Skip to content

Conditions du Site

Addendum relatif au traitement des données

Le présent Accord relatif au traitement des données (« DPA ») est conclu entre Benchmark Email (« Sous-traitant » ou « Benchmark Email ») et le Client (« Responsable du traitement » ou « Utilisateur ») qui utilise les services de Benchmark Email (les « Services »).

Le présent DPA régit le traitement des données à caractère personnel par Benchmark Email pour le compte du Responsable du traitement, conformément aux conditions énoncées dans les Conditions d'utilisation de Benchmark Email. En utilisant les Services, le Responsable du traitement accepte les conditions du présent DPA, qui fait partie intégrante de la relation contractuelle globale entre les parties.

Le Sous-traitant traitera les Données personnelles uniquement dans le but de fournir les Services au Responsable du traitement, conformément aux lois applicables en matière de protection des données, y compris le Règlement général sur la protection des données (RGPD) et les autres lois pertinentes en matière de confidentialité.

Le présent DPA reflète l'engagement partagé des deux parties à se conformer aux lois applicables en matière de protection des données et à garantir la sécurité et la confidentialité des Données personnelles. Tous les termes en majuscules non définis dans le présent DPA ont la signification qui leur est donnée dans les Conditions d'utilisation de Benchmark Email.

1. Définitions

Aux fins du présent DPA, les termes suivants ont la signification indiquée ci-dessous :

Données client : toutes les données personnelles que Benchmark Email traite pour le compte du client (responsable du traitement) en tant que sous-traitant dans le cadre de la fourniture de ses services.

Responsable du traitement : l'entité qui détermine les finalités et les moyens du traitement des données personnelles, tel que défini dans le RGPD. Dans le contexte du présent DPA, le responsable du traitement est le client de Benchmark Email qui collecte, détient et est responsable des données personnelles traitées à l'aide des services.

Sous-traitant : l'entité qui traite les données personnelles pour le compte du responsable du traitement, tel que défini dans le RGPD. Dans le contexte du présent DPA, Benchmark Email agit en tant que sous-traitant.

Lois sur la protection des données : toutes les lois et réglementations applicables régissant le traitement des données personnelles, y compris le RGPD, la loi californienne sur la protection de la vie privée des consommateurs (CCPA) et d'autres lois nationales ou régionales sur la protection des données.

Personne concernée : une personne physique identifiée ou identifiable dont les données personnelles sont traitées dans le cadre du présent DPA. Il s'agit de la personne dont les données sont collectées, mises en magasin et traitées.

Europe / UE : désigne l'Union européenne (UE) ou l'Espace économique européen (EEE), y compris tous les États membres de l'UE et les pays de l'EEE soumis au RGPD.

RGPD : le règlement général sur la protection des données (UE) 2016/679, tel que modifié de temps à autre, et toute autre loi applicable en matière de protection des données régissant le traitement des données à caractère personnel dans l'Espace économique européen (EEE).

Données à caractère personnel : toute information relative à une personne physique identifiée ou identifiable, telle que définie dans le RGPD. Cela inclut, sans s'y limiter, les noms, les coordonnées et toute autre donnée permettant d'identifier directement ou indirectement une personne.

Violation de données à caractère personnel : violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès accidentel ou illégal à des données à caractère personnel transmises,magasinées ou traitées de toute autre manière.

Traitement : toute opération ou ensemble d'opérations effectuées sur des données à caractère personnel, par des moyens automatisés ou non, y compris, mais sans s'y limiter, la collecte, le stockage, la récupération, l'utilisation, la divulgation, l'effacement ou la destruction de données à caractère personnel.

Services : les services d'email marketing et les services connexes fournis par Benchmark Email, tels que décrits dans les conditions d'utilisation de Benchmark Email, auxquels le responsable du traitement souscrit et qu'il utilise pour traiter les données à caractère personnel.

Sous-traitant : tout tiers engagé par Benchmark Email pour traiter des données personnelles pour le compte du responsable du traitement. Un sous-traitant peut inclure des prestataires de services, des sous-traitants ou d'autres entités qui fournissent des services liés au traitement des données personnelles.

Clauses contractuelles types (SCC) : dispositions légales adoptées par la Commission européenne qui permettent le transfert légal de données personnelles de l'EEE vers des pays tiers en dehors de l'EEE, conformément aux exigences du RGPD.

Conditions : désigne les conditions d'utilisation et toutes les politiques connexes mentionnées dans les présentes, y compris notre politique de confidentialité, notre politique anti-spam et tout autre document référencé.

Addendum britannique : dispositions garantissant la conformité avec les lois britanniques sur la protection des données pour les transferts de données depuis le Royaume-Uni, conformément au RGPD britannique, post-Brexit.

Lois américaines sur la protection des données : désigne les lois sur la confidentialité et la protection des données applicables aux États-Unis, y compris la loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act, CCPA) et d'autres lois fédérales et étatiques régissant la confidentialité des données.

2. Rôles et responsabilités

Cette section décrit les rôles et responsabilités du client et de Benchmark Email dans le traitement des données du client dans le cadre du présent DPA.

2.1 Rôle du client

Le client est l'entité qui détermine les finalités et les moyens du traitement des données à caractère personnel et, à ce titre, est le responsable du traitement des données en vertu des lois applicables en matière de protection des données, y compris le RGPD. Le client a les responsabilités clés suivantes :

  • Base légale du traitement : le client est chargé de veiller à ce que le traitement des données à caractère personnel soit légal en vertu des lois applicables en matière de protection des données. Cela inclut l'obtention des consentements nécessaires auprès des personnes concernées et la garantie que le client a le droit de fournir des données personnelles à Benchmark Email à des fins de traitement.
  • Fourniture d'instructions : le client fournira à Benchmark Email des instructions claires et légales pour le traitement des données client dans le cadre de la fourniture des services. Benchmark Email ne traitera les données client que conformément à ces instructions, telles que définies dans le présent DPA.
  • Droits des personnes concernées : Le client est responsable de répondre aux demandes des personnes concernées, telles que l'accès, la rectification, supprimer et la portabilité des données, conformément aux lois applicables en matière de protection des données. Benchmark Email aidera le client à se conformer à ces demandes si nécessaire.
  • Conformité aux lois sur la protection des données : Le client est responsable de s'assurer que les données personnelles qu'il fournit à Benchmark Email sont collectées, traitées et transférées conformément aux lois applicables en matière de protection des données.
  • Notification des violations de données : Le client doit informer Benchmark Email dans les plus brefs délais s'il a connaissance d'une violation de données à caractère personnel impliquant ses données à caractère personnel.

2.2 Rôle de Benchmark Email

Benchmark Email, en tant que sous-traitant, traite les données du client pour le compte de celui-ci conformément aux instructions fournies. Le sous-traitant a les responsabilités clés suivantes :

  • Instructions de traitement : Benchmark Email traitera les données du client uniquement selon les instructions de ce dernier, dans le but de fournir les services convenus. Benchmark Email ne traitera pas les données personnelles à d'autres fins, sauf si la loi applicable l'exige. Pour une description détaillée des activités spécifiques de traitement des données, y compris les types de données, les personnes concernées et les opérations de traitement, veuillez vous reporter à l'annexe 1 : Détails du traitement des données.
  • Sous-traitants : Benchmark Email peut faire appel à des sous-traitants pour l'aider à traiter les données du client. Le client consent à l'utilisation de sous-traitants par Benchmark Email. Benchmark Email fournit une liste des sous-traitants approuvés dans l'annexe 3 : Liste des sous-traitants, et informe le client de toute modification apportée à cette liste.
  • Sécurité des données personnelles : Benchmark Email mettra en œuvre les mesures techniques et organisationnelles appropriées pour garantir la sécurité et la confidentialité des données personnelles.
  • Assistance concernant les droits des personnes concernées : Benchmark Email aidera le client à répondre aux demandes des personnes concernées, y compris les demandes d'accès, de rectification, d'effacement et de portabilité des données.
  • Notification en cas de violation des données : Benchmark Email informera rapidement le client de toute violation des données personnelles impliquant les données du client. Cette notification sera effectuée sans retard injustifié et, dans la mesure du possible, dans les 72 heures.
  • Respect des lois sur la protection des données : Benchmark Email se conformera à toutes les lois applicables en matière de protection des données, y compris le RGPD, lors du traitement des données personnelles.

2.3 Responsabilités conjointes

Bien que le client et Benchmark Email aient chacun leur propre rôle, les deux parties partagent la responsabilité de veiller à ce que les données personnelles soient traitées conformément aux lois applicables en matière de protection des données. Les deux parties conviennent de :

  • Coopérer : le client et Benchmark Email coopéreront pour répondre à toute préoccupation liée au traitement des données personnelles et garantir le respect des lois applicables.
  • Audit et surveillance : le client peut demander des informations ou des audits afin de vérifier que le traitement est effectué conformément au présent DPA. Benchmark Email fournira un accès et une assistance raisonnables afin de faciliter ces audits ou cette surveillance.
  • Conformité en matière de transfert de données : Les deux parties veilleront à ce que tout transfert transfrontalier de données personnelles soit conforme aux lois applicables en matière de protection des données, y compris l'utilisation de clauses contractuelles types (SCC) ou d'autres mécanismes juridiques pour les transferts transfrontaliers de données.

2.4 Instructions relatives au traitement des données

Benchmark Email traitera les données personnelles uniquement selon les instructions du client. Si Benchmark Email estime qu'une instruction du client est illégale, Benchmark Email en informera le client sans délai.

3. Sécurité

Benchmark Email mettra en œuvre et maintiendra des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque associé au traitement des données personnelles, y compris les mesures décrites à l'annexe 2 : « Mesures de sécurité ». Ces mesures sont conçues pour protéger les données personnelles contre tout traitement non autorisé ou illégal, toute perte accidentelle, toute destruction ou tout dommage, et pour garantir la confidentialité, l'intégrité et la disponibilité des données.

3.1 Confidentialité

Benchmark Email veillera à ce que toute personne qu'il autorise à traiter des données personnelles soit soumise à une obligation de confidentialité, que ce soit en vertu d'une obligation contractuelle ou légale, afin de protéger la confidentialité des données personnelles.

3.2 Responsabilités du client

Le client reconnaît qu'il est responsable de s'assurer que toutes les données personnelles qu'il fournit à Benchmark Email sont collectées, traitées et transférées conformément aux lois applicables en matière de protection des données. Le client est tenu d'examiner les informations mises à disposition par Benchmark Email concernant la sécurité de ses données et de déterminer de manière indépendante si les services répondent à ses exigences et à ses obligations légales en vertu des lois sur la protection des données.

Le client s'engage à :

  • Préserver la confidentialité de tout identifiant de connexion ou autre information d'authentification nécessaire pour accéder aux services.
  • Mettre en œuvre des mesures de sécurité appropriées sur ses propres systèmes et appareils afin de protéger les données personnelles et d'empêcher tout accès non autorisé.

3.3 Mises à jour de sécurité

Benchmark Email mettra en œuvre des procédures pour mettre à jour et améliorer ses mesures de sécurité. Ces mises à jour peuvent inclure des améliorations technologiques, des systèmes ou des processus visant à renforcer la sécurité des données personnelles. Benchmark Email informera le client si des mises à jour ou des correctifs de sécurité critiques susceptibles d'avoir un impact sur l'utilisation des services par le client sont appliqués.

3.4 Réponse aux incidents de sécurité

En cas de violation des données personnelles, Benchmark Email en informera rapidement le client et coopérera avec lui pour gérer la violation, notamment en fournissant les informations pertinentes pour aider à toute notification requise aux personnes concernées ou aux régulateurs, le cas échéant. Benchmark Email suivra ses procédures internes de réponse aux incidents afin d'atténuer tout préjudice causé par la violation et de prévenir de futurs incidents.

4. Sous-traitants

Benchmark Email peut faire appel à des sous-traitants pour effectuer des activités de traitement spécifiques pour le compte du client. Les sous-traitants sont des prestataires de services tiers qui aident Benchmark Email à fournir les services et à effectuer des tâches spécifiques liées au traitement des données personnelles.

4.1 Utilisation de sous-traitants

Benchmark Email peut faire appel à des sous-traitants pour l'aider à traiter les données personnelles dans le cadre des services proposés au client, à condition que Benchmark Email s'assure que les sous-traitants respectent les mêmes obligations en matière de protection des données que celles énoncées dans le présent DPA.

4.2 Approbation des sous-traitants

Le Client accepte que Benchmark Email puisse faire appel à des sous-traitants pour l'aider à traiter les Données personnelles dans le cadre des Services. Benchmark Email tiendra à jour une liste des sous-traitants, comme décrit à l'annexe 3 : Liste des sous-traitants. Benchmark Email informera le Client de tout nouveau sous-traitant ou de toute modification apportée à la liste, dans le délai maximal autorisé par le RGPD.

Le Client a le droit de s'opposer à l'engagement de tout nouveau sous-traitant s'il existe des préoccupations légitimes en matière de protection des données. Le Client doit soumettre toute objection par écrit à Benchmark Email. Si le Client s'y oppose, Benchmark Email travaillera avec lui pour répondre à ses préoccupations, ce qui peut inclure la recherche d'un autre sous-traitant ou la prise d'autres mesures raisonnables pour résoudre le problème.

4.3 Obligations des sous-traitants

Benchmark Email veillera à ce que tout sous-traitant engagé soit contractuellement lié par des conditions qui prévoient un niveau équivalent de protection des données et d'obligations de sécurité à ceux énoncés dans le présent DPA. Cela inclut les obligations cordiales, relatives à la confidentialité, à la sécurité et au traitement approprié des données à caractère personnel.

4.4 Responsabilité des sous-traitants

Benchmark Email est responsable des actions et omissions de ses sous-traitants dans le cadre de l'exécution du présent DPA dans la même mesure que s'il fournissait directement les Services. En cas de non-respect des obligations en matière de protection des données par un sous-traitant, Benchmark Email prendra des mesures raisonnables pour remédier à la situation et atténuer tout préjudice potentiel pour le Client.

5. Droits des personnes concernées

Benchmark Email aidera le client (le responsable du traitement des données) à remplir ses obligations en vertu du RGPD en ce qui concerne les droits des personnes concernées.

Le client reste responsable de répondre aux demandes des personnes concernées, et Benchmark Email l'aidera de la manière suivante :

  • Dans le cadre du Service, Benchmark Email fournit au Client un certain nombre de fonctionnalités que celui-ci peut utiliser pour récupérer, corriger, supprimer ou restreindre l'utilisation des Données personnelles, et qui peuvent l'aider à remplir ses obligations en vertu des lois sur la protection des données en matière de réponse aux demandes des personnes concernées.
  • Droit d'accès : Benchmark Email aidera le Client à fournir aux personnes concernées l'accès à leurs Données personnelles sur demande.
  • Droit de rectification : Benchmark Email aidera le client à mettre à jour ou à corriger les données personnelles inexactes ou incomplètes.
  • Droit à l'effacement : Benchmark Email aidera le client à répondre à la demande d'une personne concernée visant à effacer ses données personnelles, lorsque cela est applicable en vertu du RGPD.
  • Droit à la limitation du traitement : Benchmark Email aidera le client si une personne concernée demande à limiter le traitement de ses données personnelles.
  • Droit à la portabilité des données : Benchmark Email fournira les données personnelles dans un format structuré et lisible par machine, à la demande du client, conformément au droit des personnes concernées à la portabilité des données.
  • Droit d'opposition : Benchmark Email aidera le client à répondre à toute objection d'une personne concernée au traitement de ses données personnelles.

Benchmark Email informera rapidement le client de toute demande reçue directement de la part des personnes concernées, sauf si la loi l'interdit, et l'aidera à traiter ces demandes conformément à ses instructions.

Benchmark Email veillera également à ce que des mesures de sécurité raisonnables soient mises en place lors du traitement et de la réponse aux demandes relatives aux droits des personnes concernées.

6. Notification de violation de données

En cas de violation des données personnelles, Benchmark Email en informera rapidement le client, sans retard injustifié et au plus tard 72 heures après avoir pris connaissance de la violation, comme l'exige le RGPD. La notification comprendra les informations suivantes, lorsqu'elles sont disponibles :

  • Une description de la nature de la violation des données personnelles, y compris les catégories de données personnelles concernées et le nombre approximatif de personnes concernées et d'enregistrements de données personnelles impliqués.
  • Les conséquences probables de la violation des données personnelles.
  • Une description des mesures prises ou proposées par Benchmark Email pour remédier à la violation des données personnelles, y compris les mesures visant à atténuer ses effets négatifs éventuels.

Si Benchmark Email n'a pas fourni toutes les informations nécessaires dans les 72 heures, il fournira une explication pour ce retard.

Benchmark Email coopérera avec le client pour gérer la violation, notamment en fournissant une assistance raisonnable pour toute notification nécessaire aux personnes concernées et aux autorités de contrôle compétentes, conformément au RGPD. Benchmark Email aidera également le client à fournir toute documentation requise relative à la violation.

La notification et l'assistance seront fournies de manière à permettre au client de remplir ses obligations en vertu du RGPD, y compris le respect des délais de notification des violations.

7. Transferts internationaux

Benchmark Email peut traiter des données à caractère personnel partout dans le monde, y compris dans des pays situés en dehors de l'Espace économique européen (EEE), où le niveau de protection des données peut ne pas être équivalent à celui fourni dans l'EEE. Dans tous les cas, Benchmark Email veillera à ce que des garanties appropriées soient mises en place pour protéger les données à caractère personnel conformément au RGPD et aux autres lois applicables en matière de protection des données.

7.1 Décisions d'adéquation

Si Benchmark Email transfère des données personnelles vers un pays reconnu par la Commission européenne ou les autorités compétentes comme offrant un niveau de protection adéquat des données personnelles, aucune mesure de protection supplémentaire n'est requise. La liste de ces pays est disponible sur le site web de la Commission européenne.

7.2 Clauses contractuelles types (SCC)

Le cas échéant, Benchmark Email utilisera les clauses contractuelles types (SCC) approuvées par la Commission afin de faciliter les transferts conformes de données personnelles vers des pays hors de l'EEE. Pour plus de détails, veuillez vous reporter à l'annexe 4 : Clauses contractuelles types.

7.3 Transferts de données au Royaume-Uni

En ce qui concerne les transferts auxquels s'appliquent les lois britanniques sur la protection des données, les SCC s'appliquent, le cas échéant, et sont réputées modifiées comme spécifié dans l'addendum britannique. L'addendum britannique est réputé signé par les parties et intégré à la présente DPA, dont il fait partie intégrante. En outre, les tableaux pertinents de l'addendum britannique sont réputés complétés par les informations figurant dans les annexes I et II des SCC pertinentes.

7.4 Transferts de données vers la Suisse

En ce qui concerne les transferts auxquels s'appliquent les lois suisses sur la protection des données, les CCT s'appliquent, le cas échéant, avec les modifications suivantes :

  • Les références au « règlement (UE) 2016/679 » doivent être interprétées comme des références à la loi suisse sur la protection des données.
  • Les références à des articles spécifiques du « Règlement (UE) 2016/679 » doivent être remplacées par l'article ou la Section équivalent(e) de la DPA suisse.
  • Les références à « l'UE », à « l'Union » et au « droit des États membres » doivent être remplacées par « la Suisse ».
  • D'autres modifications peuvent s'appliquer conformément à la législation suisse.

7.5 Garanties supplémentaires

Lorsque Benchmark Email traite des données à caractère personnel dans une juridiction non couverte par une décision d'adéquation ou des CCT, des garanties supplémentaires peuvent être mises en œuvre, telles que des règles d'entreprise contraignantes (BCR), des codes de conduite approuvés ou des certifications afin de garantir que les données à caractère personnel restent protégées conformément au RGPD.

7.6 Transferts de données à des sous-traitants

Si Benchmark Email fait appel à des sous-traitants situés en dehors de l'EEE, Benchmark Email veillera à ce que ces sous-traitants soient soumis au même niveau de garanties pour les transferts internationaux de données, y compris l'utilisation de CCT ou d'autres mécanismes de transfert reconnus.

8. Conservation et suppression des données

Benchmark Email ne conservera les données personnelles que pendant la durée nécessaire à la réalisation des objectifs pour lesquels elles ont été collectées, conformément aux termes du présent DPA, aux instructions du client et aux lois applicables.

8.1 Période de conservation

Benchmark Email conservera les données personnelles pendant toute la durée du contrat avec le client, sauf si une période de conservation plus longue est requise ou autorisée par la loi applicable. Après la période de conservation, Benchmark Email supprimera ou anonymisera les données personnelles conformément à ses politiques internes de conservation des données.

8.2 Suppression ou restitution à la résiliation

À la résiliation ou à l'expiration des Conditions, Benchmark Email prendra des mesures raisonnables pour fournir au Client (à la discrétion du Client) des outils permettant de Supprimer ou de restituer toutes les Données du Client en possession ou sous le contrôle de Benchmark Email. Cette obligation ne s'applique pas dans la mesure où Benchmark Email est tenu par la loi applicable ou les règles du secteur de conserver tout ou partie des Données du Client, ou aux Données du Client archivées sur des systèmes de sauvegarde. Dans de tels cas, Benchmark Email isolera de manière sécurisée les données du client, les protégera contre tout traitement ultérieur et les supprimera finalement conformément aux politiques de suppression de Benchmark Email, sauf si la loi applicable l'exige.

8.3 Conservation continue des données pour des obligations légales

Lorsque Benchmark Email est tenu par la loi applicable de conserver certaines données personnelles au-delà de la durée du contrat, Benchmark Email veillera à ce que ces données ne soient conservées que pendant la durée nécessaire pour remplir ses obligations légales.

8.4 Processus de suppression

Une fois les données personnelles supprimées, Benchmark Email prendra des mesures raisonnables pour s'assurer que les données sont effacées de manière sécurisée et ne peuvent être récupérées, sauf si la conservation des données est requise à des fins légales, réglementaires ou commerciales.

9. Modifications et mises à jour

Benchmark Email peut mettre à jour ou modifier le présent DPA de temps à autre afin de refléter les changements apportés aux lois sur la protection des données, aux exigences réglementaires ou aux services offerts. Tout changement de ce type sera communiqué au client.

9.1 Notification des modifications

Benchmark Email informera le client de toute modification importante apportée au présent DPA dans un délai raisonnable. La notification peut être envoyée par e-mail, via le compte du client ou par tout autre moyen raisonnable, en fonction de la nature de la modification. Le client sera réputé avoir accepté le DPA mis à jour s'il poursuit à utiliser les services de Benchmark Email après la date d'entrée en vigueur de la mise à jour.

9.2 Modifications

Si une modification est nécessaire pour des raisons légales ou réglementaires, Benchmark Email peut mettre à jour le présent DPA sans préavis au client, à condition que celui-ci en soit informé dès que possible.

9.3 Loi applicable et juridiction

Toute modification apportée au présent DPA sera régie par les mêmes conditions, y compris les dispositions relatives à la loi applicable et à la juridiction spécifiées dans les conditions d'utilisation principales entre Benchmark Email et le client.

10. Responsabilité

10.1 Responsabilité

La responsabilité de chaque partie et de toutes ses sociétés affiliées, prise dans son ensemble, découlant de ou liée au présent DPA (y compris les CCT) sera soumise aux exclusions et limitations de responsabilité énoncées dans les Conditions d'utilisation entre Benchmark Email et le Client.

10.2 Exclusivité des réclamations

Toute réclamation à l'encontre de Benchmark Email ou de ses sociétés affiliées en vertu ou en relation avec le présent DPA (y compris, le cas échéant, les CCT) doit être introduite uniquement par l'entité cliente qui est partie à l'accord, sauf si la loi applicable en dispose autrement.

10.3 Droits en matière de protection des données

En aucun cas, l'une ou l'autre des parties ne limitera sa responsabilité en ce qui concerne les droits de protection des données de toute personne en vertu du présent DPA ou autrement, dans la mesure requise par le RGPD ou la loi applicable en matière de protection des données.

11. Relation avec les Conditions

Le présent DPA fait partie intégrante des Conditions d'utilisation entre Benchmark Email et le Client. En cas de conflit entre les dispositions du présent DPA et les Conditions d'utilisation, les dispositions du présent DPA prévaudront en ce qui concerne le traitement des Données personnelles.

11.1 Durée et résiliation

Le présent DPA restera en vigueur tant que Benchmark Email traitera les Données du client pour le compte de ce dernier, ou jusqu'à la résiliation des Conditions entre Benchmark Email et le Client (et jusqu'à ce que toutes les Données du client aient été restituées ou supprimées conformément à la Section 8.2 ci-dessus).

11.2 Loi applicable

Le présent DPA sera régi et interprété conformément aux dispositions relatives à la loi applicable et à la juridiction compétente figurant dans les Conditions, sauf si les lois applicables en matière de protection des données en disposent autrement.

11.3 Version actuelle

Les parties conviennent que le présent DPA remplace tout accord de traitement des données ou document similaire existant que les parties auraient pu conclure précédemment en rapport avec le Service.

12. Divers

12.1 Force majeure

Benchmark Email ne sera pas responsable de tout manquement ou retard dans l'exécution du présent DPA dû à des circonstances indépendantes de sa volonté, y compris, mais sans s'y limiter, les catastrophes naturelles, les guerres, le terrorisme, les actions gouvernementales, les pannes de courant ou autres événements de force majeure. Pour plus de détails, veuillez vous référer à la clause de force majeure dans les Conditions d'utilisation.

12.2 Divisibilité

Si une disposition du DPA est jugée invalide, illégale ou inapplicable par un tribunal compétent, les autres dispositions resteront pleinement en vigueur.

12.3 Intégralité de l'accord

Le présent DPA, ainsi que les Conditions d'utilisation et tout autre accord incorporé par référence, constituent l'intégralité de l'accord entre les parties en ce qui concerne le traitement des Données à caractère personnel. Tout accord, entente ou déclaration antérieur(e) relatif(ve) à l'objet du présent DPA est remplacé(e) par le présent DPA. Pour plus de détails, veuillez vous reporter à la clause relative à l'intégralité de l'accord dans les Conditions d'utilisation.

12.4 Renonciation

Notre incapacité à faire valoir un droit ou une disposition du DPA ne constitue pas une renonciation à ce droit ou à cette disposition. Toute renonciation doit être faite par écrit pour être valable.

12.5 Résolution des litiges

Tout litige découlant du présent DPA ou en rapport avec celui-ci sera résolu conformément aux dispositions relatives à la résolution des litiges spécifiées dans les Conditions d'utilisation.

12.6 Cession

Vous ne pouvez céder ou transférer les présentes Conditions ou vos droits en vertu de celles-ci sans le consentement écrit préalable de Benchmark Email. Nous pouvons céder ou transférer les présentes Conditions sans restriction, y compris en cas de fusion, d'acquisition ou de vente d'actifs.

12.7 Langue

Le présent DPA est rédigé en anglais, et toute traduction fournie l'est à titre indicatif. En cas de divergence entre la version anglaise et une version traduite, la version anglaise prévaudra.

12.8 Absence de tiers bénéficiaires

Le présent DPA est destiné à bénéficier aux parties à l'accord et n'a pas pour but de conférer des droits ou des avantages à des tiers, sauf indication contraire dans les présentes.

Annexe 1 : Détails du traitement des données

  1. Finalité du traitement des données

Le traitement des données personnelles a pour finalité la fourniture des services décrits dans les conditions d'utilisation.

  1. Nature du traitement

Benchmark Email fournit un logiciel d'email marketing et d'automatisation en tant que service, ainsi que d'autres services connexes, comme décrit dans les conditions d'utilisation. L'objet du traitement des données dans le cadre du présent DPA est les données client. Les données client seront traitées conformément aux conditions d'utilisation (y compris le présent DPA).

  1. Catégories de données

Les catégories suivantes de données personnelles peuvent être traitées :

  • Coordonnées : nom, adresse e-mail, numéro de téléphone et toute autre information fournie par le client à Benchmark Email ;
  • Informations de facturation du client : adresse de facturation, détails des cartes de crédit, autres informations de paiement ;
  • Préférences du client : statut d'abonnement à la newsletter, préférences marketing, etc. ;
  • Données comportementales : adresse IP, données de navigation, données du navigateur, données des cookies, interaction avec les e-mails, taux de clics, etc.
  1. Personnes concernées

Les personnes concernées dont les données personnelles sont traitées comprennent :

  • Les clients qui utilisent les services ;
  • Les abonnés, clients et clients potentiels du client ;
  • Les personnes qui interagissent avec les campagnes emailing du client, y compris les visiteurs de son site web ou les destinataires d'e-mails marketing.
  1. Activités de traitement

Les activités de traitement suivantes seront effectuées sur les données personnelles :

  • Collecte de données via des formulaires, des campagnes emailing et des intégrations ;
  • Stockage des données, y compris la conservation des informations de contact et d'interaction ;
  • Analyse des données à des fins de reporting et d'optimisation des campagnes ;
  • Transmission des données du client à des fins marketing (par exemple, pour envoyer des e-mails).
  1. Conservation des données

Benchmark Email traitera les données du client pendant toute la durée des services, comme décrit dans les conditions d'utilisation. La conservation des données personnelles sera gérée conformément à la politique de conservation des données de Benchmark Email, telle que décrite à la section 8 du présent DPA.

  1. Transferts de données

Tout transfert de données, en particulier les transferts transfrontaliers, sera couvert par les dispositions de la section 7. Transferts internationaux ou de l'annexe 4 : Clauses contractuelles types (SCC).

  1. Sous-traitants

La liste des sous-traitants engagés par Benchmark Email pour les activités de traitement des données est détaillée dans l'annexe 3 : Liste des sous-traitants.Annexe 2 : Mesures de sécuritéLes mesures de sécurité applicables au service sont décrites dans le présent document.1. Mesures de sécurité organisationnellesDélégué à la protection des données (DPO) : Benchmark Email a désigné un DPO chargé de superviser la conformité au RGPD et aux autres réglementations en matière de protection des données.Formation des employés : tous les employés impliqués dans le traitement des données à caractère personnel suivent une formation régulière sur les principes de protection des données, notamment la confidentialité, l'intégrité et la sécurité.

Contrôle d'accès : l'accès aux données personnelles est réservé au personnel autorisé en fonction de ses rôles. Tous les accès sont enregistrés et surveillés afin de garantir la responsabilité.

  1. Mesures de sécurité techniques
  • Chiffrement : les données personnelles sont chiffrées à la fois pendant leur transfert et au repos à l'aide de protocoles de chiffrement conformes aux normes de l'industrie (par exemple, SSL/TLS pour les données en transit et AES pour les données au repos).
  • Intégrité des données : nous mettons en œuvre des mesures pour garantir l'intégrité des données personnelles, notamment des sommes de contrôle et des fonctions de hachage pour vérifier l'exactitude des données pendant leur transmission et leur stockage.
  • Contrôle des modifications : Benchmark Email applique des politiques et des procédures pour apporter des modifications aux services, y compris à l'infrastructure sous-jacente et aux composants du système, afin de garantir le respect des normes de qualité.
  • Anonymisation des données : le cas échéant, Benchmark Email utilise des techniques d'anonymisation pour garantir que les données personnelles sensibles ne sont pas exposées inutilement.
  1. Réponse aux incidents
  • Gestion des violations de sécurité : Benchmark Email a mis en place des procédures pour détecter, signaler et gérer les violations de sécurité. En cas de violation de données, nous en informerons rapidement le client conformément à la section « Notification de violation de données » du DPA.
  • Journaux des incidents : tous les incidents de sécurité sont consignés dans des journaux, qui sont examinés de manière régulière afin de garantir que toute menace potentielle est identifiée et traitée.
  1. Disponibilité du système
  • Redondance et sauvegarde : Benchmark Email met en œuvre des mesures de redondance, notamment des centres de données et des systèmes de sauvegarde répartis géographiquement, afin de garantir la disponibilité des données des clients en cas de panne.Reprise après sinistre : nous disposons d'un plan de reprise après sinistre qui est testé de manière régulière afin de garantir une interruption minimale des services et du traitement des données en cas de panne ou de sinistre important.
  1. Surveillance et amélioration continues

Annexe 3 : Liste des sous-traitants

  1. Liste des sous-traitants

Benchmark Email fait appel aux sous-traitants suivants pour fournir ses services :

 

Sous-traitant Localisation Utilisation
Amazon AWS États-Unis, Japon Hébergement, stockage de données, analyse
Auth0 États-Unis Authentification et autorisation des clients
BenchmarkONE États-Unis CRM et communication avec les clients par e-mail
CD Networks États-Unis Connectivité réseau
Cloudflare Mondial Distribution de contenu, sécurité, prévention des abus et services DNS
Command États-Unis Communication avec les clients dans l'application
DNS Made Easy États-Unis Services DNS
FullStory États-Unis Analyse de l'utilisation des produits
Google États-Unis Stockage de données, analyse de sites web
HelpScout États-Unis Tickets d'assistance client et communication avec les clients par chat et e-mail
Intercom États-Unis Communication avec les clients via l'application et par e-mail
Kickbox États-Unis Vérification d'email
LiveChat États-Unis Communication avec les clients par chat
OpenAI États-Unis Fonctionnalités basées sur l'IA
Slack États-Unis Communication interne et collaboration
Zendesk États-Unis Tickets d'assistance clientèle et communication par e-mail

 

  1. Mises à jour des sous-traitantsBenchmark Email mettra à jour cette liste si nécessaire. Les clients seront informés de tout nouveau sous-traitant ou de toute modification apportée à cette liste conformément aux conditions spécifiées dans la section 4 : Sous-traitants du DPA.

Annexe 4 : Clauses contractuelles types (SCC)SECTION IClause 1 - Objet et champ d'application(a) L'objet des présentes clauses contractuelles types est de garantir le respect des exigences du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données cordialement (règlement général sur la protection des données) pour le transfert de données à caractère personnel vers un pays tiers.

(b) Les parties : (i) la ou les personnes physiques ou morales, autorités publiques, agences ou autres corps du texte (ci-après dénommés « entités ») qui transfèrent les données à caractère personnel, telles qu'énumérées à l'annexe I.A (ci-après dénommées « exportateurs de données »), et (ii) l'entité ou les entités d'un pays tiers recevant les données à caractère personnel de l'exportateur de données, directement ou indirectement par l'intermédiaire d'une autre entité également partie aux présentes clauses, telles qu'énumérées à l'annexe I.A (ci-après dénommées « importateurs de données ») ont accepté les présentes clauses contractuelles types (ci-après dénommées « clauses »).

(c) Les présentes clauses s'appliquent au transfert de données à caractère personnel tel que spécifié à l'annexe I.B.

(d) L'appendice aux présentes clauses contenant les annexes qui y sont mentionnées fait partie intégrante des présentes clauses.

Clause 2 - Effet et invariabilité des clauses(a) Les présentes clauses établissent des garanties appropriées, y compris des droits exécutoires pour les personnes concernées et des recours juridiques efficaces, conformément à l'article 46, paragraphe 1, et à l'article 46, paragraphe 2, point c), du règlement (UE) 2016/679 et, en ce qui concerne les transferts de données des responsables du traitement vers les sous-traitants et/ou des sous-traitants vers d'autres sous-traitants, les clauses contractuelles types conformément à l'article 28, paragraphe 7, du règlement (UE) 2016/679, à condition qu'elles ne soient pas modifiées, sauf pour sélectionner le ou les modules appropriés ou pour ajouter ou mettre à jour des informations dans l'appendice. Cela n'empêche pas les parties d'inclure les clauses contractuelles types prévues dans les présentes clauses dans un contrat plus large et/ou d'ajouter d'autres clauses ou garanties supplémentaires, à condition qu'elles ne contredisent pas, directement ou indirectement, les présentes clauses ou ne portent pas atteinte aux droits ou libertés fondamentaux des personnes concernées.

(b) Les présentes clauses sont sans préjudice des obligations auxquelles l'exportateur de données est soumis en vertu du règlement (UE) 2016/679.

Clause 3 - Tiers bénéficiaires(a) Les personnes concernées peuvent invoquer et faire valoir les présentes clauses, en tant que tiers bénéficiaires, à l'encontre de l'exportateur de données et/ou de l'importateur de données, avec les exceptions suivantes :

(i) Clause 1, clause 2, clause 3, clause 6, clause 7 ;

(ii) Clause 8 – Clause 8.1(b), 8.9(a), (c), (d) et (e) ;

(iii) Clause 9 – Clause 9(a), (c), (d) et (e) ;

(iv) Clause 12 – Clause 12(a), (d) et (f) ;

(v) Clause 13 ;

(vi) Clause 15.1(c), (d) et (e) ;

(vii) Clause 16(e) ;

(viii) Clause 18 – Clause 18(a) et (b).

(b) Le paragraphe (a) est sans préjudice des droits des personnes concernées en vertu du règlement (UE) 2016/679.

Clause 4 - Interprétation (a) Lorsque les présentes clauses utilisent des termes définis dans le règlement (UE) 2016/679, ces termes ont la même signification que dans ce règlement.

(b) Les présentes clauses doivent être lues et interprétées à la lumière des dispositions du règlement (UE) 2016/679.

(c) Les présentes clauses ne doivent pas être interprétées d'une manière qui soit en contradiction avec les droits et obligations prévus par le règlement (UE) 2016/679.

Clause 5 - Hiérarchie En cas de contradiction entre les présentes clauses et les dispositions des accords connexes entre les parties, existant au moment où les présentes clauses sont convenues ou conclues par la suite, les présentes clauses prévaudront.

Clause 6 - Description du ou des transferts Les détails du ou des transferts, et en particulier les catégories de données à caractère personnel qui sont transférées et les finalités pour lesquelles elles sont transférées, sont précisés à l'annexe I.B.

Clause 7 - Clause d'adhésion (a) Une entité qui n'est pas partie aux présentes clauses peut, avec l'accord des parties, adhérer à celles-ci à tout moment, soit en tant qu'exportateur de données, soit en tant qu'importateur de données, en remplissant l'appendice et en signant l'annexe I.A.

(b) Une fois qu'elle a rempli l'appendice et signé l'annexe I.A, l'entité adhérente devient partie aux présentes clauses et dispose des droits et obligations d'un exportateur ou d'un importateur de données conformément à son design dans l'annexe I.A.

(c) L'entité adhérente n'a aucun droit ni aucune obligation découlant des présentes clauses pour la période antérieure à son adhésion.

SECTION II - OBLIGATIONS DES PARTIES

Clause 8 - Garanties en matière de protection des données L'exportateur de données garantit avoir déployé des efforts raisonnables pour s'assurer que l'importateur de données est en mesure, grâce à la mise en œuvre de mesures techniques et organisationnelles appropriées, de satisfaire à ses obligations en vertu des présentes clauses.

8.1 Instructions (a) L'importateur de données ne traite les données à caractère personnel que sur la base d'instructions documentées de l'exportateur de données. L'exportateur de données peut donner ces instructions pendant toute la durée du contrat.

(b) L'importateur de données informe immédiatement l'exportateur de données s'il n'est pas en mesure de suivre ces instructions.

8.2 Limitation de la finalité L'importateur de données ne traite les données à caractère personnel qu'aux fins spécifiques du transfert, telles que définies à l'annexe I.B, sauf instruction contraire de l'exportateur de données.

8.3 Transparence Sur demande, l'exportateur de données met gratuitement à la disposition de la personne concernée une copie des présentes clauses, y compris l'annexe complétée par les parties. Dans la mesure nécessaire pour protéger les secrets d'affaires ou d'autres informations confidentielles, y compris les mesures décrites à l'annexe II et les données à caractère personnel, l'exportateur de données peut expurger une partie du texte de l'appendice aux présentes clauses avant de partager une copie, mais il doit fournir un résumé significatif lorsque la personne concernée ne serait autrement pas en mesure de comprendre son contenu ou d'exercer ses droits. Sur demande, les parties fournissent à la personne concernée les raisons des expurgations, dans la mesure du possible, sans révéler les informations expurgées. La présente clause est sans préjudice des obligations de l'exportateur de données en vertu des articles 13 et 14 du règlement (UE) 2016/679.

8.4 Exactitude Si l'importateur de données constate que les données à caractère personnel qu'il a reçues sont inexactes ou obsolètes, il en informe l'exportateur de données sans retard injustifié. Dans ce cas, l'importateur de données coopère avec l'exportateur de données pour effacer ou rectifier les données.

8.5 Durée du traitement et effacement ou restitution des données Le traitement par le destinataire des données n'aura lieu que pendant la durée spécifiée à l'annexe I.B. À l'issue de la fourniture des services de traitement, le destinataire des données, au choix de l'exportateur de données, supprimera toutes les données à caractère personnel traitées pour le compte de l'exportateur de données et certifiera à ce dernier qu'il l'a fait, ou restituera à l'exportateur de données toutes les données à caractère personnel traitées pour son compte et supprimera les copies existantes. Jusqu'à ce que les données soient supprimées ou restituées, l'importateur de données poursuit dans le respect des présentes clauses. Si la législation locale applicable à l'importateur de données interdit la restitution ou le supprimer des données à caractère personnel, l'importateur de données garantit qu'il poursuivra dans le respect des présentes clauses et ne traitera les données que dans la mesure et pendant la durée requises par cette législation locale. Cela ne porte pas atteinte à la clause 14, en particulier à l'obligation pour l'importateur de données, en vertu de la clause 14(e), d'informer l'exportateur de données pendant toute la durée du contrat s'il a des raisons de croire qu'il est ou est devenu soumis à des lois ou pratiques non conformes aux exigences de la clause 14(a).

8.6 Sécurité du traitement (a) L'importateur de données et, pendant la transmission, l'exportateur de données également, mettent en œuvre les mesures techniques et organisationnelles appropriées pour assurer la sécurité des données, y compris la protection contre toute violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation ou l'accès non autorisés à ces données (ci-après dénommée « violation de données à caractère personnel »). Pour évaluer le niveau de sécurité approprié, les parties tiennent dûment compte de l'état de la technique, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques que le traitement comporte pour les personnes concernées. Les parties envisagent en particulier de recourir au chiffrement ou à la pseudonymisation, y compris pendant la transmission, lorsque la finalité du traitement peut être atteinte de cette manière. En cas de pseudonymisation, les informations supplémentaires permettant d'attribuer les données à caractère personnel à une personne concernée spécifique restent, dans la mesure du possible, sous le contrôle exclusif de l'exportateur de données. Pour se conformer aux obligations qui lui incombent en vertu du présent paragraphe, l'importateur de données met au moins en œuvre les mesures techniques et organisationnelles spécifiées à l'annexe II. L'importateur de données procède à des vérifications régulières afin de s'assurer que ces mesures poursuivent d'offrir un niveau de sécurité approprié.

  1. b) L'importateur de données n'accorde l'accès aux données à caractère personnel aux membres de son personnel que dans la mesure strictement nécessaire à la mise en œuvre, à la gestion et au contrôle du contrat. Il veille à ce que les personnes autorisées à traiter les données à caractère personnel se soient engagées à respecter la confidentialité ou soient soumises à une obligation légale de confidentialité appropriée.

(c) En cas de violation des données à caractère personnel traitées par l'importateur de données en vertu des présentes clauses, l'importateur de données prend les mesures appropriées pour remédier à la violation, y compris des mesures visant à en atténuer les effets négatifs. L'importateur de données informe également l'exportateur de données sans retard injustifié après avoir pris connaissance de la violation. Cette notification contient les coordonnées d'un point de contact où des informations complémentaires peuvent être obtenues, une description de la nature de la violation (y compris, si possible, les catégories et le nombre approximatif de personnes concernées et d'enregistrements de données à caractère personnel concernés), ses conséquences probables et les mesures prises ou proposées pour y remédier, y compris, le cas échéant, les mesures visant à atténuer ses effets négatifs éventuels. Lorsqu'il n'est pas possible de fournir toutes les informations en même temps, la notification initiale contient les informations alors disponibles et les informations complémentaires sont fournies sans retard injustifié dès qu'elles sont disponibles.

(d) L'importateur de données coopère avec l'exportateur de données et l'assiste afin de lui permettre de se conformer à ses obligations au titre du règlement (UE) 2016/679, en particulier pour notifier l'autorité de contrôle compétente et les personnes concernées, en tenant compte de la nature du traitement et des informations dont dispose l'importateur de données.

8.7 Données sensibles Lorsque le transfert concerne des données à caractère personnel révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, des données génétiques ou des données biométriques permettant d'identifier de manière unique une personne physique, des données concernant la santé ou la vie sexuelle ou l'orientation sexuelle d'une personne, ou des données relatives aux condamnations pénales et aux infractions (ci-après dénommées « données sensibles »), l'importateur de données applique les restrictions spécifiques et/ou les garanties supplémentaires décrites à l'annexe I.B.

8.8. Transferts ultérieurs L'importateur de données ne divulgue les données à caractère personnel à un tiers que sur instruction documentée de l'exportateur de données. En outre, les données ne peuvent être divulguées à un tiers situé en dehors de l'Union européenne (dans le même pays que l'importateur de données ou dans un autre pays tiers, ci-après dénommé «transfert ultérieur») que si ce tiers est ou accepte d'être lié par les présentes clauses, dans le cadre du module approprié, ou si:(i) le transfert ultérieur est effectué vers un pays bénéficiant d'une décision d'adéquation conformément à l'article 45 du règlement (UE) 2016/679 qui couvre le transfert ultérieur ; (ii) le tiers garantit par ailleurs des garanties appropriées conformément aux articles 46 ou 47 du règlement (UE) 2016/679 en ce qui concerne le traitement en question ;(iii) le transfert ultérieur est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice dans le cadre de procédures administratives, réglementaires ou judiciaires spécifiques ; ou (iv) le transfert ultérieur est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d'une autre personne physique. Tout transfert ultérieur est soumis au respect par le destinataire des données de toutes les autres garanties prévues par les présentes clauses, en particulier la limitation de la finalité.

8.9 Documentation et conformité (a) L'importateur de données doit traiter rapidement et de manière adéquate les demandes de renseignements de l'exportateur de données relatives au traitement prévu par les présentes clauses.

(b) Les parties doivent être en mesure de démontrer leur conformité aux présentes clauses. En particulier, l'importateur de données doit conserver une documentation appropriée sur les activités de traitement effectuées pour le compte de l'exportateur de données.

(c) L'importateur de données met à la disposition de l'exportateur de données toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans les présentes clauses et, à la demande de l'exportateur de données, autorise et contribue à des audits des activités de traitement couvertes par les présentes clauses, à des intervalles raisonnables ou s'il existe des indications de non-conformité. Pour décider d'un examen ou d'un audit, l'exportateur de données peut tenir compte des certifications pertinentes détenues par l'importateur de données.

(d) L'exportateur de données peut choisir de réaliser l'audit lui-même ou de mandater un auditeur indépendant. Les audits peuvent inclure des inspections dans les locaux ou les installations physiques de l'importateur de données et doivent, le cas échéant, être effectués moyennant un préavis raisonnable.(e) Les parties mettent les informations visées aux paragraphes (b) et (c), y compris les résultats des audits, à la disposition de l'autorité de contrôle compétente qui en fait la demande.

Clause 9 - Recours à des sous-traitants L'importateur de données dispose de l'autorisation générale de l'exportateur de données pour engager un ou plusieurs sous-traitants figurant sur une liste convenue. L'importateur de données informe spécifiquement l'exportateur de données par écrit de toute modification prévue de cette liste par l'ajout ou le remplacement de sous-traitants au moins 10 jours à l'avance, laissant ainsi à l'exportateur de données suffisamment de temps pour s'opposer à ces modifications avant l'engagement du sous-traitant. L'importateur de données fournit à l'exportateur de données les informations nécessaires pour lui permettre d'exercer son droit d'opposition.

(b) Lorsque l'importateur de données engage un sous-traitant pour effectuer des activités de traitement spécifiques (pour le compte de l'exportateur de données), il doit le faire au moyen d'un contrat écrit qui prévoit, en substance, les mêmes obligations en matière de protection des données que celles qui lient l'importateur de données en vertu des présentes clauses, y compris en termes de droits des tiers bénéficiaires pour les personnes concernées.Les parties conviennent que, en se conformant à la présente clause, l'importateur de données remplit ses obligations en vertu de la clause 8.8. L'importateur de données veille à ce que le sous-traitant respecte les obligations auxquelles l'importateur de données est soumis en vertu des présentes clauses.

(c) L'importateur de données fournit, à la demande de l'exportateur de données, une copie de cet accord de sous-traitance et de toute modification ultérieure à l'exportateur de données. Dans la mesure nécessaire pour protéger les secrets commerciaux ou autres informations confidentielles, y compris les données à caractère personnel, l'importateur de données peut expurger le texte de l'accord avant de partager une copie.

(d) L'importateur de données reste entièrement responsive envers l'exportateur de données de l'exécution des obligations du sous-traitant en vertu de son contrat avec l'importateur de données. L'importateur de données informe l'exportateur de données de tout manquement du sous-traitant à ses obligations en vertu de ce contrat.

(e) L'importateur de données convient d'une clause de tiers bénéficiaire avec le sous-traitant secondaire, en vertu de laquelle, dans le cas où l'importateur de données aurait disparu, cessé d'exister en droit ou serait devenu insolvable, l'exportateur de données aurait le droit de résilier le contrat du sous-traitant secondaire et de lui demander d'effacer ou de restituer les données à caractère personnel.

Clause 10 - Droits des personnes concernées (a) L'importateur de données informe sans délai l'exportateur de données de toute demande qu'il a reçue d'une personne concernée. Il ne répond pas lui-même à cette demande, sauf s'il y a été autorisé par l'exportateur de données.

(b) L'importateur de données aide l'exportateur de données à remplir ses obligations de réponse aux demandes des personnes concernées qui souhaitent exercer leurs droits en vertu du règlement (UE) 2016/679. Cordialement, les parties définissent à l'annexe II les mesures techniques et organisationnelles appropriées, compte tenu de la nature du traitement, par lesquelles l'assistance doit être fournie, ainsi que la portée et l'étendue de l'assistance requise.

(c) Dans l'accomplissement de ses obligations au titre des paragraphes (a) et (b), l'importateur de données se conforme aux instructions de l'exportateur de données.

Clause 11 - Recours (a) L'importateur de données informe les personnes concernées, dans un format transparent et facilement accessible, par notification individuelle ou sur son site web, de l'existence d'un point de contact habilité à traiter les réclamations. Il traite sans délai toute réclamation émanant d'une personne concernée.

(b) En cas de litige entre une personne concernée et l'une des parties au sujet du respect cordial des présentes clauses, cette partie doit faire tout son possible pour résoudre le problème à l'amiable et dans les meilleurs délais. Les parties doivent se tenir mutuellement informées de ces litiges et, le cas échéant, coopérer pour les résoudre.(c) Lorsque la personne concernée invoque un droit de tiers bénéficiaire en vertu de la clause 3, l'importateur de données accepte la décision de la personne concernée :

(i) de déposer une plainte auprès de l'autorité de contrôle de l'État membre de sa résidence habituelle ou de son lieu de travail, ou auprès de l'autorité de contrôle compétente en vertu de la clause 13 ;

(ii) saisir les tribunaux compétents au sens de la clause 18.

(d) Les parties acceptent que la personne concernée puisse être représentée par un Corps du texte, une organisation ou une association à but non lucratif dans les conditions prévues à l'article 80, paragraphe 1, du règlement (UE) 2016/679.

(e) L'importateur de données se conforme à toute décision contraignante en vertu du droit applicable de l'UE ou des États membres.

(f) L'importateur de données accepte que le choix fait par la personne concernée ne porte pas atteinte à ses droits substantiels et procéduraux de demander réparation conformément aux lois applicables.

Clause 12 - Responsabilité (a) Chaque partie est responsable envers l'autre ou les autres parties de tout dommage qu'elle cause à l'autre ou aux autres parties en violant les présentes clauses.

(b) L'importateur de données est responsable envers la personne concernée, et celle-ci a droit à une indemnisation pour tout dommage matériel ou immatériel que l'importateur de données ou son sous-traitant sub-traitant cause à la personne concernée en violant les droits des tiers bénéficiaires en vertu des présentes clauses.

(c) Nonobstant le paragraphe (b), l'exportateur de données est responsable envers la personne concernée, et celle-ci a droit à une indemnisation, pour tout dommage matériel ou immatériel que l'exportateur de données ou l'importateur de données (ou son sous-traitant) cause à la personne concernée en violant les droits des tiers bénéficiaires en vertu des présentes clauses. Cela ne porte pas atteinte à la responsabilité de l'exportateur de données et, lorsque l'exportateur de données est un sous-traitant agissant pour le compte d'un responsable du traitement, à la responsabilité du responsable du traitement en vertu du règlement (UE) 2016/679 ou du règlement (UE) 2018/1725, selon le cas.

(d) Les parties conviennent que si l'exportateur de données est tenu responsable en vertu du paragraphe (c) des dommages causés par l'importateur de données (ou son sous-traitant), il est en droit de réclamer à l'importateur de données le remboursement de la partie de l'indemnisation correspondant à la responsabilité de l'importateur de données pour le dommage.

(e) Lorsque plusieurs parties sont responsables d'un dommage causé à la personne concernée à la suite d'une violation des présentes clauses, toutes les parties responsables sont solidairement responsables et la personne concernée est en droit d'intenter une action en justice contre l'une quelconque de ces parties.

(f) Les parties conviennent que si une partie est tenue responsable en vertu du paragraphe (e), elle est en droit de réclamer à l'autre ou aux autres parties la partie de l'indemnisation correspondant à leur responsabilité dans le dommage.

(g) L'importateur de données ne peut invoquer le comportement d'un sous-traitant pour échapper à sa propre responsabilité.

Clause 13 - Supervision (a) L'autorité de contrôle chargée de veiller au respect par l'exportateur de données du règlement (UE) 2016/679, cordialement, en ce qui concerne le transfert de données, comme indiqué à l'annexe I.C, agit en tant qu'autorité de contrôle compétente.

(b) L'importateur de données accepte de se soumettre à la juridiction de l'autorité de contrôle compétente et de coopérer avec celle-ci dans toute procédure visant à garantir le respect des présentes clauses. En particulier, l'importateur de données s'engage à répondre aux demandes de renseignements, à se soumettre à des audits et à se conformer aux mesures adoptées par l'autorité de contrôle, y compris les mesures correctives et compensatoires. Il confirme à l'autorité de contrôle que les actions nécessaires ont été prises.

SECTION III – LOIS ET OBLIGATIONS LOCALES EN CAS D'ACCÈS PAR LES AUTORITÉS 

PUBLIQUES

Clause 14 - Lois et pratiques locales affectant le respect des clauses

(a) Les parties garantissent qu'elles n'ont aucune raison de croire que les lois et pratiques du pays tiers de destination applicables au traitement des données à caractère personnel par l'importateur de données, y compris toute obligation de divulgation des données à caractère personnel ou toute mesure autorisant l'accès par les autorités publiques, empêchent l'importateur de données de remplir ses obligations au titre des présentes clauses. Ceci repose sur la compréhension que les lois et pratiques qui respectent l'essence des droits et libertés fondamentaux et ne dépassent pas ce qui est nécessaire et proportionné dans une société démocratique pour sauvegarder l'un des objectifs énumérés à l'article 23, paragraphe 1, du règlement (UE) 2016/679, ne sont pas en contradiction avec les présentes clauses.

(b) Les parties déclarent que, en fournissant la garantie visée au paragraphe (a), elles ont dûment tenu compte, en particulier, des éléments suivants :

(i) les circonstances spécifiques du transfert, y compris la longueur de la chaîne de traitement, le nombre d'acteurs impliqués et les canaux de transmission utilisés ; les transferts ultérieurs envisagés ; le type de destinataire ; la finalité du traitement ; les catégories et le format des données à caractère personnel transférées ; le secteur économique dans lequel le transfert a lieu ; le lieu de stockage des données transférées ;

(ii) les lois et pratiques du pays tiers de destination – y compris celles qui exigent la divulgation des données aux autorités publiques ou autorisent l'accès de ces autorités – pertinentes au regard des circonstances spécifiques du transfert, ainsi que les limitations et garanties applicables ;

(iii) toute garantie contractuelle, technique ou organisationnelle pertinente mise en place pour compléter les garanties prévues par les présentes clauses, y compris les mesures appliquées pendant la transmission et au traitement des données à caractère personnel dans le pays de destination.

(c) L'importateur de données garantit que, dans le cadre de l'évaluation prévue au paragraphe (b), il a fait tout son possible pour fournir à l'exportateur de données les informations pertinentes et s'engage à poursuivre sa coopération avec l'exportateur de données afin de garantir le respect des présentes clauses.

(d) Les parties conviennent de documenter l'évaluation prévue au paragraphe (b) et de la mettre à la disposition de l'autorité de contrôle compétente sur demande.

(e) L'importateur de données s'engage à informer rapidement l'exportateur de données si, après avoir accepté les présentes clauses et pendant la durée du contrat, il a des raisons de croire qu'il est ou est devenu soumis à des lois ou pratiques non conformes aux exigences du paragraphe (a), notamment à la suite d'une modification de la législation du pays tiers ou d'une mesure (telle qu'une demande de divulgation) indiquant une application de ces lois dans la pratique qui n'est pas conforme aux exigences du paragraphe (a).

(f) À la suite d'une notification conformément au paragraphe (e), ou si l'exportateur de données a par ailleurs des raisons de croire que l'importateur de données ne peut plus remplir ses obligations en vertu des présentes clauses, l'exportateur de données identifie rapidement les mesures appropriées (par exemple, des mesures techniques ou organisationnelles visant à garantir la sécurité et la confidentialité) à adopter par l'exportateur de données et/ou l'importateur de données pour remédier à la situation. L'exportateur de données suspend le transfert de données s'il estime qu'aucune garantie appropriée ne peut être assurée pour ce transfert ou si l'autorité de contrôle compétente lui en donne l'instruction. Dans ce cas, l'exportateur de données est en droit de résilier le contrat, dans la mesure où celui-ci concerne le traitement de données à caractère personnel en vertu des présentes clauses. Si le contrat implique plus de deux parties, l'exportateur de données ne peut exercer ce droit de résiliation qu'à l'égard de la partie concernée, sauf si les parties en ont convenu autrement. Lorsque le contrat est résilié en vertu de la présente clause, les clauses 16(d) et (e) s'appliquent.

Clause 15 - Obligations de l'importateur de données en cas d'accès par les autorités publiques

15.1 Notification

(a) L'importateur de données s'engage à informer rapidement l'exportateur de données et, si possible, la personne concernée (si nécessaire avec l'aide de l'exportateur de données) si :

(i) reçoit une demande juridiquement contraignante d'une autorité publique, y compris les autorités judiciaires, en vertu des lois du pays de destination, visant à obtenir la divulgation des données à caractère personnel transférées conformément aux présentes clauses ; cette notification comprend des informations sur les données à caractère personnel demandées, l'autorité requérante, la base juridique de la demande et la réponse fournie ; ou

(ii) il a connaissance d'un accès direct des autorités publiques aux données à caractère personnel transférées conformément aux présentes clauses, conformément à la législation du pays de destination ; cette notification doit inclure toutes les informations dont dispose l'importateur.

(b) Si l'importateur de données n'est pas autorisé à informer l'exportateur de données et/ou la personne concernée en vertu des lois du pays de destination, l'importateur de données s'engage à faire tout son possible pour obtenir une dérogation à cette interdiction, avec pour visualiser communiquer autant d'informations que possible, dans les meilleurs délais. L'importateur de données s'engage à documenter ses efforts afin de pouvoir les démontrer à la demande de l'exportateur de données.

(c) Lorsque la législation du pays de destination le permet, l'importateur de données s'engage à fournir à l'exportateur de données, à intervalles réguliers pendant la durée du contrat, autant d'informations pertinentes que possible sur les demandes reçues (en particulier, le nombre de demandes, le type de données demandées, l'autorité ou les autorités requérantes, si les demandes ont été contestées et le résultat de ces contestations, etc.).

(d) L'importateur de données s'engage à conserver les informations visées aux paragraphes (a) à (c) pendant toute la durée du contrat et à les mettre à la disposition de l'autorité de contrôle compétente sur demande.

(e) Les paragraphes (a) à (c) sont sans préjudice de l'obligation de l'importateur de données, conformément à la clause 14(e) et à la clause 16, d'informer rapidement l'exportateur de données lorsqu'il n'est pas en mesure de se conformer aux présentes clauses.

15.2 Contrôle de la légalité et minimisation des données

(a) L'importateur de données s'engage à contrôler la légalité de la demande de divulgation, en particulier si elle reste dans les limites des pouvoirs accordés à l'autorité publique requérante, et à contester la demande si, après une évaluation minutieuse, il conclut qu'il existe des motifs raisonnables de considérer que la demande est illégale au regard des lois du pays de destination, des obligations applicables en vertu du droit international et des principes de courtoisie internationale. L'importateur de données doit, dans les mêmes conditions, exercer les voies de recours possibles. Lorsqu'il conteste une demande, l'importateur de données doit demander des mesures provisoires pour visualiser l'interruption des effets de la demande jusqu'à ce que l'autorité judiciaire compétente ait statué sur le fond. Il ne doit pas divulguer les données à caractère personnel demandées tant qu'il n'y est pas tenu en vertu des règles de procédure applicables. Ces exigences sont sans préjudice des obligations de l'importateur de données en vertu de la clause 14(e).

(b) L'importateur de données s'engage à documenter son évaluation juridique et toute contestation de la demande de divulgation et, dans la mesure où la législation du pays de destination le permet, à mettre cette documentation à la disposition de l'exportateur de données. Il la met également à la disposition de l'autorité de contrôle compétente sur demande.

(c) L'importateur de données s'engage à fournir le minimum d'informations autorisé lorsqu'il répond à une demande de divulgation, sur la base d'une interprétation raisonnable de la demande.

SECTION IV - DISPOSITIONS FINALES

Clause 16 - Non-respect des clauses et résiliation

(a) L'importateur de données informe sans délai l'exportateur de données s'il n'est pas en mesure de se conformer aux présentes clauses, pour quelque raison que ce soit.(b) Si l'importateur de données enfreint les présentes clauses ou n'est pas en mesure de s'y conformer, l'exportateur de données suspend le transfert de données à caractère personnel vers l'importateur de données jusqu'à ce que la conformité soit à nouveau assurée ou que le contrat soit résilié. Cela ne porte pas atteinte à la clause 14(f).

(c) L'exportateur de données est en droit de résilier le contrat, dans la mesure où il concerne le traitement des données à caractère personnel en vertu des présentes clauses, lorsque :

(i) l'exportateur de données a suspendu le transfert de données à caractère personnel vers l'importateur de données conformément au paragraphe (b) et que le respect des présentes clauses n'est pas rétabli dans un délai raisonnable et, en tout état de cause, dans un délai d'un mois à compter de la suspension ;

(ii) l'importateur de données enfreint de manière substantielle ou persistante les présentes clauses ; ou

(iii) l'importateur de données ne se conforme pas à une décision contraignante d'un tribunal ou d'une autorité de contrôle compétente concernant ses obligations en vertu des présentes clauses. Dans ces cas, il informe l'autorité de contrôle compétente de ce non-respect. Lorsque le contrat implique plus de deux parties, l'exportateur de données ne peut exercer ce droit de résiliation qu'à l'égard de la partie concernée, sauf accord contraire des parties.

(d) Les données à caractère personnel qui ont été transférées avant la résiliation du contrat conformément au paragraphe (c) sont, au choix de l'exportateur de données, immédiatement renvoyées à l'exportateur de données ou supprimées dans leur intégralité. Il en va de même pour toute copie des données. L'importateur de données certifie le fait de supprimer les données à l'exportateur de données. Jusqu'à ce que les données soient supprimées ou restituées, l'importateur de données poursuit en assurant le respect des présentes clauses. Si les lois locales applicables à l'importateur de données interdisent la restitution ou le fait de supprimer les données à caractère personnel transférées, l'importateur de données garantit qu'il poursuivra en assurant le respect des présentes clauses et ne traitera les données que dans la mesure et pendant la durée requises par ces lois locales.

(e) Chacune des parties peut révoquer son accord d'être liée par les présentes clauses lorsque (i) la Commission adopte une décision en vertu de l'article 45, paragraphe 3, du règlement (UE) 2016/679 qui couvre le transfert de données à caractère personnel auquel s'appliquent les présentes clauses ; ou (ii) le règlement (UE) 2016/679 fait partie du cadre juridique du pays vers lequel les données à caractère personnel sont transférées. Cela ne porte pas préjudice aux autres obligations applicables au traitement en question en vertu du règlement (UE) 2016/679.

Clause 17 - Loi applicable

Les présentes clauses sont régies par la loi de la juridiction spécifiée à la section 11.2 de l'ATD et des conditions d'utilisation de Benchmark Email, sauf si les lois applicables en matière de protection des données en disposent autrement.

Clause 18 - Choix du tribunal et de la juridiction

(a) Tout litige découlant des présentes clauses sera tranché par les tribunaux de la juridiction spécifiée à la section 11.2 du DPA et des conditions d'utilisation de Benchmark Email. (b) Les parties conviennent que ces tribunaux seront ceux de la juridiction spécifiée à la section 11.2 du DPA et des conditions d'utilisation de Benchmark Email. (c) Une personne concernée peut également intenter une action en justice contre l'exportateur de données et/ou l'importateur de données devant les tribunaux de l'État membre dans lequel elle a sa résidence habituelle.

ANNEXE aux clauses contractuelles types

ANNEXE I

  1. LISTE DES PARTIES

Exportateur(s) de données :

  1. Le client, tel que défini dans les conditions d'utilisation de Benchmark Email auxquelles l'addendum sur le traitement des données est joint.

Importateur(s) de données :

  1. Nom : Polaris Software, Inc.

Adresse : 3636 S. Geyer Road, Suite 100, St Louis, MO 63127 États-Unis.

Nom, fonction et coordonnées de la personne à contacter : support@benchmarkemail.com

Activités pertinentes pour les données transférées en vertu des présentes clauses : services d'email marketing

Signature et date : Les clauses contractuelles types entreront en vigueur à la date à laquelle le client acceptera les conditions d'utilisation de Benchmark Email et l'addendum relatif au traitement des données (DPA). Si le client devient client de Benchmark Email après la signature du présent DPA, les SCC seront considérées comme effectives à la date à laquelle le client acceptera les conditions d'utilisation et le DPA.

Rôle (responsable du traitement/sous-traitant) : sous-traitant

  1. DESCRIPTION DU TRANSFERT

Catégories de personnes concernées dont les données à caractère personnel sont transférées : le client détermine et contrôle l'étendue des données à caractère personnel du client soumises au traitement par les services, qui peuvent inclure des données à caractère personnel relatives à : (1) les utilisateurs - toute personne physique accédant et/ou utilisant les services via le compte du client ; (2) Les abonnés - toute personne dont l'adresse e-mail figure dans la liste de distribution du client / dont les informations sont stockées ou collectées via les services / à qui les utilisateurs envoient des e-mails ou avec qui ils communiquent via les services.

Catégories de données à caractère personnel transférées : Les données à caractère personnel transférées concernent les catégories de données suivantes : (1) Utilisateurs : données d'identification et de contact (nom, coordonnées, y compris adresse e-mail, nom d'utilisateur) ; informations de facturation (adresse de facturation, informations de paiement) ; informations sur l'organisation (nom, adresse, emplacement géographique, domaine de responsabilité, code TVA), informations informatiques (adresse IP, données d'utilisation, données de cookies, données de navigation en ligne, données de localisation, données de navigateur, informations sur les appareils d'accès) ; (2) Abonnés : adresse email et toute autre information supplémentaire que le Client fournit à Benchmark Email.

Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, telles que, par exemple, une limitation stricte de la finalité, des restrictions d'accès (y compris l'accès réservé au personnel ayant suivi une formation spécialisée), la conservation d'un registre des accès aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires : Aucune donnée sensible ne sera transférée à Benchmark Email.

Fréquence du transfert : les données sont transférées de manière continue pendant toute la durée des services, comme décrit dans les conditions d'utilisation.

Nature du traitement : Benchmark Email est un service qui fournit aux clients un moyen de collecter des adresses e-mail et de créer, envoyer et suivre des promotions par e-mail (« services ») et d'autres services conformément à toute confirmation de commande, tout document de commande ou toute inscription en ligne, comme décrit dans les conditions d'utilisation.

Finalité(s) du transfert de données et du traitement ultérieur : le traitement des données dans le cadre du présent DPA a pour finalité la fourniture des Services.

La durée de conservation des données à caractère personnel ou, si cela n'est pas possible, les critères utilisés pour déterminer cette durée : les données seront conservées pendant toute la durée des Services. Cela ne s'applique pas dans la mesure où Benchmark Email est tenu par la loi applicable de conserver tout ou partie des Données client, ou aux Données client qu'il a archivées sur des systèmes de sauvegarde où les Données client sont isolées de manière sécurisée et protégées contre tout traitement ultérieur, sauf dans la mesure requise par la loi applicable.

Pour les transferts à des sous-traitants, précisez également l'objet, la nature et la durée du traitement : les données personnelles peuvent être transférées aux sous-traitants de Benchmark Email afin de fournir les Services à ses clients. Le sous-traitement doit avoir lieu pendant toute la durée de la fourniture des Services ou plus longtemps, si la loi l'exige.

  1. AUTORITÉ DE CONTRÔLE COMPÉTENTE

Identifiez la ou les autorités de contrôle compétentes conformément à la clause 13 :

L'autorité de contrôle compétente pour garantir le respect du règlement (UE) 2016/679 (RGPD) en ce qui concerne le transfert des données du client est l'autorité de protection des données (DPA) de la juridiction du client. L'autorité compétente sera déterminée en fonction de la localisation du client (l'exportateur de données), telle qu'elle figure dans le répertoire des autorités de contrôle de l'EDPB (disponible à l'adresse suivante : EDPB Supervisory Authorities).

Pour les clients situés dans l'Union européenne (UE) ou l'Espace économique européen (EEE), l'autorité de protection des données du pays du client sera l'autorité compétente. Pour les clients situés au Royaume-Uni (RU), l'autorité compétente est l'Information Commissioner's Office (ICO). Pour les clients situés en Suisse, l'autorité compétente est le Préposé fédéral à la protection des données et à la transparence (PFPDT).

En cas de traitement transfrontalier des données, l'EDPB peut être impliqué dans le règlement des litiges, en particulier dans le cadre du mécanisme de guichet unique tel que défini dans le RGPD.

ANNEXE II

MESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS LES MESURES TECHNIQUES ET ORGANISATIONNELLES VISANT À ASSURER LA SÉCURITÉ DES DONNÉES

Veuillez consulter l'annexe 2 du DPA – Mesures de sécurité.

ANNEXE III

LISTE DES SOUS-TRAITANTS

Veuillez consulter l'annexe 3 du DPA – Liste des sous-traitants.

Dernière mise à jour le 15 octobre 2025.

 

Sélectionnez votre langue