Avenant relatif au traitement des données

Le présent Avenant relatif au traitement des données (« DPA ») fait partie intégrante des Conditions d’utilisation conclues entre Kaligon Ltd, société constituée dans l’État d’Israël (n° de société 515713865), Yaakov St 26, Rehovot, 7626237, Israël (« Kaligon », « Sous-traitant »), et le client (« Client », « Responsable du traitement »). Il s’applique chaque fois que Kaligon traite des données à caractère personnel pour le compte du Client dans le cadre des Services, et reflète l’article 28 du Règlement général sur la protection des données de l’UE et du Royaume-Uni (« RGPD ») ainsi que la loi israélienne relative à la protection de la vie privée, 5741-1981, et le règlement relatif à la protection de la vie privée (sécurité des données), 5777-2017.

1. Rôles et champ d’application

Pour le Contenu Client contenant des données à caractère personnel, le Client est le responsable du traitement (ou un sous-traitant agissant pour le compte d’un responsable du traitement tiers) et Kaligon est le sous-traitant (ou le sous-traitant ultérieur). Chaque partie se conforme aux lois sur la protection des données qui lui sont applicables. Le traitement distinct, par Kaligon, des données à caractère personnel relatives aux comptes, à la facturation et au site web — lorsqu’elle agit en qualité de responsable du traitement — est décrit dans la Politique de confidentialité, et non dans le présent DPA.

2. Traitement sur instructions documentées

Kaligon ne traite les données à caractère personnel que sur instructions documentées du Client — y compris les Conditions, le présent DPA, ainsi que la configuration et l’utilisation des Services par le Client — et lorsque la loi l’exige, auquel cas Kaligon en informera (dans la mesure où la loi le permet) préalablement le Client. Kaligon informe le Client si elle estime qu’une instruction enfreint la législation applicable en matière de protection des données.

3. Confidentialité

Kaligon veille à ce que le personnel autorisé à traiter des données à caractère personnel soit soumis à des obligations de confidentialité appropriées et soit formé à ses responsabilités.

4. Sécurité

Kaligon met en œuvre et maintient des mesures techniques et organisationnelles appropriées destinées à garantir un niveau de sécurité adapté au risque, compte tenu de l’article 32 du RGPD et du règlement relatif à la sécurité des données, 5777-2017. Ces mesures sont résumées à l’Annexe 2 et peuvent être mises à jour à condition que le niveau de protection ne soit pas substantiellement réduit.

5. Sous-traitants ultérieurs

Le Client accorde à Kaligon une autorisation générale de recourir à des sous-traitants ultérieurs pour fournir les Services. Une liste à jour des sous-traitants ultérieurs est disponible sur demande à l’adresse hello@kaligon.cloud (et résumée à l’Annexe 3). Kaligon impose à chaque sous-traitant ultérieur des obligations en matière de protection des données qui ne sont pas moins protectrices que celles prévues dans le présent DPA, et demeure responsable de l’exécution par ses sous-traitants ultérieurs. Kaligon notifie au Client, dans un délai raisonnable, tout projet d’ajout ou de remplacement d’un sous-traitant ultérieur, période pendant laquelle le Client peut s’y opposer pour des motifs raisonnables liés à la protection des données.

6. Demandes des personnes concernées

Compte tenu de la nature du traitement, Kaligon aide le Client, par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, à répondre aux demandes des personnes concernées exerçant leurs droits. Si Kaligon reçoit directement une telle demande, elle renverra, lorsque la loi le permet, la personne concernée vers le Client.

7. Assistance

Kaligon fournit au Client une assistance raisonnable en matière de sécurité, de notification des violations, d’analyses d’impact relatives à la protection des données et de consultation préalable des autorités de contrôle, compte tenu de la nature du traitement et des informations dont dispose Kaligon.

8. Violations de données à caractère personnel

Kaligon notifie au Client, sans retard injustifié après en avoir pris connaissance, toute violation de données à caractère personnel affectant les données à caractère personnel du Client, et lui fournit les informations dont elle dispose raisonnablement afin d’aider le Client à respecter ses propres obligations de notification envers les autorités et les personnes concernées.

9. Transferts internationaux

Lorsque le traitement implique un transfert de données à caractère personnel hors de l’EEE, du Royaume-Uni ou de la Suisse vers un pays ne bénéficiant pas d’une décision d’adéquation, les parties s’appuient sur un mécanisme de transfert approprié — y compris les Clauses contractuelles types de la Commission européenne et l’Avenant relatif aux transferts internationaux de données du Royaume-Uni (UK International Data Transfer Addendum), qui sont incorporés par référence — assorti des mesures supplémentaires nécessaires.

10. Audits et informations

Kaligon met à disposition les informations raisonnablement nécessaires pour démontrer le respect du présent DPA et autorise et contribue aux audits, y compris les inspections, réalisés par le Client ou un auditeur qu’il mandate, moyennant un préavis raisonnable, sous réserve de la confidentialité et de limites visant à protéger la sécurité et les données des autres clients. Lorsqu’ils sont disponibles, des rapports et certifications établis par des tiers peuvent être fournis pour répondre aux demandes d’audit.

11. Suppression ou restitution

À la résiliation des Services, et au choix du Client, Kaligon supprime ou restitue les données à caractère personnel du Client et supprime les copies existantes dans un délai raisonnable (et, en tout état de cause, dans le délai de suppression indiqué dans les Conditions), à moins que la conservation ne soit requise par la loi applicable.

12. Responsabilité

La responsabilité de chaque partie au titre du présent DPA est soumise aux limitations et exclusions de responsabilité énoncées dans les Conditions d’utilisation.

13. Ordre de priorité et droit applicable

En cas de conflit entre le présent DPA et les Conditions concernant le traitement des données à caractère personnel, le présent DPA prévaut. Sauf disposition contraire d’une loi impérative en matière de protection des données (y compris le RGPD ou les Clauses contractuelles types), le présent DPA est régi par le droit et la juridiction indiqués dans les Conditions.

Annex 1 — Détails du traitement

• Objet et durée — fourniture des Services pour la durée des Conditions.
• Nature et finalité — hébergement, stockage, transmission et traitement informatique du Contenu Client tel que configuré par le Client.
• Types de données à caractère personnel — toute donnée à caractère personnel que le Client choisit d’inclure dans le Contenu Client ; Kaligon n’en exige ni n’en contrôle le contenu.
• Catégories de personnes concernées — telles que déterminées par le Client (par exemple, les utilisateurs, clients ou employés du Client).

Annex 2 — Mesures de sécurité

Chiffrement en transit et au repos ; contrôles d’accès et principe du moindre privilège ; segmentation du réseau et isolation au périmètre du projet ; journalisation, surveillance et journal d’audit conservé 90 jours ; développement sécurisé et gestion des changements ; et réponse aux incidents. Des informations détaillées sont disponibles sur demande.

Annex 3 — Sous-traitants ultérieurs

Stripe (traitement des paiements) ; partenaires d’infrastructure et de centres de données dans les régions où Kaligon est présente (Texas et New York, États-Unis ; London, Royaume-Uni ; Amsterdam, Pays-Bas) ; et un prestataire d’envoi d’e-mails transactionnels. Une liste détaillée et à jour est disponible à l’adresse hello@kaligon.cloud.

Contact

Pour toute question relative au présent DPA ou pour demander la liste des sous-traitants ultérieurs, les Clauses contractuelles types ou la documentation de sécurité : hello@kaligon.cloud.