Accord de Traitement de Données

Les termes utilisés dans le présent DPA ont la signification qui leur est donnée par le RGPD (Règlement (UE) 2016/679). En particulier :

• Données à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable.
• Responsable du traitement : le client qui détermine les finalités et les moyens du traitement.
• Sous-traitant : HummingDeck, qui traite les Données à caractère personnel pour le compte du Responsable du traitement.
• Sous-traitant ultérieur : tout tiers engagé par HummingDeck pour traiter des Données à caractère personnel, listé sur hummingdeck.com/sub-processors.
• Personne concernée : la personne physique à laquelle les Données à caractère personnel se rapportent, y compris les employés, les contacts du Responsable du traitement et les destinataires qui consultent des documents partagés via HummingDeck (« Consultants de Documents »).

HummingDeck agit en qualité de Sous-traitant pour le compte du Responsable du traitement pour l'ensemble des Données à caractère personnel traitées dans le cadre du service, notamment :

• Les titulaires de compte et les membres d'équipe que le Responsable du traitement ajoute à un espace de travail.
• Les contacts et prospects que le Responsable du traitement importe ou crée.
• Les Consultants de Documents qui ouvrent des liens partagés par le Responsable du traitement.
• Les événements d'engagement générés par les Consultants de Documents (pages vues, temps passé sur la page, visites répétées, localisation au niveau du pays, signaux dérivés de l'IP).

Le Responsable du traitement demeure responsable de la licéité du traitement, du choix de la base légale au titre de l'Article 6 du RGPD, ainsi que des droits des Personnes concernées.

Le Responsable du traitement déclare et garantit que :

• Il dispose d'une base légale valable au titre de l'Article 6 du RGPD pour le traitement qu'il demande à HummingDeck d'effectuer.
• Il a fourni toutes les informations requises aux Personnes concernées au titre des Articles 13 et 14 du RGPD, y compris en informant les Consultants de Documents du suivi d'engagement réalisé via les liens HummingDeck. Le Responsable du traitement est seul responsable de cette information, qu'elle soit communiquée via sa propre politique de confidentialité, l'e-mail ou le message accompagnant le lien de partage, ou tout autre canal approprié.
• Il ne donnera pas instruction à HummingDeck de traiter des Données à caractère personnel en violation du droit applicable en matière de protection des données.

Pour aider le Responsable du traitement à remplir son obligation d'information, HummingDeck met à disposition :

• Une politique de confidentialité publique sur hummingdeck.com/privacy décrivant ce qui est collecté auprès des Consultants de Documents et sur quelle base.
• Un texte type que le Responsable du traitement peut adopter ou adapter dans sa propre politique de confidentialité, disponible sur demande.
• Une liste publique des sous-traitants ultérieurs sur hummingdeck.com/sub-processors.

En qualité de Sous-traitant, HummingDeck s'engage à :

• Traiter les Données à caractère personnel uniquement sur instructions documentées du Responsable du traitement, y compris celles données via l'utilisation du service lui-même.
• S'assurer que les personnes autorisées à traiter les Données à caractère personnel sont soumises à une obligation de confidentialité.
• Mettre en œuvre des mesures techniques et organisationnelles de sécurité appropriées (Section 5).
• Engager des sous-traitants ultérieurs uniquement dans le cadre de contrats écrits imposant des obligations équivalentes en matière de protection des données, et notifier au Responsable du traitement les changements prévus conformément à la Section 6.
• Aider le Responsable du traitement, en tenant compte de la nature du traitement, à remplir ses obligations en matière de réponse aux demandes des Personnes concernées au titre du Chapitre III du RGPD.
• Aider le Responsable du traitement en matière de sécurité, de notification de violations, d'analyses d'impact relatives à la protection des données et de consultations préalables au titre des Articles 32 à 36 du RGPD.
• Notifier au Responsable du traitement, sans retard injustifié (et dans les 72 heures lorsque cela est possible), toute Violation de Données à caractère personnel affectant les données du Responsable du traitement, dès qu'il en a connaissance.
• Au choix du Responsable du traitement, supprimer ou restituer toutes les Données à caractère personnel à la fin du service, et supprimer les copies existantes, sauf si la conservation est exigée par la loi.
• Mettre à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect du présent DPA, et permettre des audits ou inspections par le Responsable du traitement ou un auditeur mandaté par celui-ci (sous réserve de la Section 7).

HummingDeck met en œuvre et maintient des mesures techniques et organisationnelles appropriées, notamment :

• Chiffrement des Données à caractère personnel en transit (TLS 1.2+) et au repos (chiffrement par défaut de Google Cloud Storage).
• Contrôles d'accès fondés sur le principe du moindre privilège, avec journalisation des accès administratifs.
• Authentification via Google Firebase avec gestion sécurisée des sessions.
• Systèmes de détection des bots et des abus afin de filtrer le trafic automatisé des analyses d'engagement.
• Procédures de sauvegarde et de reprise après sinistre.
• Revue régulière des pratiques de sécurité.

HummingDeck n'est pas actuellement certifié SOC 2. Les clients qui ont besoin d'une certification formelle peuvent contacter hello@hummingdeck.com pour obtenir le questionnaire de sécurité actuel et le calendrier prévu.

Le Responsable du traitement autorise HummingDeck à engager les sous-traitants ultérieurs listés sur hummingdeck.com/sub-processors. HummingDeck informera le Responsable du traitement au moins 30 jours à l'avance avant d'ajouter ou de remplacer un sous-traitant ultérieur traitant des Données à caractère personnel du Responsable du traitement, par les moyens suivants :

• Mise à jour de la liste publique des sous-traitants ultérieurs ; et
• Notification par e-mail au propriétaire de l'espace de travail si le changement affecte de manière importante le traitement.

Si le Responsable du traitement s'oppose de bonne foi à un nouveau sous-traitant ultérieur pour des motifs liés à la protection des données dans les 30 jours suivant la notification, les parties chercheront en bonne foi à résoudre la difficulté. À défaut d'accord, le Responsable du traitement pourra résilier la partie concernée du service de plein droit.

HummingDeck mettra à disposition, sur préavis raisonnable et au plus une fois par période de 12 mois (ou plus souvent si une autorité de contrôle l'exige) :

• Son registre actuel des activités de traitement (documentation au titre de l'Article 30).
• Des informations sur ses mesures de sécurité et toute évaluation par un tiers.
• La possibilité de réaliser un audit à distance (sur la base d'un questionnaire ou par visioconférence) aux frais du Responsable du traitement.

Les inspections sur site ne sont autorisées que lorsqu'elles sont exigées par la loi applicable ou par une décision contraignante d'une autorité de contrôle, sur préavis raisonnable et aux frais du Responsable du traitement.

Le Responsable du traitement reconnaît que certains sous-traitants ultérieurs sont situés en dehors de l'Espace économique européen, principalement aux États-Unis. Pour de tels transferts, HummingDeck s'appuie sur les Clauses Contractuelles Types de la Commission européenne (Module Deux, Responsable du traitement vers Sous-traitant) intégrées à ses contrats avec les sous-traitants ultérieurs concernés, complétées par les mesures techniques et organisationnelles décrites à la Section 5.

À la résiliation du service, le Responsable du traitement peut, dans un délai de 30 jours, demander un export structuré de ses données via l'application ou via le support. Passé ce délai de 30 jours, HummingDeck supprimera l'ensemble des Données à caractère personnel du Responsable du traitement de ses systèmes de production dans un délai supplémentaire de 30 jours, sauf lorsque la conservation est exigée par la loi (par exemple, les justificatifs de facturation). Les copies de sauvegarde sont conservées selon les calendriers de rotation de sauvegarde standard et écrasées en temps voulu.

La responsabilité de chaque partie au titre du présent DPA est soumise aux limitations de responsabilité prévues par le contrat principal conclu entre les parties.

En cas de conflit entre le présent DPA et le contrat principal (y compris les Conditions d'utilisation de HummingDeck), le présent DPA prévaut dans la mesure du conflit et uniquement en ce qui concerne le traitement des Données à caractère personnel.

HummingDeck peut mettre à jour le présent DPA de temps à autre afin de refléter les évolutions du droit applicable ou de ses pratiques de traitement. Les modifications importantes seront communiquées par e-mail au propriétaire de l'espace de travail au moins 30 jours avant leur prise d'effet. La poursuite de l'utilisation du service après la date d'effet vaut acceptation.

Toute question relative au présent DPA, toute demande d'une copie signée ou toute demande formelle d'une Personne concernée doit être adressée à hello@hummingdeck.com.