Avenant relatif au traitement des données

Dernière mise à jour : 12 février 2026

 , DPA

LE PRÉSENT AVENANT RELATIF AU TRAITEMENT DES DONNÉES (« DPA ») au Contrat (tel que défini ci-dessous) est conclu à compter de la Date d'entrée en vigueur de l'avenant entre Foo Monk LLC, société du Wyoming dont le siège social est situé au 30 N. Gould St., Ste. R, Sheridan, Wyoming, 82801, États-Unis (« Instantly » ou « Prestataire de services ») ; et l’Abonné désigné dans le Contrat (« Abonné »), ci-après dénommés collectivement les « Parties » et individuellement une « Partie ».

1. INTERPRÉTATION

1.1 Dans le présent accord sur le traitement des données (DPA), les termes suivants ont le sens qui leur est donné dans la présente section 1, sauf indication contraire expresse :

(a) « Date d'entrée en vigueur de l'avenant » désigne la date d'entrée en vigueur de l'accord.

(b) Le terme « Contrat » désigne les Conditions d'utilisation, accessibles à l'adresse suivante : https://instantly.ai/terms.  

(c) Le terme « responsable du traitement » désigne la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données à caractère personnel des abonnés.

(d) « Données à caractère personnel de l’abonné » désigne toute donnée à caractère personnel traitée par le prestataire de services ou son sous-traitant pour le compte de l’abonné afin d’exécuter le service prévu par le contrat, étant entendu que les données à caractère personnel de l’abonné n’incluent pas les coordonnées du personnel ou des représentants de l’abonné qui sont des contacts professionnels de ce dernier (lorsque le prestataire de services agit en tant que responsable du traitement de ces informations).

(e) « Personne concernée » désigne la personne physique identifiée ou identifiable à laquelle se rapportent les données à caractère personnel de l'abonné.

(f) « Demande de la personne concernée » désigne l'exercice par une personne concernée de ses droits conformément aux lois applicables en matière de protection des données, en ce qui concerne les données à caractère personnel de l'abonné et leur traitement.

(g) Le terme « données anonymisées » désigne les données traitées par le prestataire de services ou son sous-traitant pour le compte de l'abonné afin d'exécuter les services prévus par le contrat, qui ne peuvent raisonnablement être utilisées pour déduire des informations concernant une personne physique identifiée ou identifiable, ni être associées de quelque manière que ce soit à une telle personne ou à un appareil lié à celle-ci.  

(h) « EEE » désigne l'Espace économique européen.

(i) Le terme « RGPD » désigne, selon le cas et dans la mesure où il s'applique au traitement concerné : (i) le règlement général sur la protection des données (règlement (UE) 2016/679) (« RGPD de l'UE ») ; et/ou (ii) le RGPD de l'UE tel qu'il fait partie intégrante du droit britannique en vertu de l'article 3 de la loi de 2018 sur le retrait de l'Union européenne (telle que modifiée, notamment par la loi sur la protection des données, la vie privée et les communications électroniques (modifications, etc.) (Règlement de 2019 relatif au retrait de l’UE) (« RGPD britannique »), y compris, dans les cas (i) et (ii), toute législation nationale d’application ou complémentaire applicable (par exemple, la loi britannique de 2018 sur la protection des données), ainsi que tout texte qui succéderait, modifierait ou réadopterait les dispositions susmentionnées.  Les références aux « articles » et aux « chapitres » du RGPD, ainsi qu'aux autres termes définis pertinents qui y figurent, doivent être interprétées en conséquence.

(j) « Violation des données à caractère personnel » désigne toute faille de sécurité chez le Prestataire de services entraînant la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé, de manière accidentelle ou illicite, aux données à caractère personnel de l’Abonné détenues, conservées ou contrôlées par le Prestataire de services.  Pour plus de clarté, on entend par « violation de données à caractère personnel » les tentatives infructueuses ou les activités qui ne compromettent pas la sécurité des données à caractère personnel de l'abonné (telles que les tentatives de connexion infructueuses, les tests de connectivité, les analyses de ports, les attaques par déni de service ou toute autre attaque réseau visant des pare-feu ou des systèmes en réseau).

(k) Le terme « personnel » désigne les employés, agents, consultants ou sous-traitants d’une personne.

(l) Le terme « sous-traitant » désigne toute personne physique ou morale, autorité publique, agence ou autre organisme qui traite les données à caractère personnel des abonnés pour le compte du responsable du traitement.

(m) « Transfert soumis à restriction » désigne la divulgation, l’octroi d’accès ou tout autre transfert de Données à caractère personnel de l’Abonné à toute personne située : (i) dans le cadre de l’EEE, dans tout pays ou territoire hors de l’EEE ne bénéficiant pas d’une décision d’adéquation de la Commission européenne (un « Transfert soumis à restriction au sein de l’EEE ») ; et (ii) dans le contexte du Royaume-Uni, tout pays ou territoire situé en dehors du Royaume-Uni qui ne bénéficie pas d’une décision d’adéquation du gouvernement britannique (un « transfert restreint au Royaume-Uni »), ce qui serait interdit en l’absence de base juridique au titre du chapitre V du RGPD.

(n) Le terme « SCC » désigne collectivement (i) les clauses contractuelles types approuvées par la Commission européenne en vertu de la décision d'exécution (UE) 2021/914 du 4 juin 2021 (« SCC de l'UE ») et (ii) l'avenant britannique aux SCC de l'UE, publié par le commissaire à l'information (version B1.0, en vigueur au 21 mars 2022) (« SCC britanniques »).

(o) « Sous-traitant » désigne tout tiers désigné par le prestataire de services ou en son nom pour traiter les données à caractère personnel de l'abonné.

(p) Le terme « autorité de contrôle » (i) dans le contexte de l’EEE et du RGPD de l’UE, a le sens qui lui est donné dans le RGPD de l’UE ; et (ii) dans le contexte du Royaume-Uni et du RGPD britannique, désigne le Bureau du commissaire à l’information du Royaume-Uni.

1.2 Tous les termes en majuscules utilisés dans le présent ATD qui ne sont pas définis autrement dans le présent ATD ont le sens qui leur est donné dans le Contrat.

, 2. CHAMP D'APPLICATION DE LA PRÉSENTE ANNEXE RELATIVE AU TRAITEMENT DES DONNÉES

2.1 La présente annexe relative au traitement des données (DPA) s'applique au traitement des données à caractère personnel de l'abonné effectué par le prestataire de services dans le cadre du contrat uniquement dans la mesure où les lois applicables en matière de protection des données s'appliquent aux données à caractère personnel de l'abonné concernées.

2.2 Les parties reconnaissent et conviennent que les modalités du traitement des données à caractère personnel de l'abonné par le prestataire de services (y compris les rôles respectifs des parties dans le cadre de ce traitement) sont celles décrites à l'annexe 1 (Modalités du traitement des données) du présent accord sur le traitement des données.

2.3 L'annexe 2 (annexe européenne) du présent accord de traitement des données ne s'applique que si et dans la mesure où le traitement des données à caractère personnel des abonnés par le prestataire de services en vertu du contrat est soumis au RGPD.

2.4 L'annexe 3 (annexe relative à la Californie) du présent accord sur le traitement des données ne s'applique que si et dans la mesure où le traitement des données à caractère personnel de l'abonné par le prestataire de services en vertu du contrat est soumis à la CCPA, dans le cadre de laquelle l'abonné est considéré comme une « entreprise » (au sens de la CCPA).

2.5 La section 9 (Assistance en matière de conformité ; audits) du présent accord de traitement des données s'applique au traitement des données à caractère personnel des abonnés par le prestataire de services dans la mesure requise par les dispositions relatives aux contrats avec les sous-traitants prévues par les lois applicables en matière de protection des données, et, dans ce cas, uniquement en ce qui concerne le traitement des données à caractère personnel des abonnés soumis à ces lois.

, 3. TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL DE L'ABONNÉ

3.1 Le Prestataire de services ne traitera les données à caractère personnel de l'abonné que sur instruction écrite de ce dernier ou dans la mesure où les lois applicables l'exigent ou l'autorisent.  Aux fins des Services et du présent ATD, le Prestataire de services sera considéré comme le Sous-traitant (ou « prestataire de services » au sens des lois applicables en matière de protection des données). Nonobstant ce qui précède, l'Abonné reconnaît et accepte que le Prestataire de services puisse traiter ses Données personnelles et ses Données de performance afin d'améliorer, de développer et de personnaliser les Services, notamment en surveillant le fonctionnement des Services et en communiquant à des tiers les Données personnelles de l'Abonné relatives à la validité et à la délivrabilité des e-mails (par exemple, adresses e-mail invalides, e-mails rejetés) identifiées par le biais des Services (les « Fins spécifiques »). L'abonné comprend et accepte que les finalités spécifiques visent à garantir l'exactitude et l'actualité des données à caractère personnel de l'abonné et des autres données à caractère personnel traitées par le prestataire de services provenant de tiers (y compris lorsque cela est requis en vertu des lois applicables en matière de protection des données ou des autres obligations légales du prestataire de services). L'abonné reconnaît et accepte que les finalités spécifiques font partie intégrante des services prévus par le contrat et qu'elles sont compatibles avec les instructions relatives au traitement des données à caractère personnel de l'abonné, nécessaire à la fourniture des services. L'abonné accorde au prestataire de services un droit non exclusif et mondial d'utiliser ses données personnelles afin (a) de lui fournir les services ; (b) de compiler, d'extraire, d'utiliser, de divulguer et de traiter de toute autre manière des informations anonymisées, anonymes ou agrégées, à condition que ces informations ne permettent pas d'identifier directement l'abonné et ne puissent être utilisées à cette fin ; (c) exercer ses droits et remplir ses obligations en vertu du Contrat ; et (d) maintenir et améliorer les Services.
 
3.2 L'abonné charge le prestataire de services de traiter ses données à caractère personnel afin de lui fournir les services, conformément au contrat (y compris le présent accord sur le traitement des données). Le Contrat constitue l'expression complète de ces instructions, et les instructions supplémentaires de l'Abonné n'engageront le Prestataire de services que dans le cadre d'un avenant écrit au présent ATD signé par les deux Parties.  Lorsque les lois applicables en matière de protection des données l'exigent, si le Prestataire de services reçoit de l'Abonné une instruction qui, selon son appréciation raisonnable, enfreint les lois applicables en matière de protection des données, le Prestataire de services en informera l'Abonné.

3.3 Les parties reconnaissent que le traitement des données à caractère personnel de l'abonné par le prestataire de services, autorisé par les instructions de l'abonné énoncées dans le contrat (y compris le présent ATD), fait partie intégrante des services et de la relation commerciale entre les parties.  L'accès aux données à caractère personnel des abonnés ne fait pas partie de la contrepartie échangée entre les parties dans le cadre du contrat ou de toute autre relation commerciale.

4 PERSONNEL DU PRESTATAIRE DE SERVICES

4.1 Le Prestataire de services doit veiller à ce que son personnel autorisé à accéder aux Données à caractère personnel de l'Abonné soit soumis à des obligations de confidentialité appropriées.

, 5. SÉCURITÉ

5.1 Le Prestataire de services doit mettre en œuvre et maintenir, en ce qui concerne les Données à caractère personnel de l'Abonné, des mesures techniques et organisationnelles destinées à protéger ces données contre les violations de données à caractère personnel, telles que décrites à l'annexe 4 (Mesures de sécurité) (les « Mesures de sécurité »).  

5.2 Le Prestataire de services peut mettre à jour les mesures de sécurité de temps à autre, à condition que ces mesures mises à jour ne réduisent pas de manière significative le niveau global de protection des données à caractère personnel de l'Abonné.

, 6. DEMANDES DES PERSONNES CONCERNÉES

6.1 Compte tenu de la nature du traitement des données à caractère personnel de l'abonné par le prestataire de services, ce dernier fournira à l'abonné l'assistance nécessaire en mettant en œuvre les mesures techniques et organisationnelles appropriées que l'abonné peut raisonnablement demander afin de l'aider à s'acquitter de ses obligations en vertu des lois applicables en matière de protection des données pour répondre aux demandes des personnes concernées.

6.2 Le Prestataire de services doit :

(a) informer sans délai l'Abonné s'il reçoit une demande d'une personne concernée ; et

(b) ne pas répondre à une demande d'une personne concernée, sauf pour inviter cette dernière à adresser sa demande à l'Abonné, sauf si les lois applicables en matière de protection des données l'exigent. Il incombe à l'abonné de répondre à toute demande de ce type.

, 7. VIOLATION DE DONNÉES À CARACTÈRE PERSONNEL

Notification et assistance en cas de violation

7.1 Le Prestataire de services doit informer l'Abonné sans délai dès qu'il a confirmé une violation de données à caractère personnel affectant les données à caractère personnel de l'Abonné.  La notification ou la réponse du Prestataire de services concernant une violation de données à caractère personnel ne saurait être interprétée comme une reconnaissance de sa part d'une faute ou d'une responsabilité à l'égard de cette violation.

7.2 Dans la mesure où la violation de données à caractère personnel résulte d’un manquement du Prestataire de services à ses obligations de sécurité prévues par le Contrat, le Prestataire de services fournira à l’Abonné les informations raisonnablement demandées (dans la mesure où ces informations sont en sa possession et à sa connaissance et ne compromettent pas la sécurité des données à caractère personnel de l’Abonné traitées par le Prestataire de services ni les autres obligations de confidentialité ou de non-divulgation du Prestataire de services, y compris celles imposées par un service répressif, une autorité de contrôle ou toute autre autorité publique) afin de permettre à l’Abonné de remplir ses obligations en vertu des lois applicables en matière de protection des données pour signaler la violation de données à caractère personnel.  Si la violation de données à caractère personnel ne résulte pas d'un manquement du Prestataire de services à ses obligations en matière de sécurité prévues par le Contrat, le Prestataire de services coopérera de manière raisonnable avec l'Abonné ; toutefois, l'Abonné devra rembourser au Prestataire de services tous les frais engagés par ce dernier.  L'abonné est seul responsable du respect des lois en matière de notification qui lui sont applicables et de l'exécution de toute obligation de notification à des tiers relative à toute violation de données à caractère personnel.

Notification au Prestataire de services

7.3 Si l'Abonné estime qu'une violation de données à caractère personnel doit être notifiée à une autorité de contrôle ou à toute autre autorité publique, à une ou plusieurs personnes concernées, au public ou à d'autres parties en vertu des lois applicables en matière de protection des données, dans la mesure où cette notification fait directement ou indirectement référence au Prestataire de services ou l'identifie d'une autre manière, lorsque les lois applicables le permettent, l'Abonné s'engage à :

(a) en informer préalablement le Prestataire de services par écrit ; et

(b) consulter de bonne foi le Prestataire de services et prendre en considération toute clarification ou correction que le Prestataire de services pourrait raisonnablement recommander ou demander concernant une telle notification, qui : (i) se rapportent à l’implication du Prestataire de services dans cette violation de données à caractère personnel ou à sa pertinence par rapport à celle-ci ; et (ii) sont conformes aux lois applicables.

, 8. SOUS-TRAITANCE

8.1 L'abonné autorise de manière générale le prestataire de services à désigner des sous-traitants conformément à la présente section 8.  Sans préjudice de ce qui précède, l'Abonné autorise le recours aux sous-traitants secondaires répertoriés à la date d'entrée en vigueur du Contrat sur le Site des sous-traitants secondaires, tel que défini ci-dessous.

8.2 Les informations relatives aux sous-traitants, y compris leurs fonctions et leurs lieux d'implantation, sont disponibles à l'adresse suivante : https://trust.delve.co/instantly-ai/subprocessors (qui peut être mise à jour de temps à autre par le Prestataire de services, sous réserve des obligations de ce dernier en vertu de la section 8.4 ci-dessous) ou sur toute autre adresse de site web que le Prestataire de services pourrait communiquer de temps à autre à l'Abonné (le « Site des sous-traitants »).

8.3 Lorsqu’il fait appel à un sous-traitant, le Prestataire de services conclura avec ce dernier un contrat écrit prévoyant des obligations en matière de protection des données qui ne soient pas moins strictes que celles prévues dans le présent ATD en ce qui concerne les Données à caractère personnel de l’Abonné, et ce dans la mesure où elles s’appliquent à la nature des services fournis par ledit sous-traitant.  Entre les parties, le Prestataire de services est responsable des actes et omissions de tous les sous-traitants agissant dans le cadre du présent ATD ou en rapport avec celui-ci, dans la même mesure où il serait responsable en vertu des dispositions du présent ATD s'il fournissait lui-même directement ces services.

8.4 Si le Prestataire de services fait appel à un sous-traitant après la date d'entrée en vigueur du Contrat, il en informera l'Abonné (en précisant le nom et la localisation du sous-traitant concerné ainsi que les activités qu'il sera amené à exercer) en mettant à jour la Page des sous-traitants ou par tout autre moyen écrit, au moins 15 jours avant que ce sous-traitant ne traite les Données à caractère personnel de l'Abonné.  Si l'Abonné s'oppose à cette collaboration en adressant une notification écrite au Prestataire de services dans un délai de 15 jours à compter de la notification de ladite collaboration, pour des motifs valables liés à la protection de ses données à caractère personnel, l'Abonné et le Prestataire de services s'efforceront de bonne foi de trouver une solution mutuellement acceptable à cette objection.  Si les parties ne parviennent pas à trouver une solution mutuellement acceptable dans un délai raisonnable, l'abonné peut, dans les 30 jours suivant la notification initiale de son objection au prestataire de services, à titre de recours unique et exclusif, résilier le contrat et annuler les services en adressant une notification écrite au prestataire de services, et régler à ce dernier toutes les sommes dues au titre du contrat à la date de ladite résiliation.  Si le Client ne s'oppose pas à la désignation d'un sous-traitant par le Prestataire de services pendant le délai d'opposition visé à la présente section 8.4, le Client sera réputé avoir approuvé le recours à ce sous-traitant et son utilisation continue.  

, 9. ASSISTANCE EN MATIÈRE DE CONFORMITÉ ; AUDITS

9.1 Compte tenu de la nature du traitement des données à caractère personnel de l’Abonné par le Prestataire de services et des informations dont dispose ce dernier, le Prestataire de services fournira à l’Abonné les informations et l’assistance que celui-ci peut raisonnablement demander (dans la mesure où ces informations sont à la disposition du Prestataire de services et où leur communication ne compromet pas la sécurité, la confidentialité, l’intégrité ou la disponibilité des données traitées par le Prestataire de services) afin d’aider l’Abonné à respecter ses obligations en vertu des lois applicables en matière de protection des données, notamment en ce qui concerne la sécurité des données à caractère personnel de l’Abonné, la notification et l’enquête sur les violations de données à caractère personnel, la démonstration de la conformité de l’Abonné à ces obligations et la réalisation de toute évaluation de la protection des données et de toute consultation avec les autorités de contrôle ou d’autres autorités publiques concernant ces évaluations relatives au traitement des données à caractère personnel de l’Abonné par le Prestataire de services, y compris celles requises en vertu des articles 35 et 36 du RGPD.

9.2 Sous réserve de la section 9.4 ci-dessous, le Prestataire de services mettra à la disposition de l'Abonné les informations que ce dernier est en droit de demander raisonnablement afin que le Prestataire de services puisse démontrer sa conformité aux lois applicables en matière de protection des données et au présent ATD.  Sans préjudice de ce qui précède, l’Abonné peut procéder (conformément à la section 9.3), à ses propres frais, et le Prestataire de services coopérera de manière raisonnable à cet égard, à des audits raisonnables (y compris des inspections, des examens manuels, des analyses automatisées et d’autres tests techniques et opérationnels, uniquement dans la mesure où l’Abonné est habilité à mener ces activités en vertu des lois applicables en matière de protection des données), dans chaque cas, l'Abonné ou un auditeur qualifié et indépendant désigné par l'Abonné, utilisant une norme ou un cadre de contrôle d'audit approprié et reconnu, pouvant auditer les mesures techniques et organisationnelles du Prestataire de services à l'appui de cette conformité, et le rapport de l'auditeur étant fourni à l'Abonné et au Prestataire de services.

9.3 L'abonné doit informer le prestataire de services, dans un délai raisonnable, de la tenue de tels audits.  Le Prestataire de services n'est pas tenu de coopérer à un audit (a) réalisé par toute personne physique ou morale n'ayant pas conclu avec le Prestataire de services un accord de confidentialité selon des conditions jugées acceptables par ce dernier en ce qui concerne les informations obtenues dans le cadre de l'audit ; (b) mené en dehors des heures normales d'ouverture du Prestataire de services sur le site concerné ; ou (c) plus d'une fois au cours d'une année civile pendant la durée du Contrat, à l'exception des audits supplémentaires que l'Abonné est tenu d'effectuer en vertu des lois applicables en matière de protection des données.  L'audit doit être réalisé conformément aux politiques du Prestataire de services en matière de sûreté, de sécurité ou à toute autre politique pertinente ; il ne doit pas compromettre la sécurité, la confidentialité, l'intégrité ou la disponibilité des données traitées par le Prestataire de services et ne doit pas entraver de manière déraisonnable les activités commerciales de ce dernier.  L'abonné s'engage à ne procéder à aucun scan ni à aucun test technique ou opérationnel des applications, sites web, services, réseaux ou systèmes du prestataire de services sans l'accord préalable de ce dernier (qui ne sera pas refusé sans motif valable).

9.4 Si les contrôles ou mesures devant faire l'objet de l'audit demandé sont évalués dans le cadre d'un rapport d'audit SOC 2 Type 2, ISO, NIST ou similaire, réalisé par un auditeur tiers qualifié et indépendant conformément à un référentiel d'audit reconnu par le secteur au cours des douze (12) mois précédant la demande d'audit de l'Abonné (« Rapport d'audit ») et que le Prestataire de services a confirmé par écrit qu'aucun changement significatif n'a été constaté au niveau des contrôles audités et couverts par ce(s) Rapport(s) d'audit, l'Abonné accepte de se voir fournir ce(s) Rapport(s) d'audit au lieu de demander un audit de ces contrôles ou mesures.  Le prestataire de services fournira à l'abonné, sur simple demande, des copies de ces rapports d'audit.  

9.5 Ces rapports d'audit et toute autre information obtenue par le Souscripteur dans le cadre d'un audit effectué en vertu de la présente section 9 constituent des informations confidentielles du Prestataire de services, que le Souscripteur ne doit utiliser que dans le but de vérifier le respect des exigences du présent ATD ou de s'acquitter de ses obligations en vertu des lois applicables en matière de protection des données.  Aucune disposition de la présente section 9 ne saurait être interprétée comme obligeant le prestataire de services à manquer à une obligation de confidentialité.

, 10.
S RELATIVES À LA RESTITUTION ET À LA SUPPRESSION ‍
10.1 Dans les 30 jours suivant l'expiration ou la résiliation anticipée du Contrat, le Prestataire de services devra, dans toute la mesure techniquement possible compte tenu des circonstances, soit (i) restituer et/ou supprimer toutes les Données personnelles de l’Abonné dont il a la garde, la conservation ou le contrôle, conformément aux instructions de l’Abonné relatives à la restitution et à la suppression des Données de l’Abonné après résiliation telles qu’énoncées dans le Contrat, soit, sous réserve de la section 11.5, les instructions supplémentaires de l’Abonné, soit (ii) anonymiser ou dépersonnaliser de manière irréversible toutes les Données personnelles de l’Abonné dont le Prestataire de services a la charge, la garde ou le contrôle.

10.2 Nonobstant ce qui précède, le Prestataire de services peut conserver les Données à caractère personnel de l'Abonné lorsque la loi l'exige (ou, dans le cas de Données à caractère personnel de l'Abonné soumises au RGPD, aux lois du Royaume-Uni ou de l'Espace économique européen, selon le cas), à condition que le Prestataire de services (a) conserve l'ensemble de ces Données à caractère personnel de l'Abonné conformément au présent ATD et (b) traite les Données à caractère personnel de l'Abonné uniquement dans la mesure nécessaire aux fins et pour la durée spécifiées dans la loi applicable exigeant cette conservation.

, 11. RESPONSABILITÉS DE L'ABONNÉ

11.1 Sans préjudice de la section 1.4 du Contrat, l'Abonné reconnaît que, sans préjudice des obligations du Prestataire de services prévues à la section 5 (Sécurité), il est seul responsable de son utilisation des Services, notamment (a) d'utiliser les Services de manière appropriée afin de maintenir un niveau de sécurité adapté au risque lié aux Données personnelles de l'Abonné ; (b) de sécuriser les identifiants d'authentification du compte, les systèmes et les appareils que l'Abonné utilise pour accéder aux Services ; (c) de sécuriser les systèmes et appareils de l'Abonné que le Prestataire de services utilise pour fournir les Services ; et (d) de sauvegarder les Données personnelles de l'Abonné.

11.2 L'Abonné doit s'assurer :

(a) qu'il existe, et qu'il existera pendant toute la durée du Contrat, une base juridique valable pour le Traitement par le Prestataire de services des Données à caractère personnel de l'Abonné, conformément au présent ATD et au Contrat (y compris toutes les instructions données de temps à autre par l'Abonné concernant ce Traitement), aux fins de toutes les Lois applicables en matière de protection des données (y compris l'article 6, l'article 9, paragraphe 2, et/ou l'article 10 du RGPD (le cas échéant)) ; et

(b) que (et est seul responsable de s'assurer que) toutes les notifications requises ont été adressées aux personnes concernées et à toute autre partie, et que tous les consentements, autorisations et droits ont été obtenus de leur part, comme l'exigent les lois applicables en matière de protection des données ou toute autre disposition, afin que le Prestataire de services puisse traiter les Données à caractère personnel de l'Abonné comme prévu dans le Contrat.

11.3 L'Abonné reconnaît que les Services, les Mesures de sécurité et les engagements pris par le Prestataire de services en vertu du présent ATD sont suffisants pour répondre à ses besoins, y compris en ce qui concerne les obligations de sécurité qui lui incombent en vertu des Lois applicables en matière de protection des données, et qu'ils offrent un niveau de sécurité adapté au risque lié aux Données à caractère personnel de l'Abonné.

11.4 L'Abonné s'engage à ne pas fournir ni mettre à la disposition du Prestataire de services, et à veiller à ce que ses Utilisateurs autorisés ne le fassent pas non plus, des Données personnelles de l'Abonné contenant : (a) des numéros de sécurité sociale ou d'autres numéros d'identification délivrés par les autorités publiques ; (b) des informations de santé protégées soumises à la loi HIPAA (Health Insurance Portability and Accountability Act) ou d’autres informations concernant les antécédents médicaux d’une personne, son état mental ou physique, ou un traitement médical ou un diagnostic posé par un professionnel de santé ; (c) des informations relatives à l’assurance maladie ; (d) des informations biométriques ; (e) des identifiants de connexion à des comptes financiers ou des données relatives à des cartes de crédit, de débit ou autres cartes de paiement soumises à la norme PCI DSS (Payment Card Industry Data Security Standard) ; (f) des données relatives aux déclarations fiscales ; (g) une géolocalisation précise ; (h) des données révélant l’origine raciale ou ethnique, les convictions religieuses, la vie sexuelle ou l’orientation sexuelle, l’appartenance syndicale, la citoyenneté ou le statut d’immigration ; (i) des données génétiques ; (j) des données collectées auprès d’un enfant identifié ; (k) toute information constituant une catégorie particulière de données à caractère personnel (telle que décrite à l'article 9, paragraphe 1, du RGPD) et/ou les données relatives aux condamnations pénales et aux infractions ; et (j) tout identifiant de compte en ligne.  L'abonné reconnaît que le prestataire de services n'est ni un partenaire commercial (au sens où ce terme est défini par la loi HIPAA) ni un prestataire de services de paiement par carte.  L'abonné reconnaît que les Services ne sont pas conçus pour être conformes aux normes HIPAA ou PCI DSS.

11.5 Sauf dans la mesure où la loi applicable l'interdit, l'Abonné devra rémunérer le Prestataire de services aux tarifs alors en vigueur pour les services professionnels de ce dernier, et lui rembourser tous les frais raisonnablement engagés par le Prestataire de services dans le cadre de la fourniture de la coopération, des informations ou de l'assistance demandées par l'Abonné conformément aux sections 6 (Demandes des personnes concernées), 9 (Assistance en matière de conformité ; audits) et 10.1 (Restitution et suppression) du présent ATD, au-delà de la fourniture des fonctionnalités en libre-service incluses dans les Services.

, 12. DONNÉES DÉSIDENTIFIÉES, ANONYMIZÉES OU AGRÉGÉES

12.1 Dans la mesure où le Prestataire de services traite ou génère des données désidentifiées, il doit prendre des mesures raisonnables visant à empêcher que ces données ne soient associées à une personne physique.  

12.2 Si la création et/ou l'utilisation par le Prestataire de services de données agrégées, anonymisées ou dépersonnalisées est soumise aux lois applicables en matière de protection des données, alors la création et/ou l'utilisation par le Prestataire de services de ces données, y compris, sans s'y limiter, les données dépersonnalisées, ne sera autorisée que dans la mesure où ces données constituent des « informations agrégées sur les consommateurs » ou ont été « dépersonnalisées » ou « anonymisées » (tels que ces termes sont définis dans les lois applicables en matière de protection des données).
 
13. RESPONSABILITÉ  

13.1 La responsabilité totale cumulée de l’une des Parties envers l’autre Partie, quelle qu’en soit la cause, au titre du présent ATD et des CCT (le cas échéant) ou en rapport avec ceux-ci, ne dépassera en aucun cas les limites ou plafonds de responsabilité et de perte convenus par les Parties dans le Contrat, et sera soumise aux exclusions de responsabilité prévues dans celui-ci ; étant entendu que, rien dans la présente section 13 n'affectera la responsabilité de quiconque envers les personnes concernées en vertu des dispositions relatives aux tiers bénéficiaires des CCT (si et dans la mesure où elles s'appliquent).

, p. 14. MODIFICATION DE LA LÉGISLATION

14.1 Le Prestataire de services peut, moyennant préavis, modifier le présent ATD dans la mesure où il le juge nécessaire (en agissant de manière raisonnable) pour se conformer aux exigences des lois applicables en matière de protection des données en vigueur, y compris en modifiant ou en remplaçant les CCT selon les modalités décrites aux paragraphes 2.1 et 2.2 de l'annexe 2 (annexe européenne).  

, p. 15. INTÉGRATION ET HIÉRARCHIE

15.1 Le présent ATD est intégré au Contrat et en fait partie intégrante à compter de la date d'entrée en vigueur de l'avenant.

15.2 En cas de conflit ou d’incohérence entre :

(a) le présent ATD et le Contrat, le présent ATD prévaudra ; ou

(b) toute clause type de protection des données (CTPD) conclue en vertu du paragraphe 2 de l’annexe 2 (annexe européenne) et le présent ATD et/ou le Contrat, les CTPD prévaudront en ce qui concerne le transfert soumis à des restrictions auquel elles s’appliquent.


Annexe 1

Détails relatifs au traitement des données

COORDONNÉES DU PRESTATAIRE DE SERVICES / « IMPORTATEUR DE DONNÉES »

Nom : Foo Monk LLC

Adresse : Comme indiqué dans le préambule de la DPA

Coordonnées pour la protection des données : E-mail : [email protected]

Activités du prestataire de services : Foo Monk LLC fournit une plateforme qui aide ses abonnés à développer leurs campagnes de prospection par e-mail, ainsi qu’une base de données de prospects interentreprises (« B2B »), que les abonnés peuvent utiliser soit pour mener des campagnes de prospection par e-mail à froid, soit pour trouver des coordonnées de prospects B2B.

Rôle : Sous-traitant


INFORMATIONS RELATIVES À L'ABONNÉ / « EXPORTATEUR DE DONNÉES »

Nom, adresse et coordonnées :

Tels que fournis par l'abonné lors de la création du compte ou à tout autre moment dans le cadre de son acceptation du contrat, et tels qu'enregistrés dans le profil de compte de l'abonné.

Activités de l'abonné :

Les activités de l'abonné relevant du présent accord de traitement des données (DPA) consistent en l'utilisation et la réception des Services dans le cadre et conformément au Contrat, ainsi qu'aux fins prévues et autorisées par celui-ci, dans le cadre de ses activités commerciales courantes.

Rôle : Responsable du traitement

DÉTAILS DU TRAITEMENT

Catégories de personnes concernées :

Les personnes concernées concernées comprennent :

Prospects de l'abonné

Clients existants de l'abonné

Chaque catégorie comprend des personnes concernées actuelles, anciennes et potentielles.

Catégories de données à caractère personnel des abonnés :

Les données à caractère personnel pertinentes des abonnés comprennent :

Données d'identification (par exemple, le nom)

Données marketing (par exemple, adresse e-mail, données relatives à l'activité par e-mail)

Contenu téléchargé par l'abonné (c'est-à-dire toute donnée personnelle de l'abonné contenue dans les données de l'abonné, telle que le titre, le nom de l'entreprise, la description de l'entreprise sur LinkedIn, le numéro de téléphone (professionnel), le nombre d'employés de cette entreprise, le secteur d'activité, l'adresse du profil LinkedIn personnel et de l'entreprise, la ville, l'État et le pays de la personne ou de l'entreprise, les pages de profil LinkedIn, l'URL Facebook, l'URL Twitter et les sites web).

Catégories de données sensibles et restrictions/mesures de protection supplémentaires associées :

Catégories de données sensibles :

N/A

Mesures de protection supplémentaires pour les données sensibles :

N/A

Fréquence des transferts :

En cours – à l'initiative de l'Abonné dans le cadre de son utilisation des Services, ou de l'utilisation de ceux-ci en son nom.  

Nature du traitement :
Opérations de traitement nécessaires à la fourniture des Services conformément au Contrat, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.

Finalité du traitement :
Les données à caractère personnel de l'abonné seront traitées : (i) dans la mesure nécessaire à la fourniture des services, telle que définie par l'abonné dans le cadre de son utilisation de ceux-ci, et (ii) afin de se conformer à toute autre instruction raisonnable fournie par l'abonné conformément aux dispositions du présent accord sur le traitement des données.
Durée du traitement / Période de conservation :
Pendant toute la durée du Contrat, puis conformément à la section 10 (Restitution et suppression) du présent ATD.
Transferts vers des sous-traitants :
Les transferts vers des sous-traitants s'effectuent selon les modalités et aux fins décrites dans la liste des sous-traitants (qui peut être mise à jour de temps à autre conformément à l'accord sur le traitement des données).

Annexe 2

Annexe européenne

1. ANALYSE D'IMPACT RELATIVE À LA PROTECTION DES DONNÉES ET CONSULTATION PRÉALABLE

1.1 Compte tenu de la nature du traitement des données à caractère personnel de l'abonné par le prestataire de services et des informations dont dispose ce dernier, le Prestataire de services fournira une assistance raisonnable à l’Abonné, aux frais de ce dernier, pour toute analyse d’impact relative à la protection des données et toute consultation préalable auprès des autorités de contrôle que l’Abonné estime raisonnablement être requises en vertu de l’article 35 ou de l’article 36 du RGPD, dans chaque cas uniquement en ce qui concerne le traitement des données à caractère personnel de l’Abonné par le Prestataire de services.

, 2. Transferts soumis à des restrictions

Transferts soumis à des restrictions au sein de l'EEE

2.1 Dans la mesure où tout traitement des données à caractère personnel de l’abonné au titre du présent ATD implique un transfert restreint au sein de l’EEE de l’abonné vers le prestataire de services, les parties se conforment à leurs obligations respectives énoncées dans les CCT de l’UE, qui sont par les présentes réputées être :

(a) remplies conformément à la partie 1 de l’annexe 1 de la présente annexe 2 (annexe européenne) ; et

(b) conclus par les parties et incorporés par référence dans le présent ATD.

Transferts soumis à restriction au Royaume-Uni
2.2 Dans la mesure où tout traitement des données à caractère personnel de l’abonné au titre du présent accord de traitement implique un transfert soumis à restriction au Royaume-Uni de l’abonné vers le prestataire de services, les parties se conforment à leurs obligations respectives énoncées dans les clauses contractuelles types du Royaume-Uni, qui sont réputées être les suivantes : (a) Les CCT de l'UE, telles que modifiées pour répondre aux exigences du RGPD britannique conformément à l'addendum sur les transferts vers le Royaume-Uni et complétées conformément à la partie 2 de l'annexe 1 de la présente annexe 2 (annexe européenne) ; et (b) conclues par les parties et incorporées par référence dans le présent ATD.





Adoption d'un nouveau mécanisme de transfert‍
2.3 Le Prestataire de services peut, moyennant préavis, modifier le présent ATD et remplacer les CCT pertinentes par :

(a) toute nouvelle version des CCT pertinentes ou tout document de remplacement élaboré et dûment complété (par exemple, les clauses types de protection des données adoptées par la Commission européenne pour être utilisées spécifiquement dans le cadre de transferts vers des importateurs de données soumis à l'article 3, paragraphe 2, du RGPD de l'UE) ; ou

(b) un autre mécanisme de transfert,

qui permet le transfert licite des Données à caractère personnel de l'Abonné par l'Abonné au Prestataire de services en vertu du présent ATD, conformément au chapitre V du RGPD.

Fourniture des CCT dans leur intégralité
2.4 En ce qui concerne tout Transfert soumis à restriction, si l'Autorité de contrôle, la Personne concernée ou un autre Responsable du traitement (le cas échéant) en fait la demande à l'Abonné – par demande écrite spécifique (adressée aux coordonnées indiquées à l'annexe 1 (Détails relatifs au traitement des données) ; accompagnée de pièces justificatives appropriées attestant de la demande en question), le Prestataire de services fournira à l’Abonné une version signée de la ou des séries de CCT pertinentes répondant à la demande adressée à l’Abonné (modifiées et complétées conformément à l’annexe 1 de la présente annexe 2  (annexe européenne) concernant le transfert restreint concerné) afin qu’elles soient contresignées par l’Abonné, transmises au demandeur concerné et/ou conservées pour attester de la conformité de l’Abonné aux lois applicables en matière de protection des données.

, 3. PRÉCISIONS OPÉRATIONNELLES

3.1 Dans le cadre du respect de ses obligations de transparence prévues à la clause 8.3 des clauses contractuelles types de l'UE, le Souscripteur s'engage à ne pas divulguer ni mettre à disposition de quelque manière que ce soit les secrets d'affaires, les informations confidentielles et/ou toute autre information commercialement sensible du Prestataire de services et de ses concédants de licence, et à prendre toutes les mesures appropriées pour les protéger.

3.2 Le cas échéant, aux fins de la clause 10(a) du module 2 des clauses contractuelles types de l'UE, le souscripteur reconnaît et accepte qu'il n'existe aucune circonstance dans laquelle il serait approprié que le prestataire de services notifie à un responsable du traitement tiers une demande émanant d'une personne concernée, et que toute notification de ce type relève de la seule responsabilité du souscripteur.

3.3 Aux fins de la clause 15.1(a) des clauses contractuelles types de l'UE, sauf dans la mesure où la loi applicable et/ou l'autorité publique compétente l'interdisent, l'Abonné accepte, entre les Parties, d'être seul responsable de la transmission de toute notification aux personnes concernées, le cas échéant et selon les besoins.

3.4 Les conditions générales de la section 8 du présent accord sur le traitement des données s'appliquent à la désignation et au recours à des sous-traitants par le prestataire de services dans le cadre des clauses contractuelles types de l'UE.  Toute acceptation par le Souscripteur de la désignation d'un sous-traitant par le Prestataire de services, qu'elle soit expresse ou réputée donnée en vertu de l'article 8, constitue une instruction écrite du Souscripteur visant à effectuer des divulgations et des transferts ultérieurs à tout sous-traitant concerné, si et dans la mesure où cela est requis en vertu de la clause 8.8 des clauses contractuelles types de l'UE.

3.5 Les audits décrits aux clauses 8.9(c) et 8.9(d) des clauses contractuelles types de l'UE sont soumis aux conditions générales applicables énoncées à la section 9 du présent accord sur le traitement des données.

3.6 L'attestation de suppression des données à caractère personnel de l'abonné, telle que décrite aux clauses 8.5 et 16(d) des clauses contractuelles types de l'UE, ne sera fournie que sur demande écrite de l'abonné.

Annexe 1 À L'ANNEXE EUROPÉENNE – CLAUSES CONTRACTUELLES TYPISÉES (SCC)

Remarques :
Dans le cadre de tout transfert soumis à des restrictions au sein de l'EEE, les clauses contractuelles types de l'UE renseignées conformément à la partie 1 de la présente annexe 1 sont incorporées par référence dans l'accord de traitement des données (DPA) et en font partie intégrante (le cas échéant, conformément au paragraphe 2.1 de l'annexe 2 (annexe européenne) du DPA).

Dans le cadre de tout transfert soumis à des restrictions au Royaume-Uni, les CCT britanniques (c'est-à-dire les CCT de l'UE telles que modifiées par l'avenant relatif aux transferts au Royaume-Uni et complétées conformément à la partie 2 de la présente annexe 1) sont incorporées par référence dans l'accord sur le traitement des données (DPA) et en font partie intégrante (le cas échéant, conformément au paragraphe 2.2 de l'annexe 2 (annexe européenne) du DPA).

PARTIE 1 : POPULATION DES SCC – SCC de l'UE

1. SIGNATURE DES CLAUSES MODÉLISÉES DE L'UE :

Lorsque les clauses modélisées de l'UE s'appliquent conformément au paragraphe 2.1 de l'annexe 2 (annexe européenne) de l'accord sur le traitement des données (DPA) disponible à l'adresse  , (a) chacune des parties est réputée avoir signé les clauses modélisées de l'UE à l'emplacement prévu à cet effet dans l'annexe I de l'appendice des clauses modélisées de l'UE ; et (b) ces CCT de l'UE sont conclus entre les Parties avec effet à compter (i) de la date d'entrée en vigueur de l'avenant ; ou (ii) de la date du premier transfert restreint vers l'EEE auquel elles s'appliquent conformément au paragraphe 2.1 de l'annexe 2 (annexe européenne) de l'accord sur le traitement des données, la date la plus proche étant retenue.

, 2. MODULES

Le module suivant des CCT de l'UE s'applique selon les modalités décrites ci-dessous (compte tenu du ou des rôles de l'Abonné définis à l'annexe 1 de l'annexe 2 (annexe européenne) de l'accord de traitement) : le module 2 des CCT de l'UE s'applique à tout transfert restreint au sein de l'EEE impliquant le traitement de données à caractère personnel de l'Abonné pour lequel l'Abonné est lui-même responsable du traitement.

3. CONTENU DU CORPS DES CCT DE L'UE

3.1 Pour le module deux des CCT de l'UE, les dispositions suivantes s'appliquent, le cas échéant, à ce module et à ses clauses :

(a) La « clause d'amarrage » facultative de la clause 7 n'est pas utilisée et le corps de cette clause 7 est laissé intentionnellement vide.

(b) À la clause 9 :

(i) OPTION 2 : l'AUTORISATION GÉNÉRALE ÉCRITE s'applique, et le délai minimal de préavis pour l'ajout ou le remplacement de sous-traitants secondaires est celui prévu à la section 8.4 de l'accord sur le traitement des données ; et
(ii) OPTION 1 : L'AUTORISATION PRÉALABLE SPÉCIFIQUE n'est pas utilisée et cette formulation facultative est supprimée ; il en va de même, par conséquent, pour l'annexe III de l'appendice aux CCT de l'UE.

(c) À l'article 11, la formulation facultative n'est pas utilisée et est supprimée.

(d) À l'article 13, tous les crochets sont supprimés et tout le texte qu'ils renferment est conservé.
À l'article 17 : l'OPTION 1 s'applique, et les parties conviennent que les clauses contractuelles types de l'UE sont régies par le droit irlandais en ce qui concerne tout transfert soumis à des restrictions au sein de l'EEE ; l'OPTION 2 n'est pas retenue et la formulation facultative est supprimée.

(f) Aux fins de la clause 18, les parties conviennent que tout litige découlant des clauses contractuelles types de l'UE concernant un transfert soumis à des restrictions au sein de l'EEE sera tranché par les tribunaux irlandais, et la clause 18(b) est complétée en conséquence.
   
3.2 Dans le présent paragraphe 3, les références aux « clauses » renvoient aux clauses des clauses contractuelles types de l'UE.

, 4. RENDEZ-VOUS DES ANNEXES DE L'APPENDICE AUX CLAUSES CONTRACTUELLES TYPISÉES DE L'UE

4.1 L'annexe I de l'appendice aux clauses contractuelles types de l'UE est complétée avec les informations correspondantes détaillées à l'annexe 1 (Détails du traitement des données) de l'accord de traitement des données, en désignant : l'abonné comme « exportateur de données » ; et le prestataire de services comme « importateur de données ».

4.2 La partie C de l'annexe I de l'appendice aux clauses contractuelles types de l'UE est complétée comme suit :

(a) Lorsque le souscripteur est établi dans un État membre de l'UE, l'autorité de contrôle compétente est l'autorité de contrôle de l'État membre de l'UE dans lequel le souscripteur est établi.

(b) Lorsque l'Abonné n'est pas établi dans un État membre de l'UE, l'article 3, paragraphe 2, du RGPD s'applique et l'Abonné a désigné un représentant dans l'UE conformément à l'article 27 du RGPD : l'autorité de contrôle compétente est l'autorité de contrôle de l'État membre de l'UE dans lequel le représentant de l'Abonné dans l'UE, compétent pour le traitement visé aux présentes, est établi (à tout moment).

(c) Lorsque l'Abonné n'est pas établi dans un État membre de l'UE, l'article 3, paragraphe 2, du RGPD de l'UE s'applique, mais que l'Abonné n'a pas désigné de représentant dans l'UE conformément à l'article 27 du RGPD de l'UE : l'autorité de contrôle compétente est l'autorité de contrôle de l'État membre de l'UE notifiée par écrit au point de contact du Prestataire de services chargé de la protection des données, identifié à l'annexe 1 (Détails du traitement des données) du DPA, qui doit être un État membre de l'UE dans lequel se trouvent les personnes concernées dont les données à caractère personnel sont transférées en vertu des présentes clauses dans le cadre de la fourniture de biens ou de services à leur intention, ou dont le comportement est surveillé.

4.3 L'annexe II de l'appendice aux clauses contractuelles types de l'UE est complétée comme suit :
General
Généralités:
Veuillez vous reporter à la section 5 de l'accord de traitement des données (DPA) et aux mesures de sécurité qui y sont décrites.

Si l'Abonné reçoit une demande d'une personne concernée au titre du RGPD de l'UE et a besoin de l'aide du Prestataire de services, il doit envoyer un e-mail au point de contact du Prestataire de services chargé de la protection des données, identifié à l'annexe 1 (Détails relatifs au traitement des données), à l'autorité de protection des données.

Sous-traitants: Lorsque le Prestataire de services fait appel à un sous-traitant en vertu des présentes clauses, il doit conclure avec ce dernier un accord contractuel contraignant lui imposant des obligations en matière de protection des données qui, sur le fond, respectent ou dépassent les normes requises par les présentes clauses et l’Accord sur le traitement des données (DPA) – notamment en ce qui concerne :

les mesures de sécurité de l’information applicables ;
la notification des violations de données à caractère personnel au prestataire de services ;
la restitution ou la suppression des données à caractère personnel de l'abonné lorsque cela est requis ; et
le recours à d'autres sous-traitants.



PARTIE 2 : TRANSFERTS SOUMIS À DES RESTRICTIONS AU ROYAUME-UNI – SCC AU ROYAUME-UNI

1. AVENANT RELATIF AUX TRANSFERTS VERS LE ROYAUME-UNI

1.1 Le cas échéant, conformément au paragraphe 2.2 de l’annexe 2 (annexe européenne) de l’accord de traitement des données (DPA), les clauses contractuelles types de l’UE s’appliquent également dans le cadre des transferts vers le Royaume-Uni soumis à des restrictions, telles que modifiées par l’avenant relatif aux transferts vers le Royaume-Uni (clauses contractuelles types du Royaume-Uni), de la manière décrite ci-dessous –

(a) Partie 1 de l’avenant relatif aux transferts vers le Royaume-Uni.  Les parties conviennent de ce qui suit :

(i) Les tableaux 1, 2 et 3 de l’addendum sur le transfert vers le Royaume-Uni sont réputés remplis avec les informations correspondantes figurant à l’annexe 1 (Détails relatifs au traitement des données) de l’accord sur le traitement des données (DPA) et les dispositions susmentionnées de la présente annexe 1 à l’annexe 2 (annexe européenne) (sous réserve des modifications apportées par les clauses obligatoires britanniques décrites au point (b) ci-dessous) ; et

(ii) le tableau 4 de l'addendum sur les transferts vers le Royaume-Uni est complété par la case intitulée « Importateur de données » qui est réputée avoir été cochée.

(b) Partie 2 de l'avenant relatif au transfert au Royaume-Uni.  Les parties conviennent d'être liées par les clauses obligatoires britanniques figurant dans l'avenant relatif au transfert au Royaume-Uni.

4.5 Conformément à l’article 17 des clauses obligatoires britanniques, les parties conviennent de présenter les informations requises par la « Partie 1 : Tableaux » de l’avenant britannique relatif au transfert selon les modalités prévues au paragraphe 1.1 de la présente partie 2 ; étant entendu que les parties conviennent en outre qu’aucun élément de cette présentation ne saurait avoir pour effet ni être interprété de manière à réduire les garanties appropriées (telles que définies à la section 3 des clauses obligatoires britanniques).

4.6 En ce qui concerne tout transfert soumis à des restrictions au Royaume-Uni auquel elles s’appliquent, lorsque le contexte le permet et l’exige, toute référence aux CCT dans l’accord de traitement des données doit être interprétée comme une référence à ces CCT telles que modifiées conformément au paragraphe 1.1 de la présente partie 2.


Annexe 3

Annexe Californie

1. Dans la présente annexe, les termes « entreprise », « finalité commerciale », « consommateur », « vendre », « partager » et « prestataire de services » ont le sens qui leur est donné dans la CCPA ; le terme « informations personnelles » désigne les données personnelles de l'abonné qui constituent des « informations personnelles » au sens de la CCPA et qui sont soumises à celle-ci.

, 2. Les finalités commerciales et les Services pour lesquels le Prestataire de services traite des données à caractère personnel visent à permettre au Prestataire de services de fournir les Services à l'Abonné et pour le compte de celui-ci, conformément au Contrat, comme décrit plus en détail à l'annexe 1 (Détails relatifs au traitement des données).

, 3. Les parties entendent que, s'agissant de toute donnée à caractère personnel, le Prestataire de services agit en tant que prestataire de services.  Le Prestataire de services (a) reconnaît que les données à caractère personnel ne sont divulguées par l’Abonné qu’aux fins limitées et spécifiques décrites dans le Contrat ; (b) s’engage à respecter les obligations applicables en vertu de la CCPA et à assurer aux données à caractère personnel le même niveau de protection de la vie privée que celui requis par la CCPA ; (c) accepte que l’Abonné ait le droit de prendre des mesures raisonnables et appropriées en vertu de la section 9 (Assistance à la conformité ; audits) du présent ATD afin de contribuer à garantir que l'utilisation des informations personnelles par le Prestataire de services est conforme aux obligations de l'Abonné en vertu de la CCPA ; (d) informera l'Abonné par écrit de toute décision prise par le Prestataire de services selon laquelle il ne peut plus remplir ses obligations en vertu de la CCPA ; et (e) accepte que l'Abonné ait le droit, sur notification, y compris en vertu de la clause précédente, de prendre des mesures raisonnables et appropriées pour mettre fin à toute utilisation non autorisée des informations personnelles et y remédier.  

, 4. Le Prestataire de services s'engage à ne pas (a) vendre ou partager des informations personnelles ; (b) conserver, utiliser ou divulguer des informations personnelles à des fins autres que celles spécifiées dans le Contrat, y compris la conservation, l'utilisation ou la divulgation de ces informations à des fins commerciales autres que celles spécifiées dans le Contrat, ou telles qu'autorisées par la CCPA ; (c) conserver, utiliser ou divulguer les informations personnelles en dehors de la relation commerciale directe entre le Prestataire de services et l'Abonné ; ou (d) combiner les informations personnelles reçues en vertu du Contrat avec des informations personnelles (i) reçues d'une autre personne ou pour le compte de celle-ci, ou (ii) collectées à partir de l'interaction du Prestataire de services avec tout consommateur auquel ces informations personnelles se rapportent.

, 5. Le Prestataire de services mettra en œuvre des procédures et des pratiques de sécurité raisonnables et adaptées à la nature des données à caractère personnel reçues de l'Abonné ou pour le compte de celui-ci, conformément à la section 5 (Sécurité) de l'Accord sur le traitement des données.

, 6. Lorsque le Prestataire de services fait appel à un sous-traitant, il doit en informer l'Abonné conformément à la section 8 (Sous-traitance) de l'accord sur le traitement des données.

Annexe 4

Mesures de sécurité

À compter de la date d'entrée en vigueur de l'avenant, le prestataire de services mettra en œuvre et maintiendra les mesures de sécurité telles que définies dans la présente annexe 4.

, 1. Une direction organisationnelle et un personnel dédié chargés de l'élaboration, de la mise en œuvre et de la maintenance du programme de sécurité de l'information du prestataire de services.

, 2. Procédures d'audit et d'évaluation des risques visant à examiner et à évaluer périodiquement les risques pesant sur l'organisation du prestataire de services, à contrôler et à garantir le respect de ses politiques et procédures, ainsi qu'à rendre compte de l'état de la sécurité de l'information et de la conformité à la direction interne.

, 3. Mesures de sécurité des données comprenant au minimum : la séparation logique des données, un accès et une surveillance restreints (par exemple, en fonction des rôles), ainsi que l'utilisation de technologies de chiffrement commercialement raisonnables pour les données personnelles des abonnés.

, 4. Contrôles d'accès logiques conçus pour gérer l'accès électronique aux données et aux fonctionnalités du système, en fonction des niveaux d'autorisation et des fonctions professionnelles.

, 5. Contrôles des mots de passe destinés à gérer et à contrôler la sécurité, la durée de validité et l'utilisation des mots de passe.

, 6. Audit du système ou journalisation des événements, ainsi que les procédures de surveillance associées, afin d'enregistrer de manière proactive les accès des utilisateurs et l'activité du système.

, 7. Sécurité physique et environnementale des centres de données, des salles de serveurs et des autres zones abritant les données à caractère personnel des abonnés, visant à protéger les actifs informationnels contre tout accès physique non autorisé ou tout dommage.

, 8. Procédures opérationnelles et contrôles visant à assurer la configuration, la surveillance et la maintenance des systèmes technologiques et informatiques, y compris la destruction sécurisée des systèmes et des supports afin de rendre toutes les informations ou données qu’ils contiennent indéchiffrables ou irrécupérables avant leur élimination définitive ou leur restitution par le prestataire de services.

, 9. Procédures de gestion du changement et mécanismes de suivi destinés à tester, approuver et surveiller toutes les modifications importantes apportées aux ressources technologiques et informatiques du prestataire de services.

, 10. Procédures de gestion des incidents destinées à permettre au prestataire de services d'enquêter sur les événements liés à ses ressources technologiques et informatiques, d'y réagir, d'en atténuer les effets et d'en informer les parties concernées.

, 11. Mesures de sécurité réseau prévoyant l'utilisation de pare-feu d'entreprise et de systèmes de détection d'intrusion destinés à protéger les systèmes contre les intrusions et à limiter la portée de toute attaque réussie.

, 12. Technologies d'évaluation des vulnérabilités et de protection contre les menaces, ainsi que procédures de surveillance régulière conçues pour identifier, évaluer, atténuer et protéger contre les menaces de sécurité identifiées, les virus et autres codes malveillants.

, p. 13. Procédures de résilience et de continuité des activités ainsi que de reprise après sinistre, conçues pour assurer la continuité du service et/ou la reprise après des situations d'urgence ou des sinistres prévisibles.  
Le prestataire de services d'
peut mettre à jour les mesures de sécurité de temps à autre, conformément à la section 5.2 (dans la partie « Sécurité ») de l'accord sur le traitement des données.

Libérez tout le potentiel de l'IA

Avec

Commencez dès maintenant pour accéder à des modèles exclusifs et faire passer vos projets au niveau supérieur.

Ne laissez plus une mauvaise délivrabilité mettre à mal votre pipeline. Rejoignez plus de 50 000 équipes commerciales qui ont adopté Instantly pour améliorer le placement de leurs e-mails dans la boîte de réception, augmenter les taux de réponse et conclure davantage de ventes.

Commencer

Voir les tarifs

Aucune carte de crédit n'est requise.

Produits

OutreachCRMVérificationFichiers clientsWebsite VisitorsInbox PlacementDélivrabilitéComptes de messagerieInstantly AIAgent commercial IAAutomationsAI AgentsAI Reply Agent

Cas d'utilisation

AgencesFreelancesGrandes entreprisesFondateursVentesService VIPMarketingDéveloppement des ventes

Ressources

BlogAPIService d'assistanceAccélérateur InstantlyCarrièresPartenariat commercialGroupe FacebookCommunauté SlackExpert·e·sInstantly AcademyInstantly CreatorsInstantly contre ApolloProgramme d'intégrationDécouvrez nos partenairesParrainez un amiAvis et retour d'expérience

Liens rapides

Tarifs

Entreprise

Conditions généralesConditions générales de l'agent commercial IAConfidentialitéNe vendez pas mes donnéesCentre de confidentialitéDéclaration relative aux cookies

Produits

OutreachCRMVérificationFichiers clientsWebsite VisitorsInbox PlacementDélivrabilitéComptes de messagerieInstantly AIAgent commercial IAAutomationsAI AgentsAI Reply AgentAgent commercial IA

Cas d'utilisation

AgencesFreelancesGrandes entreprisesFondateursVentesService VIPMarketingDéveloppement des ventes

Ressources

BlogAPIService d'assistanceAvis et retour d'expérienceAccélérateur InstantlyCarrièresPartenariat commercialGroupe FacebookCommunauté SlackExpert·e·sInstantly AcademyInstantly contre Apollo Programme d'intégrationDécouvrez nos partenairesParrainez un amiReviews

Liens rapides

Tarifs

Entreprise

Conditions généralesConfidentialitéNe vendez pas mes donnéesCentre de confidentialitéDéclaration relative aux cookies

© 2026 Instantly. Tous droits réservés.