Accord de traitement de données CiviCRM Spark
Le present accord de traitement de données (“Accord” ou “ATD” – en anglais: Data processing agreement ou “DPA”) fait partie des conditions générales (“Accord-cadre”) en vertu desquelles CiviCRM LLC (la “Société”) a accepté de fournir au client le CiviCRM Spark et les services connexes. En acceptant le Contrat, vous conclurez un “ATD” en votre nom et au nom de votre entreprise, le cas échéant. Ces conditions resteront en vigueur jusqu’au moment d’expirer automatiquement au moment que la Société décide de supprimer toutes les donées personnalisées telles que décrites dans lesdites conditions.
Pour obtenir une copie signée de cet Accord, imprimez cette page en PDF et envoyez une copie signée à spark@civicrm.org.
ALORS QUE
- A) La Société agit en tant que processeur de données;
- B) Le Client agit en tant que contrôleur de données;
- C) Les parties souhaitent sous-traiter certains services, ce qui implique le traitement de données personnelles;
- D) Les parties souhaitent conclure un accord de traitement de données conforme aux exigences du cadre juridique en vigueur en matière de traitement de données du règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatifs à la protection des personnes à l’égard du traitement des données à caractère personnel et de la libre circulation de ces données qui abrogent la directive 95/46/CE (Règlement Général sur la Protection des Données – en anglais: “General Data Protection Regulation”).
- (E) Les Parties souhaitent préciser leurs droits et obligations.
IL EST CONVENU COMME SUIT:
- 1. Définitions et interprétation
- 1.1. Sauf définition contraire dans les présentes, les termes et expressions en majuscules ci-utilisés auront la signification suivante:
- 1.1.1. “Accord” désigne le présent Accord de Traitement de Données et tous les addenda et annexes;
- 1.1.2. “Données personnelles de l’entreprise” désigne toutes les données personnelles traitées par un sous-traintant pour le compte de l’entreprise conformément à ou en relation avec l’accord-cadre;
- 1.1.3. “Processeur de données sous contrat” désigne un sous-traitant ultérieur;
- 1.1.4.”Lois sur la protection des données” désigne les lois sur la protection des données de l’UE et, dans la mesure applicable, les lois sur la protection des données ou la vie privée de tout autre pays;
- 1.1.5. “EEE” désigne l’Espace Économique Européen;
- 1.1.6. “Législation de l”UE sur la protection des données” désigne la directive européenne 95/46/CE telle que transposée dans la législation nationale de chaque État Membre et telle que modifiée, remplacée ou abrogée postérieurement, y compris par le RGPD (Règlement Général de Protection de Données – en anglais: General Data Protection Regulation) et les lois qui mettent en oeuvre ou complètent la dernière;
- 1.1.7. “RGPD” désigne le Règlement Général sur la Protection des Données de l’Union Européenne (Règlement nº 2016/679 – en anglais: General Data Protection Regulation);
- 1.1.8. “Transfert de données” signifie:
- 1.1.8.1. Un transfert de données personnelles de la Société à un Sous-Traitant sous contrat; ou
- 1.1.8.2. Un transfert ultérieur de données personnelles d’un Sous-traitant sous contrat à un autre Sous-traitant, ou entre deux étrablissements d’un Sous-traitant, dans chaque cas où un tel transfert est interdit par les Lois sur la protection des données (ou les termes des politiques de transfert des accords mis in oeuvre pour répondre aux restrictions de transfert de données en vertu des lois sur la protection des données);
- 1.1.9. “Services” ou “Service contractuel” désigne les services CiviCRM Spark fournis par la Société.
- 1.1.10 « Sous-traitant ultérieur » désigne toute personne nommée par le Sous-traitant ou agissant pour lui dans le traitement des données personnelles pour le compte de la Société en vertu du Contrat.
- 1.2. Les Termes « Commission », « Contrôleur », « Personne concernée », « État membre », « Données personnelles », « Violaton des données personnelles », « Traitement » et « Autorité de Contrôle » auront la même signifcation que dans le RGPD, et les termes apparantés doivent être interprétés en conséquence.
- 2. Responsabilités concernant le traitement des données personnelles de la société
- 2.1. Les parties doivent:
- 2.1.1. Se conformer à toutes les lois applicables en matière de protection des données dans le traitement des données personnelles.
- 2.1.2. La Société demande au Sous-traitant de traiter les Données personnelles conformément à la finalité du logiciel.
- 2.2. En considérant que toutes les données personnelles stockées par le sous-traitant sont fournies par le client:
- 2.2.1. Dans le cadre du Contrat et de son utilisation des services, le Client sera reponsable du respect de toutes les exigences qui lui sont applicables en vertu des Lois sur la protection des données en ce qui concerne le Traitement de ses Données personnelles et des Instructions qu’il transmet à la Société.
- 2.2.2 En particulier, mais sans préjudice de la généralité de ce qui précède, le Client reconnaît et accepte d’être seul responsable : (i) de l’exactitude, de la qualité et de la légalité des Données Client et des moyens par lesquels les Données Personnelles sont acquises ; (ii) en se conformant à toutes les exigences de transparence et de licéité requises par les Lois sur la Protection des Données applicables à la collecte et à l’utilisation des Données Personnelles, y compris l’obtention des consentements et autorisations nécessaires (notamment pour l’utilisation par le Client à des fins de marketing) ; (iii) en veillant au droit de transférer ou de fournir l’accès aux Données personnelles à la Société pour un traitement conformément aux termes de l’Accord (y compris le présent ATD) ; (iv) pour s’assurer que les instructions fournies à la Société concernant le traitement des données personnelles sont conformes à la législation en vigueur, y compris les lois sur la protection des données ; et (v) le respect de toutes les lois (y compris les lois sur la protection des données) applicables à tout e-mail ou autre contenu créé, envoyé ou géré via les services contractuels, y compris ceux relatifs à l’obtention de consentements (si nécessaire) pour l’envoi d’e-mails, le contenu des e-mails et les pratiques de distribution des e-mails. S’il manque à ses obligations, le Client doit en informer immédiatement la Société sans retard excessif.
- 3. Personnel chargé du traitement des données.
- 3.1. Le Processeur de données prendra les mesures appropriées pour garantir la fiabilité de tout employé, agent ou tiers provenant des Sous-traitants qui pourraient avoir accès aux données personnelles de la société, en veillant toujours à ce que cet accès soit strictement limité. Les personnes qui ont besoin de connaître/d’accéder aux données personnelles pertinentes de la Société, dans la mesure strictement nécessaire aux fins du contrat-cadre et pour se conformer aux lois applicables dans le cadre des devoirs de cette personne envers le Sous-traitant, en veillant à ce que toutes ces personnes soient soumises à la confidentialité, engagements ou obligations professionnelles ou légales de confidentialité.
- 4. Sécurité
- 4.1 Compte tenu des bonnes pratiques, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du Traitement des Données, ainsi que du risque de variation de probabilité et d’exactitude quant aux droits et libertés individuels des personnes physiques, le Sous-traitant doit, en vis-à-vis de la Société, mettre en œuvre les mesures techniques et organisationnelles respectives garantissant un niveau de sécurité adapté au risque, y compris, le cas échéant, les mesures visées au paragraphe 1 de l’article 32 du RGPD (GDPR).
- 4.2 Lors de l’évaluation de l’adéquation du niveau de sécurité, le Sous-traitant prendra principalement en compte les risques inhérents au traitement des données, particulièrement les risques de violation des données personnelles.
- 5. Sous-traitement
- 5.1 Consentement pour engager un sous-traitant ultérieur. Bien que la Société limite autant que possible la récurrence au service de tiers, le Client autorise spécifiquement l’engagement de sous-traitants ultérieurs pour effectuer le traitement des données personnelles en son nom. Les sous-traitants ultérieurs sont normalement limités au traitement des paiements, à l’envoi d’e-mails ou à d’autres fonctionnalités directement pertinentes pour CiviCRM lui-même. La Société a actuellement à son service, en tant que sous-traitants ultérieurs, les entités énumérées à l’Annexe 1 du présent ATD. La Société informera le Client au moins 30 jours à l’avance de l’ajout ou du remplacement de sous-traitants ultérieurs, si le client demande à être informé par e-mail avant de tels changements. Cliquez ici pour demander à être informé.
- 5.2 Lorsque la Société engage des sous-traitants ultérieurs, les conditions de protection des données des sous-traitants ultérieurs fourniront, au minimum, le même niveau de protection des données personnelles que dans le présent ATD (y compris, le cas échéant, les clauses contractuelles types), au mesure applicable à la nature des services fournis par ces sous-traitants ultérieurs. La Société reste responsable de la conformité des sous-traitants ultérieurs.
- 5.3 Le Client sera responsable de tout autre sous-traitant ultérieur avec lequel il s’engage personnellement.
- 6. Demandes des personnes concernées
- 6.1 Le service contractuel fournit une série de contrôles pour récupérer, corriger, effacer ou restreindre les données personnelles que le client peut utiliser pour interagir en relation avec ses obligations en vertu des lois sur la protection des données, y compris les obligations liées au service aux demandes. des personnes concernées lors de l’exercice de leurs droits en vertu des lois applicables sur la protection des données (« demandes de la personne concernée »).
- 6.2 Si le client n’est pas en mesure de traiter de manière indépendante une demande de personne concernée par le biais du service contractuel, alors, sur sa demande écrite, la société fournira une assistance appropriée pour aider le client à satisfaire toute demande de la personne concernée ou les demandes des autorités de protection des données liées au traitement des données personnelles en vertu de l’accord. Le Client remboursera à la Société les frais commercialement raisonnables résultant de cette assistance.
- 6.3 Si une demande de personne concernée ou une autre communication concernant le traitement des données personnelles en vertu du contrat est adressée directement à la société, celli-ci en informera immédiatement le client et conseillera à la personne concernée de soumettre sa demande au client. Ce dernier sera seul responsable de répondre matériellement à toute demande ou communication impliquant des données personnelles.
- 7. Violation des données personnelles
- 7.1 Toutes les parties doivent, sans retard injustifié, informer l’autre partie si le sous-traitant prend connaissance d’une violation de données personnelles affectant ceux-ci, en fournissant à l’autre partie des informations suffisantes pour permettre aux parties de se conformer à toutes les obligations de signaler ou d’informer les personnes concernées. sur la violation des données personnelles dans le cadre des lois sur la protection des données.
- 7.2 Toutes les parties doivent coopérer et prendre des mesures commercialement raisonnables pour aider à l’enquête, à l’atténuation et à la correction de toute violation des données personnelles.
- 8. Évaluation de l’impact sur la protection des données et consultation préalable des autorités de contrôle.
- 8.1. La Société fournira une assistance adéquate au Client en ce qui concerne les évaluations de l’impact des violations de la protection des données et les consultations préalables avec les Autorités de contrôle, ou d’autres autorités compétentes en matière de confidentialité des données, que le Client considère raisonnablement comme requises par les articles 35 ou 36 du RGPD (GDPR) ou des dispositions équivalentes de toute autre loi sur la protection des données, dans chaque cas uniquement en ce qui concerne le traitement des données personnelles par les sous-traitants contractuels et en tenant compte de la nature du traitement et des informations mises à la disposition de ces derniers.
- 9. Suppression ou retour des données personnelles
-
9.1 La Société supprimera ou renverra toutes les Données Client, y compris les données personnelles (avec leurs copies respectives) traitées en vertu du présent ATD, au moment de la résiliation ou de l’expiration du service contractuel, conformément aux conditions spécifiques du produit. Ce terme s’appliquera, sauf lorsque la loi applicable oblige à conserver tout ou partie des Données Client, ou lorsque ceux-ci ont été archivés sur des systèmes de sauvegarde dont ils seront isolés et protégés de tout autre traitement et disposés conformément aux pratiques d’élimination de la Société. Le client peut demander la suppression de son hébergement CiviCRM Spark à l’expiration ou à la résiliation de son abonnement en envoyant la demande à spark@civicrm.org. Le client purra récupérer ses Données Client à partir du service CiviCRM Spark en téléchargeant une copie de sauvegarde à partir de l’interface administrative CiviCRM.
-
10. Démonstration de conformité, droits d’audit
- 10.1 Sur demande, la Société fournira au Client toutes les informations nécessaires pour démontrer le respect du au présent Contrat, et non seulement permettra, mais facilitera, les audits éventuellement effectués par un auditeur mandaté par le Client pour vérifier le Traitement des Données Personnelles. effectués par les sous-traitants.
- 10.2 Sur demande écrite du Client, la Société fournira une réponse écrite (de manière confidentielle) à toutes les demandes d’informations légitimement sensibles faites par la Société et nécessaires pour confirmer le respect du présent ATD, à condition que le Client n’exerce pas ce droit plus d’une fois par an, sauf si le Client a des motifs légitimes de soupçonner le non-respect de l’APD.
- 11. Transfert de données
- 11.1 La Société ne peut pas transférer ou autoriser le transfert de données vers des pays hors de l’UE et/ou de l’Espace Économique Européen (EEE) sans l’accord écrit préalable du Client. Si les données personnelles traitées dans le cadre du présent accord sont transférées d’un pays de l’Espace Économique Européen vers un pays hors de l’EEE, les parties veillent à ce que les données personnelles soient protégées de manière adéquate. À cette fin, les parties s’appuient, sauf convention contraire, sur les clauses contractuelles types approuvées par l’UE pour le transfert de données à caractère personnel.
- 12. Conditions générales
- 12.1 Confidentialité. Chaque partie doit garder le présent accord et les informations reçues confidentiellement de l’autre partie et de ses activités en vertu du présent accord (« Données confidentielles ») et ne doit pas utiliser ou divulguer ces données confidentielles sans le consentement écrit préalable de l’autre partie, sauf dans le cas où : (a) la divulgation est requise par la loi ; (b) les informations pertinentes sont déjà dans le domaine public.
- 12.2 Avis. Tous les avis et communications effectués en vertu du présent Accord doivent être faits par écrit et seront livrés en personne, envoyés par e-mail à l’adresse éléctronique indiquée dans l’en-tête du présent Accord ou livrés à toute autre adresse notifiée de temps à autre par les Parties qui changent leur adresse.
- 13. Droit applicable et juridiction
- 13.1 Ces clauses seront régies par la loi de l’un des États membres de l’UE, à condition que cette loi autorise les droits des tiers bénéficiaires. Les Parties conviennent que ces clauses seront régies conformément à la section « Entité contractante ; Loi applicable ; Avis » des Conditions de compétence particulières ou, si cette section ne spécifie pas d’État membre de l’UE, par la loi de la République d’Irlande (sans référence aux principes de conflits juridiques).
- 13.2 Tout litige découlant des clauses ci-dessus sera tranché par les tribunaux d’un État membre de l’UE.
Annexe 1 – Liste des sous-traitants ultérieurs
Third Party Sub-Processor | Purpose | Location |
---|---|---|
Linode | Logement (Hébergement Virtuel Private Server (VPS) | Union Européenne (Allemagne) |
Sparkpost | Livraison par e-mail | Union Européenne (Irlande) |
Coop Symbiotic | Sauvegardes pour les utilisateurs hébergés en Europe | Union Européenne (Finlande) |
OSUOSL | Sauvegardes pour les utilisateurs hébergés aux Étas-Unis | Étas-Unis (Oregon) |
Vous pouvez demander l’envoy d’un e-mail de notification chaque fois que nous mettons à jour cette pièce jointe 1.