Explorer nos produits
Explorer nos produits

Menu Utilitaire

Retour aux Infos juridiques

ADDENDUM DE TRAITEMENT DES DONNÉES

Dernière révision : 1er janvier 2025

Cet Addendum de traitement des données comprend les Annexes 1 (Description du Traitement) et 2 (Conditions de transfert régionales) (documents collectivement nommés « ATD »). Cet ATD, qui complète les Conditions d’utilisation des services ou tout autre accord écrit (le « Contrat ») entre GoTo et le « Client » et en fait partie, s’applique au Traitement par GoTo des Données personnelles du Client en lien avec les Services achetés dans le cadre du Contrat. Le présent ATD entre en vigueur lorsque le Client (a) conclut un Contrat ou signe une Commande qui intègre le présent ATD dans ses conditions, ou (b) utilise les Services après la publication de l’ATD sur le site Web de GoTo (« Date d’entrée en vigueur »). En cas de divergence entre les dispositions du présent ATD et celles du Contrat, les dispositions de l’ATD prévaudront.

Le Client signe cet ATD pour son propre compte, et dans toute la mesure exigée par les Lois de protection des données, pour le compte de ses Affiliés autorisés. Dans le présent ATD, le terme « Client » désigne l’Entité cliente contractante et ses Affiliés autorisés, sachant, cependant, que l’Entité cliente contractante devra, pour son propre compte comme pour le compte de ses Affiliés autorisés : (a) rester responsable de la coordination, de l’accomplissement et de la réception de toutes les communications avec GoTo dans le cadre de cet ATD ; et (b) exercer solidairement tous ses droits propres ou ceux de ses Affiliés exposés par les présentes. Sauf indication contraire dans le présent ATD, « GoTo » désigne l’Entité contractante GoTo et ses Affiliés.

La signature ou l’acceptation par les Parties du Contrat ou de tout Formulaire de commande vaut signature et acceptation des documents suivants, dans la mesure où ils sont applicables : (a) les Clauses contractuelles types du Brésil ; (b) les Clauses contractuelles types de l’Union européenne ; et (c) l’Addendum du Royaume-Uni aux Clauses contractuelles types de l’Union européenne.


1. DÉFINITIONS
Dans le présent ATD, les termes suivants ont la signification indiquée ci-dessous. Sauf mention contraire dans cet ATD, les termes à majuscule non définis dans ce document auront la signification qui leur est donnée dans le Contrat.

« Affilié » désigne (a) en ce qui concerne le Client, toute entité qui contrôle directement ou indirectement, est contrôlée par, ou est sous contrôle commun avec l’entité concernée, et (b) en ce qui concerne GoTo, toute entité qui est directement ou indirectement contrôlée par GoTo Group Parent, Inc. Aux fins de la présente définition, on entend par « Contrôle » la propriété ou le contrôle direct ou indirect de plus de 50 % du capital social ou des droits de vote de l’entité concernée.

« Affilié autorisé » désigne tout Affilié du Client qui : (i) est soumis aux Lois de protection des données ; et (ii) a été autorisé par le Client à utiliser les Services dans le cadre du Contrat entre le Client et GoTo, mais n’a pas signé son propre Formulaire de commande auprès de GoTo et n’est pas autrement un « Client » selon la définition du Contrat.

« Clauses contractuelles types du Brésil » ou « CCT du Brésil » désigne les Clauses contractuelles types annexées à la Résolution CD/ANPD n° 19/2024 promulguée par l’Autorité nationale brésilienne de protection des données (« Autoridade Nacional de Proteção de Dados » ou « ANPD »), dans leur version en vigueur.

« CCPA » désigne la loi californienne sur la vie privée des consommateurs (California Consumer Privacy Act), telle que modifiée par la loi californienne sur le droit à la vie privée de 2020 (California Privacy Rights Act ou « CPRA », Cal. Civ. Code § 1798.100-1798.199.100 et seq.) et ses règlements d’application, tels qu’ils peuvent être modifiés, supplantés ou remplacés.

« Responsable du traitement » désigne l’entité qui définit les finalités et les moyens du Traitement des Données personnelles.*

« Transfert international de données » désigne l’envoi ou le partage de Données personnelles provenant d’un pays vers un autre pays (ou, dans le cas de l’Espace économique européen, vers un pays situé en dehors de l’Espace économique européen). Les Transferts internationaux de données comprennent les Transferts restreints.

« Contenu du Client » désigne l’ensemble des fichiers, documents, enregistrements, journaux de chat, transcriptions et données comparables que GoTo gère pour le compte du Client ou de ses utilisateurs finaux, ainsi que toute autre information que le Client ou ses utilisateurs peuvent envoyer au Compte de service du Client en association avec les Services.

« Lois de protection des données » désigne toutes les lois et tous les règlements applicables relatifs à la protection des données et à la vie privée, y compris les lois et règlements du Brésil, de l’Union européenne et de l’Espace économique européen ainsi que de leurs États membres, de la Suisse, du Royaume-Uni et des États-Unis avec leurs États (y compris, sans s’y limiter, l’État de Californie), selon le cas, dans la mesure applicable au Traitement des Données personnelles dans le cadre du Contrat.

« Personne concernée » désigne, selon le cas : (i) la personne identifiée ou identifiable associée aux Données personnelles définie par les Lois de protection des données ; et/ou (ii) un « Consommateur » selon la définition du terme dans la loi CCPA.

« Demande de la Personne concernée » désigne une demande de la part d’une Personne concernée d’exercer les droits liés à ses Données personnelles qui lui sont octroyés dans le cadre des Lois de protection des données, tels que, selon le cas, les droits (i) d’accès ; (ii) de rectification ; (iii) de limitation du traitement ; (iv) d’effacement (c’est-à-dire le « droit à l’oubli ») ; (v) de portabilité des données ; (vi) de communication des activités de partage interne et avec des tiers ; (vii) de communication des activités de traitement correspondantes de GoTo ; (viii) d’étude des conséquences des éventuels objections ou retraits de consentement ; (ix) de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé ; et/ou (x) d’opposition au Traitement.

« Clauses contractuelles types de l’Union européenne » ou « CCT de l’UE » désigne les clauses contractuelles types annexées à la Décision d’exécution (UE) 2021/914 de la Commission européenne, dans leur version en vigueur.

« RGPD » désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 sur la protection des personnes physiques vis-à-vis du traitement des données personnelles et sur le libre déplacement de telles données, qui abroge la Directive 95/46/CE (Règlement général sur la protection des données), tel qu’il peut être modifié, supplanté ou remplacé.

« GoTo » désigne GoTo et ses Affiliés participant au Traitement des Données personnelles associé à la prestation des Services au Client.

« LGPD » désigne la loi du Brésil No. 13.709, c’est-à-dire la Loi générale sur la protection des données personnelles, telle qu’elle peut être modifiée, supplantée ou remplacée.

« Partie » ou « Parties » désigne respectivement, selon le cas et le cas échéant, le Client ou GoTo individuellement, ou les deux entités ensemble.

« Données personnelles » désigne toute information sur le Client reçue par GoTo du Client lui-même ou au nom du Client dans le cadre du Contrat et associée à : (i) une personne physique identifiée ou identifiable (par exemple une Personne concernée ou un Consommateur) ; (ii) un ménage au sens de la loi CCPA ; et/ou (iii) tous éléments qui constituent des données personnelles ou un concept similaire en vertu de la législation applicable, dans chaque cas, quand de telles informations sont gérées pour le compte du Responsable du traitement par le Sous-traitant de données dans le cadre de son environnement de Services, et protégées de façon comparable en tant que données personnelles, informations personnelles ou informations personnellement identifiables dans le cadre des Lois de protection des données. Nonobstant ce qui précède, dans la mesure où les informations relatives au Client répondent à cette définition, mais sont exclues de la définition des données personnelles en vertu des Lois de protection des données, ces informations ne constituent pas des Données personnelles au sens du présent ATD.

« Traitement » désigne toute opération ou tout ensemble d’opérations effectuées sur les Données personnelles, par des moyens automatiques ou non, par exemple le recueil, l’enregistrement, l’organisation, la structuration, le stockage, l’adaptation ou l’altération, la récupération, la consultation, l’utilisation, la divulgation par transmission, la dissémination ou tout autre moyen de mise à disposition, le rapprochement ou la combinaison, la limitation, l’effacement ou la destruction.

« Sous-traitant de données » désigne l’entité qui traite les Données personnelles pour le compte du Responsable du traitement, y compris, le cas échéant, un « Prestataire de services » tel que défini dans la loi CCPA.

« Transfert restreint » désigne un transfert de Données personnelles par GoTo du pays ou, dans le cas de l’Union européenne, de l’EEE, d’où proviennent les données vers tout autre territoire dont la législation n’a pas été jugée adéquate par le régulateur concerné, lorsque les Lois de protection des données exigent qu’elles soient adéquates. Un transfert de Données personnelles vers les États-Unis en vertu du Cadre de protection des données entre l’UE et les États-Unis et de son Extension par le Royaume-Uni, ou du Cadre de protection des données entre la Suisse et les États-Unis ne constitue pas un Transfert restreint.

« Incident de sécurité » désigne toute violation de la sécurité de GoTo portée à sa connaissance et conduisant de façon accidentelle ou illégale à la destruction, la perte, l’altération ou la divulgation non autorisée de Données personnelles, ou à l’accès à de telles données, traitées par GoTo en sa qualité de Sous-traitant de données ou de Sous-traitant ultérieur du Client ou traitées par les Sous-traitants ultérieurs de GoTo.

« Données de service » désigne (a) toutes les données, y compris les Données personnelles, traitées par GoTo aux fins du stockage, de la transmission ou de l’échange du Contenu du Client, de l’envoi de marchandises et de la fourniture des Services, telles que l’adresse d’expédition, les données utilisées pour tracer et identifier la source et la destination d’une communication, y compris les numéros de téléphone ou les données sur la localisation de l’appareil générées dans le cadre de la fourniture des Services, les données sur l’acheminement, la date, l’heure, la durée, le type et d’autres aspects de la communication, ou les données fournies par les canaux utilisés par le Client pour communiquer avec ses clients ou ses utilisateurs finaux ; (b) les données relatives aux communications du Client avec GoTo (telles que les demandes de renseignements et d’assistance), et d’autres informations similaires ; et (c) les Données personnelles relatives à la relation du Client avec GoTo, y compris les noms, les numéros de téléphone et/ou les coordonnées des personnes autorisées par le Client à accéder au compte du Client ou à utiliser les Services, ainsi que les informations de facturation.

« Sous-traitant ultérieur » désigne tout Sous-traitant de données engagé par GoTo pour l’accomplissement de ses obligations de prestation des Services dans le cadre du Contrat.

« Autorité de contrôle » désigne une autorité publique indépendante mise en place par la loi applicable pour assurer la conformité aux Lois de protection des données.

« FADP suisse » désigne la Loi fédérale suisse sur la protection des données (LPD) du 25 septembre 2023, telle qu’elle peut être amendée, supplantée ou remplacée.

« Mesures techniques et d’organisation » ou « TOM » désigne la documentation sur les mesures techniques et d’organisation des Services de GoTo, qui se trouve dans le Trust Center de GoTo.

« Addendum du Royaume-Uni » désigne l’Addendum sur le transfert de données international (International Data Transfer Addendum) complétant les CCT de l’UE, qui a été publié par le Préposé à la protection des données dans le cadre de la Loi S119A sur la protection des données de 2018 (S119A Data Protection Act 2018), dans sa version en vigueur.

« Lois de protection des données du Royaume-Uni » désigne toutes les lois relatives à la protection des données, au Traitement de Données personnelles, à la vie privée et/ou aux communications électroniques, dans leur version en vigueur au Royaume-Uni, y compris le RGPD et le Data Protection Act 2018, telles qu’elles peuvent être modifiées, supplantées ou remplacées.
2. TRAITEMENT DES DONNÉES PERSONNELLES
2.1 Relation entre les Parties.
2.1.1 En ce qui concerne le Traitement de Données personnelles par GoTo au nom du Client, le Client est soit le Responsable du traitement, soit un Sous-traitant de données qui traite des Données personnelles pour un Responsable du traitement tiers, et GoTo est le Sous-traitant de données ou un Sous-traitant ultérieur du Client.
2.1.2. Nonobstant la Section 2.1.1, GoTo a le statut de Responsable du traitement indépendant pour les Données personnelles figurant dans le Contenu du Client ainsi que pour les Données de Service et de compte, lorsque GoTo les traite aux fins suivantes : (i) la facturation, la gestion du compte, la Gestion de la relation client (communications marketing et liées au compte destinées aux services responsables de l’approvisionnement et des ventes ainsi qu’à d’autres membres du personnel du Client), et la correspondance connexe avec le Client (communications sur des éléments liés au compte, par exemple les mises à jour nécessaires) ; (ii) le respect de ses obligations légales ; (iii) le traitement des demandes d’assistance, des plaintes et des demandes de renseignements ; (iv) le traitement et le suivi des litiges et des réclamations en justice ; (v) la détection et la gestion des violations de la Politique sur l’utilisation acceptable et des Conditions d’utilisation des services de GoTo ; et (vi) la réalisation d’enquêtes sur les Incidents de sécurité et la protection de l’environnement du Service. Dans la mesure du possible, GoTo procédera à la pseudonymisation ou à l’agrégation des Données personnelles aux fins suivantes : (a) le maintien, le contrôle de la performance et l’amélioration du Service ; (b) l’établissement de rapports internes et financiers ainsi que de prévisions et de modèles de revenus et de planification (y compris concernant les stratégies de produits), et la planification de la capacité ; et (c) le recueil de commentaires sur ses Services.
2.2 Détails du Traitement. Les catégories de Personnes concernées, les catégories de Données personnelles transférées, les données sensibles transférées (le cas échéant), la fréquence du transfert, la nature et la finalité du transfert et du Traitement de Données personnelles, la conservation des Données personnelles et l’objet du Traitement sont spécifiés dans l’Annexe 1 (Description du Traitement) de cet ATD.
3. RESPONSABILITÉS DU CLIENT.
3.1 Conformité avec la Loi de protection des données. Lors de l’utilisation des Services, le Client traitera les Données personnelles conformément aux dispositions de la Loi de protection des données qui s’appliquent à lui et s’assurera qu’il s’est conformé à tous les avis de divulgation applicables ou qu’il a obtenu les autorisations nécessaires pour permettre à GoTo de traiter les Données personnelles de la manière envisagée dans le cadre du Contrat. Si le Client est un Sous-traitant de données pour un Responsable du traitement tiers, le Client garantit que ses instructions et actions concernant les Données personnelles traitées par GoTo en vertu du Contrat sont autorisées par le Responsable du traitement tiers concerné. Parmi les parties, le Client est seul responsable de l’exactitude, de la qualité et de la légalité des Données personnelles, ainsi que de la manière dont il acquiert les Données personnelles.
3.2 Coopération. Le Client fournira à GoTo toutes les informations et tous les accès nécessaires pour permettre à GoTo de suivre les instructions du Client.
4. RESPONSABILITÉS DE GOTO.
4.1 Conformité avec les Lois de protection des données. Lors du Traitement des Données personnelles dans le cadre du Contrat, GoTo se conformera aux dispositions des Lois de protection des données applicables et, le cas échéant, fournira le même niveau de protection de la vie privée à ces Données personnelles que celui exigé par ces lois vis-à-vis du Client.
4.2 Limitation du Traitement et instructions du Client.
4.2.1 Lorsque GoTo a le statut de Sous-traitant de données ou de Sous-traitant ultérieur, GoTo ne traitera les Données personnelles du Client que pour son compte et conformément aux instructions écrites fournies par le Client, qui sont supposées données pour les finalités suivantes : (i) Traitement conformément au Contrat et aux Formulaires de commande applicables ; Traitement lancé par des utilisateurs lors de leur utilisation des Services ; et (iii) Traitement visant à se conformer à d’autres instructions écrites raisonnables fournies par le Client (par exemple, par e-mail) quand ces instructions sont conformes aux clauses du Contrat. Lorsque GoTo agit en tant que Responsable du traitement, GoTo traitera les Données personnelles du Client aux fins énoncées dans la Section 2.1.2.
4.2.2 Si GoTo s’attend à engager des frais supplémentaires ou des frais non couverts par les frais des Services pour suivre les instructions du Client, GoTo en informera le Client, et le Client paiera ces Services supplémentaires aux tarifs de GoTo alors en vigueur.
4.2.3 GoTo informera immédiatement le Client si elle considère que des instructions du Client peuvent enfreindre les exigences des Lois de protection des données ou entrer en conflit avec elles.
4.3 Sécurité. Pour prendre en compte l’état de l’art, les coûts de mise en œuvre et la nature, l’étendue, le contexte et les finalités du Traitement, ainsi que le risque de probabilité et de gravité variable pour les droits et libertés des personnes physiques, GoTo devra mettre en œuvre et maintenir des mesures techniques et d’organisation appropriées pour assurer la protection de la sécurité (y compris la protection contre un Incident de sécurité), la confidentialité et l’intégrité du Contenu du Client, comme exposé dans le document sur les Mesures techniques et d’organisation applicables, disponible dans le Trust Center de GoTo. Le Client reconnaît que les TOM sont susceptibles d’évoluer et de se développer, et que GoTo peut mettre à jour ou modifier les TOM en temps utile. Ce faisant, GoTo ne diminuera ni ne dégradera la sécurité globale des Services.
4.4 Confidentialité et formation du personnel. Le personnel de GoTo participant au Traitement des Données personnelles du Client (i) a été informé de la nature confidentielle des Données personnelles du Client ; (ii) est soumis à des accords de confidentialité écrits ou à des obligations légales relatives à la confidentialité ; (iii) a reçu une formation appropriée sur ses responsabilités, concernant en particulier les mesures de sécurité et de confidentialité ; et (iv) n’a accès aux Données personnelles que dans toute la mesure raisonnablement jugée nécessaire pour l’accomplissement de ses éventuels devoirs, obligations ou responsabilités.
4.5 Analyses d’impact de la protection des données ; consultations préalables. GoTo coopérera avec le Client et lui fournira une assistance raisonnable si, dans le cadre de son utilisation des Services, le Client est tenu par les Lois de protection des données d’effectuer une analyse d’impact sur la vie privée, une analyse d’impact de la protection des données ou une évaluation similaire de la protection de la vie privée dans le cadre de ses activités de Traitement, ou de réaliser une consultation préalable avec une Autorité de contrôle.
4.6 Demandes de Personnes concernées. Si le Client reçoit une Demande d’une Personne concernée, le Client peut (i) accéder en toute sécurité à son compte pour répondre à la demande, ou (ii) si le Client a besoin de l’assistance de GoTo pour répondre à la demande, envoyer un ticket d’assistance à l’équipe d’assistance de GoTo avec des instructions détaillées sur l’aide de GoTo nécessaire pour répondre à la demande. Si GoTo reçoit une telle demande directement d’une personne concernée, GoTo transmettra rapidement la demande au Client ou conseillera à la Personne concernée de contacter le Responsable du traitement compétent. Dans tous les cas, le Client est responsable de la vérification de l’identité de la Personne concernée et de l’évaluation de la validité de la Demande de la Personne concernée. GoTo n’est pas responsable des informations fournies de bonne foi au Client au titre de cette sous-section.
4.7 Notification des Incidents de sécurité. GoTo notifiera le Client de tout Incident de sécurité sans retard injustifié. GoTo devra fournir des efforts raisonnables pour identifier la cause de tels Incidents de sécurité et prendre les mesures raisonnables pour corriger la cause de tels Incidents de sécurité dans la mesure où les mesures de réparation sont sous le contrôle raisonnable de GoTo. De plus, GoTo devra fournir au Client les informations pertinentes sur l’Incident de sécurité raisonnablement nécessaires pour aider le Client à assurer sa propre conformité à ses obligations dans le cadre des Lois de protection des données, par exemple pour avertir des Autorités de contrôle ou des Personnes concernées. Les notifications ou les informations envoyées dans le cadre de cette Section ne sauraient être interprétées ni comprises comme une reconnaissance de défaillance ou de responsabilité de la part de GoTo.
4.8 Sous-traitants ultérieurs.
4.8.1 Le Client donne à GoTo l’autorisation générale d’engager des Affiliés de GoTo et d’autres Sous-traitants ultérieurs tiers dans le cadre de la fourniture et de l’exploitation des Services. Avant d’engager tout Sous-traitant ultérieur, GoTo conclura un accord écrit avec chaque Sous-traitant ultérieur en imposant des conditions qui ne sont pas moins protectrices que celles imposées à GoTo dans le présent ATD.
4.8.2 GoTo tient à jour une liste des Sous-traitants ultérieurs pour le Service dans son Trust Center. Si le Client souhaite recevoir des notifications de GoTo concernant les propositions de désignation de nouveaux Sous-traitants ultérieurs, le Client peut s’inscrire ici. Le Client peut fournir son objection écrite (également par e-mail), de bonne foi et raisonnable aux propositions de désignation de Sous-traitants ultérieurs dans les 15 jours suivant la réception de la notification de GoTo. Si GoTo est raisonnablement en mesure de fournir les Services sans utiliser le Sous-traitant ultérieur proposé et choisit de le faire à sa seule discrétion, le Client n’aura plus aucun droit en la matière. Si, par ailleurs, GoTo ne peut pas ou ne souhaite pas effectuer une telle modification dans un délai raisonnable, le Client peut résilier par avis écrit à GoTo le ou les Formulaires de commande applicables concernant uniquement les Services qui ne peuvent pas être assurés par GoTo sans le recours au Sous-traitant ultérieur concerné. Si le Client ne s’oppose pas en temps voulu à l’utilisation d’un Sous-traitant ultérieur proposé, il sera réputé avoir consenti à l’utilisation du Sous-traitant ultérieur proposé et avoir renoncé à son droit d’opposition.
4.8.3 GoTo reste responsable envers le Client des actions et omissions de ses Sous-traitants ultérieurs s’ils ne remplissent pas leurs obligations respectives en matière de protection des données concernant les activités de Traitement pertinentes dans le cadre du Contrat.
5. OBLIGATIONS DE GOTO DANS LE CADRE DE LA LOI CCPA (CALIFORNIA CONSUMER PRIVACY ACT)
Dans la présente Section 5, tout terme commençant par une majuscule non défini dans l’ATD a la signification qui lui est donnée dans la loi CCPA. Les dispositions suivantes s’appliquent au Traitement des Données personnelles par GoTo en sa qualité de Prestataire de services, dans la mesure où les Données personnelles sont soumises à la loi CCPA :
5.1 Obligations. GoTo devra : (a) traiter les Données personnelles conformément aux exigences de la loi CCPA qui s’appliquent à GoTo en sa qualité de Prestataire de services vis-à-vis du Client, en assurant un niveau approprié de protection de la vie privée, conformément à la loi CCPA ; (b) informer le Client si elle pense raisonnablement qu’elle n’est plus en mesure de respecter ses obligations en vertu de la loi CCPA ; (c) conférer au Client le droit, sous réserve de la Section 6 de l’ATD (Certifications et audits de tiers), de prendre des mesures raisonnables et appropriées afin de veiller à ce que l’utilisation faite par GoTo des Données personnelles collectées dans le cadre du Contrat respecte les obligations de GoTo en matière de respect de la vie privée et de sécurité définies dans le Contrat et la loi CCPA ; et (d) à la demande du Client, qui informera GoTo avec un préavis raisonnable, coopérer avec le Client pour déterminer les mesures raisonnables et appropriées devant être prises pour mettre fin et remédier à toute utilisation non autorisée (c’est-à-dire toute utilisation ne respectant pas les dispositions du Contrat et/ou des Lois de protection des données) des Données personnelles du Client.
5.2 Interdictions. GoTo a l’interdiction : (a) de vendre ou de partager les Données personnelles du Client qu’elle recueille dans le cadre du Contrat qui la lie au Client ; et (b) de conserver, d’utiliser ou de divulguer les Données personnelles qu’elle recueille en vertu du Contrat (i) à toute autre fin que les objectifs professionnels ou commerciaux énoncés dans le Contrat ou autrement autorisés par la loi CCPA ; ou (ii) en dehors de la relation commerciale directe entre les Parties, sauf autorisation expresse de la loi CCPA.
6. CERTIFICATIONS ET AUDITS DE TIERS.
6.1 Informations et demandes. GoTo a mis à la disposition du Client les informations raisonnablement nécessaires pour démontrer le respect de ses obligations au titre du présent ATD, y compris sous la forme de certifications et/ou d’audits de tiers applicables, notamment ceux spécifiés dans les Mesures techniques et d’organisation en vigueur disponibles dans le Trust Center de GoTo ou sur ses pages d’assistance produit. Si le Client ne peut pas raisonnablement vérifier la conformité de GoTo avec cet ATD à partir des informations fournies par GoTo, le Client peut demander à GoTo, au maximum une fois tous les 12 mois, de fournir, sur une base confidentielle, des informations écrites raisonnables que GoTo met généralement à la disposition de sa clientèle concernant son Traitement des Données personnelles du Client en vertu du Contrat. Le Client peut effectuer cette demande vis-à-vis de GoTo en contactant directement le représentant de son compte ou en contactant l’équipe de vente de GoTo.
6.2 Évaluations réglementaires. Si, pour répondre à une demande provenant d’un organisme de réglementation de la vie privée en vertu des Lois de protection des données, le Client a besoin d’informations qui ne sont pas disponibles parmi les informations identifiées dans la Section 6.1, le Client peut demander à effectuer un audit, sur une base confidentielle, des procédures de GoTo relatives à la protection des Données personnelles au sens de cet ATD. Le Client et GoTo conviendront mutuellement de l’étendue, des procédures, de la date, de la durée et/ou des frais remboursables (le cas échéant) de l’audit avant de commencer l’évaluation. Le Client devra : (a) fournir au plus vite à GoTo des informations sur les non-conformités découvertes au cours d’un audit ; et (b) faire de son mieux pour réduire au minimum les interférences avec les activités de GoTo lors de la conduite d’un tel audit.
7. SUPPRESSION ET RENVOI DU CONTENU DU CLIENT
Pour de nombreux Services, GoTo met à la disposition des administrateurs du Client des fonctionnalités qui leur permettent de supprimer ou d’exporter du Contenu. Les Clients peuvent utiliser ces fonctionnalités à tout moment. Lorsque ces fonctionnalités ne sont pas disponibles, ou lorsque le Client a besoin d’une assistance supplémentaire de la part de GoTo, les dispositions suivantes s’appliquent. Si le Contrat du Client est résilié ou arrive à expiration, si le Client arrête d’utiliser son compte GoTo ou à tout moment antérieur à la demande écrite du Client, GoTo supprimera et rendra irrécupérable le Contenu du Client, y compris toutes Données personnelles incluses dans ce Contenu, dans la mesure autorisée par la législation applicable. Les durées de conservation automatique des données devront être conformes aux procédures et calendriers spécifiés dans les Mesures techniques et d’organisation applicables. Sur demande écrite du Client, GoTo devra (a) attester de la suppression du Contenu du Client, (b) fournir la preuve de cette suppression, et (c) dans la mesure autorisée par la législation applicable, (i) rendre au Client ou à un représentant du Client tout Contenu du Client, y compris toutes Données personnelles incluses dans ce Contenu, conservé par GoTo ; ou (ii) expliquer au Client comment utiliser un système en libre-service d’exportation de données (sous réserve de disponibilité). Le Client peut effectuer de telles demandes en envoyant un ticket d’assistance à l’équipe d’assistance de GoTo avec des instructions détaillées sur l’aide de GoTo nécessaire. Dans tous les cas, les durées standard de conservation du Contenu par GoTo, lorsqu’elle agit en qualité de Sous-traitant de données pour le Client, sont indiquées dans les TOM de Service applicables, qui sont disponibles dans le Trust Center de GoTo.

 
8. DEMANDES DES AUTORITÉS CONCERNANT LES DONNÉES PERSONNELLES DU CLIENT
Si GoTo reçoit une assignation civile ou criminelle, un mandat de perquisition ou toute autre demande officielle et écrite juridiquement contraignante (« Demande ») de la part d’une autorité publique (« Partie requérante ») demandant la divulgation des Données personnelles du Client, GoTo traitera ces demandes conformément à sa Politique relative aux demandes des autorités alors en vigueur. En particulier, lorsque la loi le permet, GoTo redirigera la Partie requérante vers le Client. Sauf indication contraire dans notre Politique relative aux demandes des autorités, GoTo (a) informera rapidement le Client de la Demande afin de permettre au Client de demander une ordonnance de protection ou un autre recours approprié si la Demande ne le lui interdit pas ; (b) évaluera la Demande afin de déterminer si elle est valable et si GoTo a une obligation légale de divulguer les Données personnelles ; (c) rejettera ou contestera toute Demande qui n’est pas valable, juridiquement contraignante et légale ; et (d) contestera toute Demande trop large ou inappropriée. Lorsque les Données personnelles du Client doivent être fournies, GoTo divulguera le minimum de Données personnelles requis pour satisfaire la Demande et s’assurera que les Données personnelles du Client bénéficient d’un traitement confidentiel de la part de la Partie requérante.
9. TRANSFERTS INTERNATIONAUX DE DONNÉES
GoTo exerce ses activités à l’échelle mondiale et peut procéder à des Transferts internationaux de données vers ses Sous-traitants ultérieurs et/ou ses Affiliés pour fournir ses Services. Certains territoires exigent que les parties à un contrat adoptent des garanties applicables à ces transferts. La présente Section décrit les garanties dont les Parties ont convenu pour régir ces transferts dans le cadre du Contrat.
9.1 Reconnaissance de confidentialité APEC pour les Sous-traitants de données GoTo a obtenu la Reconnaissance de confidentialité pour les Sous-traitants de données (« PRP ») de la Coopération économique pour l’Asie-Pacifique (« APEC ») et devra traiter les Données personnelles, le cas échéant, conformément aux obligations et responsabilités d’un Sous-traitant de données dans le Cadre de confidentialité de l’APEC.
9.2 Conditions régionales. Des conditions supplémentaires relatives aux Transferts internationaux de Données personnelles soumis à la loi LGPD, au RGPD, aux Lois de protection des données du Royaume-Uni et à la FADP suisse sont énoncées dans l’Annexe 2 (Conditions de transfert régionales), qui est intégrée au présent ATD par référence.
10. LIMITATION DE RESPONSABILITÉ
La responsabilité de chaque Partie, y compris celle de tous ses Affiliés, issue du présent ATD ou associée à celui-ci, et à tous les ATD entre les Affiliés autorisés et GoTo, quel que soit le moyen juridique employé, responsabilité contractuelle, délictuelle ou autre, est soumise à la section « Limitation de responsabilité » du Contrat, et toute référence à la responsabilité d’une Partie désigne la responsabilité totale de cette Partie et de tous ses Affiliés pour le Contrat.
11. HIPAA
Si le Client est soumis à la Loi sur la portabilité et la responsabilité en matière d’assurance maladie de 1996 (Health Insurance Portability and Accountability Act of 1996 ; Pub. L. No. 104-191 [1996]), telle que modifiée par le Plan de relance économique des États-Unis de 2009 (American Recovery and Reinvestment Act of 2009 ; Pub. L. No. 111-5 [2009]) et ses règlements d’exécution applicables (collectivement dénommés « HIPAA »), le Client ne peut pas utiliser les Services pour créer, recevoir, maintenir, transmettre ou traiter de toute autre manière toute information qui inclut ou constitue des « Informations médicales protégées », telles que définies dans la Règle de confidentialité HIPAA (HIPAA Privacy Rule ; 45 C.F.R. Section 160.103), à moins que le Client n’ait signé un Addendum d’associé commercial (« BAA ») avec GoTo avant de créer, recevoir, maintenir, transmettre ou traiter de toute autre manière cette information à l’aide du Service. Le BAA de GoTo est disponible ici et sera intégré au présent ATD lors de son exécution.
12. PRISE D’EFFET ET DIVERGENCES
Dans la mesure permise par la loi, le présent ATD remplace intégralement tous les ATD et les accords similaires antérieurs. En cas de divergence entre les dispositions du Contrat et celles du présent ATD, ce sont les dispositions du présent ATD qui prévaudront. En cas de divergence entre les dispositions (a) de l’ATD et (b) des Clauses contractuelles types du Brésil, des Clauses contractuelles types de l’Union européenne ou de l’Addendum du Royaume-Uni, selon le cas, ces derniers documents prévaudront dans le cadre de la divergence.

Liste des Annexes :

Annexe 1 : Description du Traitement

Annexe 2 : Conditions de transfert régionales

 

ANNEXE 1 : DESCRIPTION DU TRAITEMENT
Catégories de Personnes concernées

Contenu du Client

Le Client peut envoyer des Données personnelles aux Services ; l’étendue de ces données est choisie et contrôlée à sa seule discrétion par le Client, et ces données peuvent inclure, sans limitation, des Données personnelles associées aux catégories suivantes de Personnes concernées :

  • Prospects, clients, partenaires commerciaux et fournisseurs du Client (personnes physiques)
  • Salariés ou personnes contacts des prospects, clients, partenaires commerciaux et fournisseurs du Client
  • Salariés, agents, conseillers et sous-traitants indépendants du Client (personnes physiques)
  • Utilisateurs du Client (personnes physiques) autorisés par le Client à utiliser les Services, y compris les invités et participants à des webinaires ou à des réunions, les personnes qui passent ou reçoivent des appels et les personnes à qui le Client fournit une assistance

Données de Service

  • Prospects, clients, partenaires commerciaux et fournisseurs du Client (personnes physiques)
  • Salariés ou personnes contacts des prospects, clients, partenaires commerciaux et fournisseurs du Client
  • Salariés, agents, conseillers et sous-traitants indépendants du Client (personnes physiques)
  • Utilisateurs du Client (personnes physiques) autorisés par le Client à utiliser les Services, y compris les invités et participants à des webinaires ou à des réunions, les personnes qui passent ou reçoivent des appels et les personnes à qui le Client fournit une assistance

 

Catégories de Données personnelles traitées

Contenu du Client

Le Client peut envoyer des Données personnelles aux Services ; l’étendue de ces données est choisie et contrôlée à sa seule discrétion par le Client, et ces données peuvent inclure, sans limitation, les catégories de Données personnelles suivantes :

  • Coordonnées telles que le nom et le prénom, l’adresse e-mail, le numéro de téléphone, le fax et l’adresse physique de l’entreprise
  • Informations techniques telles que les données d’identification de l’appareil et les données relatives au trafic (par exemple, adresses MAC, fichiers journaux Web, adresses IP, etc.), ainsi que les données relatives au nom d’utilisateur et au mot de passe
  • Informations professionnelles ou liées à l’emploi, telles que la fonction, l’employeur actuel ou précédent, le lieu de travail, les indicateurs liés à l’utilisation, l’affiliation à une école et d’autres informations similaires
  • Contenu audio et vidéo et photographies, tels que les enregistrements fixes et vidéo, les enregistrements vocaux et les transcriptions
  • Données de vie privée
  • Préférences, notamment les préférences en matière de mode de contact ou d’heure, la disponibilité du calendrier ou les préférences linguistiques

Données de Service

GoTo peut collecter et traiter les Données personnelles contenues dans les Données de Service, qui peuvent inclure, sans limitation, les catégories de Données personnelles suivantes :

  • Coordonnées telles que le nom et le prénom, l’adresse e-mail, le numéro de téléphone, le fax et l’adresse physique de l’entreprise, par exemple, l’adresse de livraison
  • Informations commerciales et financières, telles que les services achetés ou envisagés, l’historique ou les tendances d’achat ou de consommation, y compris les informations nécessaires pour faciliter les transactions avec GoTo, notamment les paiements, les informations relatives aux commentaires sur les produits et services GoTo, telles que les données issues d’enquêtes ou de groupes de discussion, les informations sur les événements GoTo auxquels vous avez assisté ou les informations reçues
  • Informations techniques telles que les données d’identification de l’appareil et les données relatives au trafic (par exemple, adresses MAC, fichiers journaux Web, adresses IP, etc.), ainsi que les données relatives au nom d’utilisateur et au mot de passe, les données utilisées pour tracer et identifier la source et la destination d’une communication, y compris les numéros de téléphone de Personnes concernées spécifiques, les données sur la localisation de l’appareil générées dans le cadre de la fourniture des Services, les données sur l’acheminement, la date, l’heure, la durée, le type et d’autres aspects de la communication, les données fournies par les canaux utilisés par le Client pour communiquer avec ses clients, les données relatives aux communications du Client avec GoTo (telles que les demandes de renseignements et d’assistance), et d’autres informations similaires
  • Informations professionnelles ou liées à l’emploi, telles que la fonction, l’employeur actuel ou précédent, le lieu de travail, les indicateurs liés à l’utilisation, l’affiliation à une école et d’autres informations similaires
  • Contenu audio et vidéo et photographies, tels que les enregistrements fixes et vidéo, les enregistrements vocaux et les transcriptions, notamment le contenu d’appels d’assistance ou de réunions de projets de clients
  • Préférences, notamment les préférences en matière de mode de contact ou d’heure, la disponibilité du calendrier ou les préférences linguistiques
  • Données d’assistance, telles que les demandes de renseignements, les requêtes, les fichiers journaux de dépannage et d’autres informations similaires

Données personnelles sensibles traitées (le cas échéant)

Les Parties ne prévoient pas le Traitement de données sensibles. Cependant, le Client peut choisir de soumettre aux Services des données sensibles, dont l’étendue est définie et contrôlée par le Client à sa seule discrétion, et pour lesquelles les protections pertinentes sont spécifiées dans l’Annexe 2 du présent document.

Nature et finalité du Traitement de Données personnelles

GoTo collecte, enregistre, organise, structure, stocke, adapte ou modifie, récupère, consulte, utilise, divulgue par transmission ou diffusion, ou rend disponible, aligne ou combine, restreint, efface et détruit de toute autre manière des Données personnelles lorsque GoTo fournit des Services en tant que Sous-traitant de données ou traite des Données personnelles en qualité de Responsable du traitement. Les finalités pour lesquelles GoTo traite des Données personnelles sont les suivantes :

  • Si GoTo agit en tant que Responsable du traitement indépendant. Conformément à la Section 2.1.2 de l’ATD, GoTo a le statut de Responsable du traitement indépendant pour les Données personnelles figurant dans le Contenu du Client ainsi que pour les Données de Service, lorsque GoTo les traite aux fins suivantes : (i) la facturation, la gestion du compte, la Gestion de la relation client (communications marketing et liées au compte destinées aux services responsables de l’approvisionnement et des ventes ainsi qu’à d’autres membres du personnel du Client), et la correspondance connexe avec le Client (communications sur des éléments liés au compte, par exemple les mises à jour nécessaires) ; (ii) le respect de ses obligations légales ; (iii) le traitement des demandes d’assistance, des plaintes et des demandes de renseignements ; (iv) le traitement et le suivi des litiges et des réclamations en justice ; (v) la détection et la gestion des violations de la Politique sur l’utilisation acceptable de GoTo et du Contrat ; et (vi) la réalisation d’enquêtes sur les Incidents de sécurité et la protection de l’environnement du Service. Dans la mesure du possible, GoTo procédera à la pseudonymisation ou à l’agrégation des Données personnelles aux fins suivantes : (a) le maintien, le contrôle de la performance et l’amélioration du Service ; (b) l’établissement de rapports internes et financiers ainsi que de prévisions et de modèles de revenus et de planification (y compris concernant les stratégies de produits), et la planification de la capacité ; et (c) le recueil de commentaires sur ses Services. L’Entité contractante GoTo est le Responsable du traitement indépendant associé. Lorsque GoTo agit en qualité de Responsable du traitement indépendant, elle traite les Données personnelles conformément à sa Politique de confidentialité.
  • Si GoTo agit en tant que Sous-traitant de données. En sa qualité de Sous-traitant de données ou de Sous-traitant ultérieur, GoTo traitera les Données personnelles et engagera des Sous-traitants ultérieurs, dans la mesure nécessaire pour la prestation et l’exploitation des Services objets du Contrat, comme spécifié dans la documentation des Mesures techniques et d’organisation ainsi que dans la liste de Sous-traitants ultérieurs approuvés applicables, toutes deux consultables ici, et dans la limite des instructions du Client données par son utilisation des Services.

 

Conservation des Données personnelles
  • Si GoTo agit en tant que Responsable du traitement indépendant. Conformément à notre Politique de confidentialité, nous conservons vos Données personnelles pendant une durée qui n’excède jamais le délai nécessaire à la réalisation des objectifs commerciaux pour lesquels elles ont été collectées, ou nécessaire au respect de nos obligations légales, à la résolution des litiges et à l’exécution de nos contrats.
  • Si GoTo agit en tant que Sous-traitant de données. En sa qualité de Sous-traitant de données, GoTo traitera et conservera les Données personnelles pendant la durée du Contrat (sauf mention contraire et/ou tel que précisé dans les Mesures techniques et d’organisation), sauf accord contraire par écrit ou disposition contraire de la législation applicable.

 

Objet, nature et durée du Traitement effectué par les Sous-traitants ultérieurs
  • Si GoTo agit en tant que Responsable du traitement indépendant. Conformément à la Section 2.1.2 de l’ATD, GoTo a le statut de Responsable du traitement indépendant pour les Données personnelles figurant dans le Contenu du Client ainsi que pour les Données de Service, lorsque GoTo les traite aux fins suivantes : (i) la facturation, la gestion du compte, la Gestion de la relation client (communications marketing et liées au compte destinées aux services responsables de l’approvisionnement et des ventes ainsi qu’à d’autres membres du personnel du Client), et la correspondance connexe avec le Client (communications sur des éléments liés au compte, par exemple les mises à jour nécessaires) ; (ii) le respect de ses obligations légales ; (iii) le traitement des demandes d’assistance, des plaintes et des demandes de renseignements ; (iv) le traitement et le suivi des litiges et des réclamations en justice ; (v) la détection et la gestion des violations de la Politique sur l’utilisation acceptable et des Conditions d’utilisation des services de GoTo ; et (vi) la réalisation d’enquêtes sur les Incidents de sécurité et la protection de l’environnement du Service. Dans la mesure du possible, GoTo procédera à la pseudonymisation ou à l’agrégation des Données personnelles aux fins suivantes : (a) le maintien, le contrôle de la performance et l’amélioration du Service ; (b) l’établissement de rapports internes et financiers ainsi que de prévisions et de modèles de revenus et de planification (y compris concernant les stratégies de produits), et la planification de la capacité ; et (c) le recueil de commentaires sur ses Services. L’Entité contractante GoTo est le Responsable du traitement indépendant associé. Lorsque GoTo agit en qualité de Responsable du traitement indépendant, elle traite les Données personnelles conformément à sa Politique de confidentialité. GoTo peut engager des Sous-traitants de données pour l’aider à effectuer les tâches susmentionnées.
  • Si GoTo agit en tant que Sous-traitant de données. GoTo fournit, directement et par ses Sous-traitants ultérieurs, une gamme de solutions de communication et de collaboration unifiées par le cloud, d’engagement et d’assistance à la clientèle. La finalité et l’objet du Traitement de Données personnelles par GoTo, en tant que Sous-traitant de données, sont d’apporter des services au Client et d’assurer, de soutenir et d’exploiter la prestation des Services.

 

ANNEXE 2 : CONDITIONS DE TRANSFERT RÉGIONALES

Les dispositions ci-dessous s’appliquent dans la mesure où GoTo traite des Données personnelles soumises aux Lois de protection des données suivantes.

A. TRANSFERTS INTERNATIONAUX DE DONNÉES SELON LA LOI LGPD
1. Les conditions générales figurant dans la présente Annexe 2, Partie A, s’appliquent uniquement dans la mesure où les Données personnelles traitées par GoTo en vertu du présent Contrat sont soumises à la loi LGPD.
2. GoTo devra (a) assurer la prestation de ses Services conformément aux obligations expressément imposées par la loi LGPD à un Sous-traitant de données au profit d’un Responsable du traitement des données ; et (b) comme exigé par les Articles 33 à 36 de la loi LGPD, effectuer des Transferts restreints des Données personnelles sur la base des Clauses contractuelles types du Brésil.
3. Lorsque les CCT du Brésil s’appliquent, elles sont structurées de la manière suivante :
Dans les Clauses 4.1 à 4.8, l’Option B est incluse. La Clause 4.1 est complétée de la manière suivante :
a. Lorsque le Client est le Responsable du traitement et que GoTo est un Sous-traitant de données
i. La Clause 1.1 est complétée de la manière suivante :
Exportateur (Responsable du traitement)
Nom : voir le Contrat ou le Formulaire de commande
Qualification : voir le Contrat ou le Formulaire de commande
Adresse principale : voir le Contrat ou le Formulaire de commande
Adresse e-mail : voir le Contrat ou le Formulaire de commande
Contact pour la Personne concernée : voir le Contrat ou le Formulaire de commande
Autres informations : s.o.
ET
Importateur (Sous-traitant de données)
Nom : GoTo Technologies USA LLC, en son nom propre et en celui de ses Affiliés concernés
Qualification : 5984112 (DE)
Adresse principale : 333 Summer Street, 5th Floor, Boston, MA 02210
Adresse e-mail : privacy@goto.com
Contact pour la Personne concernée : s.o.
Autres informations : s.o.
ii. La Clause 2.1 est complétée de la manière suivante :
Finalité du transfert de données : permettre à GoTo de fournir des Services au Client dans le cadre du Contrat
Catégories de Données personnelles transférées : voir l’Annexe 1 (Description du Traitement)
Durée de conservation des données : voir les TOM pertinentes dans le Trust Center
Autres informations : s.o.
iii. Dans la Clause 3.1, l’Option B est incluse et complétée de la manière suivante :
Principales finalités du Transfert international de données : voir la Section 2.1.2 de l’ATD
Catégories de Données personnelles transférées : voir l’Annexe 1 (Description du Traitement)
Durée de conservation des données : la durée de conservation des données peut varier en fonction de la finalité spécifique, mais elle n’excède pas la durée nécessaire à la réalisation des objectifs commerciaux pour lesquels les données ont été collectées. Les Données personnelles traitées dans le cadre d’un contrat peuvent être conservées pendant la durée du contrat et, par la suite, pendant une durée raisonnable éventuellement requise par le règlement de revendications y afférentes ou autrement exigée par la loi.
Autres informations : voir l’Annexe 3 pour une liste actualisée des Sous-traitants ultérieurs. Les Parties acceptent de suivre la procédure de désignation de nouveaux Sous-traitants ultérieurs spécifiée dans la Section 4.8 de l’ATD. Ce processus est conçu pour répondre aux exigences des Clauses 3.1 et 18 des Clauses contractuelles types du Brésil et les mettre en œuvre.
iv. Dans les Clauses 4.1 et 4.2, l’Option A s’applique. La Clause 4.1 est complétée de la manière suivante :

4.1 Sans préjudice du devoir d’assistance mutuelle et des obligations générales des Parties, la Partie désignée ci-dessous est principalement responsable du respect des obligations suivantes énoncées dans les présentes Clauses :

a) Responsable de la publication du document prévu par la Clause 14 :

b) Responsable des réponses aux demandes des Personnes concernées visées à la Clause 15 :

c) Responsable de la notification des Incidents de sécurité prévue à la Clause 16 :
v. La Section III est complétée de la manière suivante : voir les TOM pertinentes dans le Trust Center.
vi. La Section IV est complétée de la manière suivante : les Parties conviennent que les dispositions relatives à la limitation de la responsabilité énoncées dans le Contrat prévalent sur la responsabilité respective des Parties l’une envers l’autre en vertu de la Clause 17 des présentes Clauses contractuelles types du Brésil.
b. Lorsque le Client est un Sous-traitant de données et que GoTo est un Sous-traitant ultérieur
i. La Clause 1.1 est complétée de la manière suivante :
Exportateur (Sous-traitant de données)
Nom : voir le Contrat ou le Formulaire de commande
Qualification : voir le Contrat ou le Formulaire de commande
Adresse principale : voir le Contrat ou le Formulaire de commande
Adresse e-mail : voir le Contrat ou le Formulaire de commande
Contact pour la Personne concernée : voir le Contrat ou le Formulaire de commande
Autres informations : s.o.
ET
Importateur (Sous-traitant de données)
Nom : GoTo Technologies USA LLC, en son nom propre et en celui de ses Affiliés concernés
Qualification : 5984112 (DE)
Adresse principale : 333 Summer Street, 5th Floor, Boston, MA 02210
Adresse e-mail : privacy@goto.com
Contact pour la Personne concernée : s.o.
Autres informations : s.o.
Nom : voir le Contrat ou le Formulaire de commande
ii. La Clause 2.1 est complétée de la manière suivante :
Finalité du transfert de données : permettre à GoTo de fournir des Services au Client dans le cadre du Contrat
Catégories de Données personnelles transférées : voir l’Annexe 1 (Description du Traitement)
Durée de conservation des données : voir les TOM pertinentes dans le Trust Center
Autres informations : s.o.
iii. Dans la Clause 3.1, l’Option B est incluse et complétée de la manière suivante :
Principales finalités du Transfert international de données : voir la Section 2.1.2 de l’ATD
Catégories de Données personnelles transférées : voir l’Annexe 1 (Description du Traitement)
Durée de conservation des données : la durée de conservation des données peut varier en fonction de la finalité spécifique, mais elle n’excède pas la durée nécessaire à la réalisation des objectifs commerciaux pour lesquels les données ont été collectées. Les Données personnelles traitées dans le cadre d’un contrat peuvent être conservées pendant la durée du contrat et, par la suite, pendant une durée raisonnable éventuellement requise par le règlement de revendications y afférentes ou autrement exigée par la loi.
Autres informations : voir l’Annexe 3 pour une liste actualisée des Sous-traitants ultérieurs. Les Parties acceptent de suivre la procédure de désignation de nouveaux Sous-traitants ultérieurs spécifiée dans la Section 4.8 de l’ATD. Ce processus est conçu pour répondre aux exigences des Clauses 3.1 et 18 des Clauses contractuelles types du Brésil et les mettre en œuvre.
iv. Dans les Clauses 4.1 à 4.8, l’Option B est incluse. La Clause 4.1 est complétée de la manière suivante :
4.1 Étant donné que, dans le cadre du Transfert international de données régi par les présentes Clauses, les deux Parties agissent exclusivement en tant que Sous-traitants de données, l’Exportateur déclare et garantit que le transfert est effectué avec l’autorisation du Responsable du traitement tiers et conformément à ses instructions écrites.
Identification du Responsable du traitement tiers : voir les coordonnées figurant dans les interactions du Client avec ses clients.

Nom :
Adresse postale :
Adresse e-mail :
Représentant légal :
Contact pour la Personne concernée :
Finalité du transfert de données :
Conditions du transfert :
Autres informations :
Informations sur le contrat associé :
v. La Section III est complétée de la manière suivante : voir les TOM pertinentes dans le Trust Center.
vi. La Section IV est complétée de la manière suivante :
a. Les Parties conviennent que les dispositions relatives à la limitation de la responsabilité énoncées dans le Contrat contrôlent la responsabilité respective des Parties l’une envers l’autre en vertu de la Clause 17 des présentes Clauses contractuelles types du Brésil.
b. Par sa signature du Contrat, l’Exportateur garantit qu’il a reçu l’autorisation d’exécuter les présentes Clauses contractuelles types du Brésil au nom et pour le compte du Responsable du traitement tiers. L’Exportateur doit signer tous les documents et prendre toutes les mesures raisonnablement demandées par GoTo pour démontrer son respect de cette disposition.
c. Lorsque le Client et le GoTo sont des Responsables du traitement indépendants
i. La Clause 1.1 est complétée de la manière suivante :
Exportateur (Responsable du traitement)
Nom : voir le Contrat ou le Formulaire de commande
Qualification : voir le Contrat ou le Formulaire de commande
Adresse principale : voir le Contrat ou le Formulaire de commande
Adresse e-mail : voir le Contrat ou le Formulaire de commande
Contact pour la Personne concernée : voir le Contrat ou le Formulaire de commande
Autres informations : s.o.
ET
Importateur (Responsable du traitement)
Nom : GoTo Technologies USA LLC, en son nom propre et en celui de ses Affiliés concernés
Qualification : 5984112 (DE)
Adresse principale : 333 Summer Street, 5th Floor, Boston, MA 02210
Adresse e-mail : privacy@goto.com
Contact pour la Personne concernée : privacy@goto.com
Autres informations : GoTo traite les Données personnelles dont elle est le Responsable du traitement conformément à sa politique de confidentialité, disponible à l’adresse https://www.goto.com/company/legal/privacy
ii. La Clause 2.1 est complétée de la manière suivante :
Finalité du transfert de données : voir la Section 2.1.2 de l’ATD.
Catégories de Données personnelles transférées : voir l’Annexe 1 (Description du Traitement)
Durée de conservation des données : voir les TOM pertinentes dans le Trust Center
Autres informations : s.o.
iii. Dans la Clause 3.1, l’Option B est incluse et complétée de la manière suivante :
Principales finalités du Transfert international de données : voir la Section 2.1.2 de l’ATD
Catégories de Données personnelles transférées : voir l’Annexe 1 (Description du Traitement)
Durée de conservation des données : la durée de conservation des données peut varier en fonction de la finalité spécifique, mais elle n’excède pas le délai nécessaire à la réalisation des objectifs commerciaux pour lesquels les données ont été collectées, ou nécessaire au respect de nos obligations légales, à la résolution des litiges et à l’exécution de nos contrats. Les Données personnelles traitées dans le cadre d’un contrat peuvent être conservées pendant la durée du contrat et, par la suite, pendant une durée raisonnable éventuellement requise par le règlement de revendications y afférentes ou autrement exigée par la loi. Dès lors que vos Données personnelles sont traitées à des fins d’intérêts légitimes ou de respect des obligations légales, elles sont supprimées lors de la réalisation ou de la disparition de l’objectif concerné.
Autres informations : s.o.
iv. Dans les Clauses 4.1 et 4.2, l’Option A s’applique. La Clause 4.1 est complétée de la manière suivante :

4.1 Sans préjudice du devoir d’assistance mutuelle et des obligations générales des Parties, la Partie désignée ci-dessous est principalement responsable du respect des obligations suivantes énoncées dans les présentes Clauses :

a) Responsable de la publication du document prévu par la Clause 14 :

b) Responsable des réponses aux demandes des Personnes concernées visées à la Clause 15 :

c) Responsable de la notification des Incidents de sécurité prévue à la Clause 16 :
v. Les Parties complètent la Section III de la manière suivante : voir les TOM pertinentes dans le Trust Center.
vi. Les parties complètent la Section IV de la manière suivante : les Parties conviennent que les dispositions relatives à la limitation de la responsabilité énoncées dans le Contrat prévalent sur la responsabilité respective des Parties l’une envers l’autre en vertu de la Clause 17 des présentes Clauses contractuelles types du Brésil.
d. CCT de l’UE. Après la Date d’entrée en vigueur, si l’ANPD approuve l’utilisation des CCT de l’UE en tant que mécanisme de transfert pour les Transferts restreints soumis à la loi LGPD, alors les CCT du Brésil seront supprimées dans leur intégralité et les CCT de l’UE s’appliqueront ; elles seront structurées de la manière indiquée dans la Partie B ci-dessous, et les modifications suivantes seront apportées : (a) toutes les références au « Règlement (UE) 2016/679 » figurant dans les Clauses contractuelles types de l’Union européenne seront interprétées comme des références à la loi LGPD ; (b) toutes les références à « l’UE », « l’Union » et « l’État membre » seront interprétées comme des références au Brésil ; et (c) toutes les références à « l’autorité de contrôle compétente » et aux « juridictions compétentes » seront interprétées respectivement comme des références à l’ANPD et aux « juridictions brésiliennes compétentes ».
B. TRANSFERTS INTERNATIONAUX DE DONNÉES SELON LE RGPD
1. Champ d’application de la Section. Les conditions générales figurant dans la présente Annexe 2, Partie B, s’appliquent uniquement dans la mesure où les Données personnelles traitées par GoTo en vertu du présent Contrat sont soumises au RGPD.
2. Conformité au RGPD. Chacune des Parties effectue ses activités de Traitement conformément aux exigences du RGPD qui lui sont applicables.
3. Cadre de protection des données entre l’UE et les États-Unis. Certaines entités de GoTo ont certifié leur conformité avec le Cadre de protection des données entre l’UE et les États-Unis. Les Transferts internationaux de données effectués de l’UE vers les États-Unis d’Amérique et couverts par le champ d’application de la certification de GoTo ont lieu conformément à ce Cadre.
4. Clauses contractuelles types de l’Union européenne. Dans la mesure où (a) les Transferts internationaux de données vers ou depuis l’UE ne sont pas soumis au Cadre de protection des données entre l’UE et les États-Unis et constituent par ailleurs un Transfert restreint, ou (b) les Transferts internationaux de données vers les États-Unis couverts par le Cadre de protection des données entre l’UE et les États-Unis deviennent des Transferts restreints, car (i) le Cadre de protection des données entre l’UE et les États-Unis est rendu invalide ultérieurement, ou (ii) la participation de GoTo au Cadre de protection des données entre l’UE et les États-Unis cesse pour quelque raison que ce soit, les CCT de l’UE s’appliqueront au Transfert international de données correspondant. Les CCT de l’UE sont intégrées au présent ATD par référence et sont structurées de la manière suivante :
a. Lorsque le Client est le Responsable du traitement des Données personnelles et que GoTo est un Sous-traitant de données :
i. Le Module deux (transfert de Responsable du traitement à Sous-traitant de données) s’applique et les Modules un, trois et quatre sont supprimés dans leur intégralité ;
ii. La Clause 7 est incluse ; dans la mesure, toutefois, où l’entité qui adhère aux CCT du côté du Client est un Affilié autorisé ;
iii. Dans la Clause 9, l’Option 2 s’applique (et les Parties utiliseront la procédure décrite dans la Section 4.8 de l’ATD pour remplir l’obligation de GoTo de fournir au Client les informations nécessaires à l’exercice de son droit d’opposition) ;
iv. Dans la Clause 11, l’option concernant le règlement des litiges indépendant est incluse. L’organe que GoTo met gratuitement à la disposition des Personnes concernées est TrustArc, une société tierce de protection de la vie privée qui peut être contactée à l’adresse suivante : https://feedback-form.truste.com/watchdog/request ;
v. Dans la Clause 17, l’Option 1 s’applique. Les CCT de l’UE sont régies par le droit de la République d’Irlande ;
vi. Dans la Clause 18(b), les litiges sont tranchés par les juridictions de la République d’Irlande ; et
vii. Les Annexes des CCT de l’UE sont complétées par les informations figurant dans l’Annexe 2-1, qui est intégrée au présent document par référence.
b. Lorsque le Client est un Sous-traitant de données pour les Données personnelles et que GoTo est un Sous-traitant ultérieur :
i. Le Module trois (transfert de Sous-traitant de données à Sous-traitant ultérieur) s’applique, et les Modules un, deux et quatre sont supprimés dans leur intégralité ;
ii. La Clause 7 est incluse ; dans la mesure, toutefois, où l’entité qui adhère aux CCT de l’UE du côté du Client est un Affilié autorisé ;
iii. Dans la Clause 9, l’Option 2 s’applique (comme indiqué dans la Section 5 du présent ATD) ;
iv. Dans la Clause 11, l’option concernant l’organe de règlement des litiges indépendant est incluse. L’organe que GoTo met gratuitement à la disposition des Personnes concernées est TrustArc, une société tierce de protection de la vie privée qui peut être contactée à l’adresse suivante : https://feedback-form.truste.com/watchdog/request ;
v. Dans la Clause 17, l’Option 1 s’applique, et les Clauses contractuelles types sont régies par le droit de la République d’Irlande ;
vi. (vi) Dans la Clause 18(b), les litiges sont tranchés par les juridictions de la République d’Irlande ; et
vii. Les Annexes des CCT de l’UE sont complétées par les informations figurant dans l’Annexe 2-1, qui est intégrée au présent document par référence.
c. Lorsque le Client et GoTo sont des Responsables du traitement des Données personnelles indépendants :
i. Le Module un (transfert de Responsable du traitement à Responsable du traitement) s’applique et les Modules deux, trois et quatre sont supprimés dans leur intégralité ;
ii. La Clause 7 est incluse ; dans la mesure, toutefois, où l’entité qui adhère aux CCT de l’UE du côté du Client est un Affilié ou un Affilié autorisé approuvé par GoTo ;
iii. La Clause 11 est incluse. L’organe de règlement des litiges indépendant facultatif que GoTo met gratuitement à la disposition des Personnes concernées est fourni par l’intermédiaire de TrustArc, une société tierce de protection de la vie privée qui peut être contactée à l’adresse suivante : https://feedback-form.truste.com/watchdog/request ;
iv. Dans la Clause 17, l’Option 1 s’applique. Les CCT de l’UE sont régies par le droit de la République d’Irlande ;
v. Dans la Clause 18(b), les litiges sont tranchés par les juridictions de la République d’Irlande ; et
vi. Les Annexes des CCT de l’UE sont complétées par les informations figurant dans l’Annexe 2-1, qui est intégrée au présent document par référence.
C. TRANSFERTS INTERNATIONAUX DE DONNÉES VERS ET DEPUIS LE ROYAUME-UNI
1. Champ d’application de la Section. Les conditions générales figurant dans la présente Annexe 2, Partie C, s’appliquent uniquement dans la mesure où les Données personnelles traitées par GoTo en vertu du présent Contrat sont soumises aux Lois de protection des données du Royaume-Uni.
2. Conformité avec les Lois de protection des données du Royaume-Uni. Chacune des Parties effectue ses activités de Traitement conformément aux exigences des Lois de protection des données du Royaume-Uni qui lui sont applicables.
3. Extension par le Royaume-Uni du Cadre de protection des données entre l’UE et les États-Unis. Certaines entités de GoTo ont certifié leur conformité avec l’Extension par le Royaume-Uni du Cadre de protection des données entre l’UE et les États-Unis. Les Transferts internationaux de données effectués du Royaume-Uni vers les États-Unis d’Amérique et couverts par le champ d’application de la certification de GoTo ont lieu conformément à ce Cadre.
4. Addendum du Royaume-Uni. Dans la mesure où (a) les Transferts internationaux de données vers ou depuis le Royaume-Uni ne sont pas soumis à l’Extension par le Royaume-Uni du Cadre de protection des données entre l’UE et les États-Unis et constituent par ailleurs un Transfert restreint, ou (b) les Transferts internationaux de données vers les États-Unis couverts par l’Extension par le Royaume-Uni du Cadre de protection des données entre l’UE et les États-Unis deviennent des Transferts restreints, car (i) l’Extension par le Royaume-Uni du Cadre de protection des données entre l’UE et les États-Unis est rendu invalide ultérieurement, ou (ii) la participation de GoTo à l’Extension par le Royaume-Uni du Cadre de protection des données entre l’UE et les États-Unis cesse pour quelque raison que ce soit, l’Addendum du Royaume-Uni s’appliquera au Transfert international de données correspondant. L’Addendum du Royaume-Uni est intégré au présent ATD par référence, et les tableaux sont complétés de la manière indiquée dans l’Annexe 2-2.
D. TRANSFERTS INTERNATIONAUX DE DONNÉES VERS ET DEPUIS LA SUISSE
1. Champ d’application de la Section. Les conditions générales figurant dans la présente Annexe 2, Partie D, s’appliquent uniquement dans la mesure où les Données personnelles traitées par GoTo en vertu du présent Contrat sont soumises à la FADP suisse.
2. Conformité avec la FADP suisse. Chacune des Parties effectue ses activités de Traitement conformément aux exigences de la FADP suisse qui lui sont applicables.
3. Cadre de protection des données entre la Suisse et les États-Unis. Certaines entités de GoTo ont certifié leur conformité avec le Cadre de protection des données entre la Suisse et les États-Unis. Les Transferts internationaux de données effectués de la Suisse vers les États-Unis d’Amérique et couverts par le champ d’application de la certification de GoTo ont lieu conformément à ce Cadre.
4. CCT de l’UE. Dans la mesure où (a) les Transferts internationaux de données vers ou depuis la Suisse ne sont pas soumis au Cadre de protection des données entre la Suisse et les États-Unis et constituent par ailleurs un Transfert restreint, ou (b) les Transferts internationaux de données vers les États-Unis couverts par le Cadre de protection des données entre la Suisse et les États-Unis deviennent des Transferts restreints, car (i) le Cadre de protection des données entre la Suisse et les États-Unis est rendu invalide ultérieurement, ou (ii) la participation de GoTo au Cadre de protection des données entre la Suisse et les États-Unis cesse pour quelque raison que ce soit, les Clauses contractuelles types de l’Union européenne complétées seront intégrées à cet ATD et s’appliqueront au Transfert international de données correspondant. Les Clauses contractuelles types de l’Union européenne seront structurées de la manière indiquée dans la Partie B ci-dessus, et les modifications suivantes seront apportées : (a) toutes les références au « Règlement (UE) 2016/679 » figurant dans les Clauses contractuelles types de l’Union européenne seront interprétées comme des références à la FADP suisse ; (b) toutes les références à « l’UE », « l’Union » et « l’État membre » seront interprétées comme des références à la Suisse ; et (c) toutes les références à « l’autorité de contrôle compétente » et aux « juridictions compétentes » seront interprétées respectivement comme des références au « Préposé fédéral suisse à la protection des données et à la transparence » et aux « juridictions suisses compétentes ».

 

ANNEXE 2-1 : ANNEXES AUX CCT DE L’UE

ANNEXE I (MODULES UN, DEUX ET TROIS)


A. LISTE DES PARTIES
Exportateur(s) de données :
1. Nom : voir la raison légale du Client figurant dans le Contrat ou le Formulaire de commande.
Adresse postale : voir l’adresse postale du Client figurant dans le Contrat ou le Formulaire de commande.
Coordonnées : contact principal du Client, poste et coordonnées mentionnées sur la documentation de la commande correspondante ou le Formulaire de commande, selon le cas.
Activités correspondant aux données transférées dans le cadre des Clauses contractuelles types : l’Exportateur de données a recours aux Services de l’Importateur de données dans les domaines de la communication et de la collaboration unifiées par le cloud, de l’engagement et de l’assistance à la clientèle.
Signature et date : les CCT de l’UE, y compris leurs Annexes, sont réputées signées lorsque l’Exportateur de données signe le Contrat ou le Formulaire de commande, selon le cas. La date de signature constitue la Date d’entrée en vigueur.
Rôle : le rôle de l’Exportateur de données est défini dans la Section 2 de l’ATD (Relation entre les Parties).

Importateur(s) de données :
1. Nom : GoTo Technologies USA LLC, en son nom propre et en celui des Affiliés de GoTo concernés
Adresse postale : c/o/ Legal Department, 333 Summer Street, 5th Floor, Boston, MA 02210
Coordonnées : privacy@goto.com.
Activités correspondant aux données transférées dans le cadre des Clauses contractuelles types : GoTo fournit une gamme de solutions de communication et de collaboration unifiées par le cloud, d’engagement et d’assistance à la clientèle. Les activités correspondant à la finalité et à l’objet du Traitement de Données personnelles par GoTo, en tant que Sous-traitant de données, visent à apporter des services au Client et à assurer, soutenir et exploiter la prestation des Services.
Signature et date : les CCT de l’UE, y compris leurs Annexes, sont réputées signées lorsque l’Importateur de données signe le Contrat ou le Formulaire de commande, selon le cas. La date de signature constitue la Date d’entrée en vigueur.
Rôle : le rôle de l’Importateur de données est défini dans la Section 2 de l’ATD (Relation entre les Parties).

B. DESCRIPTION DU TRANSFERT
Catégories de Personnes concernées dont les Données personnelles sont transférées : voir les TOM.
Catégories de Données personnelles transférées : voir les TOM pertinentes dans le Trust Center.
Données sensibles : voir les TOM pertinentes dans le Trust Center.
Fréquence du transfert : transfert continu pendant la durée du Contrat jusqu’à l’expiration de la durée de conservation.
Nature du traitement : voir les TOM pertinentes dans le Trust Center.
Finalité(s) du transfert et du traitement ultérieur des données : voir les TOM pertinentes dans le Trust Center.
Durée de conservation des Données personnelles : voir les TOM pertinentes dans le Trust Center.
Pour les transferts vers des Sous-traitants de données ou des Sous-traitants ultérieurs, l’objet, la nature et la durée du traitement sont indiqués dans la liste des Sous-traitants ultérieurs (voir la Section 4.8 et les Informations relatives aux Sous-traitants
ultérieurs applicables dans le Trust Center).

C. AUTORITÉ DE CONTRÔLE COMPÉTENTE (MODULES UN, DEUX ET TROIS)
Identification de la ou des Autorité(s) de contrôle compétente(s) : l’Autorité de contrôle compétente est le Préposé à la protection des données de la République d’Irlande.

ANNEXE II : MESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS LES MESURES TECHNIQUES ET ORGANISATIONNELLES VISANT À GARANTIR LA SÉCURITÉ DES DONNÉES (MODULES UN, DEUX ET TROIS)
Voir les TOM pertinentes dans le Trust Center. L’Importateur de données peut mettre à jour son document de sécurité en temps voulu, à condition que cela ne dégrade pas la sécurité ni la confidentialité des services.

ANNEXE III : LISTE DES SOUS-TRAITANTS ULTÉRIEURS (MODULES DEUX ET TROIS)
Voir les Informations relatives aux Sous-traitants ultérieurs dans le Trust Center.

 

ANNEXE 2-2 : Addendum du Royaume-Uni

Tableau 1

Date de début Date d’entrée en vigueur
Parties Exportateur (qui envoie le Transfert restreint) Importateur (qui reçoit le Transfert restreint)

Coordonnées des Parties

 




Contact principal

Raison sociale complète : voir le Contrat ou le Formulaire de commande
Nom commercial s’il est différent
Adresse principale : voir le Contrat ou le Formulaire de commande
Numéro d’immatriculation officiel


Nom complet (facultatif) : s.o.
Fonction : voir le Contrat ou le Formulaire de commande
Coordonnées, y compris l’adresse e-mail : voir le contrat ou le Formulaire de commande 		Raison sociale complète : GoTo Technologies USA, LLC, en son nom propre et en celui de ses Affiliés concernés
Nom commercial s’il est différent : s.o.
Adresse principale : 333 Summer Street, 5th Floor, Boston, MA 02210
Numéro d’immatriculation officiel : 5984112 (DE)
Nom complet (facultatif) : s.o.
Fonction : équipe Protection de la vie privée
Coordonnées, y compris l’adresse e-mail : privacy@goto.com
Signature (si elle est requise en vertu de la Section 2) La signature ou l’acceptation par le Client et par GoTo du Contrat ou de tout Formulaire de commande vaut signature et acceptation de l’Addendum du Royaume-Uni. La signature ou l’acceptation par le Client et par GoTo du Contrat ou de tout Formulaire de commande vaut signature et acceptation de l’Addendum du Royaume-Uni.

Tableau 2 : CCT sélectionnées, modules et clauses sélectionnées

Addendum des CCT de l’UE
Module Module utilisé Clause 7 (Clause d’adhésion) Clause 11 (Option) Clause 9(a) (Autorisation préalable ou Autorisation générale) Clause 9(a) (Délai) Les données personnelles reçues de l’Importateur sont-elles associées à des données personnelles collectées par l’Exportateur ?
1 Oui Oui Oui, l’organe de règlement des litiges indépendant facultatif que GoTo met gratuitement à la disposition des Personnes concernées est fourni par l’intermédiaire de TrustArc, une société tierce de protection de la vie privée qui peut être contactée à l’adresse suivante : https://feedback-form.truste.com/watchdog/request      
2 Oui Oui Oui, l’organe de règlement des litiges indépendant facultatif que GoTo met gratuitement à la disposition des Personnes concernées est fourni par l’intermédiaire de TrustArc, une société tierce de protection de la vie privée qui peut être contactée à l’adresse suivante : https://feedback-form.truste.com/watchdog/request Générale Voir l’ATD, Section 8.2  
3 Oui Oui Oui, l’organe de règlement des litiges indépendant facultatif que GoTo met gratuitement à la disposition des Personnes concernées est fourni par l’intermédiaire de TrustArc, une société tierce de protection de la vie privée qui peut être contactée à l’adresse suivante : https://feedback-form.truste.com/watchdog/request Générale Voir l’ATD, Section 8.2  
4 Non s.o. s.o.     s.o.

Tableau 3 : Informations en annexe
« Informations en annexe » désigne les informations qui doivent être fournies pour les modules sélectionnés, comme l’indique l’Appendice des CCT de l’UE approuvées (autres que les Parties), et qui, pour le présent Addendum, figurent dans les documents suivants :

Annexe 1A : Liste des Parties : Voir ci-dessus
Annexe 1B : Description du transfert : Voir l’Annexe 1 de l’ATD
Annexe II : Mesures techniques et organisationnelles, y compris les mesures techniques et organisationnelles visant à garantir la sécurité des données : Voir les TOM pertinentes dans le Trust Center
Annexe III : Liste des Sous-traitants ultérieurs (Modules 2 et 3 uniquement) : Voir les Informations relatives aux Sous-traitants ultérieurs dans le Trust Center

Tableau 4 : Résiliation du présent Addendum en cas de modification de l’Addendum approuvé

Résiliation du présent Addendum en cas de modification de l’Addendum approuvé Parties pouvant résilier le présent Addendum conformément à la Section 19 :