ADDENDUM RELATIF AU TRAITEMENT DES DONNÉES

Date d'entrée en vigueur : le 25 mai 2018

Le présent Addendum relatif au traitement des données est mentionné à l'Article 7 des Conditions de services AdRoll et de tout Addendum applicable relatif aux Produits (« Conditions de service ») et en fait partie intégrante. Il prend effet après acceptation des Conditions de service.

Lorsque des Données traitées en vertu de Conditions de service sont soumises au Droit applicable à la protection des données, les Clients peuvent signer le présent Addendum relatif au traitement des données (qui incorpore les Clauses contractuelles types de la Commission européenne) : (i) afin de protéger les Données conformément aux exigences du Droit applicable à la protection des données ; et (ii) afin de fournir des mesures de protection appropriées concernant les Données susceptibles d'être traitées en dehors des Territoires européens.

Le présent Addendum relatif au traitement des données traduit l'accord des Parties concernant les conditions régissant le traitement de Données en vertu des Conditions de service.

1. DÉFINITIONS

  • « responsable du traitement », « sous-traitant », « personne concernée », « données personnelles », « traitement » (et, « traiter ») et « catégories spéciales de données personnelles » ont le sens qui leur est donné dans le Droit applicable à la protection des données ; et
  • « Droit applicable à la protection des données » désigne : (i) avant le 25 mai 2018, la Directive de l'UE sur la protection des données (Directive 95/46/CE) ; (ii) après le 25 mai 2018, le Règlement général sur la protection des données de l'UE (Règlement 2016/679) ; (iii) la Directive e-Privacy de l'UE (Directive 2002/58/CE) ; (iv) toute législation nationale établie en vertu de ou conformément à (i), (ii) ou (iii) ; et (v) toute loi qui amende ou remplace (i), (ii), (iii) ou (iv).
  • Tout autre terme commençant par une lettre majuscule non défini dans le présent Addendum relatif au traitement des données a le sens qui lui est donné dans les Conditions de service.

2. RELATION ENTRE LES PARTIES

Le Client (le « Responsable du traitement ») désigne AdRoll, Inc. d/b/a AdRoll Group (« AdRoll ») en tant que sous-traitant en vue du traitement des données personnelles décrites à l'Article 7.1 des Conditions de service entre les parties (les « Données ») aux fins décrites dans les Conditions de service (ou autrement convenues par écrit entre les parties) (la « Finalité autorisée »). Chaque partie s'acquittera des obligations qui s'appliquent à elle en vertu du Droit applicable à la protection des données. Si le Responsable du traitement apprend que le traitement selon la Finalité autorisée viole le Droit applicable à la protection des données, il doit rapidement en informer AdRoll.

3. DONNÉES INTERDITES

Le Responsable du traitement ne divulguera pas (et n'autorisera aucune personne concernée à divulguer) des catégories particulières de données personnelles à AdRoll en vue de leur traitement.

4. TRANSFERTS INTERNATIONAUX

AdRoll ne transférera pas les Données en dehors des Territoires européens, à moins d'avoir pris les mesures nécessaires pour veiller à ce que le transfert soit conforme au Droit applicable à la protection des données. Ces mesures peuvent inclure (sans s’y limiter) le transfert des Données à un destinataire situé dans un pays que la Commission européenne a désigné comme fournissant une protection suffisante pour les données personnelles, à un destinataire aux États-Unis d'Amérique qui a reçu une certification valable et à jour au titre du Privacy Shield UE-E.-U., à un destinataire qui obtenu un agrément concernant les règles contraignantes d’entreprise conformément au Droit applicable à la protection des données, ou à un destinataire qui a signé des clauses contractuelles types adoptées ou approuvées par la Commission européenne.

5. CLAUSES CONTRACTUELLES TYPES

Afin de veiller à ce que des mesures de protection adéquates soient appliquées aux données personnelles transférées par le Responsable du traitement à AdRoll, les parties incorporent par les présentes les Clauses contractuelles types qui s'appliquent aux transferts du responsable du traitement au sous-traitant approuvées dans leur totalité par la Commission européenne dans la décision 2010/87/EU, sous réserve des exigences qui suivent : (a) les annexes 1 et 2 des Clauses contractuelles types seront telles qu'énoncées en Annexe A au présent Addendum relatif au traitement des données ; (b) AdRoll sera réputé se conformer intégralement aux exigences de sous-traitance de l'Article 11 des Clauses contractuelles types s'il se conforme aux exigences de l'Article 8 du présent Addendum relatif au traitement des données ; et (c) AdRoll sera réputé se conformer intégralement aux droits d'audit que le Responsable du traitement pourra avoir en vertu de l'Article 5(f) des Clauses contractuelles types s'il se conforme aux exigences de l'Article 13 du présent Avenant relatif au traitement des données.

6. CONFIDENTIALITÉ DU TRAITEMENT

AdRoll veillera à ce que toute personne qu'il autorise à traiter les Données protège celles-ci conformément aux obligations de confidentialité du Responsable du traitement en vertu du présent addendum et des Conditions de service.

7. SÉCURITÉ

AdRoll mettra en œuvre les mesures techniques et organisationnelles adéquates énoncées en Annexe C afin de protéger les Données (i) de la destruction accidentelle ou illégale, et (ii) de la perte, de la divulgation ou de l'accès non autorisés aux Données (un « Incident de sécurité »).

8. SOUS-TRAITANCE

Le Responsable du traitement consent à ce qu'AdRoll engage des sous-traitants tiers afin de traiter les Données pour satisfaire la Finalité autorisée, à condition que : (i) AdRoll tienne à jour une liste de ses sous-traitants, qu'il devra fournir au Responsable du traitement à la demande de ce dernier, qu'il mettra à jour avec les détails de tout changement proposé dans un délai raisonnable avant la nomination ou le remplacement d'un sous-traitant ; (ii) AdRoll impose des conditions de protection des données à tout sous-traitant qu'il désigne et qui lui imposent de protéger les Données selon les normes prévues par le Droit applicable à la protection des données et le présent Addendum relatif au traitement des données ; et (iii) AdRoll reste responsable de toute violation de la présente Clause occasionnée par un acte, une erreur ou une omission de son sous-traitant. Une liste de sous-traitants approuvés est jointe en Annexe B. Le Responsable du traitement peut s'opposer à la désignation ou au remplacement par AdRoll d'un sous-traitant avant sa désignation ou son remplacement, à condition que cette opposition se fonde sur des motifs raisonnables en lien avec la protection des données. Dans ce cas, AdRoll s'abstiendra de désigner ou de remplacer le sous-traitant ou, si cela n'est pas possible, le Responsable pourra suspendre ou résilier les Conditions de service (sans préjudice des frais subis par le Responsable du traitement avant la suspension ou la résiliation).

9. COOPÉRATION ET DROITS DES PERSONNES CONCERNÉES

AdRoll fournira une aide raisonnable et en temps opportun au Responsable du traitement (aux frais de celui-ci) afin de lui permettre de répondre à : (i) toute demande d'une Personne concernée d'exercer ses droits en vertu du Droit applicable à la protection des données (y compris ses droits d'accès, de correction, d'objection, d'effacement et de portabilité des données, le cas échéant) ; et (ii) à toute autre correspondance, demande de renseignements ou plainte reçues d'une personne concernée, d'un organisme de réglementation ou d'une autre tierce partie en lien avec le traitement des Données. Dans l'éventualité où une telle demande, correspondance, demande de renseignements ou plainte était directement adressée à AdRoll, celui-ci en informerait rapidement le Responsable du traitement en lui fournissant tous les détails y afférents.

10. ÉVALUATION D'IMPACT DE LA PROTECTION DES DONNÉES

AdRoll fournira une coopération raisonnable au Responsable du traitement (aux frais du Responsable du traitement) en lien avec toute évaluation d'impact de la protection des données que le Responsable du traitement pourra être tenu de réaliser en vertu du Droit applicable à la protection des données.

11. INCIDENTS DE SÉCURITÉ

S'il a connaissance d'un Incident de sécurité confirmé, AdRoll en informera le Responsable du traitement sans retard excessif et fournira toutes les informations et la coopération raisonnables au Responsable du traitement afin que celui-ci puisse satisfaire aux obligations de signalement des violations de données qu'il pourrait avoir en vertu du (et conformément aux délais requis par le) Droit applicable à la protection des données. En outre, AdRoll devra prendre toutes les mesures raisonnablement nécessaires pour remédier aux effets de l'Incident de sécurité ou les atténuer, et tenir le Responsable du traitement informé de l'ensemble des évolutions importantes se rapportant à l'Incident de sécurité.

12. SUPPRESSION OU RESTITUTION DES DONNÉES

Suite à la résiliation ou à l'expiration des Conditions de service, AdRoll détruira ou restituera (selon le choix du Responsable du traitement) l'ensemble des Données en sa possession ou sous son contrôle. Cette exigence ne s'appliquera pas dans la mesure où AdRoll est tenu par la Législation en vigueur de conserver certaines ou l'ensemble des Données, ou à des Données qu'il a archivées sur des systèmes de sauvegarde, auquel cas AdRoll isolera de façon sécurisée et protégera ces Données de tout traitement ultérieur, sauf si ladite Législation l'exige.

13. AUDIT

AdRoll mettra à disposition du Responsable du traitement l'ensemble des informations nécessaires pour démontrer son respect des obligations énoncées dans le présent Addendum relatif au traitement des données.

Le Responsable du traitement convient qu'il exercera tout droit d'audit prévu par le Droit applicable à la protection des données (ou les Clauses contractuelles types incorporées par renvoi à l'Article 5) en soumettant des questions d'audit écrites à AdRoll. AdRoll devra répondre à ces questions d'audit écrites qui lui sont soumises par le Responsable du traitement, à condition que celui-ci n'exerce pas ce droit plus d'une fois par an.

Annexe A

Annexe 1 aux Clauses contractuelles types

La présente Annexe fait partie des Clauses contractuelles types.

Les États membres peuvent compléter ou préciser, selon leurs procédures nationales, toute information supplémentaire et nécessaire devant être contenue dans la présente Annexe.

Exportateur de données

L'exportateur de données est (veuillez préciser brièvement vos activités se rapportant au transfert) :

  • Le client est l'exportateur de données qui reçoit des Services en vertu des Conditions de service.

Importateur de données

L'importateur de données est (veuillez préciser brièvement les activités se rapportant au transfert) :

  • AdRoll fournit des Services à l'exportateur de données en vertu des Conditions de service.

Personnes concernées

Les Données personnelles transférées concernent les catégories de personnes concernées suivantes (veuillez préciser) :

  • Clients potentiels et existants de l'exportateur de données

Catégories de données

Les données personnelles transférées concernent les catégories de données suivantes (veuillez préciser) :

  • Les coordonnées, y compris l'adresse e-mail et toutes autres coordonnées associées fournies par l'exportateur de données à l'importateur de données afin d'exécuter les Services (par ex. le nom, l'adresse, l'adresse e-mail, le numéro de téléphone, le nom de la société, l'intitulé du poste).

Catégories spéciales de données (le cas échéant)

Les données personnelles transférées concernent les catégories spéciales de données suivantes (veuillez préciser) :

  • Aucune

Opérations de traitement

Les données personnelles transférées feront l'objet des activités de traitement de base suivantes (veuillez préciser) :

  • utilisation dans le ciblage et les appels d'offres pour les publicités à afficher sur les sites Web des éditeurs ;
  • agrégation et analyse pour l'amélioration des services de l'importateur de données ; et
  • transfert et conservation des données personnelles auprès du sous-traitant de l'importateur de données qui stocke et traite les données, Amazon Web Services.

Annexe 2 aux Clauses contractuelles types

La présente Annexe fait partie des Clauses contractuelles types.

Description des mesures de sécurité techniques et organisationnelles mises en œuvre par l'importateur de données conformément aux Clauses 4(d) et 5(c) (ou au document/loi en pièce jointe) :

Voir l'Annexe C.

ANNEXE B

Liste approuvée de sous-traitants

Nom de l'entité Activité de traitement Localisation
Amazon Web Services Stockage États-Unis et Europe
Mailgun (s'applique seulement si le Client exécute AdRoll Email Services) Envoi d'e-mails États-Unis

Annexe C

Annexe d'AdRoll relative à la sécurité

AdRoll s'engage à prendre, au minimum, les mesures de sécurité suivantes et peut également adopter d'autres mesures de sécurité pour assurer un niveau de sécurité approprié, y compris la confidentialité, l'intégrité et la disponibilité, en tenant compte du niveau technologique et du coût de mise en œuvre par rapport aux risques et à la nature du service et des données qui doivent être protégées :

  • Gestion des risques. Avoir en place un programme de gestion des risques.
  • Politiques. Déclarations d'intention dans des domaines essentiels de la prévention du risque.
  • Processus opérationnels. Y compris :
    • changement de contrôle ;
    • intervention en cas d'incidents ; et
    • notification des violations.
  • Audit. Consignation centralisée des événements de sécurité afin de faciliter leur détection et les interventions suite à leur survenue.
  • Gestion du personnel. Gestion des ressources humaines, y compris les vérifications des antécédents.
  • Gestion des fournisseurs. Un programme de gestion des risques créé en recourant à des tierces parties afin de gérer les systèmes et les données.
  • Contrôle des accès aux zones de traitement. Processus pour empêcher les personnes non autorisées d'obtenir un accès aux équipements de traitement des données où des Données sensibles sont traitées ou utilisées.
  • Contrôle des accès aux systèmes de traitement des données. Processus pour empêcher l'utilisation des systèmes de traitement des données par des personnes non autorisées.
  • Accès réduit. Mesures pour s'assurer que les personnes habilitées à utiliser les systèmes de traitement des données soient uniquement en mesure d'accéder aux Données entrant dans le périmètre et dans la mesure couverte par leur permission (autorisation) d'accès respective et que les Données sensibles ne puissent être lues, copiées ou modifiées ou supprimées sans autorisation.
  • Contrôle des transmissions. Procédures pour empêcher que les Données ne soient lues, copiées, modifiées ou supprimées par des parties non autorisées pendant leur transmission ou le transport des supports de données, et afin de veiller à la possibilité de vérifier et de décider à quels organismes il est envisagé de transférer les Données par le biais de dispositifs de transmission de données.
  • Contrôle du conservation. Contrôles lorsque des Données sensibles sont stockées
  • Contrôle de saisie. Mesures pour veiller à la possibilité de contrôler et de savoir si, et par qui, des Données ont été saisies dans, ou supprimées des systèmes de traitement des données.
  • Contrôle de disponibilité. Mesures pour veiller à ce que les Données soient protégées de la destruction ou de la perte accidentelles.
  • Ségrégation du traitement. Procédures pour veiller à ce que les Données collectées à des fins différentes puissent être traitées séparément.
  • Gestion des vulnérabilités. Les systèmes sont régulièrement contrôlés pour détecter d'éventuelles vulnérabilités. Celles qui seront détectées seront immédiatement corrigées.
  • Gestion des incidents. Mise en place d'une gestion adéquate et appropriée des incidents.