Mise à jour le : 24 août 2021

1. Introduction et Portée

  1. Le présent avenant relatif au traitement des données (Data Processing Addendum ou « DPA ») est un avenant aux Conditions de serviceConditions »). Toutes les dispositions des Conditions s’appliquent et sont intégrées au présent DPA, mais en cas de conflit entre le présent DPA et toute disposition des Conditions, les dispositions du présent DPA prévaudront.
  2. Le présent DPA ne s’applique aux Clients que si et dans la mesure où (a) Kinsta traite les Données personnelles du Client (définies ci-dessous) pour ou au nom du Client conformément au Contrat (b) et où les Lois sur la protection des données s’appliquent à ces Données personnelles du Client.
  3. Mises à jour du DPA. Nous nous réservons le droit d’apporter des modifications au présent DPA à tout moment et à notre seule discrétion. Si nous apportons des modifications au présent DPA, nous vous notifierons ces modifications en modifiant la date figurant en haut du présent DPA. Si vous continuez à utiliser nos services après la notification des modifications, cela signifie que vous acceptez ces modifications. Veuillez évaluer régulièrement le présent DPA et vérifier s’il a été mis à jour.

2. Définitions

Les termes en majuscules qui ne sont pas définis dans le présent DPA ont leur signification donnée ailleurs dans l’accord. En outre, les termes définis ci-après ne s’appliquent qu’à la présente LPD.

  1. Les termes « responsable du traitement », « sous-traitant« , « personne concernée« , « traitement« , « données à caractère personnel » et « violation des données à caractère personnel » ont le sens qui leur est attribué dans la législation sur la protection des données.
  2. « Données personnelles du client » désigne toute donnée personnelle de l’utilisateur final soumise aux lois sur la protection des données que le client fournit, transfère ou rend accessible à Kinsta dans le cadre des services.
  3. « Lois sur la protection des données » : le règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 et toute législation d’application similaire ou connexe adoptée par des États membres de l’Union européenne ou de l’Espace économique européen, le Royaume-Uni ou la Suisse.

3. Rôles des Parties

  1. Le client est le responsable du traitement et Kinsta est le responsable du traitement en ce qui concerne les données personnelles du client. Kinsta ne traitera les données personnelles du Client que conformément aux instructions documentées du Client, qui comprennent les dispositions du Contrat, à moins qu’il n’en soit autrement requis pour se conformer à toute Loi sur la protection des données. Nous vous informerons si, à notre avis, vos instructions enfreignent les lois sur la protection des données.
  2. Le client et Kinsta se conformeront aux lois sur la protection des données. Le Client doit obtenir toutes les autorisations, consentements, libérations ou permissions nécessaires, et fournir tous les avis de confidentialité requis, concernant les Données personnelles du Client. Afin d’éviter tout doute, le Client est seul responsable de l’exactitude, de la qualité et de la légalité de toutes les Données personnelles du Client et des bases sur lesquelles elles sont collectées auprès de la Personne concernée.

4. Nature, Finalité et Durée du Traitement

  1. Kinsta traitera les Données personnelles du Client dans la mesure où cela est nécessaire pour exécuter les Services – ce qui se limite généralement à l’hébergement passif des sites du Client et au support lié – ou pour protéger les droits légaux de Kinsta, pendant la durée du Contrat, sauf accord contraire par écrit.
  2. Le transfert par le client de ses données personnelles vers Kinsta dans le cadre des services est déterminé et contrôlé par le client à sa seule discrétion.
  3. Kinsta peut traiter les catégories suivantes de Données personnelles du Client : toutes Données personnelles collectées, utilisées ou autrement traitées à partir des Données de l’Utilisateur final en rapport avec les Sites Web du Client.
  4. Kinsta peut traiter les données personnelles des clients à partir des catégories suivantes de sujets de données : Utilisateurs finaux des sites Web clients.

5. Transferts transfrontaliers

  1. Vous choisissez le(s) centre(s) de données de la plateforme Google Cloud où vos sites web seront hébergés. Vous reconnaissez, acceptez et comprenez que (a) toutes vos Données personnelles du client seront automatiquement transférées et stockées dans le centre de données Google que vous choisissez, et (b) les Données personnelles du client peuvent être transférées de l’Espace économique européen (« EEE »), du Royaume-Uni ou de la Suisse vers le pays où se trouve le centre de données Google, selon votre choix.
  2. Kinsta et Google se sont mis d’accord sur les conditions de traitement des données et de sécurité de la plateforme Google Cloud et sur les clauses contractuelles types de l’UE. Pour plus d’informations, voir les engagements de Google concernant les transferts transfrontaliers dans la section « Transfert international de données » ici : https://cloud.google.com/security/gdpr/.
  3. Le client autorise le transfert de ses données personnelles à toute juridiction en dehors de l’EEE, y compris les États-Unis, dans le but de fournir les services. En tant que contrôleur et/ou exportateur des données personnelles du client, le client est responsable de s’assurer que de tels transferts sont conformes aux lois sur la protection des données.

6. Sous-processeurs

  1. Kinsta engage des sous-traitants tiers qui traitent les données personnelles des Clients (« Sous-traitants ») dans le but de fournir les Services. Une liste actuelle des Sous-traitants est disponible dans l’Annexe A du DPA en ligne de Kinsta, située ici : https://kinsta.com/fr/mentions-legales/addenda-protection-donnees/ (la « Liste des Sous-traitants »). Le Client autorise Kinsta à engager ces Sous-processeurs dans le but de fournir les Services.
  2. Kinsta peut mettre à jour la liste des Sous-traitants de temps à autre, et ces mises à jour seront le seul moyen de fournir une notification des changements de Sous-traitants au client. Le Client est responsable de la vérification et de l’évaluation régulières de la liste des Sous-traitants. Le fait que le Client ne s’oppose pas par écrit à un nouveau Sous-traitant dans les quatorze (14) jours suivant l’affichage par Kinsta du nouveau Sous-traitant sur la liste des Sous-traitants constitue l’autorisation par le Client du nouveau Sous-traitant.
  3. Si Kinsta détermine, à sa seule discrétion, qu’elle ne peut raisonnablement pas donner suite à l’objection opportune du Client à l’encontre d’un Sous-processeur, sur avis de Kinsta, le Client peut choisir de résilier le Contrat conformément aux dispositions de résiliation des Conditions de service, qui constituent le seul et unique recours du Client.
  4. Kinsta imposera à ses sous-traitants des obligations identiques ou substantiellement équivalentes à celles énoncées dans la présente LPD par voie de contrat écrit. Kinsta sera responsable envers le Client de l’exécution par les Sous-traitants de leurs obligations en matière de protection des données relatives aux Données Personnelles du Client.

7. Évaluations de Sécurité et d’impact

  1. Kinsta s’assurera que son personnel est soumis à des obligations de confidentialité contraignantes en ce qui concerne les données personnelles des clients.
  2. En tenant compte de l’état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes concernées, Kinsta mettra en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque.
  3. Compte tenu de la nature du Traitement et des informations dont dispose Kinsta, Kinsta aidera le Client à s’assurer du respect des obligations du Client en vertu des Lois sur la protection des données en ce qui concerne la sécurité, les évaluations d’impact et les consultations avec les autorités de contrôle ou de régulation.

8. Atteinte à la Protection des Données Personnelles

  1. Compte tenu de la nature du Traitement et des informations dont dispose Kinsta, Kinsta aidera le Client à s’assurer du respect des obligations du Client en vertu des Lois sur la protection des données en ce qui concerne une violation des données personnelles.
  2. En cas de découverte d’une violation des données personnelles, Kinsta informera rapidement les contacts techniques et de compte du Client en utilisant les moyens établis pour les communications de routine liées au compte.
  3. Notre avis doit comprendre les renseignements suivants dans la mesure où ils sont raisonnablement accessibles à Kinsta au moment de l’avis, et Kinsta doit mettre à jour son avis à mesure que des renseignements supplémentaires deviennent raisonnablement accessibles : (a) les dates et les heures de l’atteinte à la protection des données personnelles ; (b) les faits fondamentaux qui sous-tendent la découverte de l’atteinte à la protection des données personnelles ou la décision d’entreprendre une enquête sur une atteinte présumée à la protection des données personnelles, selon le cas ; (c) une description des données personnelles du client impliquées dans cette atteinte, soit spécifiquement, soit par référence aux données, et (d) les mesures prévues ou en cours pour corriger ou atténuer cette vulnérabilité qui donne naissance à cette atteinte aux données personnelles.

9. Demandes des Personnes Concernées

  1. Compte tenu de la nature du Traitement, Kinsta assistera le Client par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour l’accomplissement de l’obligation du Client de répondre aux demandes d’exercice des droits de la Personne concernée en vertu des lois sur la protection des données.
  2. Kinsta informera promptement le Client si nous recevons une demande d’une Personne Personnelle de Données d’invoquer ses droits à l’égard des Données Personnelles du Client, sauf interdiction contraire par la loi applicable ; et, sauf dans la mesure requise par la loi applicable, nous ne prendrons aucune action indépendante en réponse à une demande d’une Personne Personnelle sans instruction écrite préalable du Client.

10. Vérification et Inspection

  1. Sous réserve d’une entente écrite de non-divulgation, Kinsta fournira au Client les renseignements raisonnablement nécessaires pour démontrer le respect des obligations énoncées dans la présente LPD.
  2. Toute vérification sur place doit (i) être assujettie à un préavis écrit d’au moins soixante (60) jours à Kinsta ; (ii) être assujettie à une entente écrite de non-divulgation et à un plan de vérification écrit détaillé examiné et préapprouvé par Kinsta ; (iii) être limitée à une fois toutes les trois (3) années civiles ; (iv) aux frais et dépens uniques du client ; (v) limité dans sa portée et son but d’évaluer un manquement présumé de Kinsta aux dispositions de la présente LPD et seulement après que le Client a épuisé tous les autres moyens raisonnables déterminés par Kinsta ; et (vi) en présence d’un représentant de Kinsta sans perturber de façon déraisonnable les activités commerciales de Kinsta.

11. Suppression ou Retour des Données Personnelles du Client

En cas de résiliation en bonne et due forme du Contrat et sur instruction écrite du Client, Kinsta prendra des mesures raisonnables pour supprimer les Données personnelles du Client ou lui retourner les Données personnelles du Client et leurs copies, sous réserve des lois applicables exigeant que Kinsta continue à stocker les Données personnelles du Client.

Annexe A

Liste des Sous-processeurs