Rapport de recherche sur l'état de la recherche sur site dans l'enseignement supérieur avec The Chronicle of Higher Education | Télécharger le rapport
Annexe A Démo
Rapport de recherche sur l'état de la recherche sur site dans l'enseignement supérieur avec The Chronicle of Higher Education | Télécharger le rapport
Barre de menu
Fermer

ADDENDUM RELATIF AU TRAITEMENT DES DONNÉES

(avec clauses contractuelles types)

Date de la dernière révision – 5 janvier 2023

Télécharger la version PDF

Cet addenda relatif au traitement des données (DPA) est conclu entre le Client et SearchStax, Inc., une société du Delaware (RechercheStax), et le Client, et est incorporé et régi par les termes du Contrat de services d'abonnement (Accord) entre les parties.

DÉFINITIONSTout terme en majuscules non défini dans le présent DPA aura la signification qui lui est donnée dans l'Accord (défini ci-dessous).

  • Filiale moyens toute entité qui contrôle, est contrôlée par ou est sous le contrôle commun d'une partie, directement ou indirectement. Aux fins de la présente définition, le terme « contrôle » désigne la propriété ou le contrôle direct ou indirect de plus de 501 TP3T des intérêts avec droit de vote d'une partie.
  • Accord désigne le contrat de services d'abonnement entre le client et SearchStax pour la fourniture des services.
  • CCPA moyens la loi californienne sur la protection de la vie privée des consommateurs de 2018, ainsi que ses règlements, et telle que modifiée.
  • Contrôleur moyens Client, l’entité qui détermine les finalités et les moyens du traitement des Données Personnelles.
  • Données client moyens données, qui peuvent inclure des données personnelles et les catégories de données soumises, stockées, envoyées ou reçues via les services par le client, ses sociétés affiliées ou les utilisateurs finaux.
  • Lois sur la protection des données moyens toutes les lois et réglementations applicables au traitement des données personnelles en vertu du contrat, y compris, mais sans s'y limiter, le RGPD de l'UE, le RGPD du Royaume-Uni, la loi britannique sur la protection des données de 2018, la FDPA, la CCPA, le règlement sur la confidentialité et les communications électroniques de 2003 (SI 2003/2426) tel que modifié, et toutes les autres lois applicables en matière de protection des données et de confidentialité en vigueur de temps à autre (telles qu'elles peuvent être applicables en fonction de l'emplacement du client, des personnes concernées et du traitement des données personnelles concernées).
  • Personne concernée moyens (i) la personne identifiée ou identifiable à laquelle se rapportent les Données Personnelles ; ou (ii) un « Consommateur » tel que ce terme est défini dans le CCPA.
  • DPA moyens cet addenda relatif au traitement des données et ses annexes.
  • EEE moyens l'Espace économique européen (à savoir l'UE, la Norvège, l'Islande et le Liechtenstein réunis).
  • UE RGPD moyens Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données).
  • FDPA moyens la loi fédérale suisse sur la protection des données du 19 juin 1992 (RS 235.1 ; LPD) telle que modifiée de temps à autre.
  • Clauses contractuelles types moyens (i) lorsque le RGPD de l'UE s'applique, les clauses contractuelles annexées à la décision d'exécution 2021/914 de la Commission européenne du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers et publiées à l'adresse https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32021D0914&from=FR (SCC de l'UE); (ii) lorsque le RGPD du Royaume-Uni applique des clauses types de protection des données adoptées conformément à l'article 46(2)(c) ou (d) du RGPD du Royaume-Uni (SCC du Royaume-Uni); et (iii) lorsque des données personnelles sont transférées de la Suisse vers l'extérieur de la Suisse ou de l'EEE, les CCT de l'UE telles que modifiées conformément aux directives de l'Autorité suisse de protection des données (SCC suisses).
  • Données personnelles moyens toute information relative à : (i) une personne physique identifiée ou identifiable et (ii) une entité juridique identifiée ou identifiable (lorsque ces informations sont protégées de la même manière que les données personnelles ou les informations personnellement identifiables en vertu des lois applicables sur la protection des données), qui sont fournies en tant que données client.
  • Processeur moyens SearchStax, l'entité qui traite les données personnelles pour le compte du responsable du traitement, y compris, le cas échéant, tout « fournisseur de services » tel que ce terme est défini par le CCPA.
  • Transfert restreint moyens: (i) lorsque le RGPD de l'UE s'applique, un transfert de Données Personnelles via les Services depuis l'EEE, soit directement, soit via un transfert ultérieur, vers tout pays ou destinataire en dehors de l'EEE non soumis à une détermination d'adéquation par la Commission européenne ; et (ii) lorsque le RGPD du Royaume-Uni s'applique, un transfert de Données Personnelles via les Services depuis le Royaume-Uni, soit directement, soit via un transfert ultérieur, vers tout pays ou destinataire en dehors du Royaume-Uni non basé sur des réglementations d'adéquation conformément à l'article 17A de la loi britannique sur la protection des données de 2018 ; et (iii) un transfert de Données Personnelles via les Services depuis la Suisse, soit directement, soit via un transfert ultérieur, vers tout pays ou destinataire en dehors de l'EEE et/ou de la Suisse non soumis à une détermination d'adéquation par la Commission européenne.
  • Sous-traitant moyens tout tiers (y compris les sociétés affiliées à SearchStax) engagé par SearchStax pour traiter les données personnelles en vertu du présent DPA dans le cadre de la fourniture des services au client.
  • Autorité de surveillance moyens un organisme de réglementation gouvernemental ou agréé par le gouvernement ayant une autorité juridique contraignante sur une partie.
  • Services moyens les services d'abonnement Web fournis par SearchStax au Client conformément au Contrat.

RGPD au Royaume-Uni désigne le RGPD de l'UE tel qu'il fait partie des lois du Royaume-Uni en vertu de l'article 3 de la loi de 2018 sur l'Union européenne (retrait).

1. OBJECTIF

  • SearchStax s'engage à fournir les Services au Client conformément aux termes du Contrat. Dans le cadre de la fourniture des Services, SearchStax traitera les Données Client pour le compte du Client. Ces Données Client peuvent inclure des Données Personnelles. SearchStax traitera et protégera ces Données Personnelles conformément aux termes du présent DPA et aux lois sur la protection des données.
  • Concernant les Données Client en vertu du présent DPA, les parties conviennent que le Client est le « responsable du traitement » et SearchStax le « sous-traitant ». Le Client s'engage à respecter ses obligations en tant que responsable du traitement et SearchStax à respecter ses obligations en tant que sous-traitant en vertu du DPA.
  • Lorsqu'un affilié client ou un client client est le responsable du traitement de certaines données client, le client déclare et garantit à SearchStax qu'il est autorisé à donner des instructions à SearchStax et à agir au nom de cet affilié client ou d'un client client en relation avec les données client conformément à l'accord et au présent DPA.

2. PORTÉE.

  • Lors de la fourniture des Services au Client conformément aux termes de l'Accord, SearchStax traitera les Données Personnelles de manière confidentielle et ne traitera les Données Personnelles qu'au nom du Client, et uniquement dans la mesure nécessaire pour fournir les Services et conformément aux instructions du Client telles que documentées dans l'Accord et le présent DPA.
  • SearchStax et le Client doivent prendre des mesures pour garantir que toute personne physique agissant sous l'autorité du Client ou de SearchStax qui a accès aux Données Personnelles ne traite pas les Données Personnelles sauf comme spécifié dans le présent DPA, sauf si les lois sur la protection des données l'exigent.

3. OBLIGATIONS FISCALES DE RECHERCHE.

  • SearchStax ne peut collecter, traiter ou utiliser des Données Personnelles que conformément au champ d'application du Contrat, du présent ATD et aux instructions du Client. Le présent ATD constitue les instructions complètes et définitives du Client à SearchStax concernant les Données Personnelles. Toute instruction supplémentaire hors du champ d'application du présent ATD (le cas échéant) nécessite un accord écrit préalable entre SearchStax et le Client, y compris un accord sur les éventuels frais supplémentaires payables par le Client à SearchStax pour l'exécution de ces instructions.
  • SearchStax veillera à ce que tous les employés, agents, dirigeants et sous-traitants impliqués dans le traitement des données personnelles : (i) soient conscients de la nature confidentielle des données personnelles et soient contractuellement tenus de préserver la confidentialité des données personnelles ; (ii) aient reçu une formation appropriée sur leurs responsabilités en tant que sous-traitant de données ; et (iii) soient liés par des conditions matériellement non moins restrictives que celles du présent DPA.
  • SearchStax doit maintenir des mesures de protection managériales, opérationnelles et techniques appropriées conçues pour préserver l'intégrité et la sécurité des données personnelles pendant qu'elles sont en sa possession et sous son contrôle en vertu des présentes, tout en tenant compte de l'état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques.
  • SearchStax doit maintenir des mesures appropriées pour garantir un niveau de sécurité adapté au risque, y compris, le cas échéant : (i) la pseudonymisation et le chiffrement des données personnelles ; (ii) la confidentialité, l’intégrité, la disponibilité et la résilience continues des systèmes et services de traitement ; (iii) la capacité à rétablir rapidement la disponibilité et l’accès aux données personnelles en cas d’incident physique ou technique ; (iv) un processus de test et d’évaluation réguliers de l’efficacité des mesures techniques et organisationnelles visant à garantir la sécurité du traitement. Pour garantir le niveau de sécurité approprié, SearchStax prend en compte les risques liés au traitement, notamment la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé aux données personnelles transmises, stockées ou traitées d’une autre manière, de manière accidentelle ou illicite, comme indiqué dans le Annexe 2.
  • Le Client accepte que, dans le cadre de la fourniture des Services, SearchStax puisse être amené à accéder aux Données Personnelles pour répondre à des problèmes techniques, répondre à des questions du Client, assurer la surveillance de la sécurité et garantir le bon fonctionnement des Services. Tout accès de SearchStax sera limité à ces fins et effectué par du personnel autorisé.
  • SearchStax doit informer rapidement le Client si, de l'avis de SearchStax, l'une des instructions concernant le traitement des Données Personnelles fournies par le Client enfreint les lois sur la protection des données.
  •  SearchStax aidera raisonnablement le Client à respecter son obligation de réaliser des évaluations d'impact sur la protection des données (DPIA), compte tenu de la nature du traitement et des informations dont dispose SearchStax.
  • Le client et SearchStax et, le cas échéant, leurs représentants, coopéreront, sur demande, avec une autorité de contrôle dans l'exécution de leurs obligations respectives en vertu du présent DPA et des lois sur la protection des données.
  • SearchStax ne peut pas (i) vendre des données personnelles ; (ii) conserver, utiliser ou divulguer des données personnelles à des fins commerciales autres que la fourniture des services conformément aux termes du Contrat ; ou (iii) conserver, utiliser ou divulguer des données personnelles en dehors du Contrat. SearchStax comprend ces restrictions.

4. OBLIGATIONS DU CLIENT

  • Le Client déclare et garantit, dans le cadre de son utilisation des Services, que : (i) il se conformera aux termes du Contrat, du présent ATD et des lois sur la protection des données, y compris toute exigence applicable en matière de notification et/ou d'obtention du consentement des Personnes Concernées pour le Traitement par SearchStax ; et (ii) il veillera à ce que son utilisation des Services ne porte pas atteinte aux droits des Personnes Concernées. Toutes les sociétés affiliées du Client qui utilisent les Services se conformeront aux obligations du Client énoncées dans le présent ATD.
  • Le client déclare et garantit qu'en tant qu'unique responsable de la qualité, de la légalité et de l'exactitude des données personnelles, il a obtenu toutes les autorisations et permissions nécessaires pour permettre à SearchStax, à ses sociétés affiliées et à ses sous-traitants d'exercer leurs droits ou de s'acquitter de leurs obligations en vertu du présent DPA.
  • Le client déclare et garantit que ses instructions sont conformes aux lois sur la protection des données.
  • Le Client doit informer SearchStax de toute notification ou demande (y compris toute notification, enquête, plainte ou requête) relative au traitement des Données Personnelles par SearchStax et en fournir une copie à SearchStax dans les 48 heures suivant sa réception. Les notifications doivent être adressées à : privacy@demo.searchstax.com.

5. NOTIFICATION DE VIOLATION DE SÉCURITÉ

  • SearchStax informera le Client sans délai injustifié après avoir pris connaissance (et en tout état de cause dans les 72 heures suivant la découverte) de toute destruction, perte, altération ou divulgation ou accès non autorisé accidentel ou illégal aux Données Personnelles du Client (Personnel Violation de données).
  • SearchStax prendra toutes les mesures commercialement raisonnables pour sécuriser les données personnelles, éliminer la violation de données et aider le Client à respecter ses obligations en vertu de la loi applicable. En cas de violation de données personnelles, l'équipe d'administration système et l'équipe de sécurité de SearchStax effectueront une évaluation des risques et élaboreront des stratégies appropriées conformément aux procédures de réponse aux incidents de SearchStax, notamment en contactant le point de contact principal (technique ou commercial) du Client ou le centre de sécurité.SOC) pour les informer de la situation et leur fournir des mises à jour sur l’état de la résolution.

6. AUDIT

  • SearchStax mettra à la disposition du Client toutes les informations raisonnablement nécessaires pour démontrer le respect de ses obligations de traitement et permettre et contribuer aux audits et inspections.
  • Tout audit réalisé en vertu du présent DPA consistera en l'examen des rapports, certificats et/ou extraits les plus récents, établis par un auditeur indépendant soumis à des clauses de confidentialité similaires à celles prévues dans le Contrat. Si le Client estime raisonnablement que ces clauses ne sont pas suffisantes, il pourra procéder à un audit plus approfondi : (i) à ses frais ; (ii) limité à des questions spécifiques au Client et convenu à l'avance ; (iii) réalisé pendant les heures d'ouverture de SearchStax et moyennant un préavis raisonnable d'au moins quatre semaines, sauf en cas de problème important identifiable ; et (iv) réalisé de manière à ne pas interférer avec les activités quotidiennes de SearchStax. Un tel audit doit être réalisé à distance, sauf si le Client et/ou son autorité de contrôle peuvent procéder à un audit sur site dans les locaux de SearchStax si la législation sur la protection des données l'exige. En aucun cas, aucun audit d'un sous-traitant ultérieur, hormis l'examen des rapports, certifications et documents mis à disposition par ce dernier, ne sera autorisé sans son consentement. La présente section ne modifie ni ne limite les droits d'audit du Client ; elle vise plutôt à clarifier les procédures relatives à tout audit.

7. PERSONNES CONCERNÉES

  • SearchStax doit, dans la mesure où la loi le permet, informer rapidement le Client si SearchStax reçoit une demande d'une Personne Concernée pour exercer le droit d'accès, le droit de rectification, la restriction du traitement, l'effacement, la portabilité des données, l'opposition au traitement (Demande de la personne concernée).
  • Compte tenu de la nature du traitement et des informations dont dispose SearchStax, SearchStax doit aider le Client en mettant en place des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour l'exécution de l'obligation du Client de répondre à une demande de la personne concernée en vertu des lois sur la protection des données.
  • Si le Client, dans le cadre de son utilisation des Services, n'est pas en mesure de répondre à une Demande d'une Personne Concernée, SearchStax doit, à sa demande et dans la mesure du possible, déployer des efforts commercialement raisonnables pour l'aider à répondre à cette Demande, dans la mesure où SearchStax y est légalement autorisée et où la réponse à cette Demande est requise par les lois sur la protection des données. Dans la mesure où la loi le permet, le Client est responsable de tous les coûts découlant de cette assistance fournie par SearchStax.

8. SOUS-TRAITANTS

  • Le Client accepte que : (i) les sociétés affiliées de SearchStax puissent être utilisées comme sous-traitants ; et (ii) SearchStax et ses sociétés affiliées puissent respectivement faire appel à des sous-traitants dans le cadre de la fourniture des Services. La liste actuelle des sous-traitants est disponible ici. Annexe 3. Le client autorise SearchStax à utiliser les sous-traitants énoncés dans Annexe 3.
  • Pendant la durée du présent DPA, SearchStax fournira au Client une notification préalable de 30 jours, par courrier électronique, de toute modification de la liste des sous-traitants avant d'autoriser tout nouveau sous-traitant ou sous-traitant de remplacement à traiter les données personnelles dans le cadre de la fourniture des services.
  • Le Client peut s'opposer au recours à un nouveau Sous-traitant ou à un Sous-traitant de remplacement en informant SearchStax par écrit dans les 10 jours ouvrables suivant la réception de la notification. Si le Client s'oppose à un nouveau Sous-traitant ou à un Sous-traitant de remplacement, et que cette objection n'est pas déraisonnable, il peut résilier le Contrat ou la commande applicable concernant les Services qui ne peuvent être fournis par SearchStax sans le recours à ce nouveau Sous-traitant ou à ce Sous-traitant de remplacement. SearchStax remboursera au Client les frais prépayés et non utilisés couvrant la durée restante de la commande applicable après la date d'effet de la résiliation pour les Services résiliés.
  • Tous les sous-traitants ultérieurs traitant des données personnelles doivent se conformer aux obligations applicables de SearchStax énoncées dans le présent ATD. SearchStax doit, avant que le sous-traitant ultérieur concerné n'effectue des activités de traitement de données personnelles : (i) désigner chaque sous-traitant ultérieur dans le cadre d'un contrat écrit contenant des obligations sensiblement identiques à celles de SearchStax énoncées dans le présent ATD, applicables par SearchStax ; et (ii) s'assurer que chaque sous-traitant ultérieur respecte toutes ces obligations.
  • Le Client accepte que SearchStax et ses Sous-traitants puissent effectuer des Transferts Restreints de Données Personnelles vers des pays hors EEE, Royaume-Uni ou Suisse, afin de fournir les Services au Client conformément au Contrat. SearchStax confirme que ces Sous-traitants (i) sont situés dans un pays ou territoire tiers reconnu par la Commission européenne ou une Autorité de Contrôle, selon le cas, comme offrant un niveau de protection adéquat ; ou (ii) ont conclu les Clauses Contractuelles Types applicables avec SearchStax ; ou (iii) disposent d'autres garanties appropriées légalement reconnues.

9. TRANSFERTS RESTREINTS.

  • Les parties conviennent que, lorsque le transfert de Données Personnelles du Client à SearchStax ou de SearchStax à un Sous-traitant est un Transfert Restreint, il sera soumis aux Clauses Contractuelles Types applicables.
  • Les parties conviennent que les CCT de l'UE s'appliquent aux transferts restreints en provenance de l'EEE. Les CCT de l'UE sont réputées conclues (et intégrées au présent ATD par référence) et complétées comme suit :
    • Module deux (du contrôleur au processeur) s'applique lorsque le client est un contrôleur des données client et que SearchStax traite les données client ;
      • Module trois (processeur à processeur) pommes où SearchStax est un processeur de données client et SearchStax utilise un sous-processeur pour traiter les données client ;
      • Module quatre (du processeur au contrôleur) ne s'applique pas;
      • dans Article 7 des SSC de l'UE, la clause d'amarrage facultative ne s'appliquera pas ;
      • dans L'article 9 des SSC de l'UE, option 2, s'applique, et le délai de notification des sous-traitants doit être celui indiqué à l'article 8.c. du présent DPA ;
      • dans Article 11 des SSC de l'UE, la langue facultative ne s'applique pas ;
      • dans Article 17 des SSC de l'UE, option 1 s'applique, les SCC de l'UE sont régies par le droit irlandais, et pour les SCC suisses, par le droit suisse ;
      • dans Clause 18(b) des SSC de l'UE, les litiges doivent être résolus par : les tribunaux d'Irlande pour les SCC de l'UE, et les tribunaux de Suisse pour les SCC suisses ;
      • L'annexe I des SCC de l'UE est réputée complétée avec les informations énoncées dans Annexe 1 du présent DPA ; et
      • L'annexe II des SCC de l'UE est réputée complétée par les informations énoncées dans Annexe 2 de ce DPA.
  • Les parties conviennent que les clauses contractuelles types de l'UE, telles que modifiées à la clause 9(b) ci-dessus, seront ajustées comme indiqué ci-dessous lorsque la FDPA s'applique à tout transfert restreint :
    • Le Préposé fédéral à la protection des données et à la transparence (FDPIC) sera la seule autorité de surveillance pour les transferts restreints exclusivement soumis à la FDPA ;
      • Les transferts restreints soumis à la fois à la FDPA et au RGPD de l'UE seront traités par l'autorité de surveillance de l'UE nommée dans Annexe 1 du présent DPA ;
      • Le terme « État membre » ne doit pas être interprété de manière à exclure les personnes concernées en Suisse de la possibilité de faire valoir leurs droits dans leur lieu de résidence habituelle (Suisse) conformément à la clause 18(c) des CCT de l'UE ;
      • Lorsque les transferts restreints sont exclusivement soumis à la FDPA, toutes les références au RGPD dans les clauses contractuelles types de l'UE doivent être comprises comme des références à la FDPA ;
      • Lorsque les transferts restreints sont soumis à la fois à la FDPA et au RGPD de l'UE, toutes les références au RGPD dans les clauses contractuelles types de l'UE doivent être comprises comme des références à la FDPA dans la mesure où les transferts restreints sont soumis à la FDPA ; et
      • Les CCS suisses protègent également les données personnelles des personnes morales jusqu'à l'entrée en vigueur de la LPD révisée.
  • Les parties conviennent que les SCC du Royaume-Uni s'appliquent aux transferts restreints en provenance du Royaume-Uni et que les SCC du Royaume-Uni sont réputées conclues (et incorporées dans le présent DPA par référence), complétées comme suit : (i) l'annexe 1 des SCC du Royaume-Uni est réputée complétée avec les informations énoncées dans Annexe 1 du présent DPA ; et (ii) l'annexe 2 des SCC du Royaume-Uni sont réputées complétées avec les informations énoncées dans Annexe 2 de ce DPA.
  • Si une disposition du présent DPA contredit une clause contractuelle type, les dispositions des clauses contractuelles types applicables prévalent sur le présent DPA.

10. RESPONSABILITÉ

  • Les parties conviennent que SearchStax est responsable de toute violation du présent DPA causée par les actes et omissions de ses sous-traitants dans la même mesure que SearchStax serait responsable s'il exécutait les services de chaque sous-traitant directement selon les termes du présent DPA.
  • Les parties conviennent que le Client est responsable de toute violation du présent DPA causée par les actes et omissions de ses sociétés affiliées et utilisateurs comme si ces actes et omissions avaient été commis par le Client lui-même.
  • Les limitations de responsabilité prévues dans l’Accord s’appliquent à toutes les réclamations liées ou découlant du présent DPA.

11. DURÉE ET RÉSILIATION

SearchStax traitera les données personnelles uniquement pendant la durée du présent Accord sur la protection des données. Cette durée coïncide avec la date d'entrée en vigueur du Contrat et prendra fin automatiquement à la fin du Contrat.

12. SUPPRESSION ET RESTITUTION DES DONNÉES PERSONNELLES.

  • SearchStax, sur demande écrite et au choix du Client, pourra : (i) mettre les Services à disposition du Client pour la restitution des Données Personnelles à l'expiration de la commande, dans les délais prévus à la section « Résiliation » du Contrat ; ou (ii) supprimer de manière sécurisée toutes les Données Personnelles. SearchStax supprimera de manière sécurisée toutes les Données Personnelles après ce délai, sauf si la loi applicable à SearchStax empêche leur destruction ; et, sur demande, fournira une attestation de suppression des Données Personnelles.
  • Lorsque des données personnelles sont conservées au-delà de la résiliation du présent DPA, elles doivent être traitées comme des informations confidentielles et ne seront plus traitées activement.

13. GÉNÉRALITÉS

  • Le présent ATD définit l'intégralité de l'accord entre les parties et remplace tous les accords et ententes antérieurs et contemporains relatifs à l'objet du présent ATD. Aucune modification ou renonciation à une disposition du présent ATD ne prend effet sans la signature des deux parties.
  • Si une disposition du présent ATD est invalide ou le devient, l'effet juridique des autres dispositions n'en sera pas affecté. La disposition valide est réputée avoir été convenue si elle se rapproche le plus de l'intention commerciale des parties et remplace la disposition invalide. Il en va de même pour toute omission.
  • En cas de conflit ou d'incohérence, l'ordre de priorité suivant s'applique : les clauses contractuelles types applicables, suivies de l'accord, puis du présent DPA, à condition que, Dans tous les cas, la clause de non-responsabilité et la limitation de responsabilité prévues dans le présent Contrat s'appliquent. Sous réserve des modifications apportées au présent ATD, le Contrat reste pleinement en vigueur.
  • Le client peut envoyer toute question ou préoccupation concernant le présent DPA à : privacy@demo.searchstax.com.

SearchStax, Inc.

101, boulevard Continental, bureau 210

El Segundo, CA 90245 États-Unis

Horaires ci-joints:

Annexe 1 – Liste des partis et Catégories de données

Annexe 2 – Mesures de sécurité techniques et organisationnelles

Annexe 3 – Liste des sous-traitants ultérieurs 

ANNEXE 1

Liste des parties, description du traitement et du transfert des données personnelles, autorité de contrôle compétente

MODULE DEUX : DU CONTRÔLEUR AU PROCESSEUR

A. LISTE DES PARTIES

Le contrôleur :

Entité responsable du traitement :Client
Adresse:Comme indiqué pour le Client dans le Contrat.
Nom, fonction et coordonnées de la personne à contacter :Tel que fourni par le Client dans son compte et utilisé à des fins de notification et de facturation.
Activités relatives aux données transférées en vertu des CCT :Utilisation des Services.
Signature et date :En concluant l'Accord, le Responsable du traitement est réputé avoir signé les SCC incorporées dans le présent DPA et y compris leurs annexes.
Rôle:Exportateur de données.
Nom du représentant (le cas échéant) :Tout représentant du Royaume-Uni ou de l'UE nommé dans la politique de confidentialité du responsable du traitement.

Le processeur :

Entité responsable du traitement :RechercheStax
Adresse:Comme indiqué pour SearchStax dans l'Accord.
Nom, fonction et coordonnées de la personne à contacter :Tel que fourni par SearchStax dans son compte et utilisé à des fins de notification et de facturation.
Activités relatives aux données transférées en vertu des CCT :La fourniture de solutions de cloud computing au Responsable du traitement en vertu desquelles le Sous-traitant traite les Données personnelles sur les instructions du Responsable du traitement conformément aux termes de l'Accord.
Signature et date :En concluant l'Accord, le Sous-traitant est réputé avoir signé les SCC, incorporées dans le présent DPA, y compris leurs annexes.
Rôle:Importateur de données.

B. DESCRIPTION DU TRAITEMENT ET DES TRANSFERTS

Catégories de personnes concernées :Clients du Responsable du traitement.
Catégories de données personnelles :Le Responsable du traitement peut soumettre des données personnelles aux Services, dont l'étendue est déterminée et contrôlée par lui. Les données personnelles comprennent, sans s'y limiter : 1. Prénom, deuxième prénom et nom (actuel et ancien) ; 2. Titre ; 3. Fonction ; 4. Employeur ; 5. Coordonnées personnelles et professionnelles (société, adresse e-mail, adresse physique, numéro de téléphone) ; 6. Données d'identité ; 7. Données de vie professionnelle ; 8. Données personnelles ; 9. Données de connexion ; 10. Données de localisation.  
Données sensibles :Aucune donnée sensible ne sera traitée ou transférée et ne pourra être contenue dans le contenu ou les pièces jointes des e-mails.  
La fréquence du traitement et du transfert (par exemple, si les données sont transférées de manière ponctuelle ou continue) :Sur une base continue pendant toute la durée de l’Accord.
Nature du traitement :SearchStax traite les données personnelles dans la mesure nécessaire à l'exécution des services en vertu du contrat, comme indiqué ultérieurement par le client conformément au présent DPA.
Finalité(s) du transfert de données et du traitement ultérieur :Les Données Personnelles sont transférées à des sous-traitants qui doivent traiter certaines Données Personnelles afin de fournir leurs services au Sous-traitant dans le cadre des Services fournis par le Sous-traitant au Responsable du traitement.
La période pendant laquelle les données personnelles seront conservées ou, si cela n'est pas possible, les critères utilisés pour déterminer cette période :Sauf accord contraire écrit, pendant toute la durée de l'Accord, sous réserve de l'article 11 du présent DPA.
Pour les transferts vers des (sous-)traitants, précisez également l'objet, la nature et la durée du traitement :La liste des sous-traitants figurant à l’annexe 3 présente les données personnelles traitées par chaque sous-traitant et les services fournis par chaque sous-traitant.

C. AUTORITÉ DE SURVEILLANCE COMPÉTENTE

Identifier la ou les autorités de contrôle compétentes (par exemple conformément à l'article 13 des SCC)Lorsque le RGPD de l'UE s'applique, l'Autorité de protection des données en Irlande. Lorsque le RGPD du Royaume-Uni s'applique, l'Information Commissioner's Office (ICO) du Royaume-Uni. Lorsque la LFPD s'applique, le Préposé fédéral à la protection des données et à la transparence (PFPDT) suisse.

MODULE TROIS : PROCESSEUR À PROCESSEUR

A. LISTE DES PARTIES

L'exportateur de données : est SearchStax.

Les importateurs de données : sont les sous-traitants nommés dans la liste des sous-traitants qui contient le nom, l'adresse, les coordonnées et les activités pertinentes pour les données transférées à chaque importateur de données.

B. DESCRIPTION DU TRAITEMENT ET DES TRANSFERTS

La liste des sous-traitants comprend les informations sur le traitement et les transferts de données personnelles, pour chaque importateur de données :

  • catégories de personnes concernées ;
  • catégories de données personnelles ;
  • la nature du traitement ; et
  • les finalités du traitement.

Les données personnelles sont traitées par chaque sous-traitant :

  • de façon continue;
  • dans la mesure nécessaire pour fournir les Services conformément à l'Accord et aux instructions de l'Exportateur de Données ; et
  • pendant la durée de l'Accord et sous réserve de l'article 11 du présent DPA.

C. AUTORITÉ DE SURVEILLANCE COMPÉTENTE

L'autorité de contrôle compétente de chaque sous-traitant est listée ci-dessous :

  • Lorsque le RGPD de l’UE s’applique, l’État membre dans lequel le sous-traitant a son représentant dans l’UE ;
  • Lorsque le RGPD britannique s'applique, le Bureau du Commissaire à l'information du Royaume-Uni (ICO) ; et
  • Lorsque la LPD s'applique, le Préposé fédéral à la protection des données et à la transparence (PFPDT).

ANNEXE 2

MESURES DE SÉCURITÉ TECHNIQUES ET ORGANISATIONNELLES

(Y compris les mesures techniques et organisationnelles visant à garantir la sécurité des données)

Vous trouverez ci-dessous une description des mesures techniques et organisationnelles mises en œuvre par le(s) Sous-traitant(s) / Importateur(s) de données (y compris toutes certifications pertinentes) pour garantir un niveau de sécurité approprié, compte tenu de la nature, de la portée, du contexte et de la finalité du traitement, ainsi que des risques pour les droits et libertés des personnes physiques.

Le cas échéant, la présente annexe 2 servira d’annexe II aux SCC.

MesureDescription
Mesures de sélection des employés avant l'embaucheLe sous-traitant effectue des vérifications d'antécédents pour tous les employés. L'offre d'emploi est conditionnée à la réussite de ces vérifications.
Mesures de formation des employés sur les risques liés à la sécurité de l'informationLe sous-traitant a mis en place des processus formels pour former ses employés aux meilleures pratiques de sécurité et pour évaluer leur compréhension des concepts.
Mesures visant à définir clairement les rôles et les responsabilités en matière de sécurité et de confidentialité des informationsLe processeur a défini des rôles pour la gouvernance et les opérations de sécurité et de confidentialité
Mesures d'évaluation des risques pertinents pour l'environnementLe sous-traitant a mis en œuvre des processus formels de gestion des risques liés à la sécurité de l'information, qui comprennent l'identification des risques inhérents, l'efficacité du contrôle et les risques résiduels dans l'environnement
Mesures pour le développement et la mise en œuvre sécurisés des logiciels et des systèmesLe processeur a mis en œuvre des procédures de développement de logiciels sécurisées qui incluent une conception sécurisée, un codage sécurisé et des tests de vulnérabilité.
Mesures de protection du code sourceLe processeur a mis en place des contrôles d’accès stricts pour les référentiels de code source, qui incluent la journalisation des événements de sécurité.
Mesures de cryptage des données personnellesLes données archivées du processeur sont cryptées au repos à l'aide du cryptage AES 256 bits et les données en transit sont protégées par Transport Layer Security (« TLS »).
Mesures visant à garantir la confidentialité, l'intégrité, la disponibilité et la résilience continues des systèmes et services de traitementL'accès aux données nécessaires à l'exécution d'une tâche spécifique est assuré au sein des systèmes et applications par un concept de rôles et d'autorisations correspondant. Conformément aux principes du « moindre privilège » et du « besoin d'en connaître », chaque rôle dispose uniquement des droits nécessaires à l'exécution de la tâche à accomplir par la personne concernée. Afin de maintenir le contrôle d'accès aux données, une technologie de cryptage de pointe est appliquée aux données personnelles elles-mêmes lorsque cela est jugé approprié pour protéger les données sensibles en fonction du risque.
Mesures visant à garantir la capacité de rétablir la disponibilité et l'accès aux données personnelles en temps opportun en cas d'incident physique ou techniqueLe processeur a mis en œuvre des processus de reprise après sinistre, qui incluent la mise en place d’une région de reprise après sinistre secondaire et le développement de procédures pour faciliter un basculement en cas de sinistre.
Processus permettant de tester, d'évaluer et d'apprécier régulièrement l'efficacité des mesures techniques et organisationnelles afin de garantir la sécurité du traitementLe processeur effectue des tests mensuels pour identifier les vulnérabilités de ses réseaux et applications. De plus, il réalise un test d'intrusion indépendant chaque année.
Mesures d'identification et d'autorisation des utilisateursL'accès à distance aux systèmes de traitement des données n'est possible qu'en utilisant l'identité et les serveurs de liaison fournis par le sous-traitant. Toutes les tentatives d'accès, réussies ou non, sont enregistrées et surveillées.
Mesures visant à garantir la sécurité physique des lieux où les données personnelles sont traitéesLe sous-traitant fait appel à un sous-traitant dont les installations hébergent des systèmes contenant des données personnelles. Ces installations sont protégées par des normes de sécurité physique de pointe, notamment des systèmes d'accès par badge et une vidéosurveillance 24h/24 et 7j/7.
Mesures visant à garantir la journalisation des événementsLes entrées du système sont enregistrées sous forme de fichiers journaux, ce qui permet de vérifier rétroactivement si et par qui des données personnelles ont été saisies, modifiées ou supprimées.
Mesures de surveillance des événements de sécuritéLe processeur a mis en œuvre des systèmes qui peuvent être utilisés pour surveiller les événements de sécurité dans l'environnement de traitement des données, ainsi que des mesures procédurales pour surveiller la sortie des systèmes de surveillance des événements de sécurité.
Mesures de réponse aux événements de sécuritéLe sous-traitant a mis en place des procédures pour répondre aux incidents de sécurité identifiés. Ces procédures comprennent l'atténuation des cybermenaces, la correction des incidents et, si nécessaire, la notification des clients, des autorités de régulation et des forces de l'ordre.
Mesures de gouvernance et de gestion internes de l'informatique et de la sécurité informatiqueExemple : Les employés sont tenus de collecter, traiter et utiliser les données personnelles uniquement dans le cadre et aux fins de leurs fonctions (par exemple, prestation de services). Sur le plan technique, la capacité multi-clients comprend la séparation des fonctions ainsi qu'une séparation appropriée des systèmes de test et de production. Les données personnelles du Responsable du traitement sont stockées d’une manière qui les sépare logiquement des autres données client.
Mesures de certification/assurance des processus et des produitsLe Sous-traitant utilise des centres de données tiers qui conservent des rapports d'attestation SOC 2 à jour. Il s'engage à ne pas utiliser de centres de données tiers qui ne détiennent pas les certifications et/ou attestations susmentionnées, ni d'autres certifications et/ou attestations sensiblement similaires ou équivalentes. De plus, le processeur maintient un rapport d’attestation SOC 2 à jour pour l’environnement de traitement des données.   Sur demande écrite du Responsable du traitement (au maximum une fois par période de 12 mois), le Sous-traitant doit fournir, dans un délai raisonnable, une copie des derniers rapports de certification et/ou d'attestation (dans la mesure où cela ne porte pas atteinte à la sécurité globale des Services). Tout rapport d'audit soumis au Responsable du traitement doit être traité comme une information confidentielle et soumis aux dispositions de confidentialité du Contrat entre les parties.

ANNEXE 3

LISTE DES SOUS-TRAITANTS

INFRASTRUCTURE:

Nous utilisons les sous-traitants suivants pour fournir notre environnement d'infrastructure cloud et le stockage de notre contenu client :

SOUS-TRAITANTEMPLACEMENT DE L'ENTREPRISE
Amazon Web Services, Inc.USA
Microsoft CorporationUSA
Google, Inc.USA

TRAITEMENT DU CONTENU CLIENT :

Nous collaborons avec divers sous-traitants qui surveillent, maintiennent et soutiennent les Services. Afin de fournir cette fonctionnalité, ces sous-traitants peuvent, mais pas nécessairement, avoir accès au Contenu Client :

NOM DE L'ENTREPRISEEMPLACEMENT DE L'ENTREPRISEBUT
PayPal, Inc.USATraitement des cartes de crédit
Zendesk, Inc.USAAdministration et support des comptes clients
Google, Inc.USACourriel, calendrier, produits de bureau
Salesforce.com, Inc.USAVentes et gestion de compte
HubSpot, Inc.USAAutomatisation du marketing
Le groupe Rocket Science,
LLC exerçant ses activités sous le nom de MailChimp		USAMarketing par e-mail
Xero LimitéeUSAComptabilité
Atlassian Pty Ltd.USASuivi des bugs
PagerDuty Inc.USASurveillance et alerte des services
Datadog, Inc.USASurveillance et alerte des services
Slack, Inc.USAOutil de support client
Dropbox, Inc.USAStockage de documents
Mixpanel, Inc.USAAdministration et support des comptes clients
ChurnZero, IncUSAOutil de réussite client
Lundi.comUSAOutil de collaboration

SOUS-TRAITANTS DU GROUPE SEARCHSTAX

NOM DE L'ENTREPRISEEMPLACEMENT
NOM DE L'ENTREPRISEEMPLACEMENT
SearchStax, Inc.USA
SearchStax India Pvt. Ltd.Inde
La société d'expérience de recherche
G2 Enterprise Search Reviews for SearchStax

Produits

Tarification

Ressources

Services

Ressources

Tarification

Entreprise

Planifier une démonstration
© 2025 SearchStax, Inc. Tous droits réservés. Conditions d'utilisation | politique de confidentialité
fr_CAFrançais du Canada
en_USEnglish fr_CAFrançais du Canada