Calendly LLC

Addenda relatif au traitement des données RGPD

En vigueur à compter du 25 mai 2018

L’Addenda relatif au traitement des données RGPD, y compris les Clauses contractuelles types auxquelles il est fait référence aux présentes (« ATD ») modifie et complète tout contrat de service existant et actuellement en vigueur (le « Contrat ») conclu antérieurement ou simultanément entre vous (ainsi que les filiales et les entités affiliées, collectivement, le « Client ») et Calendly LLC (ainsi que les filiales et les entités affiliées, collectivement, le « Processeur ») et énonce d’autres conditions qui s’appliquent dans la mesure où toute information que vous fournissez au Sous-traitant conformément au Contrat comprend des données à caractère personnel (telles que définies ci-dessous).

Termes définis

Les termes utilisés mais non définis dans l’ATD, comme « violation de données à caractère personnel », « traitement », « responsable du traitement », « sous-traitant » et « personne concernée », auront la même signification que celle énoncée dans l’Article 4 du RGPD. En outre, les définitions suivantes sont utilisées dans l’Addenda :

  1. Le terme « Lois de protection des données de l’UE » désigne toutes les lois et tous les règlements de l’Union européenne, de l’Espace économique européen, de leurs États membres, de la Suisse et du Royaume-Uni applicables au traitement des Données à caractère personnel en vertu du Contrat, y compris (le cas échéant) le RGPD.
  2. Le « RGPD » désigne le Règlement général sur la protection des Données (règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données).
  3. « Données à caractère personnel » désigne toute information se rapportant à une personne physique identifiée ou identifiable vivant dans l’Espace économique européen, en Suisse ou au Royaume-Uni. Est réputée être une personne physique identifiable une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
  4. « Clauses contractuelles types » désigne les clauses types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers approuvés par la Commission européenne. La version approuvée figure dans la décision 2010/87/UE de la Commission européenne du 5 février 2010 et sur http://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32010D0087, dont les clauses sont réputées intégrées aux présentes par renvoi.

Date d’entrée en vigueur

L’ATD entre en vigueur à la dernière des échéances suivantes : (a) au début de l’application du RGPD ou (b) à la date à laquelle le Sous-traitant commence à traiter des Données à caractère personnel au nom du Client.

Description du traitement des données

L’Annexe A de l’ATD décrit l’exportateur et l’importateur de données, les personnes concernées, les catégories de données, les catégories de données particulières (le cas échéant), les opérations de traitement ainsi que les mesures techniques et organisationnelles mises en œuvre par le Sous-traitant pour protéger les Données à caractère personnel. Pour l’application des Clauses contractuelles types, (a) le Client est l’exportateur de données et l’exécution par le Client de l’ATD est considérée comme l’exécution par le Client des Clauses contractuelles types et des appendices dudit ATD ; (b) le Sous-traitant est l’importateur de données, et l’exécution par le Sous-traitant de l’ATD est considérée comme l’exécution par le Sous-traitant des Clauses contractuelles types et des appendices dudit ATD.

Clauses contractuelles RGPD

En vertu des Articles 28, 32 et 33 du RGPD :

  1. Le Client accorde une autorisation générale au Sous-traitant qui peut nommer ses filiales en tant que sous-traitants, et une autorisation spécifique au Sous-traitant et à ses sociétés affiliées qui peuvent nommer en tant que sous-traitants des tiers offrant des garanties technologiques et organisationnelles raisonnables pour protéger les Données à caractère personnel. Vous pouvez nous écrire à tout moment à security@calendly.com pour demander une liste de nos sous-traitants et/ou pour vous abonner à notre newsletter relative aux sous-traitants. [Article 28(2)]
  2. Le Sous-traitant doit [Article 28(3)] :
    1. traiter les Données à caractère personnel uniquement sur instruction documentée du Client, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union européenne ou du droit de l’État membre auquel le Sous-traitant est soumis°; dans ce cas, le Sous-traitant informe le Client de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public ;
    2. veiller à ce que les personnes autorisées à traiter les Données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
    3. prendre toutes les mesures appropriées et applicables requises de la part des sous-traitants en vertu de l’Article 32 du RGPD ;
    4. compte tenu de la nature du traitement, aider le Client, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d'exercer leurs droits prévus au Chapitre III du RGPD. Le Sous-traitant peut facturer des frais (basés sur les coûts raisonnables du Sous-traitant) pour répondre aux demandes des personnes concernées en vertu de la Section 4(b)(iv) ;
    5. aider le Client à garantir le respect des obligations prévues aux Articles 32 à 36 du RGPD, compte tenu de la nature du traitement et des informations à la disposition du Sous-traitant ;
    6. selon le choix du Client, supprimer toutes les Données à caractère personnel ou les renvoyer au Client au terme de la prestation de services relatifs au traitement, et détruire les copies existantes, à moins que le droit de l’Union européenne ou le droit de l’État membre n’exige la conservation des Données à caractère personnel, à condition, toutefois, que le Sous-traitant puisse conserver les Données à caractère personnel durant les délais de prescription applicables aux fins d’entreprendre ou de défendre une action en justice. Le Sous-traitant peut facturer des frais (basés sur les coûts raisonnables du Sous-traitant) pour la suppression de données en vertu de la Section 4(b)(vi) ;
    7. mettre à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations prévues à l’Article 28 du RGPD et pour permettre la réalisation d’audits, y compris des inspections, par le Client et informer immédiatement le Client si, selon lui, une instruction constitue une violation du RGPD ou d’autres dispositions du droit de l’Union européenne ou du droit des États membres relatives à la protection des données. Le Sous-traitant peut facturer des frais (basés sur les coûts raisonnables du Sous-traitant) pour tout audit en vertu de la Section 4(b)(vii).
  3. Lorsqu’un Sous-traitant recrute un autre sous-traitant pour mener des activités de traitement spécifiques pour le compte du Client, les mêmes obligations en matière de protection de données que celles fixées dans l’ATD sont imposées à cet autre sous-traitant par contrat ou au moyen d’un autre acte juridique au titre du droit de l’Union européenne ou du droit d’un État membre, en particulier pour ce qui est de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD. [Article 28(4)]
  4. Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le Client et le Sous-traitant doivent mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. [Article 32(1)]
  5. Lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de Données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite. [Article 32(2)]
  6. Le Client et le Sous-traitant doivent prendre des mesures afin de garantir que toute personne physique agissant sous l’autorité du Client ou sous celle du Sous-traitant, qui a accès à des Données à caractère personnel, ne les traite pas, excepté sur instruction du Client, à moins d’y être obligée par le droit de l’Union européenne ou le droit d’un État membre (ou, dans le cas du Sous-traitant, par le droit des États-Unis). [Article 32(4)]
  7. Le Sous-traitant doit notifier au Client toute violation de Données à caractère personnel dans les meilleurs délais après en avoir pris connaissance. [Article 33(2)] Ladite notification doit, à tout le moins : (A) décrire la nature de la violation de Données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation, et les catégories et le nombre approximatif d’enregistrements de Données à caractère personnel concernés ; (B) communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ; (C) décrire les conséquences probables de la violation de données à caractère personnel ; (D) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives. [Article 33(3)] La notification ou la réponse du Sous-traitant en vertu de la Section 4(g) ne constitue nullement une reconnaissance par le Sous-traitant de toute faute ou responsabilité à l’égard de ladite violation de Données à caractère personnel.

Transferts internationaux

[Article 46]

  1. Le Client reconnaît et accepte que le Sous-traitant se trouve aux États-Unis et que la mise à disposition de la part du Client de Données à caractère personnel au Sous-traitant pour leur traitement constitue un transfert de Données à caractère personnel vers les États-Unis.
  2. Tous les transferts de Données à caractère personnel du Client hors de l’Espace Économique Européen, la Suisse et le Royaume-Uni vers des pays qui ne garantissent pas un niveau adéquat de protection des données au sens des lois de protection des données applicables sont régis par les Clauses contractuelles types. Les Clauses contractuelles types ainsi que et les Appendices 1 et 2 des Clauses contractuelles types énoncées dans l’Annexe A au présent Addenda sont incorporées dans l’ATD par ce renvoi uniquement comme exigé pour les Données à caractère personnel. L’exécution de l’ATD par les deux parties comprend l’exécution des Clauses contractuelles types en ce qui concerne le traitement des Données à caractère personnel.

Traitement par le Responsable du traitement

Le Client déclare et garantit que les Données à caractère personnel fournies au Sous-traitant à des fins de traitement en vertu du Contrat et de l’ATD sont collectées et/ou valablement obtenues par le Client dans le respect de toutes les lois et réglementations applicables, y compris, sans s’y limiter, les Lois de protection des données de l’UE, et notamment le Chapitre II du RGPD.

Limitation de responsabilité

La responsabilité de chacune des parties résultant de ou liée à l’ATD, liée à un contrat, à un délit civil ou à tout autre principe de droit, est soumise aux limitations de responsabilité contenues dans le Contrat. Afin d’éviter toute confusion, chaque référence dans les présentes à l’« ATD » désigne l’ATD, y compris ses annexes et appendices.

Modification

Dans la mesure où il est établi par une autorité de protection des données que le Contrat ou l’ATD est insuffisant pour se conformer aux Lois de protection des données de l’UE, ou si rendu nécessaire par des modifications des lois de protection des données applicables, le Client et le Sous-traitant acceptent de coopérer en toute bonne foi à modifier le Contrat ou l’ATD, ou de conclure d’autres accords mutuellement acceptables de traitement des données dans le but de se conformer à toutes les Lois de protection des données de l’UE applicables au Sous-traitant et au Client.

Dispositions générales

L’ATD est sans préjudice des droits et obligations des parties découlant du Contrat, qui restent en vigueur. En cas de contradiction entre les dispositions de l’ATD et du Contrat, les termes de l’ATD prévaudront uniquement dans la mesure où l’objet du conflit porte sur le traitement de Données à caractère personnel. L’ATD ne confère aucun droit bénéficiaire pour les tiers, est destiné au bénéfice des parties aux présentes ainsi que de leurs successeurs et cessionnaires autorisés respectifs, n'est destiné au bénéfice de nulle autre personne, et nulle autre personne ne peut exécuter quelque partie que ce soit de ses dispositions. L’ATD s’applique uniquement dans la mesure où le Sous-traitant traite des Données à caractère personnel au nom du Client. Sauf exigé par le RGPD, l’ATD et toute action associée seront régis par et interprétés selon les lois de l’État de Géorgie, sans donner effet à quelque principe relatif aux conflits de lois. À l’exception des litiges soumis à arbitrage tel que décrit dans le Contrat, dont les dispositions sont intégrées aux présentes par ce renvoi, les parties acceptent la compétence et la juridiction des tribunaux d’Atlanta, en Géorgie. L’ATD (ainsi que le Contrat) représente l’accord intégral, définitif et exclusif entre les parties relativement à l’objet des présentes, et supplante et fusionne toutes les discussions et contrats précédents entre les parties relativement audit objet.

Addenda relatif au traitement des données

Annexe A : Appendices aux Clauses contractuelles types

Appendice 1 aux Clauses contractuelles types

Cet Appendice fait partie intégrante des Clauses contractuelles types

Les États membres peuvent compléter ou préciser, conformément à leurs procédures nationales, toute information supplémentaire nécessaire pour figurer dans cet Appendice.

Exportateur de données

L’exportateur de données est (veuillez préciser brièvement vos activités liées au transfert) :

L’exportateur de données est le Client, un utilisateur des services fournis par le Sous-traitant, l’entité qui a signé un Contrat et consenti aux Clauses contractuelles types en tant qu'exportateur de données.

Importateur de données

L’importateur de données est (veuillez préciser brièvement les activités liées au transfert) :

Calendly LLC, fournisseur mondial d’une plateforme qui facilite la planification de rendez-vous, traite des Données à caractère personnel sur demande de l’exportateur de données conformément aux dispositions du Contrat et de l’ATD.

Personnes concernées

Les données à caractère personnel transférées concernent les catégories suivantes de personnes concernées (veuillez préciser) :

L’exportateur de données peut envoyer des Données à caractère personnel à Calendly LLC. Leur portée est déterminée et contrôlée par l’exportateur de données à sa seule discrétion. Elles peuvent inclure, sans s’y limiter les Données à caractère personnel liées aux catégories de personnes concernées suivantes  : les représentants et les utilisateurs finaux de l’exportateur de données, y compris employés, contractuels, partenaires, collaborateurs et clients de l’exportateur de données. Les personnes concernées peuvent également inclure des individus tentant de communiquer ou de transférer des Données à caractère personnel aux utilisateurs des services fournis par Calendly LLC.

Catégories de données

Les données à caractère personnel transférées concernent les catégories suivantes de données (veuillez préciser) :

L’exportateur de données peut envoyer des Données à caractère personnel à Calendly LLC. Leur portée est déterminée et contrôlée par l’exportateur de données à sa seule discrétion. Elles peuvent inclure, sans s’y limiter les catégories de Données à caractère personnel suivantes : (a) prénom et nom ; (b) titre ; (c) fonction ; (d) employeur ; (e) coordonnées (société, e-mail, téléphone, adresse physique) ; (f) données de connexion ; (g) données de localisation ; et (h) autres données sous forme électronique utilisées par le Client dans le cadre des services.

Catégories de données particulières (le cas échéant)

Les données à caractère personnel transférées concernent les catégories spéciales de données suivantes (veuillez préciser) :

Aucune

Opérations de traitement

Les données à caractère personnel transférées seront soumises aux activités de traitement suivantes (veuillez préciser) :

L’objectif du traitement par l’importateur de données des données à caractère personnel est l’exécution des services contractuels associés au Contrat avec l’exportateur de données. Les processus peuvent inclure la collecte, le stockage, la récupération, la consultation, l’utilisation, l’effacement ou la destruction, la divulgation par transmission, la diffusion ou la mise à disposition par tout autre moyen des données de l’exportateur de données comme nécessaire à la fourniture des services conformément aux instructions de l’exportateur de données, y compris à des fins internes (comme le contrôle qualité, le diagnostic, le développement de produits, etc.).

Appendice 2 aux Clauses contractuelles types

Cet Appendice fait partie intégrante des Clauses contractuelles types.

Description des mesures de sécurité techniques et organisationnelles mises en œuvre par l’importateur de données conformément aux Clauses 4(d) et 5(c) (ou document/législation joint(e)) :

Le Sous-traitant offrira des garanties administratives, physiques et techniques raisonnables pour la protection de la sécurité, de la confidentialité et de l’intégrité des données à caractère personnel transférées au Sous-traitant, conformément au Contrat et à la politique de confidentialité du Sous-traitant disponible sur https://calendly.com/pages/privacy.