Mise à jour le : 7 juillet 2023

1. Introduction et champ d’application

  1. Le présent addendum sur le traitement des données (« DPA ») est un addendum aux conditions de serviceConditions ») et fait partie de l’accord (tel que défini dans les conditions). Toutes les dispositions des Conditions, y compris les limitations de responsabilité, s’appliquent à ce DPA et y sont incorporées. En cas de conflit entre les dispositions du présent DPA et les dispositions des conditions, ce sont les dispositions du présent DPA qui prévalent.
  2. Mises à jour du DPA. Nous pouvons modifier le présent DPA à tout moment et à notre seule discrétion. Nous informerons par e-mail le propriétaire de l’entreprise (défini ci-dessous) de toute modification importante apportée à la présente DPA. Nous pouvons également publier une notification de ces changements dans MyKinsta. Votre utilisation continue de nos services pendant plus de 30 jours après notre notification par e-mail au propriétaire de l’entreprise constituera votre acceptation de nos changements à ce DPA. Si vous n’acceptez pas les modifications apportées à ce DPA, vous pouvez résilier votre compte et l’accord conformément à la section 9 des conditions.

2. Définitions

Les termes en majuscules qui ne sont pas définis dans le présent DPA ont la signification qui leur est donnée ailleurs dans le contrat. En outre, les termes définis ci-après s’appliquent uniquement au présent DPA.

  1. « Contrôleur », « Entreprise », « Sous-traitant », « Prestataire de services », « Personne concernée »(y compris « Consommateur »), « Traitement », « Données à caractère personnel » (y compris « Informations personnelles ») et « Vendre » (y compris « Partager » en vertu du CCPA) (ainsi que les variations similaires ou connexes de ces termes) ont la signification qui leur est attribuée dans les Lois sur la protection des données applicables.
  2. « Données personnelles du client » désigne toutes les données personnelles qui sont transmises, stockées ou traitées de toute autre manière par ou via vos applications client dans le cadre de la fourniture des services par Kinsta.
  3. « Violation des données personnelles » signifie toute destruction, perte, altération, divulgation ou accès accidentel ou non autorisé à toute donnée personnelle du client, à l’exclusion des tentatives infructueuses ou des activités qui ne compromettent pas la sécurité ou l’intégrité des données personnelles du client, y compris, mais sans s’y limiter, les tentatives de connexion, les pings, les balayages de port, les attaques par déni de service et autres attaques de réseau sur les pare-feux ou les systèmes en réseau.
  4. « Lois de l’UE sur la protection des données » désigne le Règlement général de l’UE sur la protection des données 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (« RGPD »), tel que mis en œuvre et complété par la législation nationale de chaque État membre, la loi britannique sur la protection des données 2018 et le RGPD du Royaume-Uni, et la loi suisse sur la protection des données, et dans chaque cas, tel que modifié, remplacé ou remplacé de temps à autre.
  5. « Lois américaines sur la protection des données » : le California Consumer Privacy Act (tel que modifié par le California Privacy Rights Act) (collectivement, le « CCPA »), le Colorado Privacy Act, le Connecticut Personal Data Privacy and Online Monitoring Act, l’Indiana Consumer Data Protection Act, l’Iowa Consumer Data Protection Act, le Montana Consumer Data Privacy Act, le Tennessee Information Protection Act, le Virginia Consumer Data Protection Act, l’Utah Consumer Privacy Act, et dans chaque cas, tels qu’ils sont modifiés, remplacés ou remplacés de temps à autre.
  6. « Lois sur la protection des données » désigne les lois et réglementations relatives à la confidentialité, à l’intégrité et à la sécurité des données personnelles des clients, y compris les lois sur la protection des données de l’UE et les lois sur la protection des données des États-Unis, qui s’appliquent au traitement par Kinsta de vos données personnelles de client.
  7. « Transfert international » signifie une exportation de
    1. Données personnelles du client,
    2. régies par l’une des Lois européennes sur la protection des données,
    3. vers un pays tiers en dehors de l’Espace économique européen (« EEE »), du Royaume-Uni (« RU ») ou de la Suisse,
    4. qui n’est pas désigné par la Commission européenne, le Royaume-Uni ou la Suisse comme assurant un niveau de protection adéquat.
  8. « SCC » désigne les clauses contractuelles types, telles qu’adoptées par la décision d’exécution (UE) 2021/914 de la Commission du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en application du règlement (UE) 2016/679 du Parlement européen et du Conseil.
  9. « Addendum UK » désigne l’addendum sur le transfert international de données aux clauses contractuelles types de la Commission de l’UE publié par le bureau du commissaire à l’information du Royaume-Uni, VERSION B1.0, en vigueur le 21 mars 2022.

3. Rôles, obligations générales et dispositions de la CCPA

  1. Le Client est le Contrôleur et l’Entreprise, et Kinsta est le Processeur et le Prestataire de services en ce qui concerne les Données personnelles du Client. Kinsta ne traitera les Données Personnelles du Client que dans le but de fournir les Services conformément aux instructions documentées du Client, qui incluent les dispositions de l’Accord, à moins qu’il ne soit nécessaire de se conformer à toute loi sur la protection des données. Nous vous informerons si vos instructions violent les lois sur la protection des données. La nature, l’objectif et la durée du traitement sont définis dans l’annexe I du SCC.
  2. Kinsta certifie, comprend et accepte de ne pas
    1. Vendre les données personnelles des clients,
    2. conserver, utiliser ou divulguer les Données Personnelles des Clients à toute fin (y compris toute fin commerciale) autre que la finalité spécifique de l’exécution des Services conformément à l’Accord, sauf autorisation expresse de la SCC, ou
    3. conserver, utiliser ou divulguer les données personnelles des clients en dehors de la relation commerciale directe entre vous et Kinsta, sauf autorisation expresse de la CCPA.
  3. Le client et Kinsta doivent se conformer aux lois sur la protection des données. Le Client doit obtenir toutes les autorisations, consentements, décharges ou permissions nécessaires, et fournir tous les avis de confidentialité requis, concernant les Données personnelles du Client. Pour éviter toute ambiguïté, sauf disposition contraire dans le présent DPA, le client est seul responsable de l’exactitude, de la qualité et de la légalité de toutes les données personnelles du client et des bases sur lesquelles elles sont collectées auprès de la personne concernée.

4. Sécurité et évaluations d’impact

  1. Kinsta veille à ce que son personnel soit soumis à des obligations contraignantes de confidentialité en ce qui concerne les données à caractère personnel des clients.
  2. En tenant compte de l’état de l’art, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du Traitement, ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des Personnes concernées, Kinsta met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, y compris les mesures énoncées à l’Annexe II des SCC.
  3. Compte tenu de la nature du Traitement et des informations dont dispose Kinsta, Kinsta aide le Client à se conformer aux obligations qui lui incombent en vertu des Lois sur la protection des données en ce qui concerne la sécurité, les évaluations d’impact et les consultations avec les autorités de contrôle ou les régulateurs.

5. Violation de données à caractère personnel

  1. Compte tenu de la nature du Traitement et des informations dont dispose Kinsta, Kinsta aidera le Client à se conformer aux obligations qui lui incombent en vertu des Lois sur la protection des données en ce qui concerne la violation de données à caractère personnel.
  2. Si nous découvrons une violation de données à caractère personnel, Kinsta doit, dans les plus brefs délais, en informer par écrit les contacts techniques et les contacts de compte du Client, y compris le Propriétaire de l’entreprise, en utilisant les moyens établis pour les communications de routine liées au compte.
  3. Notre notification comprendra les éléments suivants, dans la mesure où ils sont connus à ce moment-là (et mis à jour au fur et à mesure que des informations supplémentaires deviennent raisonnablement disponibles) :
    1. les dates et heures de la violation de données à caractère personnel,
    2. les faits de base qui sous-tendent la découverte de la violation de données à caractère personnel ou la décision d’ouvrir une enquête sur une violation présumée de données à caractère personnel, selon le cas,
    3. une description des données à caractère personnel du client concernées par la violation de données à caractère personnel, soit de manière spécifique, soit par référence aux catégories de données, et
    4. les mesures prévues ou en cours pour remédier ou atténuer la vulnérabilité à l’origine de la violation de données à caractère personnel.

6. Demandes des données concernées

  1. Compte tenu de la nature du Traitement, Kinsta assistera le Client par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour l’accomplissement de l’obligation du Client de répondre aux demandes d’exercice des droits de la Personne concernée en vertu des Lois sur la protection des données.
  2. Kinsta informera rapidement le client si nous recevons une demande de la part d’une personne concernée d’invoquer ses droits en ce qui concerne les données personnelles du client, à moins que la loi applicable ne l’interdise. Nous ne prendrons aucune mesure indépendante en réponse à une demande d’une personne concernée sans l’instruction écrite préalable du client, sauf si la loi applicable l’exige.

7. Centres de données et transferts internationaux

  1. Vous choisissez le(s) centre(s) de données de Google Cloud Platform où vos Applications Client seront hébergées. Vous reconnaissez, acceptez et comprenez que :
    1. Toutes vos Données Personnelles Client seront automatiquement transférées et stockées dans le centre de données Google que vous avez choisi.
    2. En fonction de votre choix, les Données Personnelles Client peuvent être transférées de l’EEA, du Royaume-Uni ou de la Suisse vers le pays où se trouve le centre de données Google.
  2. Kinsta et Google ont accepté le Cloud Data Processing Addendum (y compris les SCC). Pour plus d’informations, consultez les engagements de Google concernant les transferts transfrontaliers dans la section « Transfert international de données » ici : https://cloud.google.com/security/gdpr/.
  3. Nonobstant le choix du centre de données du Client, certains aspects des Services peuvent nécessiter des Transferts internationaux. Le Client autorise ces Transferts internationaux de Données personnelles du Client dans le seul but de fournir les Services. Les transferts internationaux sont soumis au MODULE DEUX (responsable du traitement vers sous-traitant) des SCC. Pour les Transferts internationaux depuis la Suisse, les parties conviennent que toutes les adaptations et modifications des SCC exigées par le Préposé fédéral suisse à la protection des données et à la transparence sont incorporées dans les SCC (les « Modifications suisses »). Pour les transferts internationaux en provenance du Royaume-Uni, les parties acceptent l’addendum britannique. Les informations du tableau de l’addendum britannique sont les suivantes : Tableau 1 : voir l’annexe I de la SCCC ci-dessous ; Tableau 2 : voir la section 7.D ci-dessous ; Tableau 3 : voir les annexes I et II de la CSC ci-dessous ; la liste des sous-traitants de Kinsta se trouve à l’adresse suivante : https://kinsta.com/legal/subprocessors/ ; Tableau 4 : l’importateur et l’exportateur peuvent mettre fin à l’addendum britannique conformément à la section 19 de celui-ci.
  4. En ce qui concerne les dispositions facultatives des SCC, des amendements suisses et de l’addendum britannique, les parties conviennent de ce qui suit :
    1. Les parties acceptent la clause 7.
    2. Les parties choisissent l’OPTION 2 dans la clause 9(a).
    3. Les parties n’acceptent pas les dispositions facultatives de la clause 11(a).
    4. Les parties choisissent l’OPTION 1 de la clause 17 et l’État membre sera l’Irlande, le Royaume-Uni ou la Suisse, selon le cas.
    5. Les parties conviennent que l’État membre visé à la clause 18(b) est l’Irlande, le Royaume-Uni ou la Suisse, selon le cas.
  5. Les SCC, les amendements suisses et l’addendum britannique, le cas échéant, sont incorporés par référence dans le présent DPA pour tous les transferts internationaux. L’acceptation de l’accord par les parties vaut accord respectif de se conformer aux SCC, aux amendements suisses et à l’addendum britannique pertinents en ce qui concerne les transferts internationaux.

8. Sous-traitants

  1. Kinsta engage des sous-traitants tiers qui traitent les données personnelles des clients (« Sous-traitants ») dans le but de fournir les Services. Une liste actualisée des sous-traitants est disponible ici : https://kinsta.com/fr/mentions-legales/sous-traitants/ (la « Liste des sous-traitants »). Le Client autorise Kinsta à engager ces Sous-Traitants dans le but de fournir les Services.
  2. Avant d’ajouter ou de remplacer tout Sous-Traitant, Kinsta fournira une notification écrite de ces changements au contact du Propriétaire de l’Entreprise figurant dans MyKinsta. L’absence d’objection écrite du Client à un nouveau Sous-Traitant dans les 14 jours suivant la notification par Kinsta du nouveau Sous-Traitant constituera l’autorisation du Client au nouveau Sous-Traitant.
  3. Si Kinsta détermine, à sa seule discrétion, qu’elle ne peut raisonnablement satisfaire l’objection du client à un sous-traitant secondaire dans les délais impartis, le client peut, sur notification de Kinsta, choisir de résilier l’accord conformément aux dispositions de résiliation des conditions de service, ce qui constitue le seul et unique recours du client.
  4. Kinsta impose à ses sous-traitants des obligations identiques ou équivalentes à celles énoncées dans le présent DPA, par le biais d’un contrat écrit. Kinsta est responsable envers le Client de l’exécution par les Sous-Traitants de ses obligations en matière de protection des données en ce qui concerne les Données Personnelles du Client.

9. Audit et inspection

  1. Sous réserve d’un accord écrit de confidentialité et de non-divulgation, Kinsta fournit au client les informations raisonnablement nécessaires pour démontrer le respect des obligations énoncées dans le présent DPA.
  2. Tout audit demandé par le client pour évaluer et vérifier le respect du présent DPA est (i) soumis et conditionné à un préavis écrit raisonnable, d’au moins soixante (60) jours, adressé à Kinsta ; (ii) soumis et conditionné à un accord écrit de confidentialité et de non-divulgation et à un plan d’audit écrit détaillé examiné et pré-approuvé par Kinsta ; (iii) limité à une fois par période de douze (12) mois ; (iv) aux frais et dépens exclusifs du client ; (v) limités dans leur portée et leur objectif à l’évaluation d’un manquement présumé spécifiquement identifié de Kinsta aux dispositions du présent DPA et uniquement après que le client a épuisé tous les autres moyens raisonnables déterminés par Kinsta ; et (vi) en la présence virtuelle ou physique d’un représentant de Kinsta sans perturber de manière déraisonnable les activités commerciales de Kinsta.

10. Suppression ou retour des données personnelles du client

En cas de résiliation en bonne et due forme de l’Accord et sur instruction écrite du Client, Kinsta prendra des mesures raisonnables pour supprimer les Données Personnelles du Client ou pour restituer les Données Personnelles du Client et leurs copies au Client, sous réserve des lois applicables ou d’autres obligations de Kinsta exigeant le maintien du stockage des Données Personnelles du Client par Kinsta.

SCC Annexe I

A. LISTE DES PARTIES

Exportateur de données:

Nom: L’entité identifiée comme le client.

Adresse: L’adresse du Client enregistrée dans MyKinsta ou autrement spécifiée dans l’Accord : L’adresse du Client enregistrée dans MyKinsta ou autrement spécifiée dans l’Accord.

Nom, fonction et coordonnées du contact: Les coordonnées du propriétaire de l’entreprise associé au compte du client, ou comme spécifié dans l’accord.

Activités liées aux données transférées en vertu des clauses: Exploitation des applications du client sur la plateforme d’hébergement de Kinsta

Signature et date: Les parties conviennent que l’acceptation ou l’exécution de l’Accord, selon le cas, constitue l’exécution de ces SCC par les deux parties.

Rôle: Contrôleur

Importateur de données:

Nom: Kinsta Inc : Kinsta Inc.
Adresse: 8605 Santa Monica Blvd #92581, West Hollywood, CA 90069, USA
Nom, fonction et coordonnées de la personne à contacter: Équipe de protection des données de Kinsta [email protected] ou par courrier à l’adresse ci-dessus

Activités liées aux données transférées en vertu des clauses: Fourniture des services
Signature et date: Les parties conviennent que l’acceptation ou l’exécution de l’accord, selon le cas, constitue l’exécution des présentes SCC par les deux parties.

Rôle: Responsable du traitement

B. DESCRIPTION DU TRANSFERT

Catégories de personnes dont les données à caractère personnel sont transférées

Toute personne susceptible de visiter, d’utiliser ou d’accéder aux applications du client, ou dont les données à caractère personnel sont transmises, stockées ou traitées d’une autre manière par le client via les applications du client, y compris, par exemple : les employés et autres membres du personnel, les clients (y compris leur personnel), les visiteurs du site web ou les utilisateurs finaux, les fournisseurs (y compris leur personnel), les parents et associés des personnes susmentionnées, les conseillers, consultants et autres experts professionnels, les actionnaires, les membres ou les sympathisants, et les étudiants et les élèves.

Catégories de données à caractère personnel transférées

Toutes les catégories autorisées par le client à être transmises, stockées ou traitées d’une autre manière par l’intermédiaire des applications du client. Ces catégories peuvent inclure, par exemple, des informations de contact, des informations sur l’emploi, des informations financières, des informations sur l’éducation et la formation, des identifiants d’une autorité publique, la famille, le style de vie et les circonstances sociales.

Données sensibles transmises (le cas échéant) et restrictions appliquées

Le client peut autoriser la transmission, le stockage ou tout autre traitement de données sensibles par l’intermédiaire des applications client. Les restrictions et garanties spécifiées à l’annexe II s’appliquent à ces catégories de données à caractère personnel (le cas échéant). Il incombe au client d’informer Kinsta des catégories spécifiques de données sensibles transférées et de toute restriction supplémentaire appliquée.

Fréquence du transfert
Continue

Nature du traitement
Traitement lié à la fourniture des services, y compris l’hébergement des applications du client et l’assistance connexe.

Finalité(s) du transfert et du traitement ultérieur des données
Fourniture des services

Durée de conservation des données à caractère personnel
Conformément à la section 10 du RGPD

Pour les transferts à des sous-traitants (secondaires), précisez l’objet, la nature et la durée du traitement
L’objet, la nature et la durée du traitement par les sous-traitants ultérieurs sont indiqués dans la présente annexe I, section B.

C. AUTORITÉ DE CONTRÔLE COMPÉTENTE

Identifiez l’autorité ou les autorités de contrôle compétente(s) conformément à la clause 13
Irlande

SCC Annexe II

LES MESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS LES MESURES TECHNIQUES ET ORGANISATIONNELLES VISANT À GARANTIR LA SÉCURITÉ DES DONNÉES.

  • Toutes les données personnelles des clients transférées par Kinsta sont cryptées en transit.
  • Toutes les données personnelles des clients stockées sur l’infrastructure Google Cloud (toutes les applications des clients et les journaux d’accès) sont cryptées au repos.
  • Les fonctions de sécurité de Cloudflare, y compris leur pare-feu d’application web (WAF) et leur protection DDoS, sont intégrées dans les Services.
  • Nous avons mis en place des politiques de sécurité de l’information qui limitent les activités des membres de notre équipe liées au traitement des données personnelles des clients aux seules activités de traitement nécessaires à la fourniture des services.
  • Tous les membres de l’équipe signent un accord comprenant des dispositions de non-divulgation avant d’avoir accès aux données personnelles des clients.
  • Nous disposons d’une équipe de sécurité dédiée à plein temps.
  • Nous avons identifié un groupe de supervision de la sécurité qui comprend des membres de nos équipes d’ingénierie, d’exploitation, juridique et de direction.
  • Les sous-traitants des données personnelles des clients ne sont utilisés qu’après un examen et une approbation formels.
  • Nous faisons des efforts raisonnables pour traiter, transférer et conserver uniquement la quantité et le type de données nécessaires à la fourniture des services.
  • Nous avons mis en place des politiques et des pratiques de gestion des identités et des accès, en suivant les principes du moindre privilège et du contrôle d’accès basé sur les rôles (RBAC).
  • Tous les membres de l’équipe reçoivent une formation sur les questions de confidentialité des données et sur nos politiques.
  • Des contrôles d’accès physiques ont été mis en place par Google Cloud pour limiter l’accès au matériel physique des centres de données. Google Cloud a également reçu plusieurs certifications et audits liés à la sécurité, notamment un rapport SOC 2 de type II et une certification ISO 27001.
  • Le cas échéant, l’authentification à deux facteurs a été activée sur tous les comptes des membres de l’équipe ayant accès aux données personnelles des clients.
  • L’accès à la racine aux conteneurs et aux serveurs des clients se fait uniquement par une clé privée unique, et les membres de l’équipe ne disposent que de l’accès minimum nécessaire à l’accomplissement de leurs tâches.
  • L’accès à la racine n’est possible que via des points d’accès réseau dédiés et non les mêmes points d’accès que l’accès client normal.
  • Kinsta offre des certificats SSL gratuits et permet aux clients de forcer les connexions HTTPS pour crypter tout le trafic de l’application client en transit.
  • Kinsta limite les connexions non-HTTP aux seuls protocoles sécurisés (SSH, SFTP).
  • Les applications des clients sont protégées par un pare-feu personnalisé géré par l’équipe d’ingénierie de Kinsta.
  • De multiples formes de sauvegardes régulières sont créées. Les clients peuvent facilement télécharger les sauvegardes pour les transférer vers d’autres hôtes (portabilité) ou pour les stocker sur d’autres services.
  • Les clients ont la possibilité de supprimer leurs applications de la plateforme. En cas de résiliation des services, Kinsta s’efforce raisonnablement de supprimer toutes les données personnelles des clients dans un délai de 45 jours.
  • Les paquets de serveur et les logiciels sont maintenus à jour par notre équipe d’ingénieurs. Les mises à jour de sécurité sont appliquées rapidement.

Versions précédentes

25 octobre 2022