Accord de Traitement des Données

SAS SPOKE

  • Siège social : 35 rue Pauline Borghèse, 92200 Neuilly sur Seine, France
  • Numéro SIREN : 883 755 654 (numéro d'identification unique attribué à chaque entreprise en France)

Entrée en vigueur : 10/02/2022
Dernière mise à jour : 22 juillet 2024

Cet Accord de Traitement des Données (l'"ATD") est complémentaire à l'Accord et en fait partie intégrante. L'"Accord" ou "Conditions de Service Client" désigne les Conditions Générales et tous les documents auxquels elles se réfèrent ou qu'elles lient.

Il est effectif dès son incorporation dans l'Accord, qui peut être spécifiée dans l'Accord, une Commande ou un amendement exécuté à l'Accord. En cas de conflit ou d'incohérence avec les termes de l'Accord, cet ATD prévaudra sur les termes de l'Accord dans la mesure de ce conflit ou de cette incohérence.

Nous mettons à jour ces termes de temps à autre. Si vous avez un abonnement ou un compte Meeting BaaS actif, nous vous informerons lorsque nous le ferons par email (si vous vous êtes inscrit pour recevoir des notifications par email via le lien dans nos Conditions Principales) ou par notification dans l'application. La durée de cet ATD suivra la durée de l'Accord. Les termes non autrement définis dans cet ATD auront le sens défini dans l'Accord.

1. Définitions

"Informations Personnelles Californiennes" désigne les Données Personnelles qui sont soumises à la protection du CCPA. "CCPA" désigne le Code Civil Californien Sec. 1798.100 et seq. (également connu sous le nom de California Consumer Privacy Act de 2018). "Consommateur", "Entreprise", "Vendre" et "Fournisseur de Services" auront les significations qui leur sont données dans le CCPA. "Responsable de Traitement" désigne la personne physique ou morale, l'autorité publique, l'agence ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du Traitement des Données Personnelles. "Lois de Protection des Données" désigne toute la législation mondiale applicable relative à la protection des données et à la vie privée qui s'applique à la partie respective dans le rôle de Traitement des Données Personnelles en question dans le cadre de l'Accord, y compris sans limitation les Lois Européennes de Protection des Données, le CCPA et les lois de protection des données et de la vie privée de l'Australie et de Singapour ; dans chaque cas, telles qu'elles peuvent être modifiées, abrogées, consolidées ou remplacées de temps à autre. "Personne Concernée" désigne l'individu auquel se rapportent les Données Personnelles. "Europe" désigne l'Union Européenne, l'Espace Économique Européen et/ou leurs États membres, la Suisse et le Royaume-Uni. "Données Européennes" désigne les Données Personnelles qui sont soumises à la protection des Lois Européennes de Protection des Données. "Lois Européennes de Protection des Données" désigne les lois de protection des données applicables en Europe, y compris : (i) le Règlement (UE) 2016/679 du Parlement Européen et du Conseil sur la protection des personnes physiques à l'égard du traitement des données à caractère personnel et sur la libre circulation de ces données (Règlement Général sur la Protection des Données) ("RGPD") ; (ii) la Directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ; et (iii) les mises en œuvre nationales applicables de (i) et (ii) ; ou (iii) le RGPD tel qu'il fait partie du droit interne du Royaume-Uni en vertu de l'Article 3 de l'European Union (Withdrawal) Act 2018 ("UK GDPR") ; et (iv) la Loi Fédérale Suisse sur la Protection des Données du 19 juin 1992 et son Ordonnance ("LPD Suisse") ; dans chaque cas, telles qu'elles peuvent être modifiées, remplacées ou abrogées. "Instructions" désigne les instructions écrites et documentées émises par un Responsable de Traitement à un Sous-traitant, et dirigeant celui-ci pour effectuer une action spécifique ou générale à l'égard des Données Personnelles (y compris, mais sans s'y limiter, la dépersonnalisation, le blocage, la suppression, la mise à disposition). "Affiliés Autorisés" désigne tout Affilié de votre part qui (i) est autorisé à utiliser les Services d'Abonnement conformément à l'Accord, mais n'a pas signé son propre accord séparé avec nous et n'est pas un "Client" tel que défini dans l'Accord, (ii) qualifie comme Responsable de Traitement des Données Personnelles Traitées par nous, et (iii) est soumis aux Lois Européennes de Protection des Données. "Données Personnelles" désigne toute information relative à un individu identifié ou identifiable où cette information est contenue dans les Données Client et est protégée de manière similaire aux données personnelles, informations personnelles ou informations d'identification personnelle en vertu des Lois de Protection des Données applicables. "Violation de Données Personnelles" désigne une violation de sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée accidentelle ou illicite, ou l'accès aux Données Personnelles transmises, stockées ou autrement Traitées par nous et/ou nos Sous-traitants dans le cadre de la fourniture des Services d'Abonnement. "Violation de Données Personnelles" n'inclura pas les tentatives infructueuses ou les activités qui ne compromettent pas la sécurité des Données Personnelles, y compris les tentatives de connexion infructueuses, les pings, les scans de port, les attaques par déni de service, et autres attaques réseau sur les pare-feu ou systèmes en réseau. "Privacy Shield" désigne le programme d'auto-certification EU-U.S. et Swiss-US Privacy Shield exploité par le Département du Commerce des États-Unis et approuvé par la Commission Européenne en vertu de sa Décision du 12 juillet 2016 et par le Conseil Fédéral Suisse le 11 janvier 2017 respectivement ; tel qu'il peut être modifié, remplacé ou abrogé. "Principes du Privacy Shield" désigne les Principes du Privacy Shield (tels que complétés par les Principes Supplémentaires) contenus dans l'Annexe II à la Décision de la Commission Européenne du 12 juillet 2016 ; tel qu'il peut être modifié, remplacé ou abrogé. "Traitement" désigne toute opération ou ensemble d'opérations qui est effectué sur les Données Personnelles, englobant la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou l'altération, la récupération, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou autrement la mise à disposition, l'alignement ou la combinaison, la restriction ou l'effacement des Données Personnelles. Les termes "Traiter", "Traite" et "Traité" seront interprétés en conséquence. "Sous-traitant" désigne une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui Traite les Données Personnelles pour le compte du Responsable de Traitement. "Clauses Contractuelles Types" désigne les clauses contractuelles types pour les Sous-traitants annexées à la Décision (UE) 2021/914 de la Commission Européenne du 4 juin 2021, sous la forme définie à l'Annexe 4 ; tel qu'il peut être modifié, remplacé ou abrogé. "Sous-traitant" désigne tout Sous-traitant engagé par nous ou nos Affiliés pour nous aider à remplir nos obligations en ce qui concerne la fourniture des Services d'Abonnement dans le cadre de l'Accord. Les Sous-traitants peuvent inclure des tiers ou nos Affiliés mais excluront tout employé ou consultant Spoke.

2. Responsabilités du Client

a. Conformité aux Lois. Dans le cadre de l'Accord et dans son utilisation des services, vous serez responsable de vous conformer à toutes les exigences qui s'appliquent à vous en vertu des Lois de Protection des Données applicables en ce qui concerne son Traitement des Données Personnelles et les Instructions qu'il nous émet.

En particulier mais sans préjudice de la généralité de ce qui précède, vous reconnaissez et acceptez que vous serez seul responsable de : (i) l'exactitude, la qualité et la légalité des Données Client et des moyens par lesquels vous avez acquis les Données Personnelles ; (ii) se conformer à toutes les exigences de transparence et de légalité nécessaires en vertu des Lois de Protection des Données applicables pour la collecte et l'utilisation des Données Personnelles, y compris l'obtention de tous les consentements et autorisations nécessaires (particulièrement pour l'utilisation par le Client à des fins d'enregistrement) ; (iii) s'assurer que vous avez le droit de transférer, ou de fournir l'accès aux Données Personnelles à nous pour le Traitement conformément aux termes de l'Accord (y compris cet ATD) ; (iv) s'assurer que vos Instructions à nous concernant le Traitement des Données Personnelles se conforment aux lois applicables, y compris les Lois de Protection des Données ; et (v) se conformer à toutes les lois (y compris les Lois de Protection des Données) applicables à tout enregistrement ou autre contenu créé, envoyé ou géré par l'intermédiaire des Services d'Abonnement, y compris celles relatives à l'obtention de consentements (lorsque requis) pour enregistrer les participants aux réunions. Vous nous informerez sans retard indu si vous n'êtes pas en mesure de vous conformer à vos responsabilités en vertu de cette section 'Conformité aux Lois' ou des Lois de Protection des Données applicables.

b. Instructions du Responsable de Traitement. Les parties conviennent que l'Accord (y compris cet ATD), ainsi que votre utilisation du Service d'Abonnement conformément à l'Accord, constituent vos Instructions complètes à nous en relation avec le Traitement des Données Personnelles, tant que vous pouvez fournir des instructions supplémentaires pendant la durée de l'abonnement qui sont cohérentes avec l'Accord, la nature et l'utilisation licite du Service d'Abonnement.

c. Sécurité. Vous êtes responsable de déterminer indépendamment si la sécurité des données fournie dans le Service d'Abonnement répond adéquatement à vos obligations en vertu des Lois de Protection des Données applicables. Vous êtes également responsable de votre utilisation sécurisée du Service d'Abonnement, y compris la protection de la sécurité des Données Personnelles en transit vers et depuis le Service d'Abonnement (y compris pour sauvegarder ou chiffrer de manière sécurisée toute telle Donnée Personnelle).

3. Obligations de Spoke

a. Conformité aux Instructions. Nous ne Traiterons les Données Personnelles que pour les finalités décrites dans cet ATD ou comme autrement convenu dans le cadre de vos Instructions licites, sauf si et dans la mesure où autrement requis par la loi applicable. Nous ne sommes pas responsables de la conformité avec toute Loi de Protection des Données applicable à vous ou à votre industrie qui ne s'applique pas généralement à nous.

b. Conflit de Lois. Si nous prenons conscience que nous ne pouvons pas Traiter les Données Personnelles conformément à vos Instructions en raison d'une exigence légale en vertu de toute loi applicable, nous (i) vous notifierons promptement de cette exigence légale dans la mesure permise par la loi applicable ; et (ii) si nécessaire, cesserons tout Traitement (autre que simplement stocker et maintenir la sécurité des Données Personnelles affectées) jusqu'à ce que vous émettiez de nouvelles Instructions avec lesquelles nous sommes en mesure de nous conformer. Si cette disposition est invoquée, nous ne serons pas responsables envers vous en vertu de l'Accord pour tout manquement à fournir les Services d'Abonnement applicables jusqu'à ce que vous émettiez de nouvelles Instructions licites concernant le Traitement.

c. Sécurité. Nous mettrons en œuvre et maintiendrons des mesures techniques et organisationnelles appropriées pour protéger les Données Personnelles contre les Violations de Données Personnelles, comme décrit sous l'Annexe 2 à cet ATD ("Mesures de Sécurité"). Nonobstant toute disposition contraire, nous pouvons modifier ou mettre à jour les Mesures de Sécurité à notre discrétion à condition qu'une telle modification ou mise à jour ne résulte pas en une dégradation matérielle de la protection offerte par les Mesures de Sécurité.

d. Confidentialité. Nous nous assurerons que tout personnel que nous autorisons à Traiter les Données Personnelles pour notre compte est soumis à des obligations de confidentialité appropriées (qu'il s'agisse d'un devoir contractuel ou statutaire) à l'égard de ces Données Personnelles.

e. Violations de Données Personnelles. Nous vous notifierons sans retard indu après avoir pris conscience de toute Violation de Données Personnelles et fournirons des informations opportunes relatives à la Violation de Données Personnelles à mesure qu'elles deviennent connues ou raisonnablement demandées par vous. À votre demande, nous vous fournirons promptement une assistance raisonnable nécessaire pour vous permettre de notifier les Violations de Données Personnelles pertinentes aux autorités compétentes et/ou aux Personnes Concernées affectées, si vous êtes tenu de le faire en vertu des Lois de Protection des Données.

f. Suppression ou Retour des Données Personnelles. Nous supprimerons ou retournerons toutes les Données Client, y compris les Données Personnelles (y compris les copies de celles-ci) Traitées en vertu de cet ATD, à la résiliation ou à l'expiration de votre Service d'Abonnement conformément aux procédures définies dans nos Conditions Spécifiques au Produit. Ce terme s'appliquera sauf si nous sommes tenus par la loi applicable de conserver tout ou partie des Données Client, ou si nous avons archivé les Données Client sur des systèmes de sauvegarde, que nous isolerons et protégerons de manière sécurisée contre tout Traitement ultérieur et supprimerons conformément à nos pratiques de suppression. Vous pouvez demander la suppression de votre compte Spoke après l'expiration ou la résiliation de votre abonnement en envoyant un email à hello@spoke.app. Vous utilisez également le même formulaire pour demander avant la résiliation de votre abonnement que nous vous envoyions toute information que Spoke SAS a sur vous.

4. Demandes des Personnes Concernées

Le Service d'Abonnement vous fournit un certain nombre de contrôles que vous pouvez utiliser pour récupérer, corriger, supprimer ou restreindre les Données Personnelles, que vous pouvez utiliser pour l'assister dans le cadre de ses obligations en vertu des Lois de Protection des Données, y compris vos obligations relatives à la réponse aux demandes des Personnes Concernées pour exercer leurs droits en vertu des Lois de Protection des Données applicables ("Demandes des Personnes Concernées").

Dans la mesure où vous ne pouvez pas traiter indépendamment une Demande de Personne Concernée par l'intermédiaire du Service d'Abonnement, alors sur votre demande écrite, nous vous fournirons une assistance raisonnable pour répondre à toute Demande de Personne Concernée ou demande des autorités de protection des données relatives au Traitement des Données Personnelles dans le cadre de l'Accord. Vous nous rembourserez les coûts commercialement raisonnables découlant de cette assistance.

Si une Demande de Personne Concernée ou autre communication concernant le Traitement des Données Personnelles dans le cadre de l'Accord est faite directement à nous, nous vous informerons promptement et conseillerons à la Personne Concernée de soumettre sa demande à vous. Vous serez seul responsable de répondre de manière substantielle à toute telle Demande de Personne Concernée ou communication impliquant des Données Personnelles.

5. Sous-traitants

Vous acceptez que nous puissions engager des Sous-traitants pour Traiter les Données Personnelles pour votre compte. Nous avons actuellement nommé, comme Sous-traitants, les Affiliés Spoke et les tiers listés dans l'Annexe 3 à cet ATD. Nous vous notifierons si nous ajoutons ou remplaçons tout Sous-traitant listé dans l'Annexe 3 au moins 15 jours avant tout tel changement, si vous optez pour recevoir un tel email avant tout tel changement en nous envoyant un email à hello@spoke.app.

Lorsque nous engageons des Sous-traitants, nous imposerons des termes de protection des données aux Sous-traitants qui fournissent au moins le même niveau de protection pour les Données Personnelles que ceux dans cet ATD (y compris, le cas échéant, les Clauses Contractuelles Types), dans la mesure applicable à la nature des services fournis par ces Sous-traitants. Nous resterons responsables de la conformité de chaque Sous-traitant aux obligations de cet ATD et pour tout acte ou omission de ce Sous-traitant qui nous fait violer l'une de nos obligations en vertu de cet ATD.

6. Dispositions Supplémentaires pour les Données Européennes

a. Portée. Cette section 'Dispositions Supplémentaires pour les Données Européennes' ne s'appliquera qu'aux Données Européennes.

b. Rôles des Parties. Lors du Traitement des Données Européennes conformément à vos Instructions, les parties reconnaissent et conviennent que vous êtes le Responsable de Traitement des Données Européennes et que nous sommes le Sous-traitant.

c. Instructions. Si nous croyons que votre Instruction viole les Lois Européennes de Protection des Données (le cas échéant), nous vous en informerons sans délai.

d. Opposition aux Nouveaux Sous-traitants. Nous vous donnerons l'opportunité de vous opposer à l'engagement de nouveaux Sous-traitants pour des motifs raisonnables relatifs à la protection des Données Personnelles dans les 30 jours suivant la notification en vertu de la section 'Sous-traitants'. Si vous nous notifiez une telle opposition, les parties discuteront de vos préoccupations de bonne foi en vue d'atteindre une résolution commercialement raisonnable. Si aucune telle résolution ne peut être atteinte, nous, à notre seule discrétion, soit n'appointerons pas le nouveau Sous-traitant, soit vous permettrons de suspendre ou résilier le Service d'Abonnement affecté conformément aux dispositions de résiliation de l'Accord sans responsabilité envers l'une ou l'autre partie (mais sans préjudice des frais encourus par vous avant la suspension ou la résiliation). Les parties conviennent qu'en se conformant à cette sous-section (d), Spoke remplit ses obligations en vertu des Sections 9 des Clauses Contractuelles Types.

e. Accords de Sous-traitants. Aux fins de la Clause 9(c) des Clauses Contractuelles Types, vous reconnaissez que nous pouvons être restreints de divulguer les accords de Sous-traitants mais nous utiliserons des efforts raisonnables pour exiger de tout Sous-traitant que nous nommons qu'il nous permette de divulguer l'accord de Sous-traitant à vous et fournirons (sur une base confidentielle) toutes les informations que nous pouvons raisonnablement.

f. Évaluations d'Impact sur la Protection des Données et Consultation avec les Autorités de Contrôle. Dans la mesure où les informations requises sont raisonnablement disponibles pour nous, et que vous n'avez pas autrement accès aux informations requises, nous fournirons une assistance raisonnable pour toute évaluation d'impact sur la protection des données, et les consultations préalables avec les autorités de contrôle ou autres autorités compétentes en matière de protection des données dans la mesure requise par les Lois Européennes de Protection des Données.

g. Mécanismes de Transfert pour les Transferts de Données.

(A) Spoke ne transférera pas les Données Européennes à tout pays ou destinataire non reconnu comme fournissant un niveau adéquat de protection pour les Données Personnelles (dans le sens des Lois Européennes de Protection des Données applicables), à moins qu'il ne prenne d'abord toutes ces mesures que sont nécessaires pour s'assurer que le transfert est en conformité avec les Lois Européennes de Protection des Données applicables. Ces mesures peuvent inclure (sans limitation) le transfert de ces données à un destinataire qui est couvert par un cadre approprié ou autre mécanisme de transfert légalement adéquat reconnu par les autorités ou tribunaux pertinents comme fournissant un niveau adéquat de protection pour les Données Personnelles, à un destinataire qui a obtenu une autorisation de règles d'entreprise contraignantes conformément aux Lois Européennes de Protection des Données, ou à un destinataire qui a exécuté des clauses contractuelles types appropriées dans chaque cas telles qu'adoptées ou approuvées conformément aux Lois Européennes de Protection des Données applicables.

h. Démonstration de Conformité. Nous rendrons disponibles toutes les informations raisonnablement nécessaires pour démontrer la conformité avec cet ATD et permettrons et contribuerons aux audits, y compris les inspections menées par ou votre auditeur afin d'évaluer la conformité avec cet ATD. Vous reconnaissez et acceptez que vous exercerez vos droits d'audit en vertu de cet ATD et de la Clause 8.9 des Clauses Contractuelles Types en nous instruisant de nous conformer aux mesures d'audit décrites dans cette section 'Démonstration de Conformité'. Vous reconnaissez que le Service d'Abonnement est hébergé par nos partenaires de centres de données qui maintiennent des programmes de sécurité validés indépendamment (y compris SOC 2 et ISO 27001). De plus, sur votre demande écrite, nous fournirons des réponses écrites (sur une base confidentielle) à toutes les demandes raisonnables d'informations faites par vous nécessaires pour confirmer notre conformité avec cet ATD, à condition que vous n'exerciez ce droit plus d'une fois par année civile sauf si vous avez des motifs raisonnables de soupçonner la non-conformité avec l'ATD.

7. Dispositions Supplémentaires pour les Informations Personnelles Californiennes

a. Portée. La section 'Dispositions Supplémentaires pour les Informations Personnelles Californiennes' de l'ATD ne s'appliquera qu'aux Informations Personnelles Californiennes.

b. Rôles des Parties. Lors du traitement des Informations Personnelles Californiennes conformément à vos Instructions, les parties reconnaissent et conviennent que vous êtes une Entreprise et que nous sommes un Fournisseur de Services aux fins du CCPA.

c. Responsabilités. Les parties conviennent que nous Traiterons les Informations Personnelles Californiennes comme un Fournisseur de Services strictement aux fins d'exécuter les Services d'Abonnement et les Services de Conseil dans le cadre de l'Accord (la "Finalité Commerciale") ou comme autrement permis par le CCPA, y compris comme décrit dans la section 'Pratiques de Données et Données de Service' de notre Politique de Confidentialité du Produit.

8. Dispositions Générales

a. Amendements. Nonobstant toute autre chose contraire dans l'Accord et sans préjudice des sections 'Conformité aux Instructions' ou 'Sécurité' de cet ATD, nous nous réservons le droit d'apporter toute mise à jour et tout changement à cet ATD et les termes qui s'appliquent dans la section 'Amendement ; Aucune Renonciation' des Conditions Principales s'appliqueront.

b. Divisibilité. Si toute disposition individuelle de cet ATD est déterminée comme étant invalide ou inapplicable, la validité et l'applicabilité des autres dispositions de cet ATD ne seront pas affectées.

c. Limitation de Responsabilité. La responsabilité de chaque partie et de chacun de leurs Affiliés, prise en agrégat, découlant ou liée à cet ATD (et tout autre ATD entre les parties) et les Clauses Contractuelles Types (le cas échéant), que ce soit en contrat, délit ou sous toute autre théorie de responsabilité, sera soumise aux limitations et exclusions de responsabilité définies dans la section 'Limitation de Responsabilité' des Conditions Principales et toute référence dans cette section à la responsabilité d'une partie signifie la responsabilité agrégée de cette partie et de tous ses Affiliés en vertu de l'Accord (y compris cet ATD). Pour éviter tout doute, si Spoke SAS n'est pas partie à l'Accord, la section 'Limitation de Responsabilité' des Conditions Principales s'appliquera entre vous et Spoke SAS, et à cet égard toute référence à 'Spoke', 'nous', 'notre' ou 'nos' inclura à la fois Spoke SAS et l'entité Spoke qui est partie à l'Accord. En aucun cas la responsabilité de l'une ou l'autre partie ne sera limitée en ce qui concerne les droits de protection des données de tout individu en vertu de cet ATD (y compris les Clauses Contractuelles Types) ou autrement.

d. Droit Applicable. Cet ATD sera régi et interprété conformément aux sections 'Entité Contractante ; Droit Applicable ; Notification' des Conditions Spécifiques à la Juridiction, sauf si requis autrement par les Lois de Protection des Données.

9. Parties à cet ATD

a. Affiliés Autorisés. En signant l'Accord, vous concluez cet ATD (y compris, le cas échéant, les Clauses Contractuelles Types) pour votre propre compte et au nom et pour le compte de vos Affiliés Autorisés. Aux fins de cet ATD seulement, et sauf indication contraire, les termes "Client", "vous" et "votre" incluront vous et ces Affiliés Autorisés.

b. Autorisation. L'entité juridique qui accepte cet ATD en tant que Client représente qu'elle est autorisée à accepter et conclure cet ATD pour et au nom d'elle-même et, le cas échéant, de chacun de ses Affiliés Autorisés.

c. Recours. Les parties conviennent que (i) uniquement l'entité Client qui est la partie contractante à l'Accord exercera tout droit ou recherchera tout recours qu'un Affilié Autorisé peut avoir en vertu de cet ATD pour le compte de ses Affiliés, et (ii) l'entité Client qui est la partie contractante à l'Accord exercera tout tel droit en vertu de cet ATD non séparément pour chaque Affilié Autorisé individuellement mais de manière combinée pour elle-même et tous ses Affiliés Autorisés ensemble. L'entité Client qui est l'entité contractante est responsable de coordonner toutes les Instructions, autorisations et communications avec nous en vertu de l'ATD et sera habilitée à faire et recevoir toute communication relative à cet ATD pour le compte de ses Affiliés Autorisés.

d. Autres droits. Les parties conviennent que vous, lors de l'examen de notre conformité avec cet ATD en vertu de la section 'Démonstration de Conformité', prendrez toutes les mesures raisonnables pour limiter tout impact sur nous et nos Affiliés en combinant plusieurs demandes d'audit effectuées pour le compte de l'entité Client qui est la partie contractante à l'Accord et de tous ses Affiliés Autorisés en un seul audit.

Annexe 1 - Détails du Traitement

A. Liste des Parties

Exportateur de données :

Nom : Le Client, tel que défini dans les Conditions de Service Client Spoke (pour son propre compte et celui des Affiliés Autorisés) Adresse : L'adresse du Client, telle que définie dans le Bon de Commande Nom, poste et coordonnées de la personne de contact : Les coordonnées du Client, telles que définies dans le Bon de Commande et/ou telles que définies dans le Compte Spoke du Client Activités pertinentes aux données transférées en vertu de ces Clauses : Traitement des Données Personnelles en relation avec l'utilisation par le Client des Services d'Abonnement Spoke en vertu des Conditions de Service Client Spoke Rôle (responsable de traitement/sous-traitant) : Responsable de Traitement

Importateur de données :

Nom : Spoke SAS. Adresse : 35 rue Pauline Borghèse, 92200, Neuilly sur Seine, FRANCE Nom, poste et coordonnées de la personne de contact : Lazare ROSSILLON, PDG, 35 rue Pauline Borghèse, 92200, Neuilly sur Seine, FRANCE. Activités pertinentes aux données transférées en vertu de ces Clauses : Traitement des Données Personnelles en relation avec l'utilisation par le Client des Services d'Abonnement Spoke en vertu des Conditions de Service Client Spoke Rôle (responsable de traitement/sous-traitant) : Sous-traitant

B. Description du Transfert

Catégories de Personnes Concernées dont les Données Personnelles sont Transférées

Vous pouvez soumettre des Données Personnelles dans le cadre de l'utilisation du Service d'Abonnement, l'étendue de laquelle est déterminée et contrôlée par vous à votre seule discrétion, et qui peut inclure, mais ne se limite pas aux Données Personnelles relatives aux catégories suivantes de Personnes Concernées : Vos Contacts et autres utilisateurs finaux y compris vos employés, entrepreneurs, collaborateurs, clients, prospects, fournisseurs et sous-traitants. Les Personnes Concernées peuvent également inclure des individus tentant de communiquer avec ou transférer des Données Personnelles à vos utilisateurs finaux.

Catégories de Données Personnelles Transférées

Vous pouvez soumettre des Données Personnelles aux Services d'Abonnement, l'étendue de laquelle est déterminée et contrôlée par vous à votre seule discrétion, et qui peut inclure mais ne se limite pas aux catégories suivantes de Données Personnelles :

  • a. Informations de Contact (tel que défini dans les Conditions Principales).
  • b. Toute autre Donnée Personnelle soumise par, envoyée à, ou reçue par vous, ou vos utilisateurs finaux, via le Service d'Abonnement.

Données Sensibles transférées et restrictions ou sauvegardes appliquées

Étant donné la nature du service, il y a un potentiel pour le Client de soumettre des données sensibles. Il reste de la responsabilité du Client de reconnaître et déterminer la nature des données soumises.

Fréquence du transfert

Continue.

Nature du Traitement

Les Données Personnelles seront Traitées conformément à l'Accord (y compris cet ATD) et peuvent être soumises aux activités de Traitement suivantes :

  1. Stockage et autre Traitement nécessaire pour fournir, maintenir et améliorer les Services d'Abonnement fournis à vous ; et/ou
  2. Divulgation conformément à l'Accord (y compris cet ATD) et/ou comme contraint par les lois applicables.

Finalité du transfert et traitement ultérieur

Nous Traiterons les Données Personnelles comme nécessaire pour fournir les Services d'Abonnement en vertu de l'Accord, comme spécifié plus en détail dans le Bon de Commande, et comme autrement instruit par vous dans votre utilisation des Services d'Abonnement.

Période pendant laquelle les Données Personnelles seront conservées

Sous réserve de la section 'Suppression ou Retour des Données Personnelles' de cet ATD, nous Traiterons les Données Personnelles pour la durée de l'Accord, sauf accord contraire par écrit.

C. Autorité de Contrôle Compétente

Aux fins des Clauses Contractuelles Types, l'autorité de contrôle qui agira comme autorité de contrôle compétente est soit (i) où le Client est établi dans un État membre de l'UE, l'autorité de contrôle responsable d'assurer la conformité du Client avec le RGPD ; (ii) où le Client n'est pas établi dans un État membre de l'UE mais relève de la portée extra-territoriale du RGPD et a nommé un représentant, l'autorité de contrôle de l'État membre de l'UE dans lequel le représentant du Client est établi ; ou (iii) où le Client n'est pas établi dans un État membre de l'UE mais relève de la portée extra-territoriale du RGPD sans avoir à nommer un représentant, l'autorité de contrôle de l'État membre de l'UE dans lequel les Personnes Concernées sont principalement situées. En relation avec les Données Personnelles qui sont soumises au UK GDPR ou à la LPD Suisse, l'autorité de contrôle compétente est le Commissaire à l'Information du Royaume-Uni ou le Commissaire Fédéral Suisse à la Protection des Données et à l'Information (selon le cas).

Annexe 2 - Mesures de Sécurité

Mesures Techniques et Organisationnelles

Spoke met en œuvre et maintient les mesures techniques et organisationnelles suivantes pour protéger les Données Personnelles :

1. Contrôle d'Accès aux Locaux et Installations

  • Contrôles d'accès physiques aux centres de données
  • Surveillance vidéo et systèmes d'alarme
  • Procédures d'identification et d'authentification des visiteurs
  • Contrôles d'accès aux zones sensibles

2. Contrôle d'Accès aux Systèmes

  • Authentification multi-facteurs pour tous les accès
  • Gestion centralisée des identités et accès
  • Révision régulière des privilèges d'accès
  • Procédures de déprovisionnement des accès

3. Contrôle d'Accès aux Données

  • Chiffrement des données en transit et au repos
  • Contrôles d'accès basés sur les rôles
  • Journalisation et surveillance des accès aux données
  • Séparation des environnements de développement et de production

4. Transmission des Données

  • Chiffrement TLS 1.2+ pour toutes les transmissions
  • Validation des certificats SSL/TLS
  • Surveillance des connexions sécurisées
  • Contrôles d'intégrité des données

5. Entrée des Données

  • Validation des entrées utilisateur
  • Protection contre les injections SQL et XSS
  • Contrôles d'intégrité des données
  • Journalisation des modifications

6. Disponibilité

  • Sauvegardes automatisées et sécurisées
  • Plans de reprise après sinistre
  • Tests réguliers de restauration
  • Surveillance de la disponibilité des services

7. Séparation du Traitement

  • Isolation logique des données client
  • Environnements séparés par client
  • Contrôles d'accès spécifiques par environnement
  • Journalisation séparée par client

Annexe 3 - Liste des Sous-traitants

Sous-traitants Actuels

Spoke utilise les sous-traitants suivants pour fournir les Services d'Abonnement :

Fournisseurs d'Infrastructure Cloud

  • Amazon Web Services (AWS) - Hébergement et infrastructure cloud
  • Google Cloud Platform (GCP) - Services cloud complémentaires

Services de Communication

  • SendGrid - Envoi d'emails transactionnels
  • Twilio - Services de communication (SMS, voix)

Services de Paiement

  • Stripe - Traitement des paiements
  • PayPal - Paiements alternatifs

Services d'Analytics et Monitoring

  • Google Analytics - Analytics web
  • Mixpanel - Analytics comportementales
  • Sentry - Monitoring d'erreurs

Services de Support

  • Intercom - Support client et chat
  • Zendesk - Système de tickets de support

Services de Stockage et CDN

  • Cloudflare - CDN et protection DDoS
  • AWS S3 - Stockage de fichiers

Procédure de Notification

Conformément à la section 5 de cet ATD, Spoke notifiera les clients de tout ajout ou remplacement de sous-traitant au moins 15 jours avant le changement, si le client a opté pour recevoir ces notifications.

Annexe 4 - Clauses Contractuelles Types

Clause 1 - Objet et durée

a) Ces clauses contractuelles types s'appliquent conformément à l'article 28(3) et (4) du RGPD pour le transfert de données personnelles vers des sous-traitants établis dans des pays tiers qui n'assurent pas un niveau de protection adéquat au sens du RGPD.

b) L'exportateur de données est (veuillez spécifier) : Le Client, tel que défini dans les Conditions de Service Client Spoke.

c) L'importateur de données est (veuillez spécifier) : Spoke SAS, 35 rue Pauline Borghèse, 92200, Neuilly sur Seine, FRANCE.

d) Les parties conviennent que ces clauses constituent également des clauses contractuelles types pour les fins de l'article 28(3) et (4) du RGPD et pour les fins de l'article 29(3) du RGPD.

e) Ces clauses entrent en vigueur à la date de signature de l'Accord.

f) Ces clauses sont sans préjudice des obligations auxquelles l'exportateur de données est soumis en vertu du RGPD.

Clause 2 - Droits et obligations de l'exportateur de données

a) L'exportateur de données déclare et garantit qu'il a le droit et l'autorité nécessaires pour transférer les données personnelles à l'importateur de données.

b) L'exportateur de données s'engage à :

  • Documenter et maintenir à jour les instructions de traitement
  • S'assurer, avant et pendant le traitement, que l'importateur de données respecte ses obligations en vertu de ces clauses
  • Surveiller le traitement par l'importateur de données
  • Exercer ses droits d'audit en vertu de la clause 8.9

Clause 3 - Droits et obligations de l'importateur de données

a) L'importateur de données s'engage à :

  • Traiter les données personnelles uniquement sur la base d'instructions documentées de l'exportateur de données
  • Informer l'exportateur de données si, à son avis, une instruction enfreint le RGPD ou d'autres lois de protection des données
  • Garantir la confidentialité des données personnelles
  • Mettre en œuvre des mesures techniques et organisationnelles appropriées
  • Respecter les conditions pour engager un autre sous-traitant
  • Aider l'exportateur de données à répondre aux demandes des personnes concernées
  • Aider l'exportateur de données à assurer la conformité avec les obligations de sécurité, notification et évaluation d'impact
  • Supprimer ou retourner toutes les données personnelles après la fin des services
  • Rendre disponibles toutes les informations nécessaires pour démontrer la conformité
  • Permettre et contribuer aux audits
  • Informer l'exportateur de données de toute violation de données personnelles

Clause 4 - Responsabilité

a) Chaque partie sera responsable envers l'autre partie pour toute violation de ces clauses.

b) Les parties conviennent que si l'exportateur de données subit un dommage en raison de toute violation de ces clauses par l'importateur de données ou ses sous-traitants, l'exportateur de données pourra réclamer une indemnisation à l'importateur de données pour tout dommage subi.

c) L'importateur de données sera responsable envers l'exportateur de données pour toute violation de ces clauses causée par les actes ou omissions de ses sous-traitants.

Clause 5 - Droit applicable

a) Ces clauses sont régies par le droit de l'État membre dans lequel l'exportateur de données est établi.

b) En cas de litige entre les parties, les tribunaux compétents seront ceux de l'État membre dans lequel l'exportateur de données est établi.

Clause 6 - Résiliation

a) En cas de violation par l'importateur de données de ses obligations en vertu de ces clauses, l'exportateur de données peut suspendre le transfert de données personnelles et/ou résilier le contrat.

b) L'exportateur de données peut résilier le contrat si l'importateur de données ne respecte pas une décision judiciaire ou une décision de l'autorité de contrôle compétente.

c) Les parties conviennent que la résiliation du contrat ne libère pas l'importateur de données de ses obligations en vertu de ces clauses.

Fin de l'Accord de Traitement des Données

Conditions légales

Legal information, terms, and policies for Meeting BaaS.

On this page

Accord de Traitement des DonnéesSAS SPOKE1. Définitions2. Responsabilités du Client3. Obligations de Spoke4. Demandes des Personnes Concernées5. Sous-traitants6. Dispositions Supplémentaires pour les Données Européennes7. Dispositions Supplémentaires pour les Informations Personnelles Californiennes8. Dispositions Générales9. Parties à cet ATDAnnexe 1 - Détails du TraitementA. Liste des PartiesExportateur de données :Importateur de données :B. Description du TransfertCatégories de Personnes Concernées dont les Données Personnelles sont TransféréesCatégories de Données Personnelles TransféréesDonnées Sensibles transférées et restrictions ou sauvegardes appliquéesFréquence du transfertNature du TraitementFinalité du transfert et traitement ultérieurPériode pendant laquelle les Données Personnelles seront conservéesC. Autorité de Contrôle CompétenteAnnexe 2 - Mesures de SécuritéMesures Techniques et Organisationnelles1. Contrôle d'Accès aux Locaux et Installations2. Contrôle d'Accès aux Systèmes3. Contrôle d'Accès aux Données4. Transmission des Données5. Entrée des Données6. Disponibilité7. Séparation du TraitementAnnexe 3 - Liste des Sous-traitantsSous-traitants ActuelsFournisseurs d'Infrastructure CloudServices de CommunicationServices de PaiementServices d'Analytics et MonitoringServices de SupportServices de Stockage et CDNProcédure de NotificationAnnexe 4 - Clauses Contractuelles TypesClause 1 - Objet et duréeClause 2 - Droits et obligations de l'exportateur de donnéesClause 3 - Droits et obligations de l'importateur de donnéesClause 4 - ResponsabilitéClause 5 - Droit applicableClause 6 - Résiliation