Addendum sur le traitement des données par RingCentral

Data Processing Agreement (DPA)
Dernière mise à jour: Août 11, 2021
 
Le présent addendum au traitement des données ("DPA") est conclu par et entre RingCentral et le Client (chacun étant une "Partie", ensemble les "Parties"), et vient compléter le contrat signé entre les Parties auquel il est joint ("Contrat") pour la fourniture des Services (tels que définis ci-dessous) au Client.
 
Les termes en majuscules utilisés mais non définis dans le présent DPA ont la même signification que dans le Contrat.
1.   Définitions
1.1.   Aux fins du présent DPA :
    (a)   "Société Affiliée" désigne une personne ou une entité qui est contrôlée par une partie aux présentes, qui contrôle une partie aux présentes ou qui est sous contrôle commun avec une partie aux présentes, et "contrôle" désigne la propriété effective de plus de cinquante pour cent (50 %) des titres avec droit de vote ou des participations d'une entité alors en circulation.
    (b)   "Contrat" désigne le principal contrat écrit ou électronique entre le Client et RingCentral pour la fourniture de l'un des services RingCentral au Client (chacun un "Service" et collectivement les "Services").
    (c)   "Lois Applicables en matière de Protection des Données" désigne toutes les lois sur la protection des données et la vie privée applicables à RingCentral dans le cadre du traitement des Données Personnelles en vertu du présent DPA.
    (d)   "Contrôleur" désigne l'entité qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des Données Personnelles.
    (e)   "Données Personnelles du Client" désigne toutes les Données Personnelles que RingCentral traite en tant que Sous-Traitant dans le cadre du contrat.
    (f)   "Données Personnelles" désigne toute information relative à une personne physique identifiée ou identifiable, telle que définie par la loi applicable en matière de protection des données.
    (g)   "Sous-Traitant" désigne l'entité qui traite les Données Personnelles pour le compte du Contrôleur.
    (h)   "Incident de Sécurité" désigne une violation de la sécurité entraînant une destruction, une perte, une altération, une divulgation ou un accès non autorisé aux Données Personnelles du Client, accidentels ou illégaux, qui compromettent la vie privée, la sécurité ou la confidentialité de ces Données Personnelles.
 
2.   Champ d'application du DPA
2.1   Le présent DPA s'appliquera dans la mesure où RingCentral traite les Données Personnelles du Client pour le compte d'un Client en tant que SousTtraitant, tel que défini par la Loi Applicable sur la Protection des Données. Tout traitement de Données Personnelles en tant que Contrôleur par RingCentral est hors du champ d'application du présent DPA.
 
3.   Rôles et responsabilités
3.1   Rôles des parties. Entre les parties et aux fins du présent DPA, le Client est le Contrôleur des Données Personnelles du Client traitées par RingCentral en vertu du Contrat en tant que Sous-Traitant pour le compte du Client. RingCentral se conformera aux obligations d'un contrôleur en vertu du GDPR dans la mesure où il traite les Données Personnelle en tant que contrôleur pour les objectifs commerciaux légitimes de RingCentral, y compris si cela est nécessaire pour l'exploitation des communications basées sur les Services offerts, et si cela est nécessaire pour se conformer au droit applicable.
3.2   Obligations du client. Le Client s'engage à :
    (a)   S'assurer qu'il peut légalement divulguer les Données Personnelles du Client à RingCentral aux fins énoncées dans le contrat.
    (b)   se conformer aux lois applicables en matière de protection des données dans le cadre de son utilisation des Services, ainsi que de sa propre collecte et de son traitement des Données Personnelles, y compris les Données Personnelles du Client ; et
    (c)   Traiter des catégories spéciales de Données Personnelles ou des données sensibles (telles que définies par les Lois applicables en matière de protection des données), ou des Données Personnelle concernant des enfants ou des mineurs, ou liées à des condamnations pénales et des infractions, de manière légale et en s'appuyant sur une base juridique valide conformément aux Lois applicables en matière de protection des données. Les Parties reconnaissent que les Services ne sont pas conçus pour reconnaître et/ou classer de telles données.
3.3   Limitation de l'objet.
    (a)   Sauf exigence contraire de la loi applicable, RingCentral traitera les Données Personnelles du Client (i) conformément aux instructions documentées du Client (lesquelles instructions sont énoncées dans le Contrat, le présent RGPD et la configuration et l'utilisation des Services par le Client, conformément aux conditions d'utilisation applicables), (ii) aux fins de la fourniture, du contrôle, du soutien, de l'amélioration et de la maintenance des Services.
    (b)   RingCentral ne se livre pas à la vente de Données Personnelles.
 
3.4   Confidentialité du traitement. RingCentral veillera à ce que toute personne qu'elle autorise à traiter les Données Personnelles du Client soit soumise à une obligation de confidentialité (obligation contractuelle ou légale).
3.5   Sécurité. RingCentral maintiendra des mesures de sécurité techniques et organisationnelles appropriées pour préserver la sécurité des Données Personnelles du Client. RingCentral maintiendra un programme de sécurité de l'information et de gestion des risques basé sur les meilleures pratiques commerciales afin de préserver la confidentialité, l'intégrité et l'accessibilité des Données Personnelles du Client avec des mesures administratives, techniques et physiques conformes aux normes et pratiques de l’industrie de télécommunication généralement reconnues.
3.6   Incidents de Sécurité. Dès qu'elle aura connaissance d'un Incident de Sécurité, RingCentral en informera le Client sans retard injustifié aux coordonnées que le Client a fournies dans le Portail Administratif et fournira en temps utile les informations que le Client pourra raisonnablement exiger, y compris pour permettre au Client de remplir toute obligation de déclaration de violation de données en vertu des Lois Applicables en matière de Protection des Données.
3.7   Fourniture de Rapports de Sécurité. RingCentral choisira un vérificateur tiers indépendant et qualifié pour effectuer, aux frais de RingCentral, des vérifications au moins annuelles de la sécurité des services et des environnements, conformément aux normes reconnues à l'échelle internationale, telles que la norme ISO27001, les normes SOC 2, Type II ou leur équivalent. À la demande du client et en vertu d'un accord de non-divulgation, RingCentral fournira une copie des rapports d'audit les plus récents (ou une attestation de sécurité similaire) pour documenter le respect de l'exigence précédente, lorsque cette certification est disponible. Ce rapport d'audit est une information confidentielle de RingCentral et le client ne le distribuera pas à un tiers sans l'accord écrit de RingCentral.
3.8   Suppression ou Restitution des Données. Lors de la résiliation ou de l'expiration du contrat, RingCentral supprimera les Données Personnelles du Client (y compris les copies) en sa possession ou, à la demande du Client, proposera des options permettant de restituer les Données Personnelles, sauf dans la mesure où RingCentral est tenue par le droit applicable de conserver tout ou partie des Données Personnelles du Client.
 
4.   Obligations liées au GDPR
4.1   Applicabilité. La présente section 4 et l'addendum de sécurité de RingCentral à l'adresse https://netstorage.ringcentral.com/documents/trust-center-security-addendum.pdf s'appliquent au traitement des Données Personnelles du Client qui sont soumises à la protection du Règlement général sur la protection des données de l'UE ("RGPD").
4.2   Sous-Traitants Secondaires. Le Client convient que RingCentral et ses Sociétés Affiliées peuvent engager des Sociétés Affiliées à RingCentral et des tiers sous-traitants (collectivement, les "Sous-Traitants Secondaires") pour traiter les Données Personnelles du Client pour le compte de RingCentral. En fonction de l'étendue et de la nature du sous-traitement, RingCentral imposera à ces Sous-Traitants Secondaires des conditions de protection des données qui protègent les Données Personnelles du Client selon un standard équivalent prévu par le présent DPA et RingCentral restera responsable de toute violation du DPA causée par un Sous-Traitant Secondaire. Les Sous-Traitants Secondaires engagés par RingCentral pour chacun des services au moment de la conclusion du contrat sont indiqués dans la liste des Sous-Traitants Secondaires de RingCentral, disponible sur le site  https://netstorage.ringcentral.com/documents/RingCentral_Subprocessor_List.pdf.
4.3   Notification pour les Sous-Traitants Secondaires. RingCentral peut, moyennant une notification raisonnable au Client aux coordonnées que le Client a renseignées sur le Portail d’Administrateur, ajouter ou remplacer les Sous-Traitants Secondaires. Si le client s'oppose à la désignation d'un Sous-Traitant Secondaire dans un délai de trente (30) jours calendaires à compter de cette notification pour des motifs raisonnables liés à la protection des Données Personnelles du Client, les parties discuteront de ces préoccupations en vue de parvenir à une solution. Si une telle solution ne peut être trouvée, RingCentral ne désignera pas le Sous-Traitant Secondaire ou, si cela n'est pas possible, le Client aura le droit de suspendre ou de résilier le Service RingCentral concerné sans pénalité, moyennant une notification écrite de trente (30) jours à RingCentral. Nonobstant ce qui précède, en cas de force majeure imprévisible (telle qu'une défaillance du Sous-Traitant Secondaire de RingCentral) pouvant provoquer une dégradation ou une interruption du Service, RingCentral se réserve le droit de changer immédiatement le Sous-Traitant Secondaire défaillant afin de maintenir ou de rétablir les conditions standard du Service. Dans cette situation, la notification de changement de Sous-Traitant Secondaire peut être exceptionnellement envoyée après le changement.
4.4   Coopération et Droits des Personnes Concernées. Il est de la responsabilité du Client de répondre à toute demande des personnes concernées. Certains des Services RingCentral peuvent fournir des moyens techniques directs pour permettre au Client de remplir ses obligations de répondre aux demandes des personnes concernées en vertu des Lois Applicables en matière de Protection des Données. Si le Client n'est pas en mesure de répondre à la demande de la personne concernée par le biais de ces moyens techniques, ou lorsque cette fonctionnalité n'est pas disponible, RingCentral fournira, en tenant compte de la nature du traitement, une assistance raisonnable au Client, afin de lui permettre de répondre à ces demandes de la personne concernée. Dans le cas où une telle demande est faite directement à RingCentral, RingCentral invitera rapidement la personne concernée à contacter le Client.
4.5   Évaluations d'Impact sur la Protection des Données. RingCentral doit, dans la mesure requise par le GDPR, et à la demande et aux frais du Client, fournir au Client une assistance raisonnable pour les évaluations d'impact sur la protection des données ou les consultations préalables avec les autorités de protection des données que le Client est tenu d'effectuer en vertu du GDPR en relation avec la portée des Services.
4.6   Transferts Internationaux. RingCentral peut transférer et traiter des Données Personnelles du Client en dehors de l'Espace Economique Européen (" EEE "), de la Suisse ou du Royaume-Uni, conformément à la liste publiée des Sous-Traitants Secondaires, vers des lieux où RingCentral, ses Sociétés Affiliées ou ses Sous-Traitants Secondaires effectuent des opérations de traitement de données. Dans la mesure où RingCentral traite (ou fait traiter) des Données Personnelles du Client provenant de l'EEE, de la Suisse ou du Royaume-Uni dans un pays qui n'a pas été reconnu par la Commission Européenne comme assurant un niveau de protection adéquat des Données Personnelles du Client, RingCentral se conformera aux Lois Applicable en matière de Protection des Données de l'Espace Economique Européen, de la Suisse et du Royaume-Uni concernant la collecte, l'utilisation, RingCentral se conformera aux Lois Applicables en matière de Protection des Données de l'Espace Economique Européen, de la Suisse et du Royaume-Uni en ce qui concerne la collecte, l'utilisation, le transfert, la conservation et tout autre traitement des Données Personnelles du Client de l'Espace Economique Européen, de la Suisse et du Royaume-Uni, et mettra en place les mesures nécessaires pour garantir que le transfert est conforme aux Lois Applicables en matière de Protection des Données, ce qui inclut l'exécution des clauses contractuelles types de la Commission Européenne ou la mise en place de tout autre mécanisme de transfert valide en vertu des Lois Applicables en matière de Protection des Données. Le Client donne par les présentes un mandat général à RingCentral pour conclure les Clauses Contractuelles Types au nom du Client avec ses Sous-Traitants Secondaires en dehors de l'EEE. 
4.7   Audits.
    (a)   Les deux parties reconnaissent qu'elles ont l'intention de se fier normalement à la fourniture des rapports de sécurité visés à la section 3.7 ci-dessus pour vérifier la conformité de RingCentral au présent DPA.
    (b)   En outre, à la demande du Client, mais pas plus d'une fois au cours de chaque période de 12 mois, RingCentral remplira un questionnaire sur le programme de sécurité de l'information fourni par le Client, dont la portée est limitée aux services/environnements réels liés aux Services fournis au Client (" Examen de la sécurité ").
    (c)   Après l'examen par le Client du rapport d'audit ou d'une attestation similaire de RingCentral, et du questionnaire de sécurité de l'information rempli (y compris les modifications introduites par RingCentral pour combler les lacunes), si, dans la mesure requise par le GDPR, des informations supplémentaires sont raisonnablement nécessaires pour démontrer le respect des obligations de RingCentral conformément aux Lois Applicables en matière de Protection des Données et au présent DPA, Le Client peut demander par écrit d'effectuer un audit (y compris des inspections) de RingCentral conformément à la procédure de demande d'audit ci-dessous, au maximum une fois par période de douze (12) mois, sauf si une autorité de surveillance exige spécifiquement qu'un audit soit effectué sur RingCentral ou en réponse à un Incident de Sécurité.
    (d)   Afin d'exercer son droit d'audit conformément à la présente section, le Client doit fournir à RingCentral une demande écrite et détaillée, comprenant l'explication des lacunes dans les rapports d'audit fournis par RingCentral et dans l'examen de sécurité qui rendent l'audit nécessaire pour démontrer la conformité de RingCentral au présent DPA ou aux Lois Applicables en matière de Protection des Données.
    (e)   L'audit peut être effectué par le Client ou par un tiers (ce tiers étant soumis à de strictes obligations de confidentialité, y compris l'exigence que les auditeurs individuels désignés n'aient pas effectué d'audits de l'un des concurrents de RingCentral au cours des douze (12) mois précédents et qu'il leur soit interdit d'effectuer de tels audits dans les douze (12) mois suivant l'audit de RingCentral) uniquement aux frais du Client. RingCentral peut s'opposer par écrit à l'audit d'un tiers si celui-ci, de l'avis raisonnable de RingCentral, n'est pas suffisamment qualifié ou indépendant, s'il est un concurrent de RingCentral ou s'il est manifestement inapproprié de toute autre manière. Toute objection de ce type de la part de RingCentral obligera le client à désigner un autre auditeur ou à effectuer lui-même l'audit.
    (f)   RingCentral et le Client conviendront à l'avance de l'étendue et du calendrier de l'audit, afin de protéger les Informations confidentielles et propres à RingCentral et aux autres parties, de minimiser la perturbation des activités de RingCentral, de limiter l'étendue aux services/environnements réels liés aux Services fournis au Client, et de convenir d'une durée raisonnable de l'audit.
    (g)   L'exécution de l'audit aura lieu pendant les heures normales de travail du personnel de RingCentral concerné et les parties conviennent que RingCentral mettra à la disposition du client des documents qu'il pourra examiner, mais qu'il ne pourra pas conserver. RingCentral peut facturer des frais raisonnables pour les coûts encourus dans le cadre d'un tel audit, sur la base des tarifs de services professionnels de RingCentral, à moins que l'audit ne révèle une violation importante de la part de RingCentral. RingCentral fournira au client les détails de tous les frais applicables, ainsi que la base de leur calcul, avant la réalisation d'un tel audit.
    (h)   Toutes les informations fournies ou mises à la disposition du client conformément à la présente section sont considérées comme des Informations Confidentielles de RingCentral.
4.8   Demandes de Divulgation de Données. Si RingCentral reçoit d'une autorité chargée de l'application de la loi ou d'une autre autorité gouvernementale une demande de divulgation de Données Personnelles du Client que RingCentral traite pour le compte du Client, RingCentral notifiera et fournira au Client les détails de la demande de divulgation de données avant de divulguer toute Donnée Personnelle du Client, à moins que la loi ne l'interdise ou qu'il existe un risque imminent de préjudice grave qui interdit une notification préalable.
 
5.   Divers
5.1   Sauf mention contraire explicite, les conditions du Contrat s'appliquent au DPA. En cas de conflit entre les conditions du Contrat et les conditions du présent DPA, les conditions du présent DPA prévalent en ce qui concerne les activités de traitement des Données Personnelles du Client par RingCentral.
5.2   Le droit applicable et le forum qui s'appliquent à l'accord s'appliquent également au présent DPA.
5.3   Coordonnées pour les demandes de renseignements reliées à ce DPA: privacy@RingCentral.com.