Annexe relative au Traitement des Données RingCentral

Avenant
Last Updated: October 15, 2019
 
This Data Processing Addendum ("DPA") is made by and between RingCentral and Customer (each a "party", together the "parties"), pursuant to the Agreement for the provision of the Services (as defined below) to Customer.
 
This DPA is supplemental to the Agreement and sets out the terms that apply when Personal Data is processed by RingCentral as a Processor on behalf of Customer for the Services listed in Annex B.
 
Capitalized terms used but not defined in this DPA have the same meanings as set out in the Agreement.
1.         Definitions
1.1.       For the purposes of this DPA:
    (a)    "Affiliate" means an entity that directly or indirectly controls, is controlled by or is under common control with an entity.
    (b)    "Agreement" means the main written or electronic agreement between Customer and RingCentral for the provision of any of the services set out at Annex B to Customer (each a "Service" and collectively the "Services").
    (c)    "Applicable Data Protection Laws" means all data protection and privacy laws applicable to the processing of Personal Data under this DPA, including, where applicable, EU and California Data Protection Laws.
    (d)    "EEA" means the European Economic Area, including the United Kingdom.
    (e)    "EU Data Protection Laws" means the applicable European data protection legislation, including, but not limited to, EU Regulation 2016/679 of the European Parliament and of the Council on the protection of natural persons with regard to the processing of Personal Data and on the free movement of such data (also known as the General Data Protection Regulation) (the “GDPR”), and any and all applicable national data protection laws, rules and regulations in the United Kingdom, including the Data Protection Act 2018, and the EEA, which may be adopted from time to time including the French Law No 78-17 of 6 January 1978 on information  technology, data files and civil liberties as last amended by the Ordonnance n° 2018-1125 of 12 December 2018. 
    (f)    “California Data Protection Laws” means all applicable privacy and data security-related legislation and regulations adopted by the State of California, including, but not limited to, the California Consumer Privacy Act ("CCPA") (when in force) and any implementing regulations promulgated thereunder.
    (g)   "Controller" shall mean the entity which, alone or jointly with others, determines the purposes and means of the processing of Personal Data.
    (h)   "Processor" shall mean an entity which processes Personal Data on behalf of the Controller.
    (i)    "Personal Data" means any information relating to an identified or identifiable natural person or household consisting of natural persons.
    (j)    “Sale” has the meaning set out in the CCPA, as and where the CCPA applies.  Disclosure of Personal Data to a Sub-processor pursuant to the terms of this DPA is expressly excluded from the definition of Sale.
    (k)   "Privacy Shield Framework" means the EU-US and Swiss-US Privacy Shield self-certification programs operated and administered by the U.S. Department of Commerce.
    (l)    "Privacy Shield Principles" means the Privacy Shield Framework Principles (as supplemented by the Supplemental Principles) contained in Annex II to the European Commission Decision C/2016/4176 of July 12, 2016 (as amended, superseded or replaced, as the case may be).
    (m)    "Security Incident" means any accidental or unlawful destruction, loss, alteration, unauthorised disclosure of or access to Personal Data.
    (n)    "Usage Data" means any data resulting from the Customer's use or operation of the Services, including, without limitation, traffic data, call detail records, metadata, log data, billing information, emails, customer authentication and audit logs, any data related to professional services, access logs, system logs, server logs. 
 
2.       Applicability of DPA
2.1            Applicability of DPA. This DPA will apply to the extent that RingCentral processes Personal Data on behalf of a Customer or Customer Affiliate as a Processor.
2.2           Usage Data. Notwithstanding anything to the contrary contained in this DPA, RingCentral is a Controller of Usage Data. To the extent that such Usage Data is collected or generated by RingCentral, such data may be used by RingCentral for purposes including regulatory compliance, network security, fraud detection and prevention, billing, internal analytics and other lawful purposes, but shall not be subject to Sale. For the avoidance of doubt, with the exception of this Section 2, this DPA will not apply to Usage Data.
 
3.       Roles and Responsibilities
3.1          Parties' Roles. As between the parties and for the purposes of this DPA, Customer shall be the Controller of the Personal Data that is processed by RingCentral under the Agreement as described in Annex A and RingCentral shall process the Personal Data as a Processor on Customer's behalf.
3.2         Obligations of the Customer. Customer undertakes to:
    (a)    Ensure that it may lawfully disclose the Personal Data to RingCentral for the purposes set out in the Agreement;
    (b)    Comply with Applicable Data Protection Laws in its use of the Services, and its own collection and processing of Personal Data (for the avoidance of doubt, Customer's instructions to RingCentral shall comply with Applicable Data Protection Laws and Customer shall have sole responsibility for the accuracy, quality and legality of the Personal Data and the means by which Customer acquired Personal Data); and
    (c)    Ensure that no special categories of data or sensitive data (as defined in the GDPR or Applicable Data Protection Laws), nor any Personal Data concerning children or minors is stored within the Services.
3.3         Purpose Limitation.
    (a)    Except where otherwise required by applicable law, RingCentral shall process the Personal Data (i) in accordance with Customer's documented instructions (which instructions are set out in the Agreement, this DPA and Customer's use of the Services in accordance with the applicable terms of use), (ii) for the purposes of providing the Services as further described in Annex A, and (iii) using means of processing that are reasonably necessary and proportionate to achieve provision of the Services.
    (b)    Any additional processing required by Customer outside of the scope of the Agreement will require prior written agreement between the parties, including an agreement on any additional fees that Customer may be required to pay.   
    (c)    For the avoidance of doubt, RingCentral shall not engage in the Sale of the Personal Data.
3.4         Confidentiality of Processing. RingCentral shall ensure that any person that it authorizes to process the Personal Data shall be subject to a duty of confidentiality (either a contractual or a statutory duty).
3.5         Security. RingCentral will maintain appropriate technical and organizational security measures to safeguard the security of Personal Data. RingCentral will maintain an information security and risk management programme based on commercial best practices to preserve the confidentiality, integrity and accessibility of Personal Data with administrative, technical and physical measures conforming to generally recognized industry standards and practices. RingCentral shall implement appropriate technical and organisational measures designed to protect the Personal Data from a Security Incident. 
3.6         Security Incidents. Upon becoming aware of a Security Incident, RingCentral shall notify Customer without undue delay at the contact information that Customer has provided in the Administrative Portal and shall provide such timely information as Customer may reasonably require, including to enable Customer to fulfil any data breach reporting obligations under Applicable Data Protection Laws.
3.7         Provision of Security Reports. RingCentral shall provide, upon Customer's request, copies of any relevant summaries of external security certifications or security audit reports necessary to verify RingCentral's compliance with this DPA.
3.8         Deletion or Return of Data. Upon termination or expiry of the Agreement, and upon written request, RingCentral shall, at Customer's election, either delete or return to Customer the Personal Data (including copies) in RingCentral's possession, save to the extent that RingCentral is required by applicable law to retain some or all of the Personal Data.
 
4.            GDPR Obligations
4.1            Applicability of Section. This Section 4 shall apply to the processing of Personal Data that is subject to the protection of the GDPR or the CCPA.
4.2            Sub-processors. Customer agrees that RingCentral may engage RingCentral Affiliates and third party sub-processors (collectively, "Sub-processors") to process the Personal Data on RingCentral's behalf. RingCentral shall impose on such Sub-processors data protection terms that protect the Personal Data to an equivalent standard provided for by this DPA and shall remain liable for any breach of the DPA caused by a Sub-processor. The Sub-processors engaged by RingCentral in respect of each of the Services at the time of the Agreement are noted on the RingCentral Sub-processor List available at https://www.ringcentral.com/legal/dpa-subprocessor-list.html.
4.3            Changes to Sub-processors. RingCentral may, by giving reasonable notice to the Customer, add or make changes to the Sub-processors. If the Customer objects to the appointment of an additional Sub-processor within 30 calendar days of such notice on reasonable grounds relating to the protection of the Personal Data, then the parties will discuss such concerns in with a view to achieving resolution. If such resolution cannot be reached, then RingCentral will either not appoint the Sub-processor or, if this is not possible, Customer will be entitled to suspend or terminate the affected RingCentral Service in accordance with the termination provisions of the Agreement. Notwithstanding the foregoing, in the event of an unforeseeable force majeure (such as a Sub-processor failure) that can provoke a degradation or interruption of the Service, RingCentral reserves the right to immediately change the failing Sub-processor in order to maintain or restore the standard conditions of Service. In this situation, the notification of Sub-processor change may be exceptionally sent after the change.
4.4           Cooperation and Data Subjects' Rights. Some of the RingCentral Services may provide direct technical means to enable Customer to fulfil its duties to respond to requests from data subjects under Applicable Data Protection Laws. For the avoidance of doubt, it is the Customer’s responsibility to respond to any data subject request. If Customer is unable to address the data subject's request through such technical means, or where such functionality is not available, RingCentral shall, taking into account the nature of the processing, provide reasonable assistance to Customer insofar as this is possible, to enable Customer to respond to such data subject requests. In the event that such request is made directly to RingCentral, RingCentral shall promptly inform the data subject to contact the Customer of the same. It is Customer’s sole responsibility to ensure that any account Administrator identified for Customer’s RingCentral account to manage and carry out data subject requests has appropriate authority to do so.
4.5            Data Protection Impact Assessments. RingCentral shall, to the extent required by EU Data Protection Laws, and upon Customer's request and at Customer’s expense, provide Customer with reasonable assistance with data protection impact assessments or prior consultations with data protection authorities that Customer is required to carry out under EU Data Protection Laws in relation to the scope of the Services to be provided by RingCentral pursuant to the Agreement.
4.6            International Transfers. RingCentral may transfer and process Personal Data anywhere in the world where RingCentral, its Affiliates or its Sub-processors maintain data processing operations.  To the extent that RingCentral processes (or causes to be processed) any Personal Data originating from the EEA in a country that has not been recognized by the European Commission as providing an adequate level of protection for Personal Data, RingCentral shall put in place such measures as are necessary to ensure the transfer is in compliance with EU Data Protection Laws, which may include reliance on RingCentral, Inc.'s self-certification to the Privacy Shield Framework and its compliance with the Privacy Shield Principles, the execution of standard contractual clauses approved by the European Commission, or the putting in place of any other valid transfer mechanism under EU Data Protection Laws.
4.7            Audits.
    (a)    While it is the parties' intention ordinarily to rely on the provision of the security reports at Section 3.7 above to verify RingCentral's compliance with this DPA, RingCentral shall permit the Customer (or its appointed third-party auditors) to carry out an audit of RingCentral's processing of Personal Data under the Agreement following a Security Incident suffered by RingCentral, or upon the instruction of a data protection authority. Customer must give RingCentral thirty (30) days prior notice of such intention to audit and such conduct will be at Customer’s own costs. Any such audit shall be subject to RingCentral's security and confidentiality terms and guidelines.
    (b)    Customer shall use its reasonable endeavours to ensure that the conduct of each audit does not unreasonably disrupt RingCentral's operations or delay the provision of the Services. RingCentral shall provide Customer (and its auditors and other advisers) with all reasonable cooperation, access and assistance in relation to each audit. The audit shall be conducted at RingCentral’s place of business during normal business hours and shall last no longer than two business days. 
    (c)    For the avoidance of doubt, RingCentral is not obligated to disclose to the Customer any documents or other material relating to RingCentral’s profitability, legally privileged documents or information, or documents that is commercially confidential or RingCentral is bound to maintain as confidential by written obligation to a third party or under applicable law or regulation. Audit results, including information and documentation disclosed or made available to Customer in the course of any such audit, will be deemed RingCentral’s Confidential Information.
 
5.              Miscellaneous
5.1            Except as amended by this DPA, the Agreement will remain in full force and effect.
5.2            If there is a conflict between the Agreement and this DPA, the terms of this DPA will control.
5.3            Any claims brought under this DPA shall be subject to the terms and conditions, including but not limited to, the exclusions and limitations set forth in the Agreement.
ANNEX A
 
DESCRIPTION OF THE DATA PROCESSING
I. RingCentral Office Plan Services
 
Nature and Purposes of Processing
RingCentral Office provides cloud-based communications and collaboration services for high-definition voice, video, SMS, messaging and collaboration, conferencing, online meetings, and fax (the “Services”).  As part of the Services, RingCentral processes the Personal Data of the individuals who participate in these communications, including the Customer's employees and authorized users and other third parties who are involved in communications taking place through the Customer's use of the Services.
RingCentral processes the Personal Data for the purposes of providing and maintaining the Services to which the Customer has subscribed, for the purposes of customer relationship management, and customer support.
 
Categories of Data Subjects
  • Customer's employees and authorized users who use the Services in connection with the business of the Customer.  
  • Any other third party individuals who are involved in or referred to in the content of communications or collaborations taking place through the Customer's use of the Services.
Type(s) of Personal Data Processed
The Personal Data transferred concerns the following categories of data:
  •  Identification information for Customer, contact information (address, telephone number (fixed and mobile), e-mail address, fax number), employment information (job title);
  • Identification information for anyone who uses the Services at the request of and in connection with the business of the Customer (including telephone number (fixed and mobile) and email address);
  • Any other Personal Data that the Customer, its authorized users or third parties involved in the communications choose to include in the content of the communications that are sent and received using the Services.
The Personal Data transferred to RingCentral for processing is determined and controlled by the Customer in its sole discretion. As such, RingCentral has no control over the nature, volume and sensitivity of Personal Data processed through its Services by the Customer or its users.
 
Special Categories of Data
RingCentral does not intentionally collect or process any special categories of data in the provision of its Services. Under the DPA, the Customer agrees not to provide special categories of data to RingCentral at any time.
 
Duration of Processing
The Personal Data will be processed for the term of the Agreement, or as otherwise required by law or agreed between the parties.
 
II. RingCentral Contact Center
 
Nature and Purposes of Processing
RingCentral Contact Center is an omni-channel customer communication management platform that unifies all customer-facing communication channels, including voice, email, SMS, website, mobile app, chat and social media communications, onto a single platform (the “Services”). As part of the Services, RingCentral processes the Personal Data of the individuals who participate in these communications, including the Customer's employees and authorized users and other third parties who are involved in communications taking place through the Customer's use of the Services.
RingCentral processes the Personal Data for the purposes of providing and maintaining the Services to which the Customer  has subscribed, including any ancillary or related Services under the scope of the Agreement, for the purposes of publishing content on public/private communications channels, customer relationship management, user management, and customer support.
 
Categories of Data Subjects
  • Customer's employees and authorized users who use the Services in connection with the business of the Customer. 
  • Any other third-party individuals who are involved in or referred to in the content of communications taking place or otherwise managed through the Services.
Types of Personal Data Processed
The Personal Data transferred can be classified in the following categories:
  • Identification information for Customer as well as End Users such as full name, gender, contact information (address, telephone number (fixed and mobile), e-mail address, fax number), employment information (job title) and company name;
  • Identification information for anyone who uses the Services at the request of and in connection with the business of the Customer (including telephone number (fixed and mobile) and email address);
  • Any other Personal Data that the Customer's users or individuals involved in the communications choose to include in the content of the communications that take place or are otherwise managed using the Services;
The Personal Data transferred to RingCentral for processing is determined and controlled by the Customer in its sole discretion. As such, RingCentral has no control over the nature, volume and sensitivity of Personal Data processed through its Services by the Customer or its users.
 
Special Categories of Data
RingCentral does not intentionally collect or process any special categories of data in the provision of its Services. Under the DPA, the Customer agrees not to provide special categories of data to RingCentral at any time.
 
III. RingCentral Engage Digital
 
Nature and Purposes of Processing
RingCentral Engage Digital is an omni-channel digital customer communication management platform that unifies all customer-facing communication channels, including email, SMS, website, mobile app, chat and social media communications, onto a single platform (the “Services”). RingCentral Engage Digital publishes authorized users’ content onto the public or private communication channels connected to their platform and synchronizes end user content from the same channels. RingCentral Engage Digital stores and displays Customer information and conversations history to the authorized users. Authorized users are identified, have accesses and permissions defined by authorized users with administrator roles and all their actions are logged into an application journal.
RingCentral processes the Personal Data for the purposes of providing and maintaining the Services to which the Customer has subscribed, including any ancillary or related Services under the scope of the Agreement, for the purposes of publishing content on public/private communications channels, customer relationship management, user management, and customer support.
 
Categories of Data Subjects
  • Customer's employees and authorized users who use the Services in connection with the business of the Customer. 
  • Any other third-party individuals who are involved in or referred to in the content of communications taking place or otherwise managed through the Services.
Types of Personal Data Processed
The Personal Data transferred can be classified in the following categories:
  • Identification information for Customer, full name, gender, contact information (address, telephone number (fixed and mobile), e-mail address, fax number), employment information (job title) and company name;
  • Identification information for anyone who uses the Services at the request of and in connection with the business of the Customer (including telephone number (fixed and mobile) and email address);
  • Content published on communication channels connected to the Services, including public information on social media channels connected to the Service;
  • Any other Personal Data that the Customer's users or individuals involved in the communications choose to include in the content of the communications that take place or are otherwise managed using the Services;
The Personal Data transferred to RingCentral for processing is determined and controlled by the Customer in its sole discretion. As such, RingCentral has no control over the nature, volume and sensitivity of Personal Data processed through its Services by the Customer or its users.
 
Special Categories of Data
RingCentral does not intentionally collect or process any special categories of data in the provision of its Services. Under the DPA, the Customer agrees not to provide special categories of data to RingCentral at any time.
 
Duration of Processing
The data retention duration (between 1 day and 2 years) is defined by the Customer, based on the Customer's needs and context, and can be configured on the Services by the Customer's Users or by RingCentral.
 
IV. RingCentral Engage Communities
 
Nature and Purposes of Processing
RingCentral Engage Communities is an online community management platform enabling community responses to customer service inquiries (the “Services”). Community administrators manage all different aspects of the platform regarding the registered community members: they can create, edit and give specific permissions and roles to the community members. The Community administrators also manage the community members’ contents creation, restriction, moderation, publishing, and edition.
RingCentral processes the Personal Data for the purposes of providing and maintaining the Services to which the Customer has subscribed, including any ancillary or related Services under the scope of the Agreement, for the purposes of the online platform management, customer relationship management, and customer support.
 
Categories of Data Subjects
  • Customer's employees or authorized users;
  • Any other third-party individuals who are contributors to the online sharing space.
Types of Personal Data Processed
The Personal Data transferred can be classified in the following categories:
  • Identification information of Customer's employees or authorized users or other third-party contributors, including name and e-mail address;
  • Content published on the online sharing space, including any public posts and private messages;
  • Any other Personal Data that the Customer's users or third-party contributors choose to include in content posted, sent or received using the Service.
 
Special Categories of Data
RingCentral does not intentionally collect or process any special categories of data in the provision of its Services. Under the DPA, the Customer agrees not to provide special categories of data, sensitive categories of data or data regarding minors to RingCentral at any time.
 
Duration of Processing
The data retention duration (between 1 day to 2 years since the last user action) is defined by the Customer, based on the Customer's needs and context, and can be configured on the Services. Content can also be deleted by administrators and moderators of RingCentral Engage Communities or by RingCentral.
ANNEX B
LIST OF RINGCENTRAL SERVICES COVERED BY DPA
  • RingCentral Office Plan Services
  • RC Contact Center
  • RingCentral Engage Digital
  • RingCentral Engage Communities
Dernière mise à jour: 15 Octobre 2019
 
La présente Annexe relative au Traitement des Données (l’ « ATD ») est conclue entre RingCentral et le Client (chacun une « partie », ensemble les « parties »), dans le cadre du Contrat de fourniture des Services (tels que définis ci-après) au Client.
 
La présente ATD complète le Contrat et énonce les conditions applicables lors du traitement des Données à Caractère Personnel par RingCentral en qualité de Sous-Traitant pour le compte du Client concernant les Services dont la liste figure en Sous-Annexe B.
 
Les termes employés avec une majuscule, mais non définis dans la présente ATD, ont la même signification que celle qui leur est attribuée au Contrat. 
1.            Définitions
1.1          Aux fins de la présente ATD :
    (a)    « Cadre du Privacy Shield » désigne les programmes d’autocertification du bouclier de protection des données UE-États-Unis et Suisse-États-Unis publiés et administrés par le ministère américain du commerce.
    (b)    « Contrat » désigne le contrat principal écrit ou électronique entre le Client et RingCentral portant sur la fourniture au Client de l’un quelconque des services décrits en Sous-Annexe B (chacun, un « Service » et, ensemble, les « Services »).
    (c)    « Données à Caractère Personnel » désigne toute information relative à une personne physique identifiée ou identifiable ou à un foyer composé de personnes physiques.
     (d)    « Données d’Utilisation » désigne les données issues de l’utilisation ou de l’exploitation des Services par le Client, y compris, notamment, les données de trafic, les registres détaillés des appels, les métadonnées, les données de journaux de connexion, les informations de facturation, les courriels, les journaux d’authentification et de vérification des Clients, toutes données relatives aux services professionnels, les journaux d’accès, les journaux de systèmes, les journaux de serveurs.
     (e)    « EEE » désigne l’Espace Economique Européen, y compris le Royaume-Uni.
     (f)    « Incident de Sécurité » désigne toute destruction, perte, altération ou divulgation non autorisée des Données à Caractère Personnel ou tout accès à celles-ci, de manière fortuite ou illicite.
     (g)    « Législation Applicable en matière de Protection des Données » désigne l’ensemble des lois sur la protection et la confidentialité des données applicables au traitement des Données à Caractère Personnel au titre de la présente ATD, y compris, le cas échéant, les Législations de l’UE et Californienne sur la Protection des Données.
     (h)    « Législation Californienne sur la Protection des Données » désigne l’ensemble de la législation et des règlementations applicables à la confidentialité et à la sécurité des données adoptées par l’État de Californie, y compris, notamment, la Loi californienne sur la vie privée du consommateur [California Consumer Privacy Act] (le « CCPA ») (à compter de son entrée en vigueur) et tout décret d'application promulgué à ce titre.
     (i)    « Législation de l’UE sur la Protection des Données » désigne la législation européenne sur la protection des données, y compris, notamment, le Règlement UE 2016/679 du Parlement européen et du Conseil sur la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (également désigné le Règlement Général sur la Protection des Données) (le « RGPD »), ainsi que l’ensemble des lois, règles et réglementations nationales applicables à la protection des données au Royaume-Uni, y compris le Data Protection Act de 2018, et dans l’EEE, qui pourraient être adoptées à tout moment, dont la Loi française n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, telle que modifiée en dernier lieu par l’Ordonnance n° 2018-1125 du 12 décembre 2018.
    (j)    « Principes du Privacy Shield » désigne les Principes du Privacy Shield (tels que complétés par les Principes Complémentaires) figurant en Annexe II à la Décision de la Commission Européenne C/2016/4176 du 12 juillet 2016 (telle qu’amendée, annulée ou remplacée, le cas échéant).
    (k)    « Responsable du Traitement » désigne la société qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des Données à Caractère Personnel.
    (l)    « Société Affiliée » désigne une entité qui, directement ou indirectement, contrôle une entité, est contrôlée par celle-ci ou est sous contrôle conjoint avec une entité.
    (m)    « Sous-Traitant » désigne la société qui traite les Données à Caractère Personnel pour le compte du Responsable du Traitement.
    (n)    « Vente » a la signification attribuée dans le CCPA, si et lorsque le CCPA s’applique. La divulgation des Données à Caractère Personnel à un Sous-Traitant Ultérieur au titre de la présente ATD est expressément exclue de la définition de Vente.
 
2.              Champ d'Application de l’ATD
2.1            Champ d'Application de l’ATD. La présente ATD s’appliquera dès lors que RingCentral traite des Données à Caractère Personnel pour le compte d’un Client ou d’une Société Affiliée au Client en qualité de Sous-Traitant.
2.2            Données d’Utilisation. Nonobstant toute disposition contraire dans la présente ATD, RingCentral est Responsable du Traitement des Données d’Utilisation. Dès lors que ces Données d’Utilisation sont collectées ou générées par RingCentral, ces données peuvent être utilisées par RingCentral pour certaines finalités, y compris la conformité réglementaire, la sécurité des réseaux, la détection et la prévention de la fraude, la facturation, les analyses internes et d’autres finalités conformes à la loi, mais ne feront pas l’objet d’une Vente. Pour éviter toute ambigüité, à l’exception du présent Article 2, l’ATD ne s’appliquera pas aux Données d’Utilisation.
 
3.              Rôles et responsabilités
3.1          Rôles des Parties. De convention expresse entre les parties et aux fins de la présente ATD, le Client sera le Responsable du Traitement des Données à Caractère Personnel qui sont traitées par RingCentral au titre du Contrat, tel que décrit en Sous-Annexe A et RingCentral traitera les Données à Caractère Personnel en qualité de Sous-Traitant pour le compte du Client.
3.2          Obligations du Client. Le Client est tenu de :
    (a)    S’assurer qu’il peut légalement divulguer les Données à Caractère Personnel à RingCentral pour les finalités prévues au Contrat ;
    (b)    Se conformer à la Législation Applicable en matière de Protection des Données dans le cadre de son utilisation des Services, sa propre collecte et son propre traitement des Données à Caractère Personnel (pour éviter toute ambigüité, les instructions du Client à RingCentral seront conformes à la Législation Applicable à la Protection des Données et le Client sera seul responsable de l’exactitude, la qualité et la légalité des Données à Caractère Personnel et des moyens par lesquels le Client a acquis les Données à Caractère Personnel) ; et
    (c)    Veiller à ce qu’aucune catégorie particulière de données ou de données sensibles (telles que définies par le RGPD ou la Législation Applicable en matière de Protection des Données), ni aucune Donnée à Caractère Personnel concernant des enfants ou mineurs ne soit conservée dans le cadre des Services.
3.3            Limitation des Finalités.
    (a)    Sauf disposition contraire prévue par le droit applicable, RingCentral traitera les Données à Caractère Personnel (i) conformément aux instructions documentées du Client (lesquelles sont énoncées au Contrat, dans la présente ATD et dans le cadre de l’utilisation par le Client des Services, conformément aux conditions générales d’utilisation applicables), (ii) aux fins de fournir les Services plus amplement décrits en Sous-Annexe A et (iii) en utilisant les moyens de traitement qui sont raisonnablement nécessaires et proportionnés pour garantir la prestation des Services.
    (b)    Tout traitement supplémentaire exigé par le Client en dehors du champ d’application du Contrat nécessitera un accord préalable écrit entre les parties, notamment un accord sur les frais supplémentaires dont le Client pourrait être redevable. 
    (c)    Pour éviter toute ambigüité, RingCentral ne procèdera pas à la Vente de Données à Caractère Personnel.
3.4            Confidentialité du Traitement. RingCentral veillera à ce que toute personne qu’elle autorise à traiter les Données à Caractère Personnel soit soumise à une obligation de confidentialité (de nature contractuelle ou réglementaire).
3.5            Sécurité. RingCentral maintiendra les mesures de sécurité techniques et organisationnelles appropriées pour garantir la sécurité des Données à Caractère Personnel. RingCentral maintiendra en place un programme de sécurité des informations et de gestion des risques, fondé sur les meilleures pratiques commerciales, afin de préserver la confidentialité, l’intégrité et l’accessibilité des Données à Caractère Personnel par des mesures administratives, techniques et physiques conformes aux normes et pratiques du secteur généralement reconnues. RingCentral mettra en œuvre les mesures techniques et organisationnelles utiles destinées à protéger les Données à Caractère Personnel contre un Incident de Sécurité.
3.6            Incidents de Sécurité. Dès qu’elle aura connaissance d’un Incident de Sécurité, RingCentral en informera le Client sans retard indu, aux coordonnées que le Client a renseignées sur le Portail d’Administrateur, et communiquera dans les meilleurs délais les informations que le Client pourra raisonnablement exiger, notamment pour permettre au Client de satisfaire à des obligations de rapport sur les violations de données, tel que prévu par la Législation Applicable en matière de Protection des Données.
3.7            Remise de Rapports de Sécurité. Sur demande du Client, RingCentral lui remettra copies des synthèses utiles des certifications externes de sécurité ou des rapports d’audit de sécurité nécessaires pour vérifier que RingCentral se conforme à la présente ATD.
3.8            Suppression ou Restitution de Données. À la résiliation ou à l’expiration du Contrat, et sur demande écrite, RingCentral s’engage, au choix du Client, à supprimer ou restituer à ce dernier les Données à Caractère Personnel (y compris toute copie) en la possession de RingCentral, sauf à ce que RingCentral soit contrainte par le droit applicable à conserver certaines ou l’ensemble des Données à Caractère Personnel.
 
4.            Obligations au titre du RGPD
4.1            Champ d'Application de l’Article. Le présent Article 4 s’appliquera aux traitements de Données à Caractère Personnel qui font l’objet de la protection garantie par le RGPD ou le CCPA.
4.2            Sous-Traitants Ultérieurs. Le Client reconnaît que RingCentral pourra désigner des Sociétés Affiliées de RingCentral et des Sous-Traitants Ultérieurs tiers (ensemble, les « Sous-Traitants Ultérieurs ») afin de traiter les Données à Caractère Personnel pour le compte de RingCentral. RingCentral imposera à ces Sous-Traitants Ultérieurs les clauses de protection des données qui protègent les Données à Caractère Personnel à un niveau équivalent à celui prévu par la présente ATD et demeurera responsable de toute violation de l’ATD causée par un Sous-Traitant Ultérieur. Les Sous-Traitants Ultérieurs désignés par RingCentral dans le cadre de chacun des Services à l’occasion du Contrat figurent dans la Liste de Sous-Traitants Ultérieurs RingCentral disponible sur https://www.ringcentral.com/legal/dpa-subprocessor-list.html.
4.3            Changements de Sous-Traitants Ultérieurs. RingCentral pourra, moyennant un préavis raisonnable remis au Client, ajouter des Sous-Traitants Ultérieurs ou en changer. Si le Client s’oppose à la désignation d’un Sous-Traitant Ultérieur supplémentaire dans les 30 jours civils suivant ce préavis, pour des motifs raisonnables liés à la protection des Données à Caractère Personnel, les parties discuteront de ces préoccupations dans le but de parvenir à une solution. À défaut de solution, RingCentral s’abstiendra de désigner ce Sous-Traitant Ultérieur ou, si cela s’avère impossible, le Client sera en droit de suspendre ou de résilier le Service RingCentral concerné, selon les modalités prévues par les clauses de résiliation du Contrat. Nonobstant ce qui précède, en cas de force majeure imprévisible (telle qu’une défaillance d’un Sous-Traitant Ultérieur) susceptible de donner lieu à une dégradation ou à une interruption du Service, RingCentral se réserve le droit de modifier immédiatement le Sous-Traitant Ultérieur défaillant afin de maintenir ou de rétablir des conditions de Service standard. Dans ce cas, la notification de changement de Sous-Traitant Ultérieur pourra exceptionnellement être adressée après ce changement.
4.4           Collaboration et Droits des Personnes Concernées. Certains des Services de RingCentral peuvent fournir des moyens techniques directs permettant au Client de remplir ses fonctions et de répondre aux demandes de personnes concernées au regard de la Législation Applicable en matière de Protection des Données. Pour éviter toute ambigüité, il incombe au Client de répondre à toute demande d’une personne concernée. Si le Client n’est pas en mesure de traiter la demande d’une personne concernée par ces moyens techniques, ou si cette fonctionnalité n’est pas disponible, RingCentral s’engage, au regard de la nature du traitement, à apporter au Client une assistance raisonnable, dans la mesure du possible, pour permettre audit Client de répondre aux demandes de cette personne concernée. Dans l’hypothèse où cette demande serait directement formulée à RingCentral, RingCentral informera dans les plus brefs délais la personne concernée qu’il convient de contacter le Client à ce sujet. Il incombe exclusivement au Client de veiller à ce que tout Administrateur de compte identifié pour le compte RingCentral du Client aux fins de gérer et prendre en charge les demandes de toute personne concernée dispose des pouvoirs nécessaires à cet effet.
4.5            Analyses d’Impact Relatives à la Protection des Données. RingCentral s’engage, en cas d’exigence imposée par la Législation de l’UE sur la Protection des Données, et sur demande et aux frais du Client, à apporter à ce dernier une assistance raisonnable en matière d’analyses d’impact relatives à la protection des données ou de consultations préalables des autorités de protection des données que le Client est tenu de réaliser en application de la Législation de l’UE sur la Protection des Données dans le cadre des Services à fournir par RingCentral au titre du Contrat.
4.6            Transferts internationaux. RingCentral pourra transférer et traiter des Données à Caractère Personnel en toute partie du monde où RingCentral, ses Sociétés Affiliées ou ses Sous-Traitants Ultérieurs exercent des activités de traitement de données. Dès lors que RingCentral traite (ou fait traiter) des Données à Caractère Personnel en provenance de l’EEE dans un pays qui n’a pas été reconnu par la Commission Européenne comme garantissant un niveau de protection adapté aux Données à Caractère Personnel, RingCentral mettra en place les mesures nécessaires pour garantir la conformité de ce transfert avec la Législation de l’UE sur la Protection des Données, à savoir, notamment le fait d’invoquer l’autocertification de RingCentral, Inc. dans le Cadre du Privacy Shield et sa conformité avec les Principes du Privacy Shield, la signature de clauses contractuelles types approuvées par la Commission Européenne, ou encore la mise en place de tout autre mécanisme de transfert valable au regard de la Législation de l’UE sur la Protection des Données.
4.7            Audits.
    (a)    Bien que les parties aient pour intention, de manière générale, de se fonder sur la remise des rapports de sécurité prévus à l’Article 3.7 ci-avant pour vérifier que RingCentral se conforme à la présente ATD, RingCentral autorisera le Client (ou ses auditeurs tiers mandatés à cet effet) à procéder à un audit du traitement par RingCentral des Données à Caractère Personnel objet du Contrat, à la suite d’un Incident de Sécurité subi par RingCentral, ou sur instruction d’une autorité de protection des données. Le Client devra informer RingCentral de cet audit envisagé avec un préavis de (30) jours et celui-ci sera à la charge du Client. Cet audit  sera soumis aux règles et consignes de sécurité et confidentialité de RingCentral.
    (b)    Le Client mettra tout en œuvre pour veiller à ce que la conduite de chaque audit ne perturbe pas déraisonnablement les activités de RingCentral ni ne retarde la prestation des Services. RingCentral fournira au Client (et à ses auditeurs et autres conseillers) toute la coopération et l’assistance raisonnable et un accès dans le cadre de cet audit. Celle-ci se déroulera dans les locaux commerciaux de RingCentral, aux heures normales de bureau et ce, sur une durée maximale de deux jours ouvrés.
    (c)    Pour éviter toute ambigüité, RingCentral n’est pas tenue de divulguer au Client des documents ou autres contenus relatifs à la rentabilité de RingCentral, des documents ou informations soumis au secret professionnel des avocats ou des documents qui sont soumis au secret des affaires ou dont RingCentral est tenue de préserver la confidentialité au titre d’un accord écrit au bénéfice d’un tiers ou d’une disposition légale ou réglementaire applicable. Les résultats de l'audit , y compris les informations et documents divulgués ou mis à la disposition du Client dans le cadre de cet audit, seront réputés correspondre à des Informations Confidentielles de RingCentral.
 
5.              Divers
5.1            À l’exception des modifications apportées par la présente ATD, le Contrat demeure, dans son intégralité, de plein effet.
5.2            En cas d’incohérence entre le Contrat et l’ATD, les présentes feront foi.
5.3          Toute réclamation formulée sur le fondement de la présente ATD sera soumise aux clauses et conditions stipulées au Contrat, y compris notamment, les exclusions et limitations énoncées dans celui-ci.
SOUS-ANNEXE A
 
DESCRIPTION DU TRAITEMENT DES DONNÉES
I. Services RingCentral Office Plan
 
Nature et Finalités du Traitement
RingCentral Office fournit des services de communications cloud et de collaboration destinés aux réunions par téléphonie en son haute définition, vidéo, SMS, messagerie et les réunions de collaboration, en conférence et en ligne, et de télécopie (les « Services »). Dans le cadre des Services, RingCentral traite les Données à Caractère Personnel des personnes physiques qui participent à ces communications, y compris les salariés et utilisateurs habilités du Client et d’autres tiers qui sont impliqués dans les communications réalisées du fait de l’utilisation des Services par le Client.
RingCentral traite des Données à Caractère Personnel aux fins de fournir et de maintenir les Services auxquels le Client a souscrit, afin de gérer la relation client et l’assistance client.
 
 
Catégories de Personnes Concernées
  • Les salariés et utilisateurs habilités du Client qui utilisent les Services dans le cadre de l’activité du Client.
  • Toutes les autres personnes physiques tierces qui sont impliquées dans les communications ou collaborations réalisées ou gérées par le biais de l'utilisation par le Client des Services ou qui sont mentionnées dans le contenu de ces communications ou collaborations.
Type(s) de Données à Caractère Personnel traitées
Les Données à Caractère Personnel transférées concernent les catégories de données suivantes :
  • Les informations d’identification pour le Client, coordonnées (adresse, numéro de téléphone (fixe et mobile), adresse électronique, numéro de télécopie), informations sur l’emploi (intitulé du poste) ;
  • Les informations d’identification pour toute personne qui utilise les Services à la demande du Client et dans le cadre de l’activité de ce dernier (y compris, le numéro de téléphone (fixe et mobile) et l’adresse électronique) ;
  • Les autres Données à Caractère Personnel que le Client, ses utilisateurs habilités ou des tiers impliqués dans les communications décident d’intégrer au contenu des communications qui sont envoyées et reçues au moyen des Services.
Les Données à Caractère Personnel transférées à RingCentral en vue d'un traitement sont déterminées et contrôlées par le Client à son entière discrétion. De ce fait, RingCentral n’a aucun contrôle sur la nature, le volume et le caractère sensible des Données à Caractère Personnel traitées au moyen de ses Services par le Client ou ses utilisateurs.
 
 
Catégories Particulières de données
RingCentral ne collecte ni ne traite intentionnellement aucune catégorie particulière de données dans le cadre de la fourniture de ses Services. Au titre de l’ATD, le Client s’interdit de fournir des catégories particulières de données à RingCentral, à quelque moment que ce soit.
 
Durée du Traitement
Les Données à Caractère Personnel seront traitées pour toute la durée du Contrat ou tel que prévu par la loi ou convenu entre les parties.
 
 
II. RingCentral Contact Center
 
Nature et Finalités du Traitement
Le Centre de Contact RingCentral est une plateforme de communication omnicanal de gestion de la relation Client qui réunit tous les canaux de communication en interaction avec le Client, y compris les communications vocales, courriels, SMS, sites web, appli mobiles, chat et réseaux sociaux, sur une même plateforme (les « Services »). Dans le cadre des Services, RingCentral traite les Données à Caractère Personnel des personnes physiques qui participent à ces communications, y compris les salariés et utilisateurs habilités du Client et d’autres tiers qui prennent part à des communications intervenant dans le cadre de l’utilisation des Services par le Client.
RingCentral traite les Données à Caractère Personnel aux fins de fournir et de maintenir les Services auxquels le Client a souscrit, y compris tous les Services accessoires ou s’y rapportant dans le cadre du Contrat, dans le but de publier des contenus sur les canaux de communication publics/privés et de gérer la relation avec le client, la relation avec les utilisateurs, ainsi que l’assistance client.
 
Catégories de Personnes Concernées
  • Les salariés et utilisateurs habilités du Client qui utilisent les Services dans le cadre de l’activité du Client.
  • Les autres personnes physiques tierces qui sont impliquées dans les communications réalisées ou gérées par le biais des Services ou qui sont mentionnées dans le contenu de ces communications.
Types de Données à Caractère Personnel traitées
Les Données à Caractère Personnel transférées peuvent être classées selon les catégories suivantes :
  • Les informations d’identification pour le Client et les Utilisateurs finaux, tels que les nom complet, sexe, coordonnées (adresse, numéro de téléphone (fixe et mobile), adresse électronique, numéro de télécopie), informations sur l’emploi (intitulé du poste) et nom de la société ;
  • Les informations d’identification pour toute personne qui utilise les Services à la demande et dans le cadre de l’activité du Client (y compris les numéros de téléphone (fixe et mobile) et adresse électronique) ;
  • Toutes les autres Données à Caractère Personnel que les utilisateurs du Client ou personnes impliquées dans les communications décident d’intégrer au contenu des communications qui ont lieu ou qui sont gérées au moyen des Services ;
Les Données à Caractère Personnel transférées à RingCentral à des fins de traitement sont déterminées et contrôlées par le Client à son entière discrétion. De ce fait, RingCentral n’a aucun contrôle sur la nature, le volume et le caractère sensible des Données à Caractère Personnel traitées au moyen de ses Services par le Client ou ses utilisateurs.
 
Catégories Particulières de données
RingCentral ne collecte ni ne traite intentionnellement aucune catégorie particulière de données dans le cadre de la fourniture de ses Services. Au titre de l’ATD, le Client s’interdit de fournir des catégories particulières de données à RingCentral, à quelque moment que ce soit.
 
 
III. RingCentral Engage Digital
 
Nature et Finalités du Traitement
RingCentral Engage Digital est une plateforme de communication omnicanal de gestion de la relation client qui réunit tous les canaux de communication en interaction avec le client, y compris les communications vocales, courriels, SMS, sites web, appli mobiles, chat et réseaux sociaux, sur une même plateforme (les « Services »). RingCentral Engage Digital publie les contenus des utilisateurs habilités sur les canaux de communication publics ou privés liés à leur plateforme et synchronise les contenus des utilisateurs finals à partir de ces mêmes canaux. RingCentral Engage Digital conserve et affiche les informations du Client et l’historique de conversations auprès des utilisateurs habilités. Les utilisateurs habilités sont identifiés, disposent d’accès et autorisations définis par les utilisateurs habilités dotés des fonctions d’administrateurs et l’ensemble de leurs actions sont enregistrées dans un journal des applications.
RingCentral traite les Données à Caractère Personnel aux fins de fournir et de maintenir les Services auxquels le Client a souscrit, y compris tous les Services accessoires ou s’y rapportant dans le cadre du Contrat, dans le but de publier des contenus sur les canaux de communication publics/privés et de gérer la relation avec le client, la relation avec les utilisateurs, ainsi que l’assistance client.
 
Catégories de Personnes Concernées
  • Les salariés et utilisateurs habilités du Client qui utilisent les Services dans le cadre de l’activité du Client.
  • Toutes les autres personnes physiques tierces qui sont impliquées dans les communications réalisées ou gérées par le biais des Services ou qui sont mentionnées dans le contenu de ces communications.
Types de Données à Caractère Personnel traitées
Les Données à Caractère Personnel transférées peuvent être classées selon les catégories suivantes:
  • Les informations d’identification du Client, le nom complet, sexe, coordonnées (adresse, numéro de téléphone (fixe et mobile), adresse électronique, numéro de télécopie), informations sur l’emploi (intitulé du poste) et nom de la société ;
  • Les informations d’identification pour toute personne qui utilise les Services à la demande et dans le cadre de l’activité du Client (y compris les numéros de téléphone (fixe et mobile) et adresse électronique) ;
  • Les contenus publiés sur les canaux de communication liés aux Services, y compris les informations publiques sur les canaux de réseaux sociaux liés aux Services ;
  • Toutes les autres Données à Caractère Personnel que les utilisateurs du Client ou personnes impliquées dans les communications choisissent d’intégrer au contenu des communications qui ont lieu ou qui sont gérées au moyen des Services ;
Les Données à Caractère Personnel transférées à RingCentral à des fins de traitement sont déterminées et contrôlées par le Client à son entière discrétion. De ce fait, RingCentral n’a aucun contrôle sur la nature, le volume et le caractère sensible des Données à Caractère Personnel traitées au moyen de ses Services par le Client ou ses utilisateurs.
 
Catégories Particulières de données
RingCentral ne collecte ni ne traite intentionnellement aucune catégorie particulière de données dans le cadre de la fourniture de ses Services. Au titre de l’ATD, le Client s’interdit de fournir des catégories particulières de données à RingCentral, à quelque moment que ce soit.
 
Durée du Traitement
La durée de conservation des données (entre 1 jour et 2 ans) est définie par le Client, en fonction des besoins du Client et du contexte et peut être configurée sur les Services par les Utilisateurs du Client ou par RingCentral.
 
 
IV. RingCentral Engage Communities
 
Nature et Finalités du Traitement
RingCentral Engage Communities est une plateforme de gestion de la communauté (« community management ») en ligne permettant d’apporter des réponses à la communauté d’internautes qui posent des questions au service client (les « Services »). Les administrateurs de communautés gèrent l’ensemble des divers aspects de la plateforme destinés aux membres des communautés inscrits : ceux-ci peuvent créer, réviser et accorder des autorisations et fonctions spécifiques aux membres concernés. Les administrateurs des communautés gèrent aussi la création, la restriction, la modération, la publication et la révision des contenus des membres des communautés.
 
RingCentral traite les Données à Caractère Personnel aux fins de fournir et de maintenir les Services auxquels le Client a souscrit, y compris tous les Services accessoires ou s’y rapportant dans le cadre du Contrat, dans le but de gérer la plateforme en ligne, la gestion de la relation avec le client, ainsi que l’assistance client.
 
Catégories de Personnes Concernées
  • Les salariés et utilisateurs habilités du Client ;
  • Les autres personnes physiques tierces qui sont des contributeurs à l’espace de partage en ligne.
Types de Données à Caractère Personnel traitées
Les Données à Caractère Personnel transférées peuvent être classées dans les catégories suivantes :
  • Les informations d’identification des salariés et utilisateurs habilités du Client ou d’autres contributeurs tiers, y compris les nom et adresse électronique ;
  • Les contenus publiés sur l’espace de partage en ligne, y compris les publications publiques et messages privés ;
  • Les autres Données à Caractère Personnel que les utilisateurs du Client ou les contributeurs tiers décident d’intégrer à des contenus publiés, envoyés ou reçus au moyen du Service.
Catégories Particulières de données
RingCentral ne collecte ni ne traite intentionnellement aucune catégorie particulière de données dans le cadre de la fourniture de ses Services. Au titre de l’ATD, le Client s’interdit de fournir des catégories particulières de données à RingCentral, à quelque moment que ce soit.
 
Durée du Traitement
La durée de conservation des données (entre 1 jour et 2 ans à compter de la dernière action de l’utilisateur) est définie par le Client, en fonction des besoins du Client et du contexte et peut être configurée sur les Services. Le contenu peut aussi être supprimé par les administrateurs et modérateurs de RingCentral Engage Communities ou par RingCentral.
SOUS-ANNEXE B
LISTE DES SERVICES RINGCENTRAL COUVERTS PAR L’ATD
  • RingCentral Office Plan Services
  • RC Contact Center
  • RingCentral Engage Digital
  • RingCentral Engage Communities
Free Trial
Close X