Addendum relatif au traitement des données

Dernière mise à jour : 21 mars 2023

Le présent Addendum relatif au traitement des données (« DPA ») entre vous, l'utilisateur, conjointement à toute entreprise ou entité commerciale que vous représentez le cas échéant (collectivement dénommés le « Client »), et la partie contractante de VistaPrint conformément à l'Accord (« VistaPrint ») est incorporé par référence aux conditions d'utilisation des différents services de VistaPrint et les complète en tant que partie intégrante, modifié périodiquement (collectivement dénommés l'« Accord »). Le présent DPA s'applique lorsque et dans la mesure où VistaPrint agit à titre de Sous-traitant ou Prestataire de services (le cas échéant) des Données à caractère personnel pour le compte du Client dans le cadre de l'Accord. Le présent DPA entrera en vigueur, remplacera et abrogera toutes les conditions relatives à leur objet applicables auparavant, à la Date d'entrée en vigueur de l'Accord, et demeurera en vigueur jusqu'à la résiliation de l'Accord.

1. DÉFINITIONS

«Pays approprié» désigne, le cas échéant; (i) lorsque le RGPD de l'UE s'applique, l'Espace économique européen (« EEE ») ou un pays ou territoire considéré comme assurant un niveau de protection adéquat par la Commission européenne ; (ii) lorsque le RGPD du Royaume-Uni s'applique, le Royaume-Uni ou un pays ou un territoire reconnu comme assurant une protection adéquate des données conformément à la Section 17A de la loi britannique sur la protection des données de 2018 telle que modifiée ou remplacée ; et (iii) lorsque la LPD suisse telle que modifiée ou remplacée s'applique, la Suisse ou un pays ou territoire hors de la Suisse qui a été reconnu comme assurant un niveau de protection adéquat par le Préposé fédéral à la protection des données et à la transparence.
L'« Objectif commercial » correspond à l'objectif restreint expressément indiqué dans l'Annexe I pour lequel VistaPrint reçoit et accède à des Données à caractère personnel.

Les «Lois relatives à la protection des données» correspondent à toutes les lois et réglementations relatives à la protection et à la confidentialité des données, si applicable à une partie, incluant, sans s'y limiter, le cas échéant, les lois de l'UE relatives à la protection des données, les lois américaines relatives à la protection des données et toute autre loi étatique ou nationale relative à la protection, la confidentialité ou la sécurité des données applicable à l'étendue des services, chacune telle que révisée, abrogée ou remplacé périodiquement.

Les «Données à caractère personnel des utilisateurs finaux» correspondent aux données à caractère personnel relatives aux visiteurs et utilisateurs de services aux clients traitées par VistaPrint au nom du Client pour la prestation de Services.

«Lois de l'UE sur la protection des données» désigne (i) le Règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données ou « RGPD de l'UE »), (ii) le RGPD tel qu'il a été incorporé dans le droit interne du Royaume-Uni en vertu de l'article 3 de la Loi de 2018 sur l'Union européenne (retrait) (le RGPD du Royaume-Uni) ; (iii) la loi fédérale suisse sur la protection des données du 19 juin 1992 et ses ordonnances correspondantes (« LPD ») ; (iv) la directive 2002/58/CE de l'UE sur la vie privée et les communications électroniques ; et (v) toute loi d’un État membre de l'UE ou toute loi britannique établie en vertu des points (i) à (iii) ; dans chaque cas tel(le) que modifié(e) ou remplacé(e) de temps à autre.

«Données à caractère personnel», «Personne concernée», «Traiter» ou «Traitement», «Responsable du traitement» et «Sous-traitant» ont le sens qui leur est donné dans les lois relatives à la protection des données en vigueur ou, s'ils n'y sont pas définis, le RGPD, et les termes «Commercial» et «Prestataire de services» ont le sens qui leur est donné dans le CCPA.

Les «Services» correspondent aux différents services fournis par VistaPrint au Client sur le site web, lorsque et dans la mesure où VistaPrint agit en tant que Sous-traitant ou Prestataire de services (le cas échéant) pour le compte du Client dans le cadre de l'Accord en question, incluant sans s'y limiter, l'Accord sur le programme AvantagePro et les Conditions générales de ProShop.

Les termes «Clauses contractuelles types» ou «CCT» désignent (i) lorsque le RGPD de l'UE et/ou la LPD suisse s'appliquent, les clauses contractuelles types de l'UE approuvées par la décision (UE) 2021/914 de la Commission européenne du 4 juin 2021 (« CCT de l'UE »); et (ii) dans le cas où le RGPD britannique s'applique, les CCT de l'UE, telles que modifiées par l'Addendum international concernant le transfert de données aux clauses contractuelles types de la Commission de l'UE, tel que publié par l'Information Commissioner's Office du Royaume-Uni (« Addendum pour le Royaume-Uni »), dans chaque cas, tels que modifiés ou remplacés de temps à autre. Les CCT de l'UE et l'Addendum pour le Royaume-Uni sont incorporés par référence et font partie intégrante du présent DPA.

«Sous-traitant ultérieur» désigne toute entité engagée par VistaPrint, notamment ses affiliés, pour l'aider à s'acquitter de ses obligations en vertu de l'Accord ou du présent DPA.

La «Gestion du transfert de risque» correspond aux garanties supplémentaires qui s'ajoutent aux garanties fournies par les CCT et l'Addendum du Royaume-Uni.

«Lois américaines sur la protection des données» désigne toutes les lois et réglementations applicables de toute juridiction des États-Unis en matière de confidentialité, de protection des données ou de sécurité des données (dans chaque cas, telles que modifiées ou remplacées de temps à autre), y compris, sans s'y limiter, le California Consumer Privacy Act, tel que modifié par le California Privacy Rights Act, ainsi que les règlements qui y sont promulgués (collectivement, le « CCPA »), le Virginia Consumer Data protection Act, le Colorado Privacy Rights Act, le Connecticut Data Privacy Act et le Utah Consumer Privacy Act.

D'autres termes clés utilisés mais non définis dans le présent DPA ont la signification qui leur est donnée dans l'Accord.

2. RÔLES ET CHAMP D’APPLICATION DU TRAITEMENT

2.1. Rôle des Parties. Les Parties conviennent que, eu égard au Traitement des données à caractère personnel des utilisateurs finaux dans le cadre du présent DPA, le Client agit en tant que Responsable du traitement des données ou Entreprise (le cas échéant) et VistaPrint agit en tant que Sous-traitant ou Prestataire de services (le cas échéant).

Le Client reconnaît que VistaPrint agit en tant que Responsable du traitement indépendant en ce qui concerne les Données à caractère personnel collectées directement depuis les clients ou visiteurs par le biais de ses applications et services orientés clients.

2.2. Champ d’application du traitement. Chaque partie doit respecter toutes les lois relatives à la protection des données en vigueur et ses obligations respectives dans le cadre de l'Accord ou du présent DPA en ce qui concerne le Traitement qu’il fait des données à caractère personnel des utilisateurs finaux comme décrit dans l'Annexe I. Sans limiter la portée de ce qui précède, VistaPrint doit fournir le même niveau de protection de la vie privée que celui exigé pour les Entreprises (telles que définies dans le CCPA) par le CCPA.

3. OBLIGATIONS DES PARTIES

3.1. Obligations des clients. En utilisant les Services fournis par VistaPrint :

(i) Le Client garantit et déclare avoir fourni un avis aux personnes concernées par les données, établi toutes les bases légales et obtenu tous les consentements nécessaires en vertu des lois relatives à la protection des données applicables à VistaPrint, et ses sous-traitants ultérieurs, pour traiter les données à caractère personnel des utilisateurs finaux en son nom et fournir les Services conformément à l'Accord, y compris au présent DPA.

(ii) Le Client est seul responsable de l'exactitude et de la qualité des données à caractère personnel des utilisateurs finaux fournies et de la légalité des moyens par lesquels le Client obtient, divulgue et traite les Données à caractère personnel des utilisateurs finaux. Le Client demeure seul responsable de son propre respect des lois relatives à la protection des données en vigueur en ce qui concerne toute collecte ou tout traitement de Données à caractère personnel sans lien avec les Services.

(iii) Le Client charge VistaPrint de traiter les données à caractère personnel des utilisateurs finaux pour son compte en vertu du présent DPA et doit veiller à ce que ses instructions respectent les lois relatives à la protection des données en vigueur. Le présent DPA et l'Accord constituent les instructions complètes et finales du Client à VistaPrint. Les instructions supplémentaires ne relevant pas de l'Accord ou du présent DPA doivent être convenues séparément par écrit, notamment en ce qui concerne tout frais supplémentaire devant être payé par le Client à VistaPrint pour l'exécution de telles instructions supplémentaires.

3.2. Obligations de VistaPrint. Concernant le Traitement des Données à caractère personnel des utilisateurs finaux, VistaPrint doit:

(i) traiter les Données à caractère personnel des utilisateurs finaux uniquement pour l'Objectif commercial et conformément aux instructions du Client, dans la mesure où les instructions sont compatibles avec l'Accord et le présent DPA ;

(ii) considérer les Données à caractère personnel des utilisateurs finaux comme des informations confidentielles et les Traiter uniquement dans la mesure et selon les modalités nécessaires pour exécuter ces obligations dans le cadre de l'Accord et aux fins spécifiées dans l'Annexe I ci-dessous. VistaPrint ne Traitera pas les Données à caractère personnel des utilisateurs finaux à toute autre fin, sauf si la loi l'impose à VistaPrint. En pareils cas, VistaPrint informera le Client par écrit de cette exigence légale avant le Traitement, sauf si la législation en question interdit de telles informations pour un motif d'intérêt public important ;

(iii) aider le Client à assurer le respect de ces obligations dans le cadre des lois relatives à la protection des données en vigueur, qui pourraient inclure, sans s'y limiter, l'exécution de toute analyse d'impact relative à la protection des données nécessaire ou une concertation ultérieure avec les autorités pertinentes chargées de la protection des données sur présentation d'une demande raisonnable de la part du Client ;

(iv) informer le Client si l'entreprise estime que les instructions de Traitement du Client enfreignent les lois relatives à la protection des données en vigueur. En pareils cas, VistaPrint se réserve le droit d'arrêter le Traitement des données à caractère personnel des utilisateurs finaux jusqu'à ce que le Client émette de nouvelles instructions, et VistaPrint ne sera pas tenu responsable envers le Client de toute incapacité à fournir les Services dans le cadre de l'Accord au cours de cette période ;

(v) veiller à ce que ses employés et Sous-traitants ultérieurs, qui ont accès aux Données à caractère personnel des utilisateurs finaux, soient soumis à des obligations pertinentes en matière de confidentialité ;

(vi) notifier au Client toute décision selon laquelle il ne serait plus en mesure de remplir ses obligations dans le cadre du présent DPA ou des lois relatives à la protection des données ;

(vii) informer rapidement le Client de toute demande présentée par toute personne concernée ou tout organe d'exécution en relation avec le Traitement des Données à caractère personnel des utilisateurs finaux afin que le Client puisse répondre à toute demande de cette nature ; et

(viii) fournir rapidement la coopération et l’assistance raisonnablement requises par le Client pour remplir ses obligations en vertu des lois relatives à la protection des données en relation avec les demandes des personnes concernées ou toute demande émanant d’un organisme gouvernemental de réglementation ou l'autorité de contrôle compétente.

Dans les limites autorisées par les lois relatives à la protection des données en vigueur, VistaPrint peut utiliser des données agrégées et anonymisées dérivées des Données à caractère personnel des utilisateurs finaux («Données anonymisées») en interne afin de fournir et d’améliorer la qualité des Services, à condition que de telles Données anonymisées ne constituent pas des Données à caractère personnel en vertu des lois relatives à la protection des données en vigueur.

3.3. Opérations de traitement interdites à VistaPrint. VistaPrint ne devra pas :

(i) vendre ou partager (conformément au CCPA) des Données à caractère personnel d'utilisateurs finaux ou conserver, utiliser ou divulguer les Données à caractère personnel des utilisateurs finaux à toute fin commerciale (conformément au CCPA) ou en dehors de sa relation commerciale directe avec le Client et sur la base d'une autorisation écrite préalable du Client uniquement ; et

(ii) fusionner ou combiner des Données à caractère personnel d'utilisateurs finaux avec ses propres données ou les données de tout tiers, autrement que dans la mesure strictement nécessaire pour exécuter les Services.

VistaPrint atteste comprendre et respecter les restrictions à l'utilisation des Données à caractère personnel des utilisateurs finaux dans le cadre des Services énoncés dans le présent DPA.

4. DROITS DE LA PERSONNE CONCERNÉE

Dans la mesure des capacités de VistaPrint, et conformément à la législation en vigueur, VistaPrint devra, en tenant compte de la nature du Traitement, fournir une aide raisonnable afin de permettre au Client de répondre à toute demande reçue des Personnes concernées pour exercer leurs droits en vertu des lois relatives à la protection des données en vigueur. Le Client devra assumer tous les coûts encourus par VistaPrint dans le cadre de la fourniture d'une telle assistance. Si une telle demande est adressée directement à VistaPrint, VistaPrint en informera le Client, sauf si la loi l'interdit à VistaPrint, et le Client sera seul responsable de la réponse à une telle demande. VistaPrint n'est pas responsable des informations fournies de bonne foi au Client sur la base de la présente Section.

5. SOUS-TRAITANTS ULTÉRIEURS

5.1. Autorisation générale. Par le présent DPA, le Client accord à VistaPrint une autorisation générale d'engager des Sous-traitants ultérieurs (y compris ses Affiliés) pour traiter les Données à caractère personnel des utilisateurs finaux dans le but de fournir les Services et de s'acquitter de ses obligations en vertu de l'Accord et du présent DPA. Sous réserve des dispositions de confidentialité de l'Accord et sur demande préalable du Client, VistaPrint mettra à la disposition du Client une liste des Sous-traitants ultérieurs engagés.

5.2. Obligations. VistaPrint devra imposer à ses Sous-traitants ultérieurs des obligations contractuelles sensiblement identiques à celles imposées à VistaPrint en vertu du présent DPA, dans la mesure applicable à la nature des services fournis par chaque Sous-traitant ultérieur.

5.3. Droit d'opposition à de nouveaux Sous-traitants ultérieurs. Au moment d’engager de nouveaux Sous-traitants ultérieurs, VistaPrint fournira dès que possible au Client une notification préalable, si et dans la mesure l’intervention de ces Sous-traitants ultérieurs est en lien avec la fourniture des Services applicables.

5.3.1. Le client peut s'opposer à la désignation ou au remplacement d'un Sous-Traitant par VistaPrint par écrit dans un délai de dix (10) jours ouvrables à compter de la réception de l'avis, sur la base de motifs raisonnables liés aux Lois sur la protection des données applicables. Dans ce cas, VistaPrint peut, à sa seule discrétion, choisir de déployer des efforts commerciaux raisonnables (mais n'est pas tenu de le faire) pour mettre à votre disposition une solution alternative afin d'éviter le Traitement des Données à caractère personnel des Utilisateurs finaux par le nouveau Sous-traitant ou le Sous-traitant remplaçant. Jusqu'à ce que VistaPrint prenne une décision concernant l'objection du client, VistaPrint peut être tenu de suspendre temporairement le Traitement des Données à caractère personnel de l'Utilisateur final concernées, y compris, si cela est nécessaire pour cette question, de suspendre ou de limiter l'accès au Compte du client ou de suspendre ou de limiter certaines fonctionnalités des Services offerts au client. Si VistaPrint est raisonnablement en mesure de fournir les Services au client conformément au Contrat sans utiliser le Sous-Traitant et décide à sa discrétion de le faire, alors le client n'aura aucun autre droit en vertu du présent article en ce qui concerne l'utilisation proposée du Sous-Traitant.

5.3.2. Si VistaPrint, à sa discrétion, exige l'utilisation du Sous-Traitement et n'est pas en mesure de satisfaire l'objection du client concernant l'utilisation proposée du Sous-Traitement nouveau ou de remplacement dans un délai de trente (30) jours à compter de la réception de votre objection motivée valable, le client peut alors résilier le Contrat applicable à compter de la date à laquelle VistaPrint commence à utiliser ce Sous-Traitement nouveau ou de remplacement uniquement en ce qui concerne les Services qui utiliseront le nouveau Sous-Traitement proposé pour le Traitement des Données à caractère personnel, en fournissant une notification écrite à VistaPrint. Cette résiliation sera sans préjudice des frais encourus par le client avant la résiliation des services concernés et le client n'aura aucune autre réclamation à l'encontre de VistaPrint en relation avec la résiliation des services concernés.

5.3.3. Si le client ne s'oppose pas par écrit à la désignation par VistaPrint d'un nouveau Sous-Traitant dans un délai de dix (10) jours ouvrables à compter de la réception de l'avis, le client convient qu'il sera réputé avoir consenti à ce nouveau Sous-Traitant.

5.4. Responsabilité. VistaPrint demeure responsable de toute violation du présent DPA causée par un acte ou une omission de ses Sous-Traitants, dans la même mesure où VistaPrint est responsable de la sienne, sauf disposition contraire de l'Accord.

6. TRANSFERTS DE DONNÉES INTERNATIONAUX

6.1. Généralités. Dans le cadre de la fourniture des Services, le Client autorise VistaPrint, ses Affiliés et ses Sous-traitants ultérieurs à stocker, traiter et transférer des Données à caractère personnel d'utilisateurs finaux partout dans le monde où VistaPrint, ses Affiliés ou Sous-traitants ultérieurs assurent des opérations de traitement de données. Lorsque des Données à caractère personnel de l'UE, du Royaume-Uni ou de la Suisse sont transférées en dehors de l'EEE, du Royaume-Uni ou de la Suisse, VistaPrint doit uniquement Traiter ou autoriser le Traitement des Données à caractère personnel de l'UE, du Royaume-Uni ou de la Suisse en dehors de l'EEE, du Royaume-Uni ou de la Suisse si l’une des conditions suivantes est remplie :

a) les Données à caractère personnel de l'UE, du Royaume-Uni ou de la Suisse sont transférées dans un Pays approprié ; ou

b) des Clauses contractuelles types et une Évaluation du risque de transfert sont établies entre VistaPrint et le Client et/ou entre VistaPrint et le Sous-traitant ultérieur, le cas échéant.

6.2. Transferts de données à caractère personnel dans l'UE. Dans la mesure où des Données à caractère personnel sont transférées à partir d'une juridiction de l'EEE pour laquelle le RGPD régit la nature internationale du transfert, les CCT de l'UE font partie du présent DPA et seront réputées complétées comme suit :

(i) les conditions du deuxième Module (Responsable du traitement à Sous-traitant) s'appliquent lorsque le Client est un Responsable du traitement et un exportateur de Données à caractère personnel et VistaPrint est un Sous-traitant et importateur de données en ce qui concerne ces Données à caractère personnel.

(ii) les conditions du troisième Module (Sous-traitant à Sous-traitant) s'appliquent lorsque Vistaprint est un Sous-traitant agissant pour le compte du Responsable du traitement et d’un exportateur de Données à caractère personnel et que le Sous-traitant ultérieur est un Sous-traitant et un importateur de données en ce qui concerne ces Données à caractère personnel.

(iii) la Clause 7 (a)-(c) s'applique ;

(iv) la Clause 9, Option 2 s'applique, et le délai de notification préalable pour les changements de Sous-traitants ultérieurs est en accord avec le processus de notification établi dans les dispositions du présent DPA relatives aux Sous-traitants ultérieurs.

(v) la Clause 11 ne s'applique pas ;

(vi) la Clause 17, Option 1 s'applique, et les CCT de l'UE sont régies par la loi spécifiée dans l'Accord, à condition que cette loi appartienne à un État membre de l'UE qui reconnaît les droits des tiers bénéficiaires, dans le cas contraire, la législation des Pays-Bas s'applique ;

(vii) La Clause 18 (b) précise que les différents doivent être résolus devant les tribunaux spécifiés dans l'Accord, sous réserve que ces tribunaux se trouvent dans un État membre de l'UE, autrement ces tribunaux seront ceux des Pays-Bas. Dans tous les cas, les Clauses 17 et 18 (b) devront être cohérentes en ce sens que le choix du for et de la juridiction revient au pays de la législation applicable ;

(viii) Les Annexes des CCT de l'UE doivent contenir les informations pertinentes présentes dans l'Annexe I, l'Annexe II et l'Annexe III de ce DPA ; et

(ix) Si et dans la mesure où les CCT de l'UE entrent en conflit avec toute disposition du présent DPA, les CCT de l'UE prévalent dans la mesure d'un tel conflit.

6.3. Transferts de données à caractère personnel au Royaume-Uni. Dans la mesure où des Données à caractère personnel du Royaume-Uni sont transférées, pour lesquelles, le RGPD du Royaume-Uni régit la nature du transfert international, les CCT de l'UE référencées dans la Section 6.2 s'appliquent avec l'Addendum pour le Royaume-Uni, et seront considérées comme complétées comme suit :

(i) Les tables 1 à 3 de la Partie 1 de l'Addendum pour le Royaume-Uni sont considérées comme complétées en utilisant les informations contenues dans les Annexes du présent DPA ;

(ii) la table 4 dans la Partie 2 de l'Addendum pour le Royaume-Uni sera considérée comme complétée en sélectionnant « importateur » ; et

(iii) tout conflit entre les CCT de l'UE et l'Addendum pour le Royaume-Uni devra être résolu conformément à la Section 10 et à la Section 11 de l'Addendum pour le Royaume-Uni.

6.4. Transferts de données à caractère personnel en Suisse. Dans la mesure où des Données à caractère personnel sont transférées depuis la Suisse d’une manière qui entraînerait des obligations en vertu de la loi fédérale sur la protection des données en Suisse (« LPD »), les CCT de l'UE s'appliquent à de tels transferts et sont réputées modifiées de manière à intégrer les références et définitions pertinentes qui feraient des CCT de l'UE un outil approprié pour de tels transferts en vertu de la LPD, incluant, sans s'y limiter, les éléments suivants :

(i) L’autorité de contrôle compétente dans l'Annexe I.C des CCT de l'UE en vertu de la Clause 13 est le Préposé fédéral à la protection des données et à la transparence en Suisse ;

(ii) La législation applicable pour les demandes contractuelles en vertu de la Clause 17 des CCT de l'UE est la législation suisse ou la législation d'un pays qui permet et accorde des droits en tant que tiers bénéficiaire ;

(iii) Le terme « État membre » utilisé dans les CCT de l'UE ne doit pas être interprété de façon à empêcher les Personnes concernées en Suisse d’intenter une action en justice pour défendre leurs droits dans leur lieu de résidence habituel (Suisse) conformément à la Clause 18(c) ; et

(iv) Les CCT de l'UE protègent également les données des entités juridiques jusqu'à l'entrée en vigueur de la LPD révisée.

6.5. Mesures supplémentaires. Dans la mesure où VistaPrint traite des Données à caractère personnel de Personnes concernées qui se trouvent dans l’EEE, au Royaume-Uni ou en Suisse ou qui sont soumises aux lois relatives à la protection des données applicables dans l'EEE, au Royaume-Uni ou en Suisse, VistaPrint a mis en œuvre une diversité de mesures supplémentaires concernant le transfert de telles Données à caractère personnel depuis ces juridictions. VistaPrint a procédé à une évaluation du risque de transfert, qui sera fournie au Client en cas de demande écrite envoyée par e-mail à l'adresse [email protected].

7. NOTIFICATION DE SÉCURITÉ DES DONNÉES ET DE VIOLATION DES DONNÉES

7.1. Mesures de sécurité. VistaPrint a mis en œuvre et conservera des mesures de sécurité techniques et organisationnelles appropriées afin de protéger les Données à caractère personnel des utilisateurs finaux contre un Traitement non autorisé et illicite et contre une perte ou une altération accidentelle (« Incident de sécurité »). VistaPrint a notamment mis en œuvre les mesures techniques et organisationnelles listées dans l'Annexe II.

7.2. Notification de violation des données. Dans le cas où VistaPrint prendrait conscience d'un incident de sécurité ayant un impact sur les Données à caractère personnel des utilisateurs finaux, VistaPrint prendra des mesures raisonnables afin d'en avertir le Client dans les meilleurs délais et devra :

(i) fournir au Client les informations concernant l'incident de sécurité dans la mesure où VistaPrint peut raisonnablement les divulguer au Client, en prenant en compte la nature des Services, les informations accessibles par VistaPrint, et toute restriction quant à la divulgation des informations par exemple en termes de confidentialité.

(ii) fournir, sur demande du Client, une assistance raisonnable afin de permettre au Client d'avertir les autorités compétentes ou les personnes concernées impactées conformément aux lois relatives à la protection des données en vigueur.

Les incidents de sécurité ne comprennent pas les tentatives ou activités infructueuses qui ne compromettent pas la sécurité des Données à caractère personnel des utilisateurs finaux. La notification d'un incident de sécurité par VistaPrint ou le fait d’y répondre ne constituent pas une reconnaissance de défaillance ou de responsabilité en relation avec ledit incident de sécurité.

8. AUDITS

8.1. Rapports d'audit. Sur demande écrite du Client, à des intervalles raisonnables (pas plus d'une fois par an) et sous réserve d’obligations en matière de confidentialité, VistaPrint fournira, le cas échéant, une copie des résumés d'audits tiers, des certifications et des rapports les plus récents de VistaPrint. Les parties conviennent que les droits d'audit du Client décrits dans les lois relatives à la protection des données en vigueur seront respectés par la fourniture de tels résumés et/ou rapports de la part de VistaPrint.

8.2. Audit de l’autorité de contrôle. Afin de se conformer aux lois relatives à la protection des données en vigueur, VistaPrint devra fournir au Client un accès raisonnable à sa documentation et à ses systèmes dans le cas d'un audit exigé par un organisme de réglementation gouvernemental ou une autorité de contrôle.

8.3. Informations confidentielles. Toute information fournie par VistaPrint en vertu de la présente Section 8 constitue une information confidentielle. VistaPrint ne sera pas tenu de divulguer tout secret commercial, notamment des algorithmes, le code source, des secrets industriels et des informations similaires.

9. SUPPRESSION DE DONNÉES

Les parties conviennent qu'en cas de résiliation du DPA ou de la demande écrite du Client, VistaPrint devra imposer à tout Sous-traitant ultérieur de détruire en toute sécurité toutes les Données à caractère personnel des utilisateurs finaux et toute copie de ces dernières dans les meilleurs délais conformément aux conditions de l'Accord et aux lois en vigueur. Nonobstant ce qui précède, VistaPrint pourra conserver tout ou partie des Données à caractère personnel des utilisateurs finaux divulguées si l'Accord, la législation ou la réglementation en vigueur (notamment les lois relatives à la protection des données en vigueur) l’exigent, sous réserve que de telles Données à caractère personnel des utilisateurs finaux demeurent protégées conformément aux conditions du présent DPA et des lois relatives à la protection des données en vigueur.

10. DIVERS

10.1. Hiérarchie. Dans le cas d'éventuelle incohérence ou d'éventuel conflit entre les dispositions du présent DPA et les dispositions de l'Accord, les dispositions du présent DPA prévalent dans la mesure où ce conflit est en lien avec le Traitement des Données à caractère personnel des utilisateurs finaux. En cas de conflit entre les Clauses contractuelles types (le cas échéant), le présent DPA ou l'Accord, les Causes contractuelles types prévalent.

10.2. Mises à jour du DPA. VistaPrint peut modifier le présent DPA si nécessaire de temps à autre et publiera la version la plus récente sur le site. Tout changement ou toute modification prendra effet à la publication. En continuant à utiliser les Services ou à y accéder après l'entrée en vigueur de toute modification, le Client accepte d'être lié par le DPA modifié.

10.3. Droit applicable. Le présent DPA sera régi par et interprété conformément à la loi applicable et aux dispositions de juridiction précisées dans l'Accord, sauf exigence contraire en vertu des lois relatives à la protection des données en vigueur.

10.4. Limitation de responsabilité. Toutes les activités dans le cadre de ce DPA (incluant sans s'y limiter le Traitement des Données à caractère personnel d'utilisateurs finaux) demeurent soumises aux limitations de responsabilité en vigueur définies dans l'Accord.

10.5 Contact. Toute question concernant le présent DPA devra être adressée au Délégué à la protection des données à l'adresse [email protected]. VistaPrint tentera de résoudre toute réclamation concernant l'utilisation des Données à caractère personnel des utilisateurs finaux conformément au présent DPA et à l'Accord.

ANNEXE I - DESCRIPTION DU TRAITEMENT/TRANSFERT

A. LISTE DES PARTIES

Exportateur(s) de données :

  • Nom: l'entité identifiée comme le « Client » ou le nom indiqué dans le compte du Client.
  • Adresse: l'adresse de facturation du Client indiquée dans le compte du Client.
  • Nom, fonction et coordonnées de l'interlocuteur: les coordonnées indiquées dans le compte du Client.
  • Les activités en rapport avec les données transférées en vertu de ces Clauses: Toute activité pertinente aux fins de la réception des Services fournis par VistaPrint en lien avec l'Accord.
  • Signature et date: En concluant le présent DPA, l'exportateur de données est réputé avoir signé les Clauses contractuelles types et les Annexes intégrées au présent à la Date d'entrée en vigueur du DPA.
  • Rôle (responsable du traitement/sous-traitant): Responsable du traitement

Importateur(s) de données:

  • Nom: la partie contractante de VistaPrint en vertu de l'Accord.
  • Adresse: l'adresse de la partie contractante de VistaPrint en vertu de l'Accord.
  • Nom, fonction et coordonnées de l'interlocuteur: [email protected].
  • Les activités en rapport avec les données transférées en vertu de ces Clauses: traitement des Données à caractère personnel en lien avec l'utilisation des Services de VistaPrint par le Client.
  • Signature et date: En concluant le présent DPA, l'importateur de données est réputé avoir signé les Clauses contractuelles types et les Annexes intégrées aux présentes à la Date d'entrée en vigueur du DPA.
  • Rôle (responsable du traitement/sous-traitant): Sous-traitant

B. DESCRIPTION DU TRANSFERT

Catégories de personnes concernées: les personnes concernées peuvent inclure, mais sans s'y limiter:

  • les utilisateurs finaux (qui sont des personnes physiques), tels que les clients existants et potentiels, ou les visiteurs, qui utilisent le service client.
  • les représentants clients, employés, candidats, agents, consultants, travailleurs indépendants, partenaires commerciaux, sous-traitants ultérieurs et/ou collaborateurs actuels, anciens ou potentiels (qui sont des personnes physiques).
  • les individus tiers avec lesquels le Client décide de collaborer via le Service.

Catégories de données à caractère personnel: Les Données à caractère personnel soumises selon la portée et la nature déterminées par le Responsable du traitement à sa seule discrétion.

Les données sensibles transférées (le cas échéant) et les restrictions et mesures appliquées: les parties ne prévoient pas le transfert de données sensibles.

Fréquence du transfert: base continue dépendant de l'utilisation des Services par le Client.

Nature du traitement: les résultats des Services en vertu de l'Accord.

Finalité(s) du transfert de données et traitement ultérieur: Nous pouvons utiliser vos Données à caractère personnel aux fins suivantes (et pour les tâches relatives à de telles fins), le tout conformément à l'Accord et d’une manière proportionnée à et respectant les Données à caractère personnel de vos utilisateurs finaux:

  • en vous fournissant les Services ;
  • en agissant sur vos instructions ;
  • en exécutant l'Accord et le présent DPA ;
  • en défendant nos droits ;
  • en prévenant, en étudiant et en diminuant les risques et incidents de sécurité en matière de données, les fraudes, les erreurs et/ou les activités illégales ou interdites ;
  • en respectant les lois et réglementations en vigueur

Période pendant laquelle les Données à caractère personnel seront conservées, ou, si cela n'est pas possible, les critères utilisés pour déterminer cette période: sauf indication contraire dans l'Accord, VistaPrint conservera les Données à caractère personnel jusqu'à résiliation de l'Accord et conformément à la Section 9 du DPA.

Pour les transferts aux sous-traitants (ultérieurs), indiquer également l'objet, la nature et la durée du traitement: les Sous-traitants ultérieurs Traiteront les Données à caractère personnel si nécessaire afin d'exécuter les Services en vertu de l'Accord et pour la durée de l'Accord, sauf accord écrit contraire.

C. AUTORITÉ DE CONTRÔLE COMPÉTENTE
Identifier les autorités de contrôle compétentes conformément à la Clause 13 : L'Autorité néerlandaise de protection des données, sauf indication contraire dans la Section 6 du DPA.

ANNEXE II - MESURES TECHNIQUES ET ORGANISATIONNELLES NOTAMMENT LES MESURES TECHNIQUES ET ORGANISATIONNELLES VISANT À GARANTIR LA SÉCURITÉ DES DONNÉES

VistaPrint entretient actuellement les mesures de sécurité techniques et organisationnelles suivantes pour la protection, la confidentialité et l'intégrité des Données à caractère personnel. Veuillez noter que VistaPrint peut modifier ces pratiques à sa discrétion. Toute modification effectuée ne diminuera pas de façon marquée la sécurité et la protection générales des Données à caractère personnel.

1- Empêcher les personnes non autorisées d’avoir accès aux systèmes avec lesquels les Données à caractère personnel sont traitées ou utilisées (contrôle d'accès physique) ; en particulier, en prenant les mesures suivantes :

  • Accès contrôlé pour les zones critiques ou sensibles
  • Journaux d'incidents
  • Systèmes automatisés de contrôle des accès
  • Lecteurs de carte d'identité ou de carte à puce
  • Formation de sensibilisation à la sécurité

2- Empêcher les systèmes de traitement des données d'être utilisés sans autorisation (contrôle d'accès logique) ; en particulier, en prenant les mesures suivantes :

  • Dispositifs de réseau tels que des systèmes de détection des intrusions, des routeurs et des pare-feu.
  • Connexion sécurisée avec un identifiant/mot de passe unique, incluant des exigences de complexité du mot de passe et une authentification multi-facteur si nécessaire.
  • Politique imposant le verrouillage des postes de travail sans surveillance. Mot de passe de l'économiseur d'écran mis en place de manière à assurer le verrouillage automatique du poste de travail en cas d’oubli de l'utilisateur.
  • Journalisation et analyse de l'utilisation du système.
  • Accès basé sur les rôles pour les systèmes critiques comprenant des Données à caractère personnel.
  • Processus pour les mises à jour système de routine pour les failles connues.
  • Chiffrement des disques durs d'ordinateurs portables.
  • Surveillance des failles de sécurité sur les systèmes critiques.
  • Déploiement et mise à jour des logiciels antivirus.
  • Dispositifs de réseau tels que des systèmes de détection des intrusions, des routeurs et des pare-feu.
  • Conformité avec la norme de sécurité des données de l'industrie des cartes de paiement.

3- Garantir que les personnes autorisées à utiliser un système peuvent uniquement avoir accès aux données pour lesquelles elles ont un droit d'accès, et veiller à ce que, au cours du Traitement ou de l'utilisation et après le stockage, les Données à caractère personnel ne puissent pas être lues, copiées, modifiées ou supprimées sans autorisation (contrôle d'accès aux données) ; en particulier, en prenant les mesures suivantes :

  • Dispositifs de réseau tels que des systèmes de détection des intrusions, des routeurs et des pare-feu.
  • Connexion sécurisée avec un identifiant/mot de passe unique, incluant des exigences de complexité du mot de passe et une authentification multi-facteur si nécessaire.
  • Journalisation et analyse de l'utilisation du système.
  • Accès basé sur les rôles pour les systèmes critiques comprenant des Données à caractère personnel.
  • Chiffrement des disques durs d'ordinateurs portables.
  • Déploiement et mise à jour des logiciels antivirus.
  • Conformité avec la norme de sécurité des données de l'industrie des cartes de paiement.

4- Garantir que les Données à caractère personnel ne peuvent pas être lues, copiées, modifiées ou supprimées sans autorisation lors de la transmission électronique, le transport ou le stockage en prenant les mesures suivantes :

  • Connexion sécurisée avec un identifiant/mot de passe unique, incluant des exigences de complexité du mot de passe et une authentification multi-facteur si nécessaire.
  • Protocoles de transmission sécurisés.
  • Journalisation et analyse de l'utilisation du système.
  • Accès basé sur les rôles pour les systèmes critiques comprenant des Données à caractère personnel.
  • Dispositifs de réseau tels que des systèmes de détection des intrusions, des routeurs et des pare-feu.
  • Déploiement d'un VPN.

5- Garantir que les Données à caractère personnel sont traitées uniquement en vertu de la politique de l'entreprise, en prenant les mesures suivantes :

  • Formation de sensibilisation à la sécurité et à la confidentialité obligatoire pour tous les employés.
  • Procédures d'embauche des employés qui nécessitent de remplir des formulaires de candidature détaillés pour les principaux employés avec accès aux Données à caractère personnel importantes et, dans le cas où la législation locale le permet.
  • Sélectionner consciencieusement le personnel et les fournisseurs de services appropriés.
  • Conclure des accords de traitement des données appropriés avec les sous-traitants ultérieurs, ces accords comprenant des mesures de sécurité techniques et organisationnelles appropriées.

6- Garantir que les Données à caractère personnel sont protégées contre les destructions ou pertes accidentelles (contrôle des disponibilités) ; en particulier, en prenant les mesures suivantes :

  • Tests réguliers de l'efficacité des mesures de sécurité.
  • Procédures de sauvegarde et systèmes de récupération.
  • Serveurs redondants dans un emplacement séparé.
  • Alimentation sans interruption et unité d'alimentation auxiliaire.
  • Stockage à distance.
  • Surveillance et contrôle du climat pour les serveurs.
  • Déploiement et mise à jour des logiciels antivirus.
  • Restauration après sinistre et plan d'urgence.

7- Veiller à ce que les données collectées pour des finalités ou des mandants différents puissent être traitées séparément (contrôle de la séparation), notamment en prenant les mesures suivantes :

  • Accès basé sur les rôles pour les systèmes critiques comprenant des Données à caractère personnel.
  • Séparation des données de test et des données réelles.
  • Conformité avec la norme de sécurité des données de l'industrie des cartes de paiement.

ANNEXE III - LISTE DES SOUS-TRAITANTS ULTÉRIEURS

Une liste des Sous-traitants ultérieurs que nous engageons, précisant la finalité de ce recours, est accessible par le Client sur demande.