pour le compte du Responsable de Traitement et selon ses instructions en la matière, les services constituent des services de Traitement de Données sur mandat conformément au Règlement européen 2016/679 (Règlement général sur la protection des données ou « RGPD ») et à la législation applicable en matière de Protection des Données.

(3) Les termes « Données à Caractère Personnel », « Traitement », « Consentement », « Collecte », « Tiers », « Responsable de Traitement » et « Sous-Traitant » doivent être interprétés conformément aux définitions figurant à l’Article 4 du RGPD.

2. Description du Traitement

(1) Le Traitement des Données du Responsable de Traitement réalisé dans le cadre du Contrat sera réalisé conformément aux stipulations suivantes :

(a) Objet : L’objet du Traitement de Données à Caractère Personnel par le Sous-Traitant est la prestation de Services pour le Responsable de Traitement, qui implique le Traitement de Données à Caractère Personnel, comme indiqué dans le Contrat.

(b) Types de Données à Caractère Personnel : Les Données à Caractère Personnel transmises, dont l’étendue est déterminée et contrôlée par le Responsable de Traitement à son entière discrétion, incluent des noms, adresses e-mail, numéros de téléphone, intitulés de postes de sociétés et autres Données spécifiques saisies par le Responsable de Traitement dans la plateforme du Sous-Traitant.

(c) Catégories de Personnes Concernées : Le Responsable de Traitement pourra transmettre des Données à Caractère Personnel via la plateforme du Sous-Traitant, données dont l’étendue sera déterminée et contrôlée par le Responsable de Traitement à son entière discrétion et qui pourront inclure, notamment, des données d’interlocuteurs et d’autres utilisateurs du Responsable de Traitement, notamment des salariés, prestataires, collaborateurs, clients, prospects, fournisseurs et sous-traitants ultérieurs du Responsable de Traitement.

(d) Durée du Traitement : Les Données à Caractère Personnel seront Traitées pendant la durée du Contrat, sous réserve de l’Article 9 du présent DPA.

3. Obligations du Responsable de Traitement

(1) Dans le cadre du Contrat et de son utilisation des Services, la Responsable de Traitement sera responsable de son propre respect des exigences liées aux prescriptions applicables en matière de protection des Données et de protection de la vie privée.

(2) Le Responsable de Traitement garantit que :

(a) le Traitement des Données à Caractère Personnel du Responsable de Traitement est fondé sur des bases juridiques telles que fixées par la Législation applicable en matière de Protection des Données de l’UE, au titre des Services fournis par Mailjet en vertu du présent DPA et du Contrat ; et

(b) le Responsable de Traitement informera les Personnes Concernées de son recours à des Sous-Traitants aux fins du Traitement de leurs Données à Caractère Personnel, dans la mesure prescrite par la Législation applicable en matière de protection des données.

(3) Le Responsable de Traitement garantira le respect des mesures de sécurité mises en œuvre par le Sous-Traitant ainsi qu’un niveau de sécurité adapté au risque.

(4) Le Responsable de Traitement répondra, dans un délai raisonnable et dans la mesure de ce qui s’avérera raisonnablement possible, aux demandes de renseignements soumises par les Personnes Concernées concernant le Traitement de leurs Données à Caractère Personnel par le Responsable de Traitement, et donnera des instructions appropriées au Sous-Traitant en temps opportun.

(5) Le Responsable de Traitement répondra dans un délai raisonnable aux demandes de renseignements émanant des Autorités chargées de la Protection des Données concernant le Traitement des Données à Caractère Personnel pertinentes par le Responsable de Traitement.

4. Obligations du Sous-Traitant

(1) Respect des instructions

(a) Le Sous-Traitant collectera, traitera et utilisera les Données à Caractère Personnel exclusivement pour s’acquitter de ses obligations résultant du Contrat et selon les instructions du Responsable de Traitement. Si le Sous-Traitant estime qu’une instruction du Responsable de Traitement est contraire à la Législation applicable en matière de Protection des Données, il en informera immédiatement le Responsable de Traitement.

(b) Toutes les instructions du Client devront être documentées dans le bon de commande, la description des services, le ticket d’assistance applicable, dans toute autre communication écrite ou selon les instructions du Client utilisant les Services (notamment via une API ou le portail de services).

(c) Si le Sous-Traitant n’est pas en mesure de traiter les Données à Caractère Personnel conformément aux Instructions en raison d’une obligation prévue par la Législation applicable en matière de Protection des Données, le Sous-Traitant informera le Responsable de Traitement de cette obligation légale dans les meilleurs délais avant le Traitement en question, dans la mesure où la Législation le permet, et cessera tout Traitement jusqu’à ce que le Responsable de Traitement transmette de nouvelles instructions que le Sous-Traitant sera en mesure de respecter.

(2) Sécurité

(a) Les procédures opérationnelles internes du Sous-Traitant devront respecter les exigences spécifiques d’une gestion efficace de la Protection des Données.

(b) Le Sous-Traitant garantit et s’engage à employer et documenter des mesures de sécurité techniques et organisationnelles, raisonnables et appropriées, pour le Traitement des Données.

(c) Le Sous-Traitant devra traiter séparément les Données à Caractère Personnel traitées pour différents Responsables du Traitement. Le Sous-Traitant s’engage à mettre en œuvre au moins les mesures de sécurité suivantes afin de garantir un traitement séparé :

  • l’anonymisation et le chiffrement des Données à Caractère Personnel ;
  • des moyens permettant de garantir la confidentialité, l’intégrité et la disponibilité constantes des systèmes et des services de Traitement ;
  • des moyens permettant de rétablir la disponibilité des Données à Caractère Personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident de sécurité physique ou technique ;
  • une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du Traitement.

Nous nous engageons à garantir la sécurité de notre site. Vous pouvez consulter notre certificat ici.

(d) Les mesures techniques et organisationnelles peuvent évoluer en fonction des progrès techniques et perfectionnements. À cet égard, le Sous-Traitant pourra mettre en œuvre d’autres mesures adéquates. Dans un tel cas, le niveau de sécurité des mesures définies ne devra pas être réduit.

(3) Confidentialité

(a) Le Sous-Traitant garantit et s’engage à ce que tous les salariés prenant part au Traitement de Données possèdent les qualifications professionnelles requises et ont été formés aux exigences applicables en matière de sécurité et de Protection des Données.

(b) Le Sous-Traitant garantit que ces salariés sont soumis à des obligations de confidentialité au titre des Données à Caractère Personnel transmises par le Responsable de Traitement.

(c) Dans la mesure où le Sous-Traitant est tenu de par la législation de transmettre à des Tiers des informations concernant les Données du client, le Sous-Traitant indiquera par écrit au Responsable de Traitement le destinataire, la date de transmission et le contenu des informations devant être communiquées ainsi que le fondement juridique, dans un délai raisonnable avant de révéler les informations en question.

(4) Violations de Données à Caractère Personnel

(a) Le Sous-Traitant informera le Responsable de Traitement dans les meilleurs délais de toute violation de Données à Caractère Personnel, y compris tout Traitement non autorisé ou illicite de Données à Caractère Personnel et toute perte accidentelle, altération, utilisation abusive, divulgation ou destruction de Données à Caractère Personnel, ou tout dommage à de telles données, par ses salariés, ses Sous-Traitants Ultérieurs ou d’autres Tiers, impliquant des Données à Caractère Personnel transmises par le Responsable de Traitement.

(b) Le Sous-Traitant devra, compte tenu de la nature du Traitement et des informations à sa disposition, déployer des efforts raisonnables pour transmettre au Client des informations concernant l’incident de sécurité ayant affecté les Données à Caractère Personnel. Il devra notamment indiquer la date et la nature de l’incident, le système informatique concerné, les personnes concernées, le moment de la découverte de l’incident, toutes les conséquences préjudiciables probables de l’incident de sécurité des Données et les mesures prises par le Sous-Traitant à la suite de celui-ci.

(5) Restitution ou Destruction des Données à Caractère Personnel

(a) À la résiliation du Contrat, le Sous-Traitant devra restituer ou supprimer toutes les Données à Caractère Personnel (y compris les copies qui en auront été faites) traitées en application du présent DPA. La présente disposition n’aura aucune incidence sur les éventuelles obligations légales des Parties de conserver des archives pendant les durées de conservation fixées par la loi ou par contrat.

(b) Le Sous-Traitant sera tenu de transmettre les Données du Responsable de Traitement, sur demande de ce dernier, sous une forme qui pourra être lue et traitée ultérieurement.

(c) Tous frais supplémentaires liés à la restitution ou à la suppression de Données à Caractère Personnel après la résiliation ou l’expiration du Contrat seront à la charge du Responsable de Traitement.

(6) Assistance au Responsable de Traitement

(a) Si le Sous-Traitant est en possession des informations requises et que le Responsable de Traitement n’a pas accès par ailleurs aux informations requises, le Sous-Traitant apportera une assistance raisonnable au Responsable de Traitement aux fins de toutes Analyses d’impact relatives à la protection des données et de toute consultation préalable avec des autorités de contrôle ou d’autres autorités compétentes en matière de Protection des Données.

(b) Le Sous-Traitant maintiendra à tout moment à disposition un agent responsable d’assister le Responsable de Traitement (i) pour répondre à des demandes de renseignements concernant le Traitement de Données confié, émanant de Personnes Concernées ; et (ii) pour satisfaire à toutes les obligations légales en matière d’information et de divulgation incombant au Responsable de Traitement et associées au Traitement de Données confié. Le Délégué à la protection des données peut être contacté directement à l’adresse privacy@mailjet.com. Le Sous-Traitant veillera à ce que ces informations soient à jour à tout moment.

5. Demandes de Personnes Concernées

(1) Le Sous-Traitant apportera une assistance raisonnable au Responsable de Traitement, par des mesures techniques et organisationnelles appropriées, aux fins de l’exécution de l’obligation qui incombe au Responsable de Traitement de répondre aux demandes de Personnes Concernées souhaitant exercer leurs droits.

(2) Mailjet fournit des outils spécifiques pour aider les clients à répondre aux demandes reçues de Personnes Concernées. Il s’agit notamment de nos API et interfaces de recherche d’événements, de suppressions et de récupération du contenu des messages.

(3) Si une Personne Concernée contacte le Sous-Traitant directement pour exercer les droits que lui confère la Législation applicable en matière de Protection des Données, le Sous-Traitant en informera le Client dans un délai de 7 jours suivant la réception de la demande. Mailjet assistera le Client, aux frais de ce dernier, par des mesures techniques et organisationnelles appropriées, dans la mesure de ce qui s’avérera raisonnablement possible, aux fins de l’exécution de l’obligation qui incombe au Client de répondre aux demandes de Personnes Concernées souhaitant exercer leurs droits.

6. Transferts de Données

Le Responsable de Traitement reconnaît et convient que, dans le cadre de l’exécution des Services en application du Contrat, le Sous-Traitant pourra transférer des Données à Caractère Personnel à des sociétés de son groupe. Ces transferts sont nécessaires pour fournir globalement les Services tels que définis dans les Conditions d’utilisation de Mailjet, et sont justifiés à des fins d’administration interne.
S’agissant des transferts de Données à Caractère Personnel réalisés en vertu du présent DPA depuis l’Union européenne, l’Espace Économique Européen et/ou leurs États membres, la Suisse et le Royaume-Uni vers des pays qui ne garantissent pas un niveau adéquat de Protection des Données au sens de la Législation applicable en la matière, dans la mesure où ces transferts sont soumis à la Législation applicable en matière de Protection des Données et aux Règlements applicables en la matière, et pour mettre en œuvre des garanties appropriées, les mesures de protection suivantes sont prévues : (i) le Bouclier de Protection des Données UE-États-Unis, tel qu’administré par le Département du Commerce des États-Unis ; et/ou (ii) des Clauses Contractuelles Types selon la Décision de la Commission européenne 2010/87/UE.

7. Sous-traitance ultérieure

(1) La sous-traitance aux fins du présent DPA désigne les services qui sont directement liés à l’exécution du Contrat. Elle n’inclut pas les services annexes suivants : les services de télécommunications, services postaux ou de transport, services de maintenance et outils d’assistance utilisateur. Le Sous-Traitant sera toutefois tenu de conclure des accords contractuels appropriés et contraignants et de prendre des mesures d’inspection appropriées afin de garantir la protection et la sécurité des Données du Client, même en cas d’externalisation de services annexes.

(2) La liste des sociétés fournissant des services critiques et importants directement liés à l’exécution du Contrat figure Annexe 1, dans la liste à jour des Sous-Traitants Ultérieurs accessible ici. Le Responsable de Traitement accepte expressément leur désignation.

(3) Le Sous-Traitant pourra modifier la liste des Sous-Traitants Ultérieurs sous réserve qu’il informe le Responsable de Traitement au préalable de l’engagement d’autres Sous-Traitants Ultérieurs et que le Responsable de Traitement ne se soit pas opposé, pour des motifs raisonnables, à l’externalisation prévue, par écrit (y compris par e-mail), dans un délai de 30 jours. Le Sous-Traitant ne devra pas faire appel au Sous-Traitant Ultérieur ainsi refusé tant que des mesures raisonnables n’auront pas été prises pour lever les objections soulevées par le Client et tant que ce dernier n’ait pas reçu une explication écrite raisonnable desdites mesures. Si le Sous-Traitant et le Responsable de Traitement ne parviennent pas à lever cette objection, chacune des parties pourra résilier le Contrat en adressant une notification écrite à l’autre.

(4) Le Sous-Traitant garantit que le Sous-Traitant Ultérieur réalise les activités de Traitement en vertu d’un accord écrit imposant au Sous-Traitant Ultérieur au moins les mêmes obligations que celles imposées au Sous-Traitant par le présent Contrat. Le Sous-Traitant contrôlera la conformité du Sous-Traitant Ultérieur régulièrement.

8. Audit

(1) Le Sous-Traitant mettra à disposition, sur demande écrite raisonnable du Responsable de Traitement, les informations raisonnablement nécessaires pour démontrer que le Client respecte le présent DPA.

(2) Le Responsable de Traitement, ou un auditeur tiers mandaté par ce dernier, pourra, sur demande écrite et sur préavis d’au moins 30 jours adressé au Sous-Traitant, pendant les heures d’ouverture normales et sans interrompre les opérations commerciales du Sous-Traitant, procéder à une inspection des opérations commerciales du Sous-Traitant dans la mesure de ce qui s’avérera nécessaire selon la Législation applicable en matière de Protection des Données. Le Responsable de Traitement garantira la stricte confidentialité.

(3) Le Client prendra en charge tous les coûts et dépenses engagés par le Sous-Traitant en raison de la transmission de ces informations et de l’exercice de ces droits d’audit.

9. Résiliation du Contrat

(1) Le présent DPA sera résilié de plein droit et simultanément à la résiliation du Contrat.

(2) Le Responsable de Traitement pourra mettre un terme à la relation contractuelle sans préavis si le Sous-Traitant commet un manquement grave au présent DPA ou aux exigences de la Législation applicable en matière de Protection des Données.

10. Dispositions finales

(1) Dans la mesure où le présent DPA ne contient pas de dispositions particulières, les dispositions du Contrat de Prestation de Services s’appliqueront. En cas de contradictions entre le présent DPA et le Contrat de Prestation de Services, les dispositions du présent DPA prévaudront.

(2) Si l’une quelconque des dispositions du présent DPA est jugée invalide, la validité des autres dispositions du DPA n’en sera pas affectée.

(3) Le présent DPA a été rédigé en plusieurs langues, dont le français. La version faisant foi aux fins de l’interprétation du présent DPA sera la version anglaise.

11. Droit applicable et compétence

Les parties au présent DPA se soumettent par les présentes à la compétence des tribunaux indiqués dans le Contrat au titre de tous litiges ou de toutes réclamations résultant de quelque manière que ce soit du présent DPA, y compris les litiges concernant son existence, sa validité ou sa résiliation ou les conséquences de sa nullité.