Mis à jour le : 25 septembre 2025

1. Introduction et champ d’application

  1. Le présent addendum sur le traitement des données (« DPA« ) est un addenda aux conditions de service (« Termes« ) ou à l’accord-cadre de services (« MSA« ), selon le cas, et fait partie de l’accord. Toutes les dispositions de l’accord, y compris les limitations de responsabilité, s’appliquent à ce DPA et y sont incorporées. Mais, s’il y a un conflit direct entre les dispositions du présent DPA et toute disposition des Conditions ou du MSA, alors les dispositions du présent DPA prévaudront.
  2. Mises à jour de la DPA : Nous pouvons apporter des modifications à cette DPA à tout moment et à notre seule discrétion. Nous fournirons un avis de tout changement important à ce DPA par e-mail au propriétaire de l’entreprise ou en affichant une notification de ces changements dans la Plateforme. Votre utilisation continue de nos services pendant plus de 30 jours après la transmission de notre notification constituera votre acceptation de nos changements à ce DPA. Si vous n’acceptez pas les modifications apportées à ce DPA, vous pouvez résilier votre compte et l’accord conformément à l’accord.

2. Définitions

Les termes en majuscules qui ne sont pas définis dans le présent DPA ont la signification prévue ailleurs dans le contrat. En outre, les termes définis suivants s’appliquent uniquement à la présente DPA.

  1. « Contrôleur« , « Entreprise« , « Processeur« , « Prestataire de services« , « Personne concernée » (qui inclut « Consommateur« ), « Traitement« , « Données personnelles » (qui inclut « Informations personnelles« ), et « Vendre » (qui inclut « Partager » en vertu du CCPA) (et les variations similaires ou connexes de ces termes) ont les significations qui leur sont attribuées dans les Lois sur la protection des données applicables.
  2. « Données personnelles du client » désigne toutes les Données personnelles qui sont transmises, stockées ou autrement traitées par ou via vos Applications client en lien avec la fourniture des Services par Kinsta.
  3. « Violation des Données Personnelles » désigne toute destruction, perte, altération, divulgation ou accès accidentel ou non autorisé à toute Donnée Personnelle du Client, à l’exclusion des tentatives infructueuses ou des activités qui ne compromettent pas la sécurité ou l’intégrité des Données Personnelles du Client, y compris, mais sans s’y limiter, les tentatives de connexion, les pings, les balayages de port, les attaques par déni de service et autres attaques de réseau sur les pare-feux ou les systèmes en réseau.
  4. « Sous-traitant » désigne un sous-traitant tiers engagé par Kinsta qui peut traiter les Données personnelles du client dans le but de fournir les Services.
  5. « Lois européennes sur la protection des données » désigne le Règlement général de l’UE sur la protection des données 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (« RGPD« ), tel que mis en œuvre et complété par la législation nationale de chaque État membre, la loi britannique sur la protection des données 2018 et le RGPD du Royaume-Uni, et la loi suisse sur la protection des données, et dans chaque cas, tel que modifié, remplacé ou remplacé de temps à autre.
  6. « Lois américaines sur la protection des données » désigne le California Consumer Privacy Act (tel que modifié par le California Privacy Rights Act) (collectivement, le « CCPA« ), le Colorado Privacy Act, le Connecticut Data Privacy Act, le Delaware Personal Data Privacy Act, l’Indiana Consumer Data Protection Act, l’Iowa Consumer Data Protection Act, le Kentucky Consumer Data Protection Act, le Maryland Online Data Privacy Act, le Minnesota Consumer Data Privacy Act, la loi sur la protection des données des consommateurs du Montana, la loi sur la protection des données du Nebraska, la loi sur la protection des données du New Hampshire, la loi sur la protection des données du New Jersey, la loi sur la protection des données des consommateurs de l’Oregon, la loi sur la transparence des données et la protection de la vie privée du Rhode Island, la loi sur la protection des informations du Tennessee, la loi sur la protection et la sécurité des données du Texas, la loi sur la protection des données des consommateurs de l’Utah et la loi sur la protection des données des consommateurs de Virginie, et dans chaque cas, telles qu’elles sont modifiées, remplacées ou remplacées de temps à autre.
  7. « Lois sur la protection des données » désigne les lois et règlements régissant la confidentialité, l’intégrité et la sécurité des données personnelles, y compris les lois sur la protection des données de l’UE et les lois sur la protection des données des États-Unis, dans la mesure où ces lois et règlements s’appliquent au traitement par Kinsta de tes données personnelles de client.
  8. « Transfert international » signifie une exportation de
    1. Données personnelles du client,
    2. régies par l’une des lois européennes sur la protection des données,
    3. vers un pays tiers situé en dehors de l’Espace économique européen ( » EEE « ), du Royaume-Uni ( » UK « ) ou de la Suisse,
    4. qui n’est pas désigné par la Commission européenne, le Royaume-Uni ou la Suisse comme assurant un niveau de protection adéquat.
  9. « CSC » désigne les clauses contractuelles types, telles qu’adoptées par la décision d’exécution (UE) 2021/914 de la Commission du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en application du règlement (UE) 2016/679 du Parlement européen et du Conseil.
  10. « Addendum britannique » désigne l’addendum sur le transfert international de données aux clauses contractuelles types de la Commission de l’UE publié par le bureau du commissaire à l’information du Royaume-Uni, VERSION B1.0, en vigueur le 21 mars 2022.

3. Rôles, obligations générales et dispositions de la CCPA.

  1. Le client est le contrôleur et l’entreprise, et Kinsta est le processeur et le fournisseur de services en ce qui concerne les données personnelles du client. Kinsta ne traitera les Données personnelles du Client que dans le but de fournir les Services conformément aux instructions documentées du Client, qui incluent les dispositions de l’Accord, sauf obligation contraire de se conformer aux Lois sur la protection des données. Nous t’informerons si vos instructions violent les Lois sur la protection des données. La nature, l’objectif et la durée du Traitement sont énoncés dans l’annexe I des SCC.
  2. Kinsta certifie, comprend et accepte de ne pas
    1. Vendre les données personnelles des clients,
    2. conserver, utiliser ou divulguer les données personnelles des clients à toute fin (y compris toute fin commerciale) autre que l’objectif spécifique d’exécution des services conformément à l’accord, à moins que cela ne soit expressément autorisé par les lois américaines applicables en matière de protection des données, ou
    3. conserver, utiliser ou divulguer les données personnelles des clients en dehors de la relation commerciale directe entre vous et Kinsta, sauf si cela est expressément autorisé par les lois américaines applicables sur la protection des données.
  3. Nous vous informerons si nous déterminons que nous ne pouvons plus respecter nos obligations en vertu des Lois américaines sur la protection des données applicables.
  4. Le client et Kinsta doivent se conformer aux lois sur la protection des données. Le Client doit obtenir toutes les autorisations, consentements, décharges ou permissions nécessaires, et fournir tous les avis de confidentialité requis, concernant les Données personnelles du Client. Pour éviter tout doute, sauf disposition contraire dans le présent DPA, le Client est seul responsable de l’exactitude, de la qualité et de la légalité de toutes les Données personnelles du Client et des bases sur lesquelles elles sont collectées auprès de la Personne concernée.

4. Sécurité et évaluations d’impact

  1. Kinsta veillera à ce que son personnel soit soumis à des obligations contraignantes de confidentialité à l’égard des Données à caractère personnel du Client.
  2. En tenant compte de l’état de l’art, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du Traitement ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des Personnes concernées, Kinsta met en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque, y compris les mesures énoncées à l’Annexe II des SCC. Sous réserve et à condition d’un accord écrit de confidentialité et de non-divulgation, le Client peut demander et examiner la documentation actuelle de Kinsta sur la gouvernance de la sécurité de l’information, disponible à l’adresse https://trust.kinsta.com/ (« Documentation de sécurité« ).
  3. En tenant compte de la nature du Traitement et des informations dont dispose Kinsta, Kinsta aidera le Client à assurer le respect des obligations du Client en vertu des Lois sur la protection des données en ce qui concerne la sécurité, les évaluations d’impact et les consultations avec les autorités de surveillance ou les régulateurs.

5. Violation des données personnelles

  1. En tenant compte de la nature du Traitement et des informations dont dispose Kinsta, Kinsta aidera le Client à assurer le respect des obligations du Client en vertu des Lois sur la protection des données en ce qui concerne une violation de données à caractère personnel.
  2. Si nous découvrons une violation de données à caractère personnel, Kinsta doit, sans retard injustifié, fournir un avis écrit de la violation de données à caractère personnel au Client.
  3. Notre avis comprendra les éléments suivants dans la mesure où ils sont alors connus (et mis à jour lorsque des informations supplémentaires deviennent raisonnablement disponibles) :
    1. les dates et heures de la violation de données personnelles,
    2. les faits de base qui sous-tendent la découverte de la violation des données personnelles, ou la décision d’entamer une enquête sur une violation présumée des données personnelles, selon le cas,
    3. une description des données personnelles du client concernées par la violation de données personnelles, soit spécifiquement, soit par référence aux catégories de données, et
    4. les mesures prévues ou en cours pour remédier ou atténuer la vulnérabilité à l’origine de la violation de données à caractère personnel.

6. Demandes des personnes concernées

  1. Compte tenu de la nature du Traitement, Kinsta assistera le Client par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour l’exécution de l’obligation du Client de répondre aux demandes d’exercice des droits de la Personne concernée en vertu des Lois sur la protection des données.
  2. Kinsta informera rapidement le Client si nous recevons une demande d’une Personne concernée pour invoquer ses droits en ce qui concerne les Données personnelles du Client, sauf si la loi applicable l’interdit. Nous ne prendrons aucune mesure indépendante en réponse à une demande d’une Personne concernée sans instruction écrite préalable du Client, sauf si la loi applicable l’exige.

7. Transferts internationaux

  1. Vous pouvez sélectionner les régions du centre de données où vos Applications Client seront hébergées. Nonobstant la région du centre de données du Client, certains aspects des Services peuvent nécessiter des Transferts internationaux. Le Client autorise ces Transferts internationaux de Données personnelles du Client dans le seul but de fournir les Services. Les transferts internationaux sont soumis au MODULE DEUX (responsable du traitement vers sous-traitant) des SCC. Pour les Transferts internationaux depuis la Suisse, les parties conviennent que toutes les adaptations et modifications des SCC requises par le Préposé fédéral suisse à la protection des données et à la transparence sont intégrées aux SCC (les « Modifications suisses« ). Pour les transferts internationaux en provenance du Royaume-Uni, les parties acceptent l’addendum britannique. Les informations du tableau de l’addendum britannique sont les suivantes : Tableau 1 : voir l’annexe I des SCC ci-dessous ; Tableau 2 : voir la section 7.b ci-dessous ; Tableau 3 : voir les annexes I et II des SCC ci-dessous ; la liste des sous-traitants de Kinsta se trouve ici : https://kinsta.com/legal/subprocessors/ ; Tableau 4 : l’importateur et l’exportateur peuvent mettre fin à l’addendum britannique comme indiqué dans la section 19 de celui-ci.
  2. En ce qui concerne les dispositions facultatives des CSC, des amendements suisses et de l’addendum britannique, les parties conviennent de ce qui suit :
    1. Les parties acceptent la clause 7.
    2. Les parties choisissent l’OPTION 2 dans la clause 9(a).
    3. Les parties n’acceptent pas les dispositions optionnelles de la clause 11(a).
    4. Les parties choisissent l’OPTION 1 dans la clause 17 et l’État membre sera l’Irlande, le Royaume-Uni ou la Suisse, selon le cas.
    5. Les parties conviennent que l’État membre de la clause 18(b) sera l’Irlande, le Royaume-Uni ou la Suisse, selon le cas.
  3. Les SCC, les amendements suisses et l’addendum britannique, selon le cas, sont incorporés par référence dans le présent DPA pour tout transfert international. L’acceptation du contrat par les parties fait office d’accord respectif pour se conformer aux SCC, aux amendements suisses et à l’addendum britannique pertinents en ce qui concerne les transferts internationaux.

8. Sous-traitants

  1. Le Client autorise Kinsta à engager les Sous-Traitants listés sur https://kinsta.com/legal/subprocessors/ (la « Liste des Sous-Traitants« ). Avant d’ajouter ou de remplacer tout Sous-Traitant, Kinsta fournira une notification écrite de ces changements au Client. L’absence d’objection écrite du Client à un nouveau Sous-traitant dans les 14 jours suivant la notification du nouveau Sous-traitant par Kinsta constitue l’autorisation du Client au nouveau Sous-traitant. Kinsta se réserve le droit d’utiliser immédiatement un nouveau Sous-Traitant dans le but limité de protéger les Services ou les Applications du Client.
  2. Si Kinsta détermine, à sa seule discrétion, qu’elle ne peut raisonnablement pas répondre à l’objection opportune du Client à l’égard d’un Sous-Traitant, sur notification de Kinsta, le Client peut choisir de résilier l’Accord conformément aux dispositions de résiliation de l’Accord, ce qui constitue le seul et unique recours du Client.
  3. Kinsta impose à ses Sous-traitants des obligations identiques ou équivalentes à celles énoncées dans le présent DPA par le biais d’un contrat écrit. Kinsta est responsable envers le Client de l’exécution par les Sous-traitants de ses obligations en matière de protection des données en ce qui concerne les Données à caractère personnel du Client.

9. Audit et inspection

  1. Sous réserve et à condition d’un accord écrit de confidentialité et de non-divulgation, le Client peut demander et examiner la documentation de sécurité de Kinsta et toute autre information raisonnablement nécessaire pour démontrer le respect des obligations énoncées dans le présent DPA.
  2. Le Client peut effectuer un audit uniquement si des problèmes de conformité spécifiques ne sont pas résolus après avoir examiné la documentation de sécurité. Tout audit est (i) conditionné par un préavis écrit raisonnable, d’au moins trente (30) jours, à Kinsta ; (ii) conditionné par un accord écrit de confidentialité et de non-divulgation et un plan d’audit écrit détaillé examiné et approuvé au préalable par Kinsta ; (iii) limité à une fois tous les douze (12) mois ; (iv) aux seuls frais et dépenses du Client ; et (v) en présence virtuelle ou physique d’un représentant de Kinsta sans perturber de manière déraisonnable les opérations commerciales de Kinsta.

10. Suppression ou retour des données personnelles du client

En cas de résiliation en bonne et due forme de l’Accord et sur instruction écrite du Client, Kinsta prendra des mesures raisonnables pour supprimer les Données personnelles du Client ou restituer les Données personnelles du Client et leurs copies au Client, sous réserve des lois applicables ou d’autres obligations de Kinsta exigeant le maintien du stockage des Données personnelles du Client par Kinsta.

Annexe I des SCC

A. LISTE DES PARTIES

Exportateur de données :

Nom : L’entité identifiée comme le client.

Adresse : L’adresse du Client enregistrée dans la Plateforme ou autrement spécifiée dans l’Accord.

Nom, poste et coordonnées du contact : Les coordonnées du propriétaire de l’entreprise associé au compte du Client, ou tel que spécifié autrement dans l’Accord.

Activités liées aux données transférées en vertu des Clauses : Exploitation des applications du client Signature et date : Les parties conviennent que l’acceptation ou les exécutions de l’accord, selon le cas, constituent l’exécution des présentes SCC par les deux parties.

Rôle : Contrôleur

Importateur de données :

Nom : Kinsta Inc.

Adresse : 8605 Santa Monica Blvd #92581, West Hollywood, CA 90069, USA

Nom, fonction et coordonnées de la personne à contacter : Équipe de protection des données de Kinsta [email protected] ou par courrier à l’adresse ci-dessus.

Activités liées aux données transférées en vertu des clauses : Fourniture des services

Signature et date : Les parties conviennent que l’acceptation ou les exécutions de l’accord, selon le cas, constituent l’exécution des présentes SCC par les deux parties.

Rôle :Responsable du traitement

B. DESCRIPTION DU TRANSFERT

Catégories de personnes concernées dont les données personnelles sont transférées
Toute personne tierce susceptible de visiter, d’utiliser ou d’accéder aux Applications du Client, ou dont les données personnelles sont transmises, stockées ou autrement traitées par le biais des Applications du Client, y compris, par exemple : les employés et autres membres du personnel, les clients et les consommateurs (y compris leur personnel), les visiteurs du site web ou les utilisateurs finaux, les fournisseurs (y compris leur personnel), les proches et les associés des personnes susmentionnées, les conseillers, les consultants et autres experts professionnels, les actionnaires, les membres ou les sympathisants, et les étudiants et les élèves.

Catégories de données personnelles transférées
Toutes les catégories autorisées par le Client à être transmises, stockées ou autrement traitées par le biais des Applications du Client. Ces catégories peuvent inclure, par exemple, des informations de contact, des détails sur l’emploi, des informations financières, des détails sur l’éducation et la formation, des identifiants par une autorité publique, la famille, le mode de vie et les circonstances sociales.

Données sensibles transférées (le cas échéant) et restrictions appliquées.
Le client peut autoriser que des données sensibles soient transmises, stockées ou traitées d’une autre manière par l’intermédiaire des applications du client. Les restrictions et garanties spécifiées à l’annexe II s’appliquent à ces catégories de données à caractère personnel (le cas échéant). Il incombe au Client d’informer Kinsta des catégories spécifiques de données sensibles transférées et de toute restriction supplémentaire appliquée.

Fréquence du transfert
Continue

Nature du traitement
Traitement dans le cadre de la fourniture des Services, y compris l’hébergement des Applications du Client et l’assistance associée.

Objectif(s) du transfert de données et du traitement ultérieur.
Fourniture des services

Durée de conservation des données à caractère personnel
Conformément au RGPD, article 10.

Pour les transferts aux sous-traitants, préciser l’objet, la nature et la durée du traitement.
L’objet, la nature et la durée du traitement par les sous-traitants secondaires sont indiqués dans la présente annexe I, section B.

C. AUTORITÉ DE CONTRÔLE COMPÉTENTE

Identifie la ou les autorités de contrôle compétentes conformément à la clause 13.
Irlande

SCC Annexe II

MESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS LES MESURES TECHNIQUES ET ORGANISATIONNELLES VISANT À GARANTIR LA SÉCURITÉ DES DONNÉES.

GOUVERNANCE ET ORGANISATION DE LA SÉCURITÉ

  • Nous maintenons des politiques de sécurité de l’information qui limitent le traitement des données personnelles des clients par les membres de l’équipe à ce qui est nécessaire pour fournir les services.
  • Tous les membres de l’équipe signent des accords avec des dispositions de non-divulgation avant d’avoir accès aux données personnelles des clients.
  • Nous disposons d’une équipe de sécurité dédiée et à plein temps.
  • Un groupe de supervision de la sécurité comprend des membres des équipes d’ingénierie, d’exploitation, juridique et de direction.
  • Tous les membres de l’équipe reçoivent une formation sur la confidentialité des données et sur nos politiques.

CRYPTAGE DES DONNÉES

  • Toutes les données personnelles des clients transférées par Kinsta sont cryptées en transit.
  • Toutes les données personnelles des clients stockées dans les centres de données (toutes les applications des clients et les journaux d’accès) sont cryptées au repos.
  • Kinsta offre des certificats SSL gratuits et permet aux clients de forcer les connexions HTTPS pour crypter tout le trafic de l’application client en transit.

GESTION DE L’IDENTITÉ ET DE L’ACCÈS

  • Les politiques et pratiques de gestion des identités et des accès suivent les principes du moindre privilège et du contrôle d’accès basé sur les rôles (RBAC).
  • Le cas échéant, l’authentification à deux facteurs est activée sur tous les comptes Plateforme des membres de l’équipe ayant accès aux données personnelles des clients.
  • L’accès racine aux conteneurs et aux serveurs se fait uniquement par clé privée unique, et les membres de l’équipe reçoivent l’accès minimum nécessaire à l’exécution de leurs tâches.
  • L’accès racine n’est possible que via des points d’accès réseau dédiés, et non les mêmes points d’accès que l’accès ordinaire.

INFRASTRUCTURE ET SÉCURITÉ PHYSIQUE

  • Des contrôles d’accès physiques sont mis en place par les sous-traitants de nos centres de données pour limiter l’accès au matériel dans les centres de données.
  • Nos fournisseurs de centres de données ont subi de multiples audits de sécurité et détiennent des certifications, notamment SOC 2 Type II et ISO 27001.

SÉCURITÉ DU RÉSEAU ET DU PÉRIMÈTRE

  • Le pare-feu des applications web (WAF) et la protection contre les attaques DDoS sont intégrés aux services.
  • Kinsta limite les connexions non HTTP aux seuls protocoles sécurisés (SSH, SFTP).
  • Les applications des clients sont protégées par un pare-feu personnalisé géré par l’équipe d’ingénierie de Kinsta.

MINIMISATION DES DONNÉES

  • Nous faisons des efforts raisonnables pour traiter, transférer et conserver uniquement la quantité et le type de données nécessaires pour fournir les Services.

SAUVEGARDE, PORTABILITÉ, CONSERVATION ET SUPPRESSION

  • De multiples formes de sauvegardes régulières sont créées. Les clients peuvent facilement télécharger des sauvegardes pour les transférer vers d’autres hôtes (portabilité) ou pour les stocker sur d’autres services.
  • Les clients peuvent initier la suppression des applications clients de la plateforme. Lors de la résiliation des Services, Kinsta s’efforce raisonnablement de supprimer toutes les Données personnelles des Clients dans un délai de 45 jours.

GESTION DES CORRECTIFS ET DE LA CONFIGURATION

  • Les paquets de serveur et les logiciels sont maintenus à jour par notre équipe d’ingénierie, et les mises à jour de sécurité sont appliquées rapidement.

Versions précédentes

7 juillet 2023 25 octobre 2022