Passer au contenu principal

Dispositions juridiques

Addendum relatif au traitement des données

Télécharger la page

Le présent Addendum relatif au traitement des données (« ATD ») est incorporé et soumis aux conditions générales du Contrat entre The Rocket Science Group LLC faisant affaire sous le nom de Mailchimp (avec ses Affiliés, « Mailchimp ») et l'entité cliente qui est partie au Contrat en tant que Membre (« Client »).

Tous les termes commençant par une majuscule qui ne sont pas définis dans le présent ATD auront la signification indiquée dans le Contrat. Pour éviter toute ambiguïté, toutes les références au « Contrat » inclueront le présent ATD (y compris les CCT [le cas échéant], telles que définies dans les présentes).

1. Définitions

« Autres lois relatives à la protection des données » désigne les Lois états-uniennes relatives à la protection des données, la Loi canadienne relative à la protection des informations à caractère personnel et les documents électroniques (Canadian Personal Information Protection and Electronic Documents Act ou « PIPEDA »), la Loi fédérale brésilienne générale relative à la protection des données (General Data Protection Law ou « LGPD »), n° 13,709/2018 et la Loi australienne relative à la protection de la vie privée (Privacy Act 1988 [Cth]), telle que modifiée (« Loi australienne relative à la protection de la vie privée »).

« Affilié » désigne une entité qui, directement ou indirectement, contrôle, est contrôlée par ou est sous contrôle commun avec une entité.

« Contrat » désigne les Conditions générales d'utilisation de Mailchimp, ou tout autre accord écrit ou électronique, qui régissent la prestation du Service au Client, tels que ces conditions ou cet accord peuvent être mis à jour de temps à autre.

« Contrôle » désigne une propriété, un vote ou un intérêt similaire représentant cinquante pour cent (50 %) ou plus du total des intérêts émis de l'entité en question. Le terme « Contrôlé » doit être interprété en conséquence.

« Données client » désigne toute donnée à caractère personnel que Mailchimp traite au nom du Client via le Service, comme décrit plus en détail dans le présent ATD.

« Cadre de protection des données » désigne (selon le cas) le cadre de protection des données UE-États-Unis, le cadre de protection des données Suisse-États-Unis et l'extension britannique des programmes d'auto-certification du cadre de protection des données UE-États-Unis géré par le Ministère du commerce des États-Unis, et leurs successeurs respectifs (le « DPF »).

« Principes du cadre de protection des données » désigne les Principes et Principes supplémentaires contenus dans le Cadre de protection des données pertinent, tel que modifié ou remplacé.

« Lois relatives à la protection des données » désigne toutes les lois et réglementations de protection des données applicables au traitement des Données client par une partie en vertu du Contrat, y compris, le cas échéant, les Lois européennes relatives à la protection des données et les autres Lois non européennes relatives à la protection des données.

« Lois européennes relatives à la protection des données » désigne toutes les lois et réglementations relatives à la protection des données applicables à l'Europe (telles que modifiées ou remplacées de temps à autre), y compris (i) le Règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement général relatif à la protection des données, ou « RGPD ») ; (ii) la Directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ; (iii) les mises en œuvre nationales applicables des points (i) et (ii) ; (iv) le RGPD tel qu'il est intégré à la législation britannique en vertu de la section 3 de la Loi britannique de 2018 (sortie) de l'Union européenne (UK European Union [Withdrawal] Act) et de la Loi britannique de 2018 relative à la protection des données (Data Protection Act) (ensemble, « Lois britanniques relatives à la protection des données ») ; et (v) la Loi fédérale suisse relative à la protection des données du 19 juin 1992 et son Ordonnance (« ATD suisse »).

« Europe » désigne, aux fins du présent ATD, l'Espace économique européen et ses États membres (« EEE »), la Suisse et le Royaume-Uni (« R.-U »).

« Groupe Mailchimp » désigne The Rocket Science Group LLC exerçant ses activités sous le nom Mailchimp ou toute autre entité affiliée.

« CCT » désigne (i) les clauses contractuelles types entre les responsables du traitement et les sous-traitants adoptées par la Commission européenne dans sa décision de mise en œuvre (UE) 2021/91 du 4 juin 2021, et actuellement disponibles ici (les « Clauses du Responsable du traitement au Sous-traitant - 2021 ») ; ou (ii) les clauses contractuelles types entre sous-traitants adoptées par la Commission européenne dans sa décision de mise en œuvre (UE) 2021/91 du 4 juin 2021, et actuellement disponibles ici (les « Clauses de Sous-traitant à Sous-traitant - 2021 ») ; le cas échéant, conformément à la section 6.3.

« Incident de sécurité » désigne toute violation non autorisée ou illégale de la sécurité entraînant la destruction, la perte ou l'altération accidentelles ou illégales, ou la divulgation ou l'accès non autorisés aux Données client sur des systèmes gérés ou contrôlés par Mailchimp.

« Données sensibles » désigne (a) le numéro de sécurité sociale, le numéro de dossier fiscal, le numéro de passeport, le numéro de permis de conduire, ou identifiant similaire (ou toute partie de ceux-ci) ; (b) le numéro de carte de crédit ou de débit (autre que le numéro tronqué [quatre derniers chiffres] d'une carte de crédit ou de débit) ; (c) les informations concernant l'emploi, financières, de crédit, génétiques, biométriques ou de santé ; (d) l'origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, les informations relatives à la vie sexuelle ou à l'orientation sexuelle, ou le casier judiciaire ; (e) les mots de passe de compte ; ou (f) toutes autres informations qui relèvent de la définition de « catégories particulières de données » en vertu des Lois sur la protection des données.

« Service » désigne les services fournis en vertu du Contrat applicable.

« Sous-traitant » désigne tout sous-traitant engagé par Mailchimp ou ses Affiliés pour l'aider à remplir ses obligations en ce qui concerne la prestation du Service conformément au Contrat ou au présent ATD. Les sous-traitants ultérieurs peuvent inclure des tiers ou des Affiliés de Mailchimp, mais excluent les employés, sous-traitants ou consultants de Mailchimp.

« Addendum concernant le Royaume-Uni » désigne l'Addendum international relatif au transfert de données (version B1.0) publié par l'Information Commissioner's Office (Bureau du commissaire à l'information) en vertu de l'article S.119(A) du UK Data Protection Act 2018 (loi britannique sur la protection des données de 2018), tel que mis à jour ou modifié de temps à autre.

« Lois états-uniennes relatives à la protection des données » désigne toute loi fédérale, étatique et locale pertinente relative à la confidentialité (et toute réglementation de mise en œuvre et toute modification de celle-ci), les lois relatives à la surveillance des employés et les lois régissant l'interception des communications et s'appliquant au traitement des données personnelles en vertu du Contrat et/ou du Service, qui peut inclure, selon les circonstances et sans s'y limiter, la Loi relative à la protection des données personnelles des consommateurs résidant en Californie (Code Civil californien article 1798-100 et suivants), tel que modifié par la loi relative à la protection des données personnelles des consommateurs résidant en Californie de 2023 ainsi que ses textes d'application (« CCPA »).

Les termes « données à caractère personnel » , « responsable du traitement » , « personne concernée » , « sous-traitant ultérieur » et « traitement » auront la signification qui leur est donnée en vertu des Lois relatives à la protection des données ou, s'ils ne sont pas définis en vertu des présentes, du RGPD, et « traiter » , « traite » et « traité(e) » , en ce qui concerne les Données client, seront interprétés en conséquence.

2. Rôles et responsabilités

2.1 Rôles des parties. Pour les Finalités autorisées (définies ci-dessous), les parties reconnaissent et acceptent également qu'en ce qui concerne le traitement des Données Client, Mailchimp l'effectue en tant que sous-traitant ultérieur agissant au nom du Client (qu'elle soit elle-même responsable du traitement ou sous-traitant ultérieur au nom d'un responsable du traitement tiers). Pour éviter toute ambiguïté, le présent ATD ne s'applique pas aux cas où Mailchimp est le responsable du traitement des Données client, sauf description contraire dans l'Annexe C (Dispositions spécifiques au pays) du présent ATD.

2.2 Limitation de la finalité. Mailchimp traitera les Données client, comme décrit plus en détail dans l'Annexe A (Informations relatives au traitement des données) du présent ATD, uniquement conformément aux instructions légales documentées du Client, telles qu'elles sont énoncées dans le présent ATD, si nécessaire pour respecter la loi applicable, ou comme convenu autrement dans (« Finalités autorisées »). Les parties conviennent que le Contrat, y compris le présent ATD, ainsi que la configuration ou l'utilisation par le Client de tous les paramètres, fonctionnalités ou options du Service (tel que le Client peut être en mesure de les modifier de temps à autre), constituent les instructions complètes et finales envoyées à Mailchimp par le Client concernant le traitement des Données client (y compris aux fins des CCT) et le traitement en dehors du champ d'application de ces instructions (le cas échéant) nécessiteront un accord écrit préalable entre les parties.

2.3 Données interdites. Le client ne fournira pas (ou ne fera pas fournir) de Données sensibles à Mailchimp pour traitement en vertu du Contrat, et Mailchimp ne sera aucunement responsable des Données sensibles, que ce soit en lien avec un incident de sécurité ou autre. Pour éviter toute ambiguïté, le présent ATD ne s'appliquera pas aux Données sensibles.

2.4 Conformité du client. Le Client déclare et garantit que (i) il s'est conformé, et continuera à se conformer, à toutes les lois applicables, y compris les Lois relatives à la protection des données, en ce qui concerne son traitement des Données client et toute instruction de traitement qu'il donne à Mailchimp ; et (ii) il a fourni, et continuera à fournir, tous les avis et a obtenu, et continuera à obtenir, tous les consentements et droits nécessaires en vertu des Lois relatives à la protection des données pour que Mailchimp traite les Données client aux fins décrites dans le Contrat. Le Client est seul responsable de l’exactitude, de la qualité et de la légalité des Données client et des moyens utilisés par le Client pour collecter les Données client. Sans préjudice de la généralité de ce qui précède, le Client accepte qu'il soit responsable de se conformer à toutes les lois (y compris les Lois relatives à la protection des données) applicables à toutes les Campagnes (telles que définies dans le Contrat) ou à tout autre contenu créé, envoyé ou géré par le Service, y compris celles relatives à l'obtention de consentements (le cas échéant) pour envoyer des e-mails, le contenu des e-mails et ses pratiques de déploiement des e-mails.

2.5 Légalité des instructions du Client. Le Client veillera à ce que le traitement des Données client par Mailchimp conformément aux instructions du Client n'entraîne pas la violation par Mailchimp d'une loi, d'une réglementation ou d'une règle applicable, y compris, mais sans s'y limiter, les Lois relatives à la protection des données. Mailchimp devra rapidement informer le Client par écrit, sauf s'il est interdit de le faire en vertu des Lois européennes relatives à la protection des données, si l'entreprise prend connaissance ou estime que toute instruction de traitement des données du Client enfreint les Lois européennes relatives à la protection des données. Lorsque le Client agit en tant que sous-traitant ultérieur pour le compte d'un responsable du traitement tiers (ou d'un autre intermédiaire au responsable du traitement final), le Client garantit que ses instructions de traitement telles qu'elles sont énoncées dans le Contrat et le présent ATD, y compris ses autorisations à Mailchimp pour la désignation des Sous-traitants ultérieurs, conformément au présent ATD, ont été autorisés par le responsable du traitement concerné. Le Client remplira le rôle de point de contact unique avec Mailchimp, qui n'aura pas besoin d'interagir directement avec (y compris pour fournir des notifications ou pour demander l'autorisation) un quelconque responsable du traitement tiers, sauf pour la prestation normale du Service, dans la mesure requise par le Contrat. Le client est tenu de transmettre toute notification reçue dans le cadre du présent ATD au responsable du traitement concerné, le cas échéant.

3. Sous-traitance ultérieure

3.1 Sous-traitants ultérieurs autorisés. Le client autorise Mailchimp ou tout membre du groupe Mailchimp au nom de/au bénéfice de Mailchimp à engager des Sous-traitants ultérieurs pour traiter les Données client, conformément à la section 3.2, afin d'aider Mailchimp à remplir ses obligations en fournissant le Service conformément au Contrat. Les Sous-traitants ultérieurs actuellement engagés par Mailchimp et autorisés par le Client sont disponibles ici. Mailchimp informera le Client s'il ajoute ou retire des Sous-traitants ultérieurs au moins 10 jours avant de tels changements, si le Client accepte de recevoir de telles notifications par e-mail en cliquant ici.

3.2 Obligations du sous-traitant ultérieur. Mailchimp doit : (i) conclure un accord écrit avec chaque Sous-traitant ultérieur, contenant des obligations en matière de protection des données qui fournissent au moins le même niveau de protection des Données client que celles du présent ATD, dans la mesure applicable à la nature du service fourni par ledit Sous-traitant ultérieur ; et (ii) reste responsable de la conformité de ce Sous-traitant ultérieur avec les obligations du présent ATD et de tout acte ou omission de ce Sous-traitant ultérieur qui entraîne la violation par Mailchimp de l'une de ses obligations en vertu du présent ATD. Le Client reconnaît et accepte que, le cas échéant, Mailchimp remplisse ses obligations en vertu de la Clause 9 des Clauses du responsable du traitement au sous-traitant (2021) et des Clauses du sous-traitant au sous-traitant (2021), le cas échéant, en se conformant à la présente Section 3 et que Mailchimp peut être empêché de se divulguer les accords conclus avec le Sous-traitant ultérieur au Client en raison de restrictions de confidentialité, mais Mailchimp devra, sur demande, faire des efforts raisonnables pour fournir au Client toutes les informations pertinentes qu'il peut raisonnablement avoir dans le cadre des accords conclus avec le Sous-traitant ultérieur.

4. Sécurité

4.1 Mesures de sécurité. Mailchimp mettra en œuvre et maintiendra des mesures de sécurité techniques et organisationnelles appropriées conçues pour protéger les Données client contre les Incidents de sécurité et pour préserver la sécurité et la confidentialité des Données client conformément aux normes de sécurité de Mailchimp décrites à l'Annexe B (« Mesures de sécurité ») du présent ATD.

4.2 Confidentialité du traitement. Mailchimp veillera à ce que toute personne autorisée par Mailchimp à traiter les Données client (y compris son personnel, ses représentants et ses sous-traitants) soit soumise à une obligation de confidentialité appropriée (qu'il s'agisse d'une obligation contractuelle ou légale).

4.3 Mises à jour des mesures de sécurité. Le Client est responsable de l'examen des informations mises à disposition par Mailchimp concernant la sécurité des données et de la détermination indépendante de la conformité du Service aux exigences et obligations légales du Client en vertu des Lois relatives à la protection des données. Le Client reconnaît que les Mesures de sécurité sont soumises à des progrès et à des développements techniques et que Mailchimp peut mettre à jour ou modifier les Mesures de sécurité de temps à autre, à condition que ces mises à jour et modifications n'entraînent pas la dégradation de la sécurité globale du Service fourni au Client.

4.4 Réponse à un Incident de sécurité. Dès qu'il prend connaissance d'un Incident de sécurité, Mailchimp doit : (i) informer le client sans retard indu ; (ii) fournir au Client des informations, soumises aux politiques de confidentialité et de sécurité des données de Mailchimp, aux exigences de confidentialité et aux exigences légales de Mailchimp, comme cela peut être raisonnablement nécessaire pour aider le Client dans ses responsabilités d'information et d'établissement de rapports ; et (ii) prendre les mesures appropriées pour identifier la cause de l'Incident de sécurité, réduire son impact et sécuriser les Données client, dans la mesure où la correction est sous le contrôle raisonnable de Mailchimp. La notification ou la réponse de Mailchimp à un Incident de sécurité en vertu du présent ATD ne sera pas interprétée comme une reconnaissance par Mailchimp d'une faute ou d'une responsabilité en ce qui concerne l'Incident de sécurité. Mailchimp n'évaluera pas le contenu des Données client pour identifier tout rapport spécifique ou autre obligation légale applicable au Client. Toutes les obligations de déclaration réglementaires et/ou de données relatives à l'Incident de sécurité relèvent de la responsabilité du Client. La ou les notifications de tout Incident de sécurité par Mailchimp seront envoyées à l'e-mail ou à l'adresse de notification fournie dans le Contrat. Le client est seul responsable de s'assurer que les coordonnées de notification (par exemple, téléphone et adresse e-mail) sont valides et exactes.

4.5 Responsabilités du Client. Nonobstant ce qui précède, le Client convient, sauf disposition contraire du présent ATD, qu'il est responsable de son utilisation sécurisée du Service, y compris la sécurisation de ses identifiants d'authentification de compte, la protection de la sécurité des Données client lorsqu'elles sont en transit vers et depuis le Service, et prend toutes les mesures appropriées pour chiffrer ou sauvegarder en toute sécurité les Données client téléchargées vers le Service.

5. Rapports relatifs à la sécurité et audits

5.1 Droits en matière d'audit. Mailchimp devra mettre à la disposition du Client toutes les informations raisonnablement nécessaires pour prouver la conformité au présent Addendum relatif au traitement des données (ATD), et autoriser les audits et contribuer à ceux-ci, y compris les inspections par le Client afin d'évaluer la conformité au présent ATD. Le Client reconnaît et convient qu'il exercera ses droits d'audit en vertu du présent ATD (y compris cette section 5.1 et, le cas échéant, les clauses contractuelles types (CCT), et tout droit d'audit accordé par les lois sur la protection des données, en demandant à Mailchimp de se conformer aux mesures relatives à l'audit décrites aux sections 5.2 et 5.3 ci-dessous.

5.2 Rapports relatifs à la sécurité. Le Client reconnaît que Mailchimp est régulièrement auditée selon les normes les plus élevées de son secteur d'activité, par des auditeurs indépendants et des auditeurs internes. Sur demande écrite effectuée ici, Mailchimp devra fournir (de manière confidentielle) une copie récapitulative de son ou ses rapports d'audit les plus récents ( « Rapport » ) au Client, afin que le Client puisse vérifier la conformité de Mailchimp aux normes d'audit selon lesquelles Mailchimp a été évalué et sa conformité au présent ATD.

5.3 Diligence raisonnable relative à la sécurité. En plus du Rapport, Mailchimp devra répondre à toutes les demandes raisonnables d'informations formulées par le Client pour confirmer la conformité de Mailchimp au présent ATD, en mettant à disposition des informations supplémentaires concernant son programme de sécurité des informations, sur demande écrite du Client, à condition que le Client n'exerce pas ce droit plus d'une fois par année civile. Les clients peuvent envoyer leurs demandes ici.

6. Transferts internationaux

6.1 Emplacements des centres de données. Sous réserve de la section 6.2, le Client reconnaît que Mailchimp peut transférer et traiter les Données client vers et aux États-Unis et partout ailleurs dans le monde où Mailchimp, ses Affiliés ou ses Sous-traitants ultérieurs gèrent les activités de traitement des données. Mailchimp s'assurera à tout moment que ces transferts sont effectués conformément aux exigences des Lois sur la protection des données et du présent ATD.

6.2 Données australiennes. Dans la mesure où Mailchimp est destinataire des Données client protégées par la Loi australienne relative à la protection de la vie privée, les parties reconnaissent et acceptent que Mailchimp peut transférer ces Données client en dehors de l'Australie, conformément aux conditions convenues par les parties et sous réserve que Mailchimp se conforme au présent ATD et à la Loi australienne relative à la protection de la vie privée.

6.3 Transferts de données au sein de l'EEE. Dans la mesure où Mailchimp est destinataire de Données client protégées par les Lois européennes relatives à la protection des données dans un pays en dehors de l'EEE qui n'est pas reconnu comme fournissant un niveau adéquat de protection des données à caractère personnel (tel que décrit dans les Lois européennes relatives à la protection des données applicables), les parties conviennent de respecter et de traiter lesdites Données client conformément aux dispositions suivantes :

  • (a) Cadre de protection des données. Mailchimp utilisera le Cadre de protection des données pour recevoir légalement les Données client aux États-Unis et s'assurera de fournir au moins le même niveau de protection à ces Données client que l'exigent les Principes du cadre de protection des données et informera le Client si elle n'est pas en mesure de se conformer à cette demande.
  • (b) Clauses contractuelles types. Si les lois européennes relatives à la protection des données exigent que des mesures de protection appropriées soient mises en place (par exemple, si le Cadre de protection des données ne couvre pas le transfert à Mailchimp et/ou si le Cadre de protection des données est invalidé), les CCT doivent être intégrées et constituer une partie intégrante du présent ATD.
  • (c) Transferts de données au Royaume-Uni. En ce qui concerne les transferts auxquels les Lois britanniques relatives à la protection des données , les CCT devront, le cas échéant, et conformément au point (b) ci-dessus, s'appliquer et seront réputées modifiées comme spécifié par l'Addendum concernant le Royaume-Uni. L'Addendum concernant le Royaume-Uni sera réputé signé par les parties et intégré au présent ATD et en fera partie intégrante. En outre, les Tableaux 1 à 3 de la Partie 1 de l'Addendum concernant le Royaume-Uni seront réputés complétés avec les informations énoncées dans les Annexes I et II des CCT pertinentes ; et le Tableau 4 de la Partie 1 de l'Addendum concernant le Royaume-Uni sera réputé complété en sélectionnant « aucune des parties ».
  • (d) Transferts de données en Suisse. En ce qui concerne les transferts auxquels l'ATD suisse s'applique, les CCT s'appliqueront conformément au point (b) ci-dessus, avec les modifications suivantes : (i) les références au « Règlement (UE) 2016/679 » doivent être interprétées comme des références à l'ATD suisse ; (ii) les références aux articles spécifiques du « Règlement (UE) 2016/679 » seront remplacées par la section ou l'article équivalent de l'ATD suisse ; (iii) les références à « l' UE », à « l'Union » et à la « législation d'un État membre » seront remplacées par « la Suisse »; (iv) la Clause 13(a) et la Partie C de l'Annexe II seront supprimées ; (v) les références à « l'autorité de contrôle compétente » et aux « tribunaux compétents » seront remplacées par « le Préposé fédéral à la protection des données et à la transparence (PFPDT) » et « les tribunaux compétents en Suisse » ; (vi) la Clause 17 sera remplacée pour indiquer que « les Clauses sont régies par les lois suisses » ; et (vii) la Clause 18 sera remplacée pour indiquer que « tout litige découlant des présentes Clauses sera tranché par les tribunaux suisses compétents. Les parties conviennent de se soumettre à la compétence desdits tribunaux ».

6.4 Conformité aux CCT. Les parties conviennent que si Mailchimp ne peut pas garantir la conformité aux CCT (le cas échéant), elle informera rapidement le Client de son incapacité à se conformer. Si le Client a l'intention de suspendre le transfert des Données européennes ou de résilier les parties affectées du Service, il devra d'abord notifier Mailchimp et fournir à Mailchimp un délai raisonnable pour remédier à cette non-conformité, période pendant laquelle Mailchimp et le Client devront raisonnablement coopérer pour convenir des mesures ou mesures de protection supplémentaires, le cas échéant, qui peuvent être raisonnablement requises. Le Client sera autorisé à suspendre le transfert de données ou à résilier les parties affectées du Service pour non-conformité aux CCT uniquement si Mailchimp n'a pas ou ne peut pas remédier à la non-conformité dans un délai raisonnable.

6.5 Mécanisme de transfert alternatif. Dans la mesure où Mailchimp adopte un mécanisme de transfert de données alternatif légal pour le transfert des Données européennes non décrit dans le présent ATD (« Mécanisme de transfert alternatif »), le Mécanisme de transfert alternatif s'appliquera à la place des mécanismes de transfert décrits dans le présent ATD (mais uniquement dans la mesure où ledit Mécanisme de transfert alternatif est conforme aux Lois européennes relatives la protection des données applicables et s'étend aux pays dans lesquels les Données européennes sont transférées). En outre, si et dans la mesure où un tribunal compétent ou une autorité de contrôle ordonne (pour quelque raison que ce soit) que les mesures décrites dans le présent ATD ne peuvent pas être invoquées pour transférer légalement des Données européennes (au sens des Lois européennes relatives à la protection des données), Mailchimp pourra mettre en œuvre des mesures ou des garanties supplémentaires qui peuvent être raisonnablement requises pour permettre le transfert légal des Données européennes.

7. Retour ou suppression des données

Suppression ou retour à la résiliation. À l'expiration ou de la résiliation du Contrat, Mailchimp devra prendre des mesures raisonnables pour fournir des outils au Client (au choix de celui-ci) afin de supprimer ou de retourner au Client toutes les Données client (y compris les copies) en sa possession ou sous son contrôle, sauf quand cette exigence ne s'applique pas, dans la mesure où la loi applicable ou les règles du secteur l'exigent pour conserver certaines ou toutes les Données client, ou les Données client qu'elle a archivées sur des systèmes de sauvegarde, Données client que Mailchimp devra isoler en toute sécurité, protéger de tout traitement ultérieur et, finalement supprimer, conformément aux politiques de suppression de Mailchimp, sauf dans la mesure requise par la loi applicable. Les parties conviennent que la certification de la suppression des Données client décrites dans les Clauses 8.5 et 16(d) des Clauses du responsable du traitement au sous-traitant (2021) et dans les Clauses du sous-traitant au sous-traitant (2021), le cas échéant, sera fournie par Mailchimp au Client uniquement après Demande écrite du client.

8. Droits et coopération des personnes concernées

8.1 Demandes des personnes concernées. Dans le cadre du Service, Mailchimp fournit au Client un certain nombre de fonctionnalités en libre-service que le Client peut utiliser pour récupérer, corriger, effacer ou limiter l'utilisation des Données client, et qu'il peut utiliser pour l'aider (ou aider son responsable du traitement tiers) à assumer ses obligations en vertu des lois sur la protection des données lorsqu'il s'agit de répondre aux demandes des personnes concernées via le compte du Client, sans frais supplémentaires. En outre, Mailchimp doit, compte tenu de la nature du traitement, fournir au Client une assistance supplémentaire raisonnable dans la mesure du possible pour permettre à celui-ci (ou à son responsable du traitement tiers) de se conformer à ses obligations de protection des données en ce qui concerne les droits des personnes concernées en vertu des lois sur la protection des données. Si une telle demande est directement envoyée à Mailchimp, Mailchimp ne devra pas répondre à ladite communication directement, sauf si cela est approprié (p. ex. : pour demander à la personne concernée de contacter le Client) ou légalement requis, sans avoir préalablement obtenu l'autorisation du Client. Si Mailchimp est tenu de répondre à une telle demande, Mailchimp devra, lorsque le Client est identifié ou identifiable à partir de la demande, notifier rapidement le Client et fournir à celui-ci une copie de la demande, sauf s'il est légalement interdit à Mailchimp de le faire. Afin d'éviter toute ambiguïté, aucune disposition du Contrat (y compris le présent Addendum relatif au traitement des données, ATD) ne saurait restreindre ou empêcher Mailchimp de répondre à toute demande d'une personne concernée ou d'une autorité de protection des données concernant des données à caractère personnel pour lesquelles Mailchimp est responsable du traitement.

8.2 Analyses d'impact relatives à la protection des données. Dans la mesure requise par les lois sur la protection des données, Mailchimp devra (compte tenu de la nature du traitement et des informations mises à la disposition de Mailchimp) fournir toutes les informations raisonnablement demandées concernant le Service pour permettre au Client d'effectuer des analyses d'impact relatives à la protection des données ou de mener des consultations préalables avec les autorités de protection des données, comme l'exigent les lois sur la protection des données. Mailchimp devra respecter les exigences précitées : i) en se conformant à la section 5 (Rapports sur la sécurité et Audits) ; ii) en fournissant les informations qui figurent dans le Contrat, y compris le présent ATD ; et iii) si les sous-sections i) et ii) précédentes sont insuffisantes pour que le Client se conforme auxdites obligations, sur demande, en fournissant une assistance raisonnable supplémentaire (aux frais du Client).

9. Dispositions spécifiques au pays

Dans la mesure où Mailchimp traite les Données client provenant et protégées par les Lois relatives à la protection des données dans l'un des pays énumérés à l'Annexe C, les dispositions spécifiées dans l'Annexe C concernant la ou les juridictions applicables (« Dispositions spécifiques au pays ») s'appliquent en plus des conditions du présent ATD. En cas de conflit ou d'ambiguïté entre les Dispositions spécifiques au pays et toute autre condition du présent ATD, les Dispositions spécifiques au pays applicables auront la priorité, mais uniquement dans la mesure où les Dispositions spécifiques au pays s'appliquent à Mailchimp.

10. Limitation de responsabilité

10.1 La responsabilité de chaque partie et de tous ses Affiliés pris ensemble dans l'ensemble découlant de ou liée au présent ATD (y compris les CCT) sera soumise aux exclusions et aux limitations de responsabilité énoncées dans le Contrat.

10.2 Toute réclamation formulée à l'encontre de Mailchimp ou de ses Affiliés en vertu de ou en lien avec le présent ATD (y compris, le cas échéant, les CCT) ne le sera que par l'entité Client qui est partie au Contrat.

10.3 En aucun cas, une partie ne peut limiter sa responsabilité en ce qui concerne les droits de protection des données d'une personne en vertu du présent ATD ou autre.

11. Relations avec le Contrat

11.1 Le présent ATD restera en vigueur tant que Mailchimp effectuera des activités de traitement des Données client pour le compte du Client ou jusqu'à la résiliation du Contrat (et que toutes les Données client ont été renvoyées ou supprimées conformément à la section 7.1 ci-dessus).

11.2 Les parties conviennent que le présent ATD remplacera tout accord de traitement des données existant ou tout document similaire que les parties pourraient avoir déjà conclu dans le cadre du Service.

11.3 En cas de conflit ou d'incohérence entre le présent ATD et les Conditions générales d'utilisation, les dispositions des documents suivants (par ordre de priorité) prévaudront : (i) les CCT ; puis (ii) le présent ATD ; puis (ii) les Conditions générales d'utilisation.

11.4 À l'exception de toute modification apportée par le présent ATD, le Contrat reste inchangé et pleinement applicable.

11.5 Personne d'autre qu'une partie au présent ATD, ses successeurs et cessionnaires autorisés n'aura le droit d'appliquer l'une de ses conditions.

11.6 Le présent ATD sera régi et interprété conformément aux dispositions applicables de la loi et à la juridiction applicables dans le Contrat, sauf exigence contraire découlant des Lois relatives à la protection des données applicables.

Annexe A : informations relatives au traitement des données

a) Catégories de personnes concernées :

Les catégories de personnes concernées dont les données à caractère personnel sont traitées comprennent : i) les Membres (c.-à-d. les utilisateurs finaux individuels ayant accès à un compte Mailchimp) ; et ii) les Contacts (c.-à-d. les abonnés du Membre et autres personnes à propos desquelles un Membre nous a donné des informations ou avec lesquelles il a autrement interagi via le Service).

b) Catégories de données à caractère personnel :

Le Client peut télécharger, soumettre ou autrement fournir certaines données à caractère personnel au Service, dont l'étendue est généralement déterminée et contrôlée par le Client à son entière discrétion, et peut inclure les types de données à caractère personnel suivants :

  • Membres : données d'identification et de contact (nom, adresse, titre, coordonnées, nom d'utilisateur) ; informations financières (détails des cartes de crédit, détails du compte, paiements) ; informations relatives à l'emploi (employeur, intitulé du poste, emplacement géographique, domaine de responsabilité).
  • Contacts : données d'identification et de contact (nom, date de naissance, genre, informations générales, activité professionnelle ou autres informations démographiques, adresse, titre, coordonnées, y compris l'adresse électronique) ; intérêts ou préférences personnel(le)s (y compris l'historique des achats, préférences en matière de marketing, et informations publiquement disponibles relatives au profil des réseaux sociaux) ; informations informatiques (adresses IP, données relatives à l'utilisation, aux cookies, à la navigation en ligne, à la localisation, au navigateur) ; informations financières (détails des cartes de crédit, détails du compte, paiements).

c) Données sensibles traitées (le cas échéant) :

Mailchimp ne souhaite pas collecter ou traiter, et ne collecte pas ni ne traite, de données sensibles dans le cadre de la prestation du Service.

d) Fréquence du traitement :

En continu et telle que déterminée par le Client et le Service applicable.

e) Objet et nature du traitement :

Mailchimp fournit un service d'e-mail, une plate-forme d'automatisation et de marketing, et d'autres services connexes, comme décrit plus en détail dans le Contrat. Les Données client, en vertu du présent ATD, font l'objet du traitement des données. Les Données client seront traitées conformément au Contrat (comprenant le présent ATD) et pourront être soumises aux activités de traitement suivantes :

  • Stockage et autre traitement nécessaire pour fournir, gérer et améliorer le Service fourni au Client conformément au Contrat ; et/ou
  • Divulgations conformément au Contrat et/ou selon les exigences de la loi applicable

f) Finalité du traitement :

Mailchimp traitera uniquement les Données client pour les Finalités autorisées, qui doivent comprendre : i) le traitement nécessaire pour fournir le Service conformément au Contrat ; ii) le traitement initié par le Client dans le cadre de son utilisation du Service ; et iii) le traitement visant à se conformer à toutes les autres instructions raisonnables fournies par le Client (p. ex., par e-mail ou par le biais de tickets d'assistance) qui sont conformes aux conditions du Contrat.

g) Durée du traitement et période pendant laquelle les données à caractère personnel seront conservées :

Mailchimp traitera les Données client comme indiqué dans la section 7 du présent ATD.

Annexe B – Mesures de sécurité

Les Mesures de sécurité applicables au Service sont décrites ici (telles que mises à jour de temps à autre conformément à la section 4.3 du présent ATD). Pour en savoir plus sur nos mesures techniques et organisationnelles destinées à protéger les Données client contre un Incident de sécurité, veuillez consulter le Centre de sécurité d'Intuit.

Annexe C – Dispositions spécifiques au pays

Europe :

  1. Opposition aux Sous-traitants ultérieurs. Le Client peut s'opposer par écrit à la nomination par Mailchimp d'un nouveau Sous-traitant ultérieur dans les cinq (5) jours civils suivant la réception de la notification, conformément à la section 3.1 de l'Addendum relatif au traitement des données (ATD), à condition que cette opposition soit fondée sur des motifs raisonnables relatifs à la protection des données. Dans ce cas, les parties devront discuter de ces préoccupations de bonne foi en vue de parvenir à une résolution commercialement raisonnable. S'il n'est pas possible de parvenir à une telle résolution, Mailchimp décidera, à son entière discrétion, soit de ne pas nommer un tel sous-traitant ultérieur, ou d'autoriser le Client à suspendre ou résilier le Service concerné, conformément aux dispositions de résiliation du Contrat, sans engager la responsabilité envers l'une ou l'autre partie (mais sans préjudice des frais encourus par le Client avant la suspension ou la résiliation).

  2. Demandes d'accès aux données de la part des autorités. De manière générale, Mailchimp ne fournit pas volontairement aux entités ou autorités publiques (y compris les forces de l'ordre) un accès aux comptes Mailchimp ou des informations sur ceux-ci (y compris les Données client). Si Mailchimp reçoit une demande impérative (que ce soit via une assignation à comparaître, une décision judiciaire, un mandat de perquisition, ou autre processus juridique valide) émanant d'une entité ou autorité publique (y compris les forces de l'ordre) pour accéder à un compte Mailchimp ou obtenir des informations sur celui-ci (y compris les Données client) appartenant à un Client dont les coordonnées principales indiquent que le Client est situé en Europe, Mailchimp devra : i) vérifier la légalité de la demande ; ii) informer l'entité publique que Mailchimp est un sous-traitant des données ; iii) tenter de rediriger l'entité vers le Client pour obtenir les données directement auprès de celui-ci ; iv) informer le Client, en lui envoyant un e-mail à son adresse électronique principale, de la demande consistant à lui permettre de demander une mesure conservatoire ou tout autre recours approprié ; et v) fournir la quantité minimale d'informations autorisées en répondant à l'entité ou à l'autorité, sur la base d'une interprétation raisonnable de la demande. Dans le cadre de cet effort, Mailchimp pourra fournir les coordonnées principales et de facturation du Client à l'entité. Mailchimp n'est pas tenue de se conformer à ce paragraphe 2 si la loi lui interdit de le faire, ou si Mailchimp estime raisonnablement et de bonne foi qu'il est nécessaire d'accéder de toute urgence auxdites informations pour empêcher un risque imminent de préjudice grave envers une personne, d'atteinte à la sécurité publique, ou de dommages aux biens de Mailchimp, au Site ou au Service de Mailchimp, mais lorsqu'il est légalement interdit à Mailchimp d'informer le Client des demandes, Mailchimp devra faire de son mieux pour obtenir une dérogation à ladite interdiction.

Californie :

Les conditions suivantes s'appliquent lorsque Mailchimp traite des données à caractère personnel soumises aux Lois états-uniennes relatives à la protection des données :

  1. Sauf indication contraire, la définition de : « responsable du traitement » comprend « Entreprise » ; celle de « sous-traitant » comprend « Prestataire de services » ; celle de « personne concernée » comprend « Consommateur » ; celle de « données à caractère personnel » comprend « Informations personnelles » ; dans chaque cas, tel que défini dans le CCPA (ou California Consumer Privacy Act, c-à-d la loi californienne relative à la protection de la vie privée des consommateurs). Les définitions des termes « vendre », « partager », « fins professionnelles » et « fins commerciales » seront celles du CCPA.
  2. Si et dans la mesure où Mailchimp agit en tant que sous-traitant ultérieur ou que responsable du traitement lors du traitement des Données client comme indiqué dans la section 2 ci-dessus, Mailchimp devra assumer le même rôle de traitement, selon le cas, en vertu de toutes les Lois états-uniennes relatives à la protection des données autres que le CCPA.
  3. En ce qui concerne les données à caractère personnel soumises au CCPA, les parties conviennent et reconnaissent que (i) Mailchimp peut agir en tant que « Prestataire de services » en vertu du CCPA dans les cas où Mailchimp agit en tant que Responsable du traitement en vertu d'autres lois applicables relatives à la protection des données, et (ii) que Mailchimp aura le droit de traiter les Données client pour toutes les fins autorisées pour les Prestataires de services en vertu du CCPA. Mailchimp doit se conformer à toutes les exigences énoncées dans le CCPA et la section 7051 des réglementations CCPA, et/ou dans toute réglementation ultérieure, et ces dispositions sont intégrées au présent document par référence.
  4. Les obligations de Mailchimp concernant les demandes des personnes concernées, telles que décrites à la section 8 (Droits des personnes concernées et coopération) du présent ATD, s'étendent aux demandes de droits en vertu des Lois états-uniennes relatives à la protection des données. Mailchimp devra fournir le même niveau de protection des Données client que l'exige la CCPA et : (i) aider le Client à répondre à toute demande d'un consommateur (tel que défini dans les Lois états-uniennes relatives à la protection des données) afin d'exercer ses droits en vertu des Lois états-uniennes relatives à la protection des données ; et (ii) notifier immédiatement le Client s'il n'est pas en mesure de répondre aux exigences des Lois états-uniennes relatives à la protection des données. Dans les cas où Mailchimp est considérée comme Prestataire de services en vertu du CCPA, mais est considérée Responsable du traitement des données en vertu des Lois relatives à la protection des données, et qu'un consommateur envoie une demande d'exercice de ses droits en vertu du CCPA directement à Mailchimp, le Client demande par la présente à Mailchimp de répondre directement au consommateur à toute demande de ce type. Le Client est tenu de s'assurer qu'il s'est conformé et continuera à se conformer aux exigences des Lois états-uniennes relatives à la protection des données lorsqu'il utilise les Services et qu'il applique le traitement des données personnelles qui lui est propre.
  5. Les parties reconnaissent que les Données client que le client divulgue à Mailchimp ne sont fournies qu'aux fins limitées et spécifiées indiquées dans les Finalités autorisées. Les parties conviennent que toutes les Données client sont divulguées à Mailchimp par le Client pour les Finalités autorisées, et que leur utilisation ou divulgation par le Client à Mailchimp est nécessaire à l'exécution de ces Finalités autorisées.
  6. Nonobstant toute restriction d'utilisation figurant ailleurs dans le présent ATD, Mailchimp devra traiter les Données client afin d'exécuter le Service, pour les Finalités autorisées, et/ou conformément aux instructions légales documentées du Client, ou tel qu'autrement autorisé ou requis par la loi applicable.
  7. Nonobstant toute restriction d'utilisation figurant ailleurs dans la présente Annexe C, Mailchimp peut anonymiser ou agréger les Données client dans le cadre de l'exécution du Service spécifié dans le présent ATD et le Contrat.
  8. Lorsque les Sous-traitants ultérieurs traitent les Informations relatives au Client, Mailchimp prend des mesures pour s'assurer que lesdits Sous-traitants ultérieurs sont des Prestataires de services en vertu du CCPA avec lesquels Mailchimp a conclu un contrat écrit incluant des conditions substantiellement similaires à la présente section de l'Annexe C ou en sont autrement exemptés par le CCPA. Mailchimp soumet ses Sous-traitant ultérieurs à un processus de diligence raisonnable approprié.
  9. Sans limiter les droits d'utilisation des données définis dans les présentes, en tant que Prestataire de services, Mailchimp ne pourra pas : (a.) vendre ou partager des Données client ; (b.) conserver, utiliser ou divulguer des Données client (i) à d'autres fins que pour les Finalités autorisées, y compris pour tout Finalité commerciale, ou (ii) en dehors de la relation commerciale directe entre les parties, sauf si cela est nécessaire pour atteindre les Finalités autorisées ou tel qu'autrement autorisé par les Lois états-uniennes relatives à la protection des données ; ou (c.) combiner les Données client reçues de ou pour le compte du Client avec des données à caractère personnel reçues de ou pour le compte d'un tiers ou collectées à partir de l'interaction propre de Mailchimp avec les personnes ou les personnes concernées, sauf pour atteindre un Finalité autorisée conformément au CCPA (y compris toute réglementation de mise en œuvre), le Contrat et le présent ATD.
  10. Le Client peut prendre les mesures raisonnables et appropriées nécessaires a) pour s'assurer que les Données client collectées sont utilisées d'une manière conforme aux obligations de l'entreprise en vertu du CCPA ; et b) pour arrêter et corriger toute utilisation non autorisée des Données client, et c) pour s'assurer que toute donnée à caractère personnel pertinente est utilisée d'une manière conforme au CCPA.

Canada :

  1. Mailchimp prend des mesures pour s'assurer que les Sous-traitants ultérieurs de Mailchimp, comme décrit à la section 3 (Sous-traitance ultérieure) de l'ATD, sont des tiers en vertu de la loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), avec lesquels Mailchimp a conclu un contrat écrit qui inclut des conditions substantiellement similaires au présent ATD. Mailchimp soumet ses Sous-traitant ultérieurs à un processus de diligence raisonnable approprié.
  2. Mailchimp mettra en œuvre des mesures techniques et organisationnelles, telles qu'elles sont énoncées à la section 4 (Sécurité) de l'ATD.
  3. Mailchimp peut transférer des Données client en dehors de la juridiction dont les Données client proviennent (i) en conformité avec les Lois applicables relatives à la protection des données et (ii) à condition que Mailchimp prenne toutes les mesures nécessaires pour s'assurer que les Données client continuent d'être traitées conformément aux Lois applicables relatives à la protection des données à la suite d'un tel transfert. Le client devra procéder à toutes les évaluations nécessaires pour faciliter ce transfert.

Entrée en vigueur le 26 septembre 2024