Addendum sur le traitement des données

Dans l'addendum

Le présent Addendum sur le traitement des données ("DPA") entre en vigueur à la date d'entrée en vigueur de tout contrat-cadre pour la fourniture de services (le "contrat") entre Cakemail Inc. ("Cakemail") et le client spécifié dans le contrat ("le client"). Alternativement, le DPA entre en vigueur à la date à laquelle le Client souscrit aux conditions d'utilisation en ligne de Cakemail à l'adresse https://www.cakemail.com/legal/terms-of-use, qui seront également considérées comme le "Contrat" dans le cadre du présent DPA.

Cakemail et le client sont ci-après désignés collectivement comme les "parties" et individuellement comme une "partie". Dans la mesure où l'une des conditions contenues dans le présent DPA peut contredire ou entrer en conflit avec les conditions relatives au traitement des données à caractère personnel figurant dans l'Accord, il est expressément entendu et convenu que les conditions du présent DPA primeront et remplaceront ces autres conditions en ce qui concerne l'objet.

Les parties conviennent de ce qui suit :

1. Définitions

1.1 Aux fins du présent DPA, les expressions suivantes ont la signification suivante, à moins que le contexte ne s'y oppose :

"Lois applicables en matière de protection des données" désigne, pour une Partie, toute loi, statut, déclaration, décret, directive, acte législatif, ordonnance, règlement, règle ou autre instrument contraignant relatif à la protection des données à caractère personnel, y compris :

(a) la Directive 2002/58/CE (telle que modifiée) (la "Directive vie privée et communications électroniques"), le Règlement 2017/003 (COD) (le "Règlement vie privée et communications électroniques"), et toute loi et tout règlement les mettant en œuvre ;

(b) la Directive 95/46/CE (telle que modifiée) (la "Directive sur la protection des données"), le Règlement 2016/679 (le " GDPR "), et toute loi et tout règlement les mettant en œuvre ; et

(c ) la Loi sur la protection des renseignementspersonnelsdans le secteur privé du Québec (la "Loi sur la protection des renseignements personnels du Québec"), telle que modifiée par la Loi 25 ;

(dans chaque cas, telle que modifiée, consolidée, réadoptée ou remplacée de temps à autre).

Les termes "personne concernée", "données personnelles", "traitement", "traité" et "traitement" ont chacun la signification qui leur est donnée dans le GDPR. Le traitement signifie également "collecter, détenir, utiliser ou communiquer à des tiers", conformément à la Loi sur la protection des renseignements personnels du Québec. Les données personnelles désignent également les " informations personnelles " telles que définies dans la Loi sur la protection des renseignements personnels du Québec ;

"Lois européennes sur la protection des données" désigne toute loi, statut, déclaration, décret, directive, acte législatif, ordonnance, règlement, règle ou autre instrument contraignant relatif à la protection des données personnelles en vigueur sur le territoire de l'Union européenne, y compris la Directive sur la protection des données, le GDPR, la Directive e-Privacy et le Règlement e-Privacy ;

"Clauses types" : les Clauses contractuelles types entre responsables de traitement et sous-traitants en vertu de l'article 28 (7) du règlement (UE) 2016/679 du Parlement européen et du Conseil et de l'article 29 (7) du règlement (UE) 2018/1725 du Parlement européen et du Conseil, telles qu'adoptées par la décision d'exécution de la Commission européenne du 4 juin 2021 ; ou alternativement les Clauses contractuelles types (Responsable de traitement à Sous-traitant) telles que définies dans la Décision de la Commission européenne du 5 février 2010 (C (2010) 593), jusqu'à ce qu'elles ne soient plus valides le 27 décembre 2022 ;

"Régulateur" désigne l'autorité de contrôle de la protection des données qui est compétente pour le Traitement des Données à caractère personnel d'un Responsable de traitement. Cela comprend, sans s'y limiter, la Commission d'accès à l'information du Québec ;

"Pays tiers" : tous les pays situés en dehors du champ d'application des lois sur la protection des données de l'Espace économique européen ("EEE") et du Royaume-Uni, à l'exception des pays approuvés comme offrant une protection adéquate des données à caractère personnel par la Commission européenne de temps à autre, qui, à la date du présent DPA, comprennent Andorre, l'Argentine, le Canada (organisations commerciales uniquement), les Îles Féroé, Guernesey, l'Île de Man, Israël, le Japon, Jersey, la Nouvelle-Zélande, la Suisse et l'Uruguay.

Tous les termes en majuscules utilisés mais non définis dans le présent document ont la signification qui leur est donnée dans l'accord.

2. Traitement des données personnelles

2.1 Les parties reconnaissent et conviennent qu'en ce qui concerne le traitement des données à caractère personnel, le client est le "contrôleur de données", Cakemail est le "responsable du traitement des données" et que Cakemail engagera des "sous-traitants" conformément aux exigences énoncées dans la section 8 ci-dessous.
2.2 La durée du traitement, la nature et la finalité du traitement, les types de données à caractère personnel et les catégories de personnes concernées traitées dans le cadre du présent DPA sont précisés à l'annexe 1 "Détails du traitement" du présent DPA.
2.3 Le Responsable du traitement des données ne traitera les données personnelles qu'au nom du Responsable du traitement des données et conformément aux instructions documentées de ce dernier. Les Parties conviennent que le présent DPA constitue les instructions complètes et finales du Client à Cakemail en ce qui concerne le traitement des Données du Client. Le contrôleur des données doit s'assurer que ses instructions sont conformes à toutes les lois applicables en matière de protection des données et que le traitement des données personnelles conformément aux instructions du contrôleur des données n'entraînera pas la violation des lois applicables en matière de protection des données par le responsable du traitement des données. Le contrôleur des données est seul responsable de l'exactitude, de la qualité et de la légalité des données personnelles et des moyens par lesquels le contrôleur des données a acquis les données personnelles, et il doit établir la base juridique du traitement en vertu des lois applicables sur la protection des données.
2.4 Chaque partie se conformera à l'ensemble des lois, règles et réglementations qui lui sont applicables et qui la lient dans le cadre de l'exécution du présent DPA, y compris les lois applicables en matière de protection des données.

3. Personnel autorisé

3.1 Le Responsable du traitement des données s'assure que son personnel autorisé à traiter les données personnelles s'est engagé à respecter la confidentialité ou est soumis à une obligation légale appropriée de confidentialité. Le responsable du traitement des données s'assure que ces obligations de confidentialité survivent à la fin de l'engagement du personnel.

4. Droits des personnes concernées

4.1 Le Responsable du traitement des données doit, dans la mesure où la loi le permet, notifier rapidement le Contrôleur des données s'il reçoit une demande d'une Personne concernée pour l'accès à ses propres Données personnelles, ou pour la rectification ou l'effacement de ces Données personnelles, ou toute autre demande ou requête d'une Personne concernée concernant ses propres Données personnelles (y compris l'exercice par les Personnes concernées des droits en vertu des Lois sur la protection des données applicables, tels que les droits d'opposition, de restriction du traitement, de portabilité des données ou le droit de ne pas faire l'objet d'une prise de décision automatisée) (une "Demande de la Personne concernée"). Compte tenu de la nature du traitement, le responsable du traitement des données assiste le contrôleur des données par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour l'exécution de l'obligation du contrôleur des données de répondre à une demande de la personne concernée en vertu des lois applicables sur la protection des données. En outre, dans la mesure où le contrôleur des données, dans son utilisation des services, n'a pas la capacité de répondre à une demande de la personne concernée, le processeur de données doit, à la demande du contrôleur des données, fournir des efforts commercialement raisonnables pour aider le contrôleur des données à répondre à une telle demande de la personne concernée, dans la mesure où le processeur de données est légalement autorisé à le faire et que la réponse à une telle demande de la personne concernée est requise en vertu des lois sur la protection des données en vigueur. Dans la mesure où la loi le permet, le contrôleur des données est responsable de tous les coûts découlant de la fourniture d'une telle assistance par le responsable du traitement des données.

5. Demandes d'accès du gouvernement

5.1 Le Responsable du traitement des données notifie sans délai au Contrôleur des données toute demande juridiquement contraignante de divulgation de données personnelles par une autorité chargée de l'application de la loi, à moins qu'il ne soit interdit de le faire. Le Responsable du traitement des données a le droit de défendre une telle action à la place et/ou au nom du Responsable du traitement des données. Le responsable du traitement des données coopère raisonnablement avec le contrôleur des données dans le cadre de cette défense.

6. Sécurité

6.1 Le responsable du traitement des données met en œuvre et maintient des mesures techniques et organisationnelles appropriées pour la protection de la sécurité (y compris la protection contre le traitement non autorisé ou illégal et contre la destruction accidentelle ou illégale, la perte, l'altération ou les dommages, la divulgation non autorisée des données à caractère personnel ou l'accès à celles-ci), de la confidentialité et de l'intégrité des données à caractère personnel.

7. Conformité

7.1 Le responsable du traitement des données s'efforce raisonnablement de mettre à la disposition du responsable du traitement des données toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans le présent DPA et dans les lois applicables en matière de protection des données.
7.2 À la demande du Contrôleur des données, le Processeur de données fournira au Contrôleur des données la coopération et l'assistance raisonnables nécessaires pour remplir l'obligation du Contrôleur des données en vertu du GDPR et de la Loi sur la protection de la vie privée du Québec d'effectuer une évaluation de l'impact sur la protection des données liée à l'utilisation des Services par le Contrôleur des données, dans la mesure où le Contrôleur des données n'a pas autrement accès aux informations pertinentes, et dans la mesure où ces informations sont disponibles pour le Processeur de données. Le Responsable du traitement des données fournira une assistance raisonnable au Contrôleur des données dans le cadre de la coopération ou de la consultation préalable avec le Régulateur dans l'exécution de ses tâches relatives à la Section 7 de ce DPA, dans la mesure requise par le GDPR et les Lois sur la protection des données applicables, y compris la Loi sur la protection de la vie privée du Québec.

8. Sous-traitement

8.1 Le Contrôleur des données accepte que le Responsable du traitement des données engage des Sous-traitants pour traiter les Données personnelles. Les Sous-Traitants actuellement engagés par Cakemail et autorisés par le Client sont énumérés dans l'Annexe 2 "Liste des Sous-Traitants"
8.2 Le Responsable du traitement des données doit s'assurer que le Sous-traitant a conclu un accord écrit exigeant que le Sous-traitant respecte des conditions au moins aussi protectrices que celles prévues dans le présent DPA. Le responsable du traitement des données est responsable des actes et omissions de tout sous-traitant ultérieur dans la même mesure que si les actes ou omissions avaient été accomplis par le responsable du traitement des données.
8.3 Le Responsable du traitement des données met à la disposition du Contrôleur des données une liste des Sous-traitants autorisés à traiter les Données à caractère personnel ("Liste des Sous-traitants", figurant actuellement à l'Annexe 2) et fournit au Contrôleur des données un mécanisme lui permettant d'être informé de toute mise à jour de la Liste des Sous-traitants. La notification d'un nouveau Sous-Traitant sera émise avant que ce nouveau Sous-Traitant ne soit autorisé à traiter les Données à caractère personnel dans le cadre de l'Accord.
8.4 Le Responsable du traitement des données peut s'opposer à l'utilisation par le Responsable du traitement des données d'un nouveau Sous-traitant lorsqu'il existe des motifs raisonnables de croire que le nouveau Sous-traitant ne sera pas en mesure de se conformer aux conditions du présent DPA ou de l'Accord. Si le contrôleur des données s'oppose à l'utilisation par le responsable du traitement des données d'un nouveau sous-traitant ultérieur, le contrôleur des données en informe le responsable du traitement des données par écrit dans les dix (10) jours suivant la notification concernant ce sous-traitant ultérieur. L'absence d'objection écrite de la part du Responsable du traitement des données dans ce délai vaut approbation de l'utilisation du nouveau Sous-traitant. Le Responsable du traitement des données reconnaît que l'impossibilité d'utiliser un nouveau Sous-traitant particulier peut entraîner un retard dans la fourniture des Services, l'impossibilité de fournir les Services ou une augmentation des frais. Le Responsable du traitement des données informera le Responsable du traitement des données par écrit (y compris par courriel) de toute modification des Services ou des frais qui résulterait de l'incapacité du Responsable du traitement des données à utiliser un nouveau Sous-traitant auquel le Responsable du traitement des données s'est opposé. Le Responsable du traitement peut soit signer un amendement écrit à l'Accord mettant en œuvre un tel changement, soit exercer son droit de résiliation de l'Accord conformément aux dispositions de résiliation de celui-ci. Cette résiliation ne constitue pas une résiliation pour violation de l'Accord. Le Responsable du traitement des données a le droit de résilier l'Accord si le Responsable du traitement des données s'oppose de manière déraisonnable à un Sous-traitant, ou n'accepte pas un amendement écrit à l'Accord mettant en œuvre des changements dans les frais ou les Services résultant de l'incapacité d'utiliser le Sous-traitant en question.

9. Retour et suppression

9.1 Le Responsable du traitement des données doit, au choix du Responsable du traitement des données, supprimer ou renvoyer toutes les Données personnelles au Responsable du traitement des données après la fin de la fourniture des Services liés au traitement, et supprimer les copies existantes des Données personnelles, sauf si la loi ou l'ordre d'un organisme gouvernemental ou réglementaire l'interdit ou si cela peut engager la responsabilité du Responsable du traitement des données. Le Responsable du traitement des données peut également anonymiser ces données personnelles et conserver des copies des données personnelles anonymisées si les lois applicables en matière de protection des données le permettent.
9.2 Le Responsable du traitement des données reconnaît et accepte que le Responsable du traitement des données n'est pas responsable des pertes subies par le Responsable du traitement des données découlant de ou en rapport avec l'incapacité du Responsable du traitement des données à fournir les services en raison du fait que le Responsable du traitement des données s'est conformé à une demande de suppression ou de retour des données personnelles faite par le Responsable du traitement des données en vertu de l'article 9.1.

10. Violation de données

10.1 Dans le cas où il y a, ou le Processeur de données croit raisonnablement qu'il y a, un accès inapproprié, non autorisé ou illégal à, l'utilisation de, ou la divulgation de, ou toute autre compromission qui affecte la disponibilité, l'intégrité ou la confidentialité des Données personnelles qui sont traitées par le Processeur de données en vertu de ou en relation avec ce DPA et/ou l'Accord ("Violation de données"), alors dès qu'il prend connaissance d'une telle violation de données, le Processeur de données notifiera rapidement le Contrôleur de données et fournira au Contrôleur de données les informations suivantes dès qu'elles seront disponibles :

(i ) une description de la nature de la violation de données, y compris, si possible, les catégories et le nombre approximatif de personnes concernées ;

(ii) le nom et les coordonnées du contact du responsable du traitement des données auprès duquel de plus amples informations peuvent être obtenues ; et

(iii ) une description des mesures prises ou proposées pour remédier à la violation de données, y compris, le cas échéant, des mesures visant à en atténuer les effets négatifs éventuels.
10.2 Les Parties conviennent de se coordonner de bonne foi pour élaborer le contenu de toute déclaration publique connexe et de tout avis requis aux personnes concernées et/ou aux autorités de réglementation compétentes en rapport avec une violation de données, étant entendu que rien dans la présente section 10.2 n'empêche l'une ou l'autre des parties de se conformer à ses obligations en vertu des lois applicables en matière de protection des données. Les Parties reconnaissent et acceptent en outre d'utiliser les normes établies en vertu des Lois sur la protection des données applicables pour déterminer s'il y a lieu de notifier les personnes concernées et/ou les régulateurs compétents, y compris, mais sans s'y limiter, le "risque de préjudice grave" de la Loi sur la protection des renseignements personnels du Québec.

11. Transferts internationaux et interprovinciaux

11.1 Le Responsable du traitement des données ne traitera les données dans, ou ne transférera les Données personnelles vers, un Pays tiers que si ce traitement ou ce transfert a lieu sur la base et en conformité avec les Clauses types, avec les détails du traitement qui constituent l'Annexe 1 des Clauses types, et les mesures de sécurité techniques et organisationnelles qui constituent l'Annexe 2 des Clauses types. Le responsable du traitement des données se conforme aux obligations de l'importateur de données et le contrôleur des données se conforme aux obligations de l'exportateur de données telles qu'elles sont définies dans les clauses types.
11.2 Lorsque le Responsable du traitement des données désigne un affilié ou un Sous-traitant tiers pour traiter les Données personnelles dans un Pays tiers, le Responsable du traitement des données doit s'assurer que ce traitement a lieu conformément aux exigences des Lois sur la protection des données applicables. Les parties conviennent que les données personnelles peuvent être transférées à un affilié ou à un sous-traitant tiers aux États-Unis qui accepte de traiter les données personnelles conformément aux Clauses types.
11.3 Le Responsable du traitement des données ne traitera les données ou ne transférera les Données à caractère personnel à des Sous-traitants dans une province autre que le Québec qu'après avoir effectué une " Évaluation des facteurs liés à la vie privée " conformément à la Loi sur la protection des renseignements personnels du Québec avant que les Données à caractère personnel ne quittent le Québec. Si l'évaluation des facteurs relatifs à la vie privée ne répond pas à nos normes et aux normes requises par la loi québécoise sur la protection de la vie privée, le responsable du traitement des données ne transférera pas les données personnelles à ce sous-traitant.

12. Dispositions générales

12.1 Le présent DPA prend fin à l'expiration de l'Accord ou lorsque le responsable du traitement des données cesse de traiter les données à caractère personnel, la date la plus tardive étant retenue, sauf accord écrit contraire entre les parties.
12.2 Les parties reconnaissent et conviennent par la présente qu'une personne ayant des droits au titre du présent DPA peut subir un préjudice irréparable en cas de violation de ses dispositions et que les dommages-intérêts seuls peuvent ne pas constituer une solution adéquate. En conséquence, une personne introduisant une réclamation au titre du présent DPA aura droit à des mesures d'injonction, d'exécution spécifique ou à d'autres mesures équitables en cas de menace de violation ou de violation effective des dispositions du présent DPA.
12.3 Si l'une des parties souhaite modifier la DPA pour se conformer à une modification des lois applicables en matière de protection des données ou à une décision contraignante et définitive d'un régulateur ayant compétence sur le traitement des données à caractère personnel par la partie, les parties discuteront en toute bonne foi de la manière d'aborder les modifications nécessaires.
12.4 Les titres de section contenus dans le présent DPA ne sont donnés qu'à titre de référence et n'affectent en rien le sens ou l'interprétation du présent DPA.

Annexe 1 : Détails du traitement

Activités de traitement

Les Données à caractère personnel traitées par le Responsable du traitement seront soumises aux activités de traitement de base suivantes :

‍Provisionnementdes services, tel que décrit dans l'Accord et tel que convenu par les Parties

La durée

Les données à caractère personnel traitées par le responsable du traitement des données le seront pour la durée suivante :

La durée de l'accord entre le responsable du traitement des données et le sous-traitant.

Personnes concernées

Les données à caractère personnel traitées par le responsable du traitement des données concernent les catégories suivantes de personnes concernées :

les clients et leurs abonnés, tels que ces termes sont définis dans l'accord ou dans la politique de confidentialité de Cakemail à l'adresse https://www.cakemail.com/legal/privacy-policy, et les visiteurs du site web de Cakemail.

Catégories de données

Les données personnelles traitées par le responsable du traitement comprennent les catégories de données suivantes :

Informations sur le client :
  • Informations de contact (Prénom, Nom, Téléphone, courriel)
  • Adresse (y compris l'adresse civique, la ville, le code postal, le pays)
  • Informations relatives à la facturation (nom du titulaire de la carte de crédit, numéro, date d'expiration, numéro CVV et adresse de facturation)
Informations sur l'abonné :
  • Prénom, Nom
  • Courriel
Informations analytiques :
  • Identifiants uniques d'analyse
  • Adresses IP
Informations sur la publicité :
  • Identifiants publicitaires uniques

Catégories particulières de données (le cas échéant)

Les données à caractère personnel traitées par le responsable du traitement concernent les catégories particulières de données suivantes :

‍Nonpar défaut.

Recevez des informations sur le marketing par courriel dans votre boîte de réception.

Produit

Gabarits de courrielsCommuter et économiserForfaits

Partenaires

Sociétés d'hébergement webRevendeurs à valeur ajoutéeSociétés SaaSProgramme d'affiliation

Ressources

Base de connaissancesAPI et développeurs [angl.]IntégrationsBlogueWebinarsNotes de mise à jour [angl.]Contacter le supportÉtat du système

Entreprise

Carrières
Médias
Appuyez surBlogue
À propos de CakemailNous contacter

Mentions légales

Conditions d'utilisationPolitique de confidentialitéPolitique anti-pourrielLicence de l'applicationPolitique en matière de cookiesContrat de programme d'affiliation
Préférences en matière de cookies
2023 Cakemail. Tous droits réservés.