Accord sur le traitement des données (pour les Clients soumis aux Lois européennes sur la protection des données, y compris la Suisse et le Royaume-Uni)

Le présent accord sur le traitement des données (« ATD » ou “Accord“) fait partie intégrante du Contrat-cadre (tel que défini dans les Conditions relatives aux Produits) conclu entre le client, l’agence ou le revendeur (le « Client » ou « vous ») et la société Yext mentionnée ici (« Yext »). Il reflète l’accord des parties en matière de traitement des données personnelles (telles que définies ici). Les termes commençant par une majuscule utilisée dans les présentes ATD et non définis par ailleurs auront le sens qui leur est attribué dans le Contrat-cadre ou les Conditions relatives aux Produits situés ici : https://www.yext.fr/terms/product-terms/. En cas de divergence entre les présentes ATD, le Contrat-cadre, les Conditions relatives aux Produits ou les Clauses-types, les dispositions des documents suivants (par ordre de préséance) priment, sauf convention contraire : (a) les Clauses-types, (b) le présent ATD, (c) le Contrat-cadre et (d) les Conditions relatives aux Produits.

Dans le présent ATD, les termes suivants sont définis comme suit :

« Clauses-types » désigne les clauses contractuelles standard applicables en matière de transfert de données personnelles aux sous-traitants établis dans les pays tiers, telles qu’énoncées dans la décision de la Commission européenne 2010/87/UE du 5 février 2010 (dans sa version modifiée ou mise à jour de temps à autre).

« Filiales » désigne une entité qui (i) contrôle, (ii) est contrôlée par ou (iii) est contrôlée conjointement avec Yext. Une entité est réputée contrôler une autre entité si elle a le pouvoir de diriger ou d’ordonner la direction en matière de gestion ou de politique de cette entité, que ce soit en qualité de propriétaire ou sur la base d’un droit de vote, d’un contrat, etc.

« Lois sur la protection des données personnelles » désignent la Directive 2002/58/CE, le Règlement général sur la protection des données 2016/679 (“RGPD“) et toute autre législation et/ou règlement mettant en œuvre – ou adopté en vertu de – l’une de ces lois, ou encore qui les modifie, remplace, complète, ré-adopte ou consolide ainsi que toute autre loi applicable relative au traitement des données personnelles et à la vie privée pouvant exister dans une juridiction concernée.

« Pays pertinent » désigne l’ensemble des pays autres que les membres de l’Espace économique européen (EEE), la Suisse et tout autre pays, territoire ou secteurs spécifiques qui ont fait l’objet d’un constat d’adéquation au regard des Lois sur la protection des données personnelles applicables.

Les termes « Responsable du traitement », « Personne concernée », « Donnée personnelle », « Traitement », « Violation de données personnelles », « Sous-traitant » et « Autorité de surveillance » ont la signification donnée par les Lois sur la protection des données personnelles applicables.

  1. Vous acceptez d’être considéré comme un Responsable du traitement des Données personnelles de vos propres clients finaux et employés (ou alors, dans le cas d’une agence ou d’un revendeur, les clients de ladite agence sont considérés comme des Responsables du traitement des Données personnelles de leurs propres clients finaux et employés) pouvant être transmises à ou générées par Yext (ou par l’agence ou le revendeur) dans le cadre de la fourniture des Produits (« Données personnelles du Client »). Yext agit en qualité de Sous-traitant dans la livraison des Produits.
  2. Vous reconnaissez que Yext (ou dans le cas d’une agence ou d’un revendeur, l’agence ou le revendeur, selon le cas) a besoin de certaines Données Personnelles du Client pour configurer et gérer le compte du – et la relation avec –le Client. Yext (ou l’agence ou le revendeur, selon le cas) Traitera ces Données Personnelles du Client en tant que Responsable du Traitement.
  3. Lors d’un Traitement des Données Personnelles du Client dans le cadre de la fourniture de Listings, Reviews ou d’autres Produits tels que Answers, Knowledge Tags et Pages, Yext agira en tant que Sous-traitant (ou dans le cas d’une agence ou revendeur, l’agence ou le revendeur sera le Sous-traitant et Yext sera le sous sous-traitant).
  4. Lorsque Yext est un Sous-Traitant (ou un sous sous-Traitant), les dispositions des articles 5 à 15 ci-dessous s’appliquent au Traitement des Données Personnelles du Client.
  5. Yext traite les Données personnelles du Client uniquement en conformité avec les instructions documentées qui sont établies dans le présent ATD et dans le Contrat-cadre (y compris les Conditions relatives aux Produits) et ne traite aucune Donnée personnelle du Client pour d’autres fins, sauf prescription contraire prévue dans la loi. Yext vous informera de telles prescriptions légales avant tout Traitement. Si vous êtes une agence ou un revendeur, vous garantissez que l’accord conclu avec vos propres clients contient les stipulations appropriées vous autorisant à traiter leurs Données personnelles et garantissant que vos propres clients ont fourni un consentement approprié afin de vous permettre de sous-traiter le Traitement de leurs Données Personnelles auprès de Yext et d’autres sous-traitants à des conditions essentiellement similaires à celles du présent ATD.
  6. Le fondement du Traitement des Données Personnelles est la fourniture des Produits et ledit Traitement se poursuivra jusqu’à la date à laquelle Yext cessera de vous fournir les Produits. Vos droits et obligations sont ceux énoncés dans le Contrat-cadre. L’annexe 1 du présent ATD précise la nature et le but du Traitement, le type de Données personnelles traitées par Yext, ainsi que les catégories de Personnes Concernées dont les Données personnelles sont traitées.
  7. Yext met en œuvre des mesures de sécurité appropriées des points de vue technique et organisationnel (y compris celles assurant que le personnel de Yext qui est autorisé à traiter les Données Personnelles du Client s’est engagé à remplir les obligations de confidentialité appropriées), afin de garantir un niveau de sécurité adapté aux risques que présente le Traitement des Données Personnelles du Client, y compris les mesures contenues dans les Lois sur la protection des données personnelles.
  8. En cas de Violation de données personnelles susceptible d’avoir un impact sur les Données personnelles du Client, Yext enverra une notification au Responsable du Traitement pertinent (à l’adresse e-mail que nous avons dans nos fichiers) (ou dans le cas d’une agence ou revendeur, Yext notifiera l’agence ou le revendeur) sans délai, après que la Violation de données personnelles a été constatée.
  9. Yext vous fournira les informations et l’assistance auxquelles vous pouvez raisonnablement prétendre (et dans des délais raisonnables spécifiés) afin de permettre au Responsable du Traitement de remplir ses obligations selon les Lois sur la protection des données personnelles. L’assistance porte notamment sur les points suivants : (i) remplir les obligations relatives à la sécurité qui incombent au Responsable du Traitement, (ii) le décharger de ses obligations de répondre aux requêtes des Personnes Concernées pour l’exercice de leurs droits ; et (iii) réaliser une analyse d’impact relative à la protection des données et revoir toute opération de traitement en vue de s’assurer que celle-ci est conforme à l’analyse d’impact relative à la protection des données, ainsi que consulter l’Autorité de surveillance compétente (le cas échéant). L’assistance de Yext sur la base de la présente disposition est fournie aux frais du Responsable du Traitement.
  10. Yext effectue un contrôle de la sécurité des ordinateurs et de l’environnement informatique qu’elle utilise dans le Traitement de Données personnelles du Client. Ce contrôle (a) est effectué au moins une fois par an ; (b) il peut être effectué par un professionnel de la sécurité indépendant désigné par Yext, aux frais de celle-ci ; (c) il est effectué conformément à la certification SOC2, type II ; et (d) conduit à l’établissement d’un rapport d’audit (« Rapport») dont le contenu confidentiel est la propriété de Yext. Sur demande écrite de votre part, Yext vous enverra une copie confidentielle de ce Rapport, de sorte que vous puissiez vérifier raisonnablement la conformité de Yext aux obligations relatives à la sécurité contenues dans le présent ATD.
  11. Si vous souhaitez modifier l’instruction précitée relative à l’exercice du droit d’audit afin de démontrer la conformité à l’article 28 du RGPD, vous avez le droit de modifier, moyennant un préavis de 30 jours, cette instruction (à vos propres frais et dépens) en nous adressant une demande écrite, à condition que Yext n’ait pas l’obligation de fournir des Informations Confidentielles ni de se soumettre à un audit plus d’une fois par an.
  12. Yext enverra immédiatement une notification au Responsable du Traitement (ou dans le cas d’une agence ou revendeur, l’agence ou le revendeur) si, selon elle, l’une de vos instructions énoncées à la clause 11 constitue une violation d’une quelconque disposition des Lois sur la protection des données personnelles applicables. Le cas échéant, Yext est autorisée, mais pas obligée, de suspendre l’exécution des instructions concernées jusqu’à ce que vous confirmiez telle instruction par écrit.
  13. Après la fin du Contrat-cadre, Yext, suite à votre demande écrite, supprimera ou vous retournera l’ensemble des Données personnelles du Client qu’elle détient, sauf disposition contraire de la loi.
  14. Vous reconnaissez et acceptez que Yext travaille avec des Filiales et autres tiers appropriés en qualité de sous-traitants (ensemble « Sous-traitants») dans le cadre du traitement des Données personnelles du Client, tout en ayant imposé auxdits Sous-traitants des obligations relatives à la protection des données consignées dans un accord écrit, dont la portée n’est pas moindre que celles imposées à Yext au titre du présent accord. Yext engage sa responsabilité quant au respect de ces obligations par ses Sous-traitants. La liste des Sous-traitants est disponible à l’adresse https://www.yext.com/terms/subprocessors/, de même que l’outil auquel vous acceptez de souscrire afin de recevoir une notification des nouveaux Sous-traitants. Vous pouvez vous opposer à ce que Yext fasse appel à un nouveau Sous-traitant en adressant une notification écrite à Yext dans un délai de dix (10) jours après réception de la notification envoyée par l’outil mentionné ci-dessus. Pour être admise, l’opposition doit être fondée et documentée de façon raisonnable quant à la non-conformité d’un Sous-traitant aux Lois sur la protection des données applicables. Si Yext estime que l’opposition est fondée, elle s’abstient de faire appel au Sous-traitant concerné dans le cadre du Traitement des Données personnelles Client. Le cas échéant, Yext déploie les efforts raisonnables afin de (i) mettre à votre disposition une modification des Produits fournis par Yext ou (ii) recommander une modification de votre configuration ou utilisation des Produits afin d’éviter le Traitement de vos Données personnelles du Client par le Sous-traitant contesté. Si Yext n’est pas en mesure de mettre à disposition une telle modification dans un délai raisonnable, vous pouvez mettre fin à la souscription du Produit ne pouvant être fourni par Yext sans faire appel au Sous-traitant contesté, en adressant un courrier écrit à Yext. Yext vous remboursera tout éventuel montant prépayé couvrant la durée restante de la souscription au Produit à compter de la date de résiliation effective de ladite souscription au Produit.
  15. Vous reconnaissez que, dans le cadre de l’abonnement aux Produits, les Données personnelles Client sont stockées ou consultées depuis les États-Unis ou tout autre Pays pertinent dans lequel les Sous-traitants de Yext sont établis. Afin de garantir que les transferts de données de ce type soient protégés de façon adéquate, conformément aux Lois sur la protection des données applicables, Yext, Inc. est auto-certifiée conforme au “Bouclier de protection des données UE/Suisse – États-Unis” du ministère américain du commerce ; cette certification couvre les Données personnelles du Client (y compris les transferts du Royaume-Uni après le Brexit). Lorsque Yext fait appel à un Sous-traitant (autre que Yext, Inc.) dans un Pays pertinent, elle prend des mesures en vue de mettre en place la protection adéquate dans le transfert des données, telle qu’elle est définie dans le RGPD (ces mesures pouvant inclure l’utilisation des Clauses-types).

 

 

 

 

Annexe 1

INFORMATION RELATIVE AU TRAITEMENT DES DONNÉES

 

Personnes concernées

 

Les Données personnelles transférées concernent les catégories de Personnes concernées suivantes :

 

Si le Client s’abonne à Listings (qui fait partie des packages Starter, Professional et Ultimate) et décide de fournir ces informations dans Listings, les employés du Client ;

 

Si le Client s’abonne à Review Monitoring (qui fait partie des packages Professional et Ultimate), les individus qui rédigent et soumettent des avis en ligne sur les Sites des Editeurs concernés.

 

Si le Client s’abonne à Reviews Generation (qui fait partie du package Ultimate), les individus qui rédigent et soumettent des avis au Client.

 

Si le Client s’abonne à Pages, les visiteurs des pages web du Client qui sont basés sur Pages.

 

Si le Client s’abonne à Knowledge Tags, les visiteurs des pages web du Client qui utilisent Knowledge Tags.

 

Si le Client s’abonne à Answers, les visiteurs des pages web du Client qui utilisent Answers.

 

 

Catégories de données

 

Les Données personnelles transférées concernent les catégories de données suivantes :

 

Si le Client fournit ces données dans le cadre de Listings, coordonnées de contact, nom, e-mail, profil et fonction des employés du Client ;

 

Si le Client a accès à Review Monitoring (qui fait partie des packages Professional et Ultimate), le nom ou l’alias des individus qui ont soumis des avis en ligne sur les Sites des Éditeurs concernés.

 

Si le Client s’abonne à Review Generation, le nom et l’e-mail ou le numéro de portable de l’individu qui rédige et soumet un avis au Client ainsi que le contenu de l’avis.

 

Si le Client s’abonne à Pages, l’adresse IP des visiteurs du site web sera collecté en utilisant un pixel tag.

 

Si le Client s’abonne à Knowledge Tags, l’adresse IP des visiteurs du site web sera collecté en utilisant un pixel tag.

 

Si le Client s’abonne à Answers, en fonction des fonctionnalités du Produit choisies par le Client, un identifiant de session sera attribué, l’adresse IP des visiteurs du site sera collectée ainsi que le nom et l’adresse e-mail des visiteurs du site web si ces derniers les soumettent. Plus précisément, le Client peut choisir si oui ou non des cookies de session sont utilisés, si oui ou non un stockage de session est utilisé et, si oui ou non le nom et l’adresse e-mail des visiteurs du site web du Client sont recueillis.

 

Catégories spéciales de données (le cas échéant)

 

Les Données personnelles transférées concernent les catégories de données sensibles suivantes :

 

Aucune ;

 

Yext ne collecte ni ne traite intentionnellement des données sensibles lors de la mise à disposition de ses Produits et services. Le Client accepte de ne pas fournir, à aucun moment, des données sensibles à Yext.

 

Opérations de traitement

 

Les Données personnelles transférées sont soumises aux activités de traitement de base suivantes :

 

Collecte, divulgation par transmission et diffusion, hébergement, maintenance, organisation, stockage et support.