Veuillez trouver ci-dessous une version traduite de l'Addenda relatif au traitement des données de Mailchimp. En cas de conflit entre la traduction des conditions et la version en anglais de ces conditions, c'est la version en anglais qui prévaudra.
Le présent Addenda relatif au traitement des données (« ATD ») est incorporé et soumis aux conditions générales du Contrat entre The Rocket Science Group LLC faisant affaire sous le nom de Mailchimp (avec ses Affiliés, « Mailchimp ») et l’entité cliente qui est partie au Contrat en tant que Membre (« Client »).
Tous les termes commençant par une majuscule qui ne sont pas définis dans le présent ATD auront la signification indiquée dans le Contrat. Pour éviter toute ambiguïté, toutes les références au « Contrat » incluront le présent ATD (y compris les CCT [le cas échéant], telles que définies dans les présentes).
1. Définitions
"Affilié" désigne une entité qui, directement ou indirectement, contrôle, est contrôlée par ou est sous contrôle commun avec une entité.
"Contrat" désigne les Conditions générales d'utilisation de Mailchimp, ou tout autre accord écrit ou électronique, qui régissent la prestation du Service au Client, tels que ces conditions ou cet accord peuvent être mis à jour de temps à autre.
"Contrôler" désigne une propriété, un vote ou un intérêt similaire représentant cinquante pour cent (50 %) ou plus du total des intérêts émis de l'entité en question. Le terme "Contrôlé" doit être interprété en conséquence.
"Données client" désigne toute donnée à caractère personnel que Mailchimp traite au nom du Client via le Service, comme décrit plus en détail dans le présent ATD.
"Lois sur la protection des données" désigne toutes les lois et réglementations de protection des données applicables au traitement par une partie des Données client en vertu du Contrat, y compris, le cas échéant, les Lois européennes sur la protection des données et les Lois non européennes sur la protection des données.
"Lois européennes sur la protection des données" désigne toutes les lois et réglementations sur la protection des données applicables à l'Europe, y compris (i) le Règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement général sur la protection des données, "RGPD") ; (ii) la Directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ; (iii) les mises en œuvre nationales applicables des points (i) et (ii) ; (iv) le RGPD tel qu'il est intégré à la législation britannique en vertu de la section 3 de la Loi de 2018 de l'Union européenne (Retrait) (UK European Union [Withdrawal] Act) du Royaume-Uni et de la Loi 2018 du Royaume-Uni sur la protection des données (Data Protection Act) (ensemble, "Lois britanniques sur la protection des données") ; et (v) la Loi fédérale suisse sur la protection des données du 19 juin 1992 et son Ordonnance ("LPD suisse").
"Europe" désigne, aux fins du présent ATD, l'Espace économique européen et ses États membres ("EEE"), la Suisse et le Royaume-Uni ("R.-U".)
"Lois non européennes sur la protection des données" désigne la Loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act, "CCPA"), la Loi canadienne sur la protection des informations à caractère personnel et les documents électroniques (Canadian Personal Information Protection and Electronic Documents Act, "PIPEDA"), la Loi fédérale brésilienne générale sur la protection des données (General Data Protection Law, "LGPD"), n° 13,709/2018 et la Loi australienne sur la protection de la vie privée (Privacy Act 1988 [Cth]), telle que modifiée ("Loi australienne sur la protection de la vie privée").
"CCT" désigne (i) les clauses contractuelles types entre les responsables du traitement et les sous-traitants adoptées par la Commission européenne dans sa décision de mise en œuvre (UE) 2021/91 du 4 juin 2021, et actuellement disponibles ici (les "Clauses du Responsable du traitement au Sous-traitant - 2021") ; ou (ii) les clauses contractuelles types entre sous-traitants adoptées par la Commission européenne dans sa décision de mise en œuvre (UE) 2021/91 du 4 juin 2021, et actuellement disponibles ici (les "Clauses de Sous-traitant à Sous-traitant - 2021") ; le cas échéant, conformément à la section 6.3.
"Incident de sécurité" désigne toute violation non autorisée ou illégale de la sécurité entraînant la destruction, la perte ou l'altération accidentelles ou illégales, ou la divulgation ou l'accès non autorisés aux Données client sur des systèmes gérés ou contrôlés par Mailchimp.
"Données sensibles" désigne (a) le numéro de sécurité sociale, le numéro de dossier fiscal, le numéro de passeport, le numéro de permis de conduire, ou identifiant similaire (ou toute partie de ceux-ci) ; (b) le numéro de carte de crédit ou de débit (autre que le numéro tronqué [quatre derniers chiffres] d'une carte de crédit ou de débit) ; (c) les informations concernant l'emploi, financières, de crédit, génétiques, biométriques ou de santé ; (d) l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, les informations sur la vie ou l'orientation sexuelle, ou le casier judiciaire ; (e) les mots de passe de compte ; ou (f) d'autres informations qui relèvent de la définition de "catégories particulières de données" en vertu des Lois sur la protection des données.
"Sous-traitant" désigne tout sous-traitant engagé par Mailchimp ou ses Affiliés pour l'aider à remplir ses obligations en ce qui concerne la prestation du Service conformément au Contrat ou au présent ATD. Les sous-traitants ultérieurs peuvent inclure des tiers ou des Affiliés de Mailchimp, mais excluent les employés, sous-traitants ou consultants de Mailchimp.
"Addendum britannique" désigne l'Addendum international sur le transfert de données (version B1.0) publié par l'Information Commissioner's Office (Bureau du commissaire à l’information) en vertu de l'article S.119(A) du UK Data Protection Act 2018 (loi britannique sur la protection des données de 2018), tel que mis à jour ou modifié de temps à autre.
Les termes "données à caractère personnel", "responsable du traitement", "personne concernée", "sous-traitant" et "traitement" auront la signification qui leur est donnée en vertu des Lois sur la protection des données ou, s'ils ne sont pas définis en vertu des présentes, le RGPD, et "traiter", "traite"" et "traité", en ce qui concerne les Données client, seront interprétés en conséquence.
2. Rôles et responsabilités
2.1 Rôles des parties. Si les Lois européennes sur la protection des données ou la LGPD s’appliquent au traitement des Données client par l’une ou l’autre partie, les parties reconnaissent et conviennent qu’en ce qui concerne le traitement des Données client, Mailchimp est un sous-traitant agissant pour le compte du Client (qu’il soit lui-même un responsable du traitement ou un sous-traitant). Pour éviter toute ambiguïté, le présent ATD ne s’applique pas aux cas où Mailchimp est le responsable du traitement (tel que défini par les Lois européennes sur la protection des données), sauf indication contraire dans l’Annexe C (Dispositions spécifiques à la juridiction) du présent ATD.
2.2 Limitation de la finalité. Mailchimp traitera les Données client, comme décrit plus en détail dans l’Annexe A (Détails du traitement des données) du présent ATD, uniquement conformément aux instructions légales documentées du Client telles qu’énoncées dans le présent ATD, dans la mesure nécessaire pour se conformer à la loi applicable, ou tel qu’autrement convenu par écrit (« Finalités autorisées »). Les parties conviennent que le Contrat, y compris le présent ATD, ainsi que la configuration ou l’utilisation par le Client de tout paramètre, caractéristique, ou option du Service (que le Client pourra être en mesure de modifier de temps à autre) constituent les instructions complètes et définitives du Client à Mailchimp en ce qui concerne le traitement des Données client (y compris aux fins des CCT) et le traitement en dehors du champ d’application de ces instructions (le cas échéant) nécessitera un accord écrit préalable entre les parties.
2.3 Données interdites. Le Client ne fournira (ou fera en sorte que ne soit fournie) aucune Donnée sensible à Mailchimp pour traitement en vertu du Contrat et Mailchimp n’assumera aucune responsabilité de quelque nature que ce soit pour les Données sensibles, que ce soit en lien avec un Incident de sécurité ou autrement. Pour éviter toute ambiguïté, le présent ATD ne s’appliquera pas aux Données sensibles.
2.4 Conformité du client. Le Client déclare et garantit que (i) il s’est conformé, et continuera à se conformer, à toutes les lois applicables, y compris les Lois sur la protection des données concernant son traitement des Données client et toutes les instructions de traitement qu’il émet à l’attention de Mailchimp ; et (ii) il a fourni, et continuera de fournir, tous les avis, et a obtenu, et continuera d’obtenir, tous les consentements et droits nécessaires en vertu des Lois sur la protection des données pour que Mailchimp traite les Données client aux fins décrites dans le Contrat. Le Client est seul responsable de l’exactitude, de la qualité et de la légalité des Données client et des moyens par lesquels le Client a acquis les Données client. Sans préjudice du caractère général de ce qui précède, le Client convient qu’il sera responsable de se conformer à toutes les lois (y compris les Lois sur la protection des données) applicables à toutes les Campagnes (telles que définies dans le Contrat) ou à tout autre contenu créé, envoyé ou géré par l’intermédiaire du Service, y compris celles relatives à l’obtention de consentements (le cas échéant) pour envoyer des e-mails, le contenu des e-mails et leurs pratiques de déploiement par e-mail.
2.5 Légalité des instructions du Client. Le Client s’assurera que le traitement des Données client par Mailchimp conformément aux instructions du Client n’entraînera pas la violation par Mailchimp de toute loi, réglementation ou règle applicable, y compris, sans limitation, les Lois sur la protection des données. Mailchimp informera rapidement le Client par écrit, à moins qu’il ne soit interdit du faire en vertu des Lois européennes sur la protection des données, s’il prend connaissance ou estime qu’une instruction de traitement des données du Client enfreint les Lois européennes sur la protection des données. Lorsque le Client agit en tant que sous-traitant pour le compte d’un responsable du traitement tiers (ou d’un autre intermédiaire du responsable du traitement ultime), le Client garantit que ses instructions de traitement telles qu’énoncées dans le Contrat et le présent ATD, y compris ses autorisations à Mailchimp pour la nomination de Sous-traitants ultérieurs conformément au présent ATD, ont été autorisées par le responsable du traitement concerné. Le Client servira d’unique point de contact pour Mailchimp et Mailchimp n’aura pas besoin d’interagir directement avec (y compris pour fournir des notifications à ou demander une autorisation) tout responsable du traitement tiers autre que par le biais d’une prestation régulière du Service dans la mesure requise en vertu du Contrat. Le Client sera responsable de la transmission de toutes les notifications reçues en vertu du présent ATD au responsable du traitement concerné, le cas échéant.
3. Sous-traitance ultérieure
3.1 Sous-traitants ultérieurs autorisés. Le Client accepte que Mailchimp puisse engager des Sous-traitants ultérieurs pour traiter les Données client pour le compte du Client. Les Sous-traitants ultérieurs actuellement engagés par Mailchimp et autorisés par le Client sont disponibles ici. Mailchimp informera le Client s’ils ajoutent ou suppriment des Sous-traitants ultérieurs au moins 10 jours avant ces modifications si le Client choisit de recevoir ces notifications en cliquant ici.
3.2 Obligations du Sous-traitant ultérieur. Mailchimp devra : (i) conclure un accord écrit avec chaque Sous-traitant ultérieur contenant des obligations en matière de protection des données qui fournissent au moins le même niveau de protection des Données client que celui prévu dans le présent ATD., dans la mesure applicable à la nature du service fourni par ledit Sous-traitant ultérieur ; et (ii) demeurer responsable du respect par ledit Sous-traitant ultérieur des obligations du présent ATD et de tout acte ou omission dudit Sous-traitant ultérieur qui amène Mailchimp à enfreindre l’une quelconque de ses obligations en vertu du présent ATD. Le Client reconnaît et convient que, le cas échéant, Mailchimp s’acquitte de ses obligations en vertu de la clause 9 des Clauses 2021 entre responsable du traitement et sous-traitant et des Clauses 2021 de sous-traitant à sous-traitant (le cas échéant) en se conformant à la présente section 3 et qu’il peut être interdit à Mailchimp de divulguer des accords de sous-traitance ultérieure au Client en raison de restrictions de confidentialité, mais Mailchimp s’engage à, sur demande, déployer des efforts raisonnables pour fournir au Client toutes les informations pertinentes qu’ils peuvent raisonnablement obtenir en lien avec les accords de Sous-traitant ultérieur.
4. Sécurité
4.1 Mesures de sécurité. Mailchimp mettra en œuvre et maintiendra des mesures de sécurité techniques et organisationnelles appropriées conçues pour protéger les Données client contre les Incidents de sécurité et pour préserver la sécurité et la confidentialité des Données client conformément aux normes de sécurité de Mailchimp décrites à l'Annexe B ("Mesures de sécurité") du présent ATD.
4.2 Confidentialité du traitement. Mailchimp veillera à ce que toute personne autorisée par Mailchimp à traiter les Données client (y compris son personnel, ses représentants et ses sous-traitants) soit soumise à une obligation de confidentialité appropriée (qu'il s'agisse d'une obligation contractuelle ou légale).
4.3 Mises à jour des Mesures de sécurité. Le Client est responsable de l'examen des informations mises à disposition par Mailchimp concernant la sécurité des données et de la détermination indépendante de la conformité du Service aux exigences et obligations légales du Client en vertu des Lois sur la protection des données. Le Client reconnaît que les Mesures de sécurité sont soumises à des progrès et à des développements techniques et que Mailchimp peut mettre à jour ou modifier les Mesures de sécurité de temps à autre, à condition que ces mises à jour et modifications n'entraînent pas la dégradation de la sécurité globale du Service fourni au Client.
4.4 Réponse aux incidents de sécurité. Après avoir pris connaissance d'un Incident de sécurité, Mailchimp : (i) informera le Client sans délai injustifié, et lorsque cela est possible, au plus tard 48 heures après avoir pris connaissance ; (ii) fournira des informations en temps opportun concernant l'Incident de sécurité dès qu'il est connu ou raisonnablement demandé par le Client ; et (iii) prendra rapidement des mesures raisonnables pour contenir et enquêter sur tout Incident de sécurité. La notification ou la réponse de Mailchimp à un Incident de sécurité en vertu de la présente section 4.4 ne sera pas interprétée comme une reconnaissance par Mailchimp d'une faute ou d'une responsabilité en ce qui concerne l'Incident de sécurité.
4.5 Responsabilités du Client. Nonobstant ce qui précède, le Client convient, sauf disposition contraire du présent ATD, qu'il est responsable de son utilisation sécurisée du Service, y compris la sécurisation de ses identifiants d'authentification de compte, la protection de la sécurité des Données client lorsqu'elles sont en transit vers et depuis le Service, et prend toutes les mesures appropriées pour chiffrer ou sauvegarder en toute sécurité les Données client téléchargées vers le Service.
5. Rapports relatifs à la sécurité et audits
5.1 Droits en matière d’audit. Mailchimp devra mettre à la disposition du Client toutes les informations raisonnablement nécessaires pour prouver la conformité au présent Addendum relatif au traitement des données (ATD), et autoriser les audits et contribuer à ceux-ci, y compris les inspections par le Client afin d’évaluer la conformité au présent ATD. Le Client reconnaît et convient qu’il exercera ses droits d’audit en vertu du présent ATD (y compris cette section 5.1 et, le cas échéant, les clauses contractuelles types (CCT), et tout droit d’audit accordé par les lois sur la protection des données, en demandant à Mailchimp de se conformer aux mesures relatives à l’audit décrites aux sections 5.2 et 5.3 ci-dessous.
5.2 Rapports relatifs à la sécurité. Le Client reconnaît que Mailchimp est régulièrement auditée selon les normes les plus élevées de son secteur d’activité, par des auditeurs tiers indépendants et des auditeurs internes. Sur demande écrite effectuée ici, Mailchimp devra fournir ou (de manière confidentielle) une copie récapitulative de son ou ses rapports d’audit les plus récents (« Rapport ») au Client, afin que le Client puisse vérifier la conformité de Mailchimp aux normes d’audit selon lesquelles Mailchimp a été évalué et sa conformité au présent ATD.
5.3 Diligence raisonnable relative à la sécurité. En plus du Rapport, Mailchimp devra répondre à toutes les demandes raisonnables d’informations formulées par le Client pour confirmer la conformité de Mailchimp au présent ATD, en mettant à disposition des informations supplémentaires concernant son programme de sécurité des informations, sur demande écrite du Client, à condition que le Client n’exerce pas ce droit plus d’une fois par année civile. Les clients peuvent soumettre leurs demandes ici.
6. Transferts internationaux
6.1 Emplacements des centres de données. Sous réserve de la section 6.2, le Client reconnaît que Mailchimp peut transférer et traiter les Données client vers et aux États-Unis et partout ailleurs dans le monde où Mailchimp, ses Affiliés ou ses Sous-traitants ultérieurs gèrent les opérations de traitement des données. Mailchimp s'assurera à tout moment que ces transferts sont effectués conformément aux exigences des Lois sur la protection des données et du présent ATD.
6.2 Données australiennes. Dans la mesure où Mailchimp est destinataire des Données client protégées par la Loi australienne sur la protection de la vie privée, les parties reconnaissent et acceptent que Mailchimp peut transférer ces Données client en dehors de l'Australie, conformément aux conditions convenues par les parties et sous réserve que Mailchimp se conforme au présent ATD et à la Loi australienne sur la protection de la vie privée.
6.3 Transferts de données au sein de l'EEE. Dans la mesure où Mailchimp est destinataire de Données client protégées par le RGPD dans un pays en dehors de l'EEE qui n'est pas reconnu comme fournissant un niveau adéquat de protection des données à caractère personnel (tel que décrit dans les Lois européennes sur la protection des données applicables), les parties conviennent de respecter et de traiter lesdites Données client conformément aux CCT, qui seront incorporées et feront partie intégrante du présent ATD.
6.4 Transferts de données au Royaume-Uni. En ce qui concerne les transferts auxquels les Lois britanniques sur la protection des données s'appliquent, les CCT s'appliqueront et seront réputées modifiées comme spécifié par l'Addendum britannique. L'Addendum britannique sera réputé signé par les parties et intégré au présent ATD et en fera partie intégrante. En outre : Les Tableaux 1 à 3 de la Partie 1 de l'Addendum britannique seront réputés complétés avec les informations énoncées dans les Annexes I et II des CCT pertinentes ; et le Tableau 4 de la Partie 1 de l'Addendum britannique sera réputé complété en sélectionnant "aucune des parties".
6.5 Transferts de données en Suisse. En ce qui concerne les transferts auxquels l'ATD suisse s'applique, les CCT s'appliqueront conformément à la Section 6.3 avec les modifications suivantes : (i) les références au "Règlement (UE) 2016/679" doivent être interprétées comme des références à l'ATD suisse ; (ii) les références aux articles spécifiques du "Règlement (UE) 2016/679" seront remplacées par l'article ou la section équivalent de l'ATD suisse ; (iii) les références à l'"UE", à l'"Union" et à la "législation d'un État membre" seront remplacés par la "Suisse" ; (iv) la Clause 13(a) et la Partie C de l'Annexe II seront supprimées ; (v) les références à l'"autorité de contrôle compétente" et aux "tribunaux compétents" seront remplacées par "le Préposé fédéral à la protection des données et à la transparence (PFPDT)" et les "tribunaux compétents en Suisse" ; (vi) la Clause 17 sera remplacée pour indiquer que "les Clauses sont régies par les lois suisses" ; et (vii) la Clause 18 sera remplacée pour indiquer que "tout litige découlant des présentes Clauses sera résolu par les tribunaux suisses applicables. Les parties conviennent de se soumettre à la compétence desdits tribunaux".
6.6 Conformité aux CCT. Les parties conviennent que si Mailchimp ne peut pas garantir la conformité aux CCT, ils informeront rapidement le Client de leur incapacité à se conformer. Si le Client a l'intention de suspendre le transfert des Données européennes ou de résilier les parties affectées du Service, il devra d'abord notifier Mailchimp et fournir à Mailchimp un délai raisonnable pour remédier à cette non-conformité, période pendant laquelle Mailchimp et le Client devront raisonnablement coopérer pour convenir des mesures ou mesures de protection supplémentaires, le cas échéant, qui peuvent être raisonnablement requises. Le Client sera autorisé à suspendre le transfert de données ou à résilier les parties affectées du Service pour non-conformité aux CCT uniquement si Mailchimp n'a pas ou ne peut pas remédier à la non-conformité dans un délai raisonnable.
6.7 Mécanisme de transfert alternatif. En outre, dans la mesure où Mailchimp adopte un mécanisme de transfert de données alternatif légal pour le transfert des Données européennes non décrit dans le présent ATD (Mécanisme de transfert alternatif), le Mécanisme de transfert alternatif s'appliquera à la place des mécanismes de transfert décrits dans le présent ATD (mais uniquement dans la mesure où ledit Mécanisme de transfert alternatif est conforme aux Lois européennes sur la protection des données et s'étend aux pays dans lesquels les Données européennes sont transférées). En outre, si et dans la mesure où un tribunal compétent ou une autorité de contrôle ordonne (pour quelque raison que ce soit) que les mesures décrites dans le présent ATD ne peuvent pas être invoquées pour transférer légalement des Données européennes (au sens des Lois européennes sur la protection des données), Mailchimp pourra mettre en œuvre des mesures ou des garanties supplémentaires qui peuvent être raisonnablement requises pour permettre le transfert légal des Données européennes.
7. Retour ou effacement des données
Effacement ou retour à la résiliation. Lors de la résiliation ou de l’expiration du Contrat, Mailchimp devra (à la discrétion du Client) effacer ou renvoyer au Client toutes les Données client (y compris les copies) en sa possession ou sous son contrôle, à l’exception du fait que cette exigence ne s’applique pas dans la mesure où Mailchimp est tenu par la loi applicable de conserver une partie ou la totalité des Données client, ou aux Données client qu’il a archivées sur des systèmes de sauvegarde, Données client que Mailchimp devra isoler en toute sécurité, protéger contre tout traitement ultérieur et éventuellement effacer conformément aux politiques d’effacement de Mailchimp, sauf dans la mesure requise par la loi applicable. Les parties conviennent que la certification d’effacement des Données client décrite dans les clauses 8.5 et 16(d) des Clauses 2021 responsable du traitement à sous-traitant et des Clauses 2021 sous-traitant à sous-traitant (le cas échéant) sera fournie par Mailchimp au Client uniquement sur demande écrite du Client.
8. Droits et coopération des personnes concernées
8.1 Demandes des personnes concernées. Dans le cadre du Service, Mailchimp fournit au Client un certain nombre de fonctionnalités en libre-service que le Client peut utiliser pour récupérer, corriger, effacer ou limiter l’utilisation des Données client, et qu’il peut utiliser pour l’aider (ou aider son responsable du traitement tiers) à assumer ses obligations en vertu des lois sur la protection des données lorsqu’il s’agit de répondre aux demandes des personnes concernées via le compte du Client, sans frais supplémentaires. En outre, Mailchimp doit, compte tenu de la nature du traitement, fournir au Client une assistance supplémentaire raisonnable dans la mesure du possible pour permettre à celui-ci (ou à son responsable du traitement tiers) de se conformer à ses obligations de protection des données en ce qui concerne les droits des personnes concernées en vertu des lois sur la protection des données. Si une telle demande est directement envoyée à Mailchimp, Mailchimp ne devra pas répondre à ladite communication directement, sauf si cela est approprié (p. ex., pour demander à la personne concernée de contacter le Client) ou légalement requis, sans avoir préalablement obtenu l’autorisation du Client. Si Mailchimp est tenu de répondre à une telle demande, Mailchimp devra, lorsque le Client est identifié ou identifiable à partir de la demande, notifier rapidement le Client et fournir à celui-ci une copie de la demande, sauf s’il est légalement interdit à Mailchimp de le faire. Afin d’éviter toute ambiguïté, aucune disposition du Contrat (y compris le présent Addendum relatif au traitement des données, ATD) ne saurait restreindre ou empêcher Mailchimp de répondre à toute demande d’une personne concernée ou d’une autorité de protection des données concernant des données à caractère personnel pour lesquelles Mailchimp est responsable du traitement.
8.2 Analyses d’impact relatives à la protection des données. Dans la mesure requise par les lois sur la protection des données, Mailchimp devra (compte tenu de la nature du traitement et des informations mises à la disposition de Mailchimp) fournir toutes les informations raisonnablement demandées concernant le Service pour permettre au Client d’effectuer des analyses d’impact relatives à la protection des données ou de mener des consultations préalables avec les autorités de protection des données, comme l’exigent les lois sur la protection des données. Mailchimp devra respecter les exigences précitées : i) en se conformant à la section 5 (Rapports sur la sécurité et Audits) ; ii) en fournissant les informations qui figurent dans le Contrat, y compris le présent ATD ; et iii) si les sous-sections i) et ii) précédentes sont insuffisantes pour que le Client se conforme auxdites obligations, sur demande, en fournissant une assistance raisonnable supplémentaire (aux frais du Client).
9. Dispositions spécifiques à la juridiction
Dans la mesure où Mailchimp traite des Données client provenant de, et protégées par les Lois sur la protection des données dans l’une des juridictions énumérées à l’Annexe C, les dispositions spécifiées à l’Annexe C concernant la ou les juridiction(s) applicables (« Dispositions spécifiques à la juridiction ») s’appliquent en plus des conditions du présent ATD. En cas de conflit ou d’ambiguïté entre les Dispositions spécifiques à la juridiction et toute autre condition du présent ATD, les Dispositions spécifiques à la juridiction applicables prévaudront, mais uniquement dans la mesure de l’applicabilité des Dispositions spécifiques à la juridiction à Mailchimp.
10. Limitation de responsabilité
10.1 La responsabilité de chaque partie et de tous leurs Affiliés, dans leur ensemble, découlant du présent ATD ou s’y rapportant (y compris les CCT), sera soumise aux exclusions et limitations de responsabilité énoncées dans le Contrat.
10.2 Toute réclamation faite à l’encontre de Mailchimp ou de ses Affiliés en vertu du présent ATD ou en relation avec celui-ci (y compris, le cas échéant, les CCT) doit être présentée uniquement par l’entité du Client qui est partie au Contrat.
10.3 En aucun cas, une partie ne doit limiter sa responsabilité à l’égard des droits de protection des données d’une personne en vertu du présent ATD ou autrement.
11. Relation avec le Contrat
11.1 Le présent ATD demeurera applicable aussi longtemps que Mailchimp effectuera les opérations de traitement des Données client pour le compte du Client ou jusqu’à la résiliation du Contrat (et que toutes les Données client auront été retournées ou effacées conformément à la section 7.1 ci-dessus).
11.2 Les parties conviennent que le présent ATD remplacera tout accord de traitement de données existant ou document similaire que les parties pourraient avoir précédemment conclu en lien avec le Service.
11.3 En cas de conflit ou d’incohérence entre le présent ATD et les Conditions générales d’utilisation, les dispositions des documents suivants (par ordre de priorité) prévaudront : (i) les CCT ; puis (ii) le présent ATD ; et ensuite (iii) les Conditions générales d’utilisation.
11.4 À l’exception de toute modification apportée par le présent ATD, le Contrat demeure inchangé et pleinement applicable.
11.5 Personne d’autre qu’une partie au présent ATD, ses successeurs et ayants droit autorisés n’aura le droit d’appliquer l’une quelconque de ses conditions.
11.6 Le présent ATD sera régi et interprété conformément aux dispositions du droit applicable et de la juridiction dans le Contrat, sauf disposition contraire des Lois sur la protection des données.
Annexe A – Détails du traitement des données
(a) Catégories de personnes concernées :
Les catégories de personnes concernées dont les données à caractère personnel sont traitées comprennent (i) les Membres (c.-à-d. les utilisateurs finaux individuels ayant accès à un compte Mailchimp) et (ii) les Contacts (c.-à-d. les abonnés du Membre et d’autres personnes à propos desquelles un Membre nous a donné des informations ou qui ont autrement interagi avec un Membre via le Service).
(b) Catégories de données à caractère personnel :
Le Client peut télécharger, soumettre ou autrement fournir certaines données à caractère personnel au Service, dont l’étendue est généralement déterminée et contrôlée par le Client à sa discrétion exclusive, et peut inclure les types de données à caractère personnel suivants :
- Membres : Données d’identification et de contact (nom, adresse, titre, coordonnées, nom d’utilisateur), informations financières (informations de carte de crédit, détails du compte, informations de paiement), informations sur l’emploi (employeur, intitulé de poste, emplacement géographique, zone de responsabilité).
- Contacts : Identification et coordonnées (nom, date de naissance, genre, informations générales, sur l’emploi ou autres informations démographiques, adresse, fonction, coordonnées, y compris l’adresse e-mail), intérêts ou préférences personnels (y compris l’historique des achats, préférences marketing et informations de profil de réseaux sociaux publiquement disponibles), informations informatiques (adresses IP, données d’utilisation, données de cookies, données de navigation en ligne, données de localisation, données du navigateur), informations financières (détails de carte de crédit, détails du compte, informations de paiement).
(c) Données sensibles traitées (le cas échéant) :
Mailchimp ne souhaite pas collecter ou traiter intentionnellement des Données sensibles en lien avec la prestation du Service, et ils ne le font pas.
(d) Fréquence du traitement :
Continu et tel que déterminé par le Client.
(e) Objet et nature du traitement :
Mailchimp fournit un service d’e-mail, une plateforme d’automatisation et de marketing et d’autres services connexes, comme décrit plus en détail dans le Contrat. L’objet du traitement des données en vertu du présent ATD est les Données client. Les Données client seront traitées conformément au Contrat (y compris le présent ATD) et pourront être soumises aux activités de traitement suivantes :
- Stockage et autre traitement nécessaire pour fournir, maintenir et améliorer le Service fourni au Client conformément au Contrat ; ou
- Divulgations conformément au Contrat ou tel que imposé par la loi applicable.
(f) Finalité du traitement :
Mailchimp traitera uniquement les Données client pour les Finalités autorisées, qui comprendront : (i) le traitement nécessaire pour fournir le Service conformément au Contrat ; (ii) le traitement initié par le Client dans son utilisation du Service ; et (iii) le traitement pour se conformer à toutes les autres instructions raisonnables fournies par le Client (par exemple, par e-mail ou par des tickets d’assistance) qui sont conformes aux conditions du Contrat.
(g) Durée du traitement et période pendant laquelle les données à caractère personnel seront conservées :
Mailchimp traitera les Données client comme indiqué à la section 7 (Retour ou effacement des données) du présent ATD.
Annexe B – Mesures de sécurité
Les Mesures de sécurité applicables au Service sont décrites ici (telles que mises à jour de temps à autre conformément à la section 4.3 du présent ATD).
Annexe C – Dispositions spécifiques au pays
Europe :
Opposition aux Sous-traitants ultérieurs. Le Client peut s’opposer par écrit à la nomination par Mailchimp d’un nouveau Sous-traitant ultérieur dans les cinq (5) jours civils suivant la réception de la notification, conformément à la section 3.1 de l’Addendum relatif au traitement des données (ATD), à condition que cette opposition soit fondée sur des motifs raisonnables relatifs à la protection des données. Dans ce cas, les parties devront discuter de ces préoccupations de bonne foi en vue de parvenir à une résolution commercialement raisonnable. S’il n’est pas possible de parvenir à une telle résolution, Mailchimp décidera, à son entière discrétion, soit de ne pas nommer un tel sous-traitant ultérieur, ou d’autoriser le Client à suspendre ou résilier le Service concerné, conformément aux dispositions de résiliation du Contrat, sans engager la responsabilité envers l’une ou l’autre partie (mais sans préjudice des frais encourus par le Client avant la suspension ou la résiliation).
Demandes d’accès aux données gouvernementales. De manière générale, Mailchimp ne fournit pas volontairement aux agences ou autorités gouvernementales (y compris les forces de l’ordre) un accès aux comptes Mailchimp ou des informations sur ceux-ci (y compris les Données client). Si Mailchimp reçoit une demande impérative (que ce soit via une assignation à comparaître, une décision judiciaire, un mandat de perquisition, ou autre processus juridique valide) émanant d’une agence ou autorité gouvernementale (y compris les forces de l’ordre) pour accéder à un compte Mailchimp ou obtenir des informations sur celui-ci (y compris les Données client) appartenant à un Client dont les coordonnées principales indiquent que le Client est situé en Europe, Mailchimp devra : i) vérifier la légalité de la demande ; ii) informer l’agence gouvernementale que Mailchimp est un sous-traitant des données ; iii) tenter de rediriger l’agence vers le Client pour obtenir les données directement auprès de celui-ci ; iv) notifier le Client, en lui envoyant un e-mail à son adresse électronique principale, de la demande consistant à lui permettre de demander une mesure conservatoire ou tout autre recours approprié ; et v) fournir la quantité minimale d’informations autorisées en répondant à l’agence ou autorité, sur la base d’une interprétation raisonnable de la demande. Dans le cadre de cet effort, Mailchimp pourra fournir les coordonnées principales et de facturation du Client à l’agence. Mailchimp n’est pas tenue de se conformer à ce paragraphe 2 si la loi lui interdit de le faire, ou si Mailchimp estime raisonnablement et de bonne foi qu’il est nécessaire d’accéder de toute urgence auxdites informations pour éviter d’encourir un risque imminent de préjudice grave envers une personne, d’atteinte à la sécurité publique, ou de dommages aux biens de Mailchimp, au Site ou au Service de Mailchimp, mais lorsqu’il est légalement interdit à Mailchimp de notifier le Client des demandes, Mailchimp devra faire de son mieux pour obtenir une dérogation à ladite interdiction.
Californie :
Sauf indication contraire, la définition de : « responsable du traitement » comprend « Entreprise » ; celle de « sous-traitant » comprend « Prestataire de services » ; celle de « personne concernée » comprend « Consommateur » ; celle de « données à caractère personnel » comprend « Informations personnelles » ; dans chaque cas, tel que défini dans le California Consumer Privacy Act (CCPA – loi californienne sur la protection de la vie privée des consommateurs).
Pour cette section « Californie » de l’Annexe C uniquement, « Finalités autorisées » inclut le traitement des Données client uniquement aux fins décrites dans le présent ATD et conformément aux instructions légales documentées du Client telles qu’elles sont énoncées dans le présent ATD, dans la mesure nécessaire pour se conformer à la loi applicable, tel que convenu autrement par écrit, y compris, sans limitation, dans le Contrat, ou tel qu’autrement autorisé pour les « prestataires de services » en vertu du CCPA.
Les obligations de Mailchimp concernant les demandes des personnes concernées, telles que décrites à la section 8 (Droits des personnes concernées et coopération) du présent ATD, s’étendent aux demandes de droits en vertu du CCPA.
Nonobstant toute restriction d’utilisation figurant ailleurs dans le présent ATD, Mailchimp devra traiter les Données client afin d’exécuter le Service, pour les Finalités autorisées, et/ou conformément aux instructions légales documentées du Client, ou tel qu’autrement autorisé ou requis par la loi applicable.
Nonobstant toute restriction d’utilisation figurant ailleurs dans la présente Annexe C, Mailchimp peut anonymiser ou agréger les Données client dans le cadre de l’exécution du Service spécifié dans le présent ATD et le Contrat.
Lorsque les Sous-traitants ultérieurs traitent les Informations personnelles des contacts du Client, Mailchimp prend des mesures pour s’assurer que lesdits Sous-traitants ultérieurs sont des Prestataires de services en vertu du CCPA avec lesquels Mailchimp a conclu un contrat écrit incluant des conditions substantiellement similaires à la présente section « Californie » de l’Annexe C ou sont autrement exemptés de la définition de « vente » du CCPA. Mailchimp soumet ses Sous-traitant ultérieurs à un processus de diligence raisonnable approprié.
Canada :
Mailchimp prend des mesures pour s’assurer que les Sous-traitant ultérieurs de Mailchimp, comme décrit à la section 3 (Sous-traitance ultérieure) de l’ATD, sont des tiers en vertu de la loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), avec lesquels Mailchimp a conclu un contrat écrit qui inclut des conditions substantiellement similaires au présent ATD. Mailchimp soumet ses Sous-traitant ultérieurs à un processus de diligence raisonnable approprié.
Mailchimp mettra en œuvre des mesures techniques et organisationnelles, telles qu’elles sont énoncées à la section 4 (Sécurité) de l’ATD.
Entrée en vigueur le 1er août 2023