Accord sur le traitement des données (pour les Clients soumis au RGPD)

Le présent accord sur le traitement des données (« ATD » ou “Accord”) fait partie intégrante du Contrat-cadre (tel que défini dans les Conditions relatives aux Produits) conclu entre le client (« le Client » ou « vous ») et la société Yext mentionnée ici (« Yext »). Il reflète l’accord des parties en matière de traitement des données personnelles (telles que définies ici). Les termes commençant par une majuscule utilisée dans les présentes ATD et non définis par ailleurs auront le sens qui leur est attribué dans le Contrat-cadre ou les Conditions relatives aux Produits situés ici : https://www.yext.fr/terms/product-terms/. En cas de divergence entre les présentes ATD, le Contrat-cadre, les Conditions relatives aux Produits ou les Clauses-types, les dispositions des documents suivants (par ordre de préséance) priment, sauf convention contraire : (a) les Clauses-types, (b) le présent ATD, (c) le Contrat-cadre et (d) les Conditions relatives aux Produits.

Dans le présent ATD, les termes suivants sont définis comme suit :

« Filiales » désigne une entité qui (i) contrôle, (ii) est contrôlée par ou (iii) est contrôlée conjointement avec Yext. Une entité est réputée contrôler une autre entité si elle a le pouvoir de diriger ou d’ordonner la direction en matière de gestion ou de politique de cette entité, que ce soit en qualité de propriétaire ou sur la base d’un droit de vote, d’un contrat, etc.

« Législation en matière de protection des données personnelles » désigne les lois applicables en matière de protection des données, et notamment les lois européennes et suisses sur la protection des données.

« Lois européennes et suisses sur la protection des données personnelles » désignent les directives 95/46/EC et 2002/58/EC ainsi que toute autre législation et/ou règlementation à cet égard ou qui modifient, remplacent, complètent, ré-adoptent ou consolident l’une d’entre elles (y compris le règlement général sur la protection des données 2016/679, « RGPD ») et toute autre règlementation relative au traitement des données personnelles et à la confidentialité en vigueur dans l’un des États membres concernés ou en Suisse.

« Clauses-types » désigne les clauses contractuelles standard applicables en matière de transfert de données personnelles aux sous-traitants établis dans les pays tiers, telles qu’énoncées dans la décision de la Commission européenne 2010/87/UE du 5 février 2010 (dans sa version modifiée ou mise à jour de temps à autre).

« Pays pertinent » désigne l’ensemble des pays autres que les membres de l’Espace économique européen (EEE), la Suisse et tout autre pays, territoire ou secteurs spécifiques qui ont fait l’objet d’un constat d’adéquation au regard des Lois européennes et suisses sur la protection des données personnelles.

Les termes « Responsable du traitement », « Personne concernée », « Donnée personnelle », « Traitement », « Violation de données personnelles », « Sous-traitant » et « Autorité de surveillance » ont la signification donnée par les Lois européennes et suisses sur la protection des données personnelles.

  1. Vous acceptez d’être considéré comme le Responsable du traitement des Données personnelles de vos propres clients (ou alors, dans le cas d’une agence ou d’un revendeur, les clients de ladite agence sont considérés comme les Responsables du traitement des Données personnelles de leurs propres clients) pouvant être transmises à Yext dans le cadre de la fourniture des Produits (« Données personnelles du Client »). Yext agit en qualité de Sous-traitant dans la livraison des Produits.
  2. Yext traite les Données personnelles du Client uniquement en conformité avec les instructions documentées que vous avez données, telles qu’elles sont établies dans le présent ATD et le Contrat-cadre (y compris les Conditions relatives aux Produits) et ne traite aucune Donnée personnelle du Client à des fins autres, sauf prescription contraire prévue dans la loi. Yext vous informera de telles prescriptions légales avant tout Traitement. Si vous êtes une agence ou un revendeur, vous garantissez que l’accord conclu avec vos propres clients contient les stipulations appropriées vous autorisant à traiter leurs Données personnelles et garantissant que vos propres clients ont obtenu un consentement approprié afin de vous permettre de sous-traiter le Traitement de leurs Données Personnelles auprès de Yext et d’autres sous-traitants.
  3. Le fondement du Traitement des Données Personnelles est la fourniture des Produits ; ledit Traitement se poursuivra jusqu’à la date à laquelle Yext cessera de vous fournir les Produits. Vos droits et obligations sont ceux énoncés dans le Contrat-cadre. L’annexe 1 du présent ATD précise la nature et le but du Traitement, le type de Données personnelles traitées par Yext, ainsi que les catégories de Personnes Concernées dont les Données personnelles sont traitées.
  4. Yext met en œuvre des mesures de sécurité appropriées des points de vue technique et organisationnel (y compris celles assurant que le personnel de Yext qui est autorisé à traiter les Données Personnelles du Client s’est engagé à remplir les obligations de confidentialité appropriées), afin de garantir un niveau de sécurité adapté aux risques que présente le Traitement des Données Personnelles du Client, y compris les mesures contenues dans la Législation en matière de protection des données personnelles.
  5. En cas de Violation de données personnelles susceptible d’avoir un impact sur les Données personnelles Client, Yext vous enverra une notification (à l’adresse e-mail que nous avons pour vous dans nos fichiers) sans délai, après que la Violation de données personnelles a été constatée.
  6. Yext vous fournira les informations et l’assistance auxquelles vous pouvez raisonnablement prétendre (et dans des délais raisonnables spécifiés) afin de vous permettre de remplir vos obligations selon la Législation en matière de protection des données personnelles. L’assistance porte notamment sur les points suivants : (i) remplir les obligations relatives à la sécurité qui vous incombent, (ii) vous décharger de vos obligations de répondre aux requêtes des Personnes Concernées pour l’exercice de leurs droits ; et (iii) réaliser une analyse d’impact relative à la protection des données et revoir toute opération de traitement en vue de s’assurer que celle-ci est conforme à l’analyse d’impact relative à la protection des données, ainsi que consulter l’Autorité de surveillance compétente (le cas échéant). L’assistance de Yext sur la base de la présente disposition vous est fournie à vos propres frais.
  7. Yext effectue un contrôle de la sécurité des ordinateurs et de l’environnement informatique qu’elle utilise dans le Traitement de Données personnelles du Client. Ce contrôle (a) est effectué au moins une fois par an ; (b) il peut être effectué par un professionnel de la sécurité indépendant désigné par Yext, aux frais de celle-ci ; (c) il est effectué conformément à la certification SOC2, type II ; et (d) conduit à l’établissement d’un rapport d’audit (« Rapport») dont le contenu confidentiel est la propriété de Yext. Sur demande écrite de votre part, Yext vous enverra une copie confidentielle de ce Rapport, de sorte que vous puissiez vérifier raisonnablement la conformité de Yext aux obligations relatives à la sécurité contenues dans le présent ATD.
  8. Si vous souhaitez modifier l’instruction précitée relative à l’exercice du droit d’audit afin de démontrer la conformité à l’article 28 du RGPD, vous avez le droit de modifier, moyennant un préavis de 30 jours, cette instruction (à vos propres frais et dépens) en nous adressant une demande écrite, à condition que Yext n’ait pas l’obligation de fournir des Informations Confidentielles ni de se soumettre à un audit plus d’une fois par an.
  9. Yext vous enverra immédiatement une notification si, selon elle, l’une de vos instructions énoncées à la clause 8 constitue une violation d’une quelconque disposition des Lois européennes et suisses sur la protection des données personnelles. Le cas échéant, Yext est autorisée, mais pas obligée, de suspendre l’exécution des instructions concernées jusqu’à ce que vous confirmiez telle instruction par écrit.
  10. Après la fin du Contrat-cadre, Yext, suite à votre demande écrite, supprimera ou vous retournera l’ensemble des Données personnelles du Client qu’elle détient, sauf disposition contraire de la loi.
  11. Vous reconnaissez et acceptez que Yext travaille avec des Filiales et autres tiers appropriés en qualité de sous-traitants (ensemble « Sous-traitants») dans le cadre du traitement des Données personnelles du Client, tout en ayant imposé auxdits Sous-traitants des obligations relatives à la protection des données consignées dans un accord écrit, dont la portée n’est pas moindre que celles imposées à Yext au titre du présent accord. Yext engage sa responsabilité quant au respect de ces obligations par ses Sous-traitants. La liste des Sous-traitants est disponible à l’adresse https://www.yext.com/terms/subprocessors/, de même que l’outil auquel vous acceptez de souscrire afin de recevoir une notification des nouveaux Sous-traitants. Vous pouvez vous opposer à ce que Yext fasse appel à un nouveau Sous-traitant en adressant une notification écrite à Yext dans un délai de dix (10) jours après réception de la notification envoyée par l’outil mentionné ci-dessus. Pour être admise, l’opposition doit être fondée et documentée de façon raisonnable quant à la non-conformité d’un Sous-traitant aux Lois européennes et suisses sur la protection des données. Si Yext estime que l’opposition est fondée, elle s’abstient de faire appel au Sous-traitant concerné dans le cadre du Traitement des Données personnelles Client. Le cas échéant, Yext déploie les efforts raisonnables afin de (i) mettre à votre disposition une modification des Produits fournis par Yext ou (ii) recommander une modification de votre configuration ou utilisation des Produits afin d’éviter le Traitement de vos Données personnelles du Client par le Sous-traitant contesté. Si Yext n’est pas en mesure de mettre à disposition une telle modification dans un délai raisonnable, vous pouvez mettre fin à la souscription du Produit ne pouvant être fourni par Yext sans faire appel au Sous-traitant contesté, en adressant un courrier écrit à Yext. Yext vous remboursera tout éventuel montant prépayé couvrant la durée restante de la souscription au Produit à compter de la date de résiliation effective de ladite souscription au Produit.
  12. Vous reconnaissez que, dans le cadre de l’abonnement aux Produits, les Données personnelles Client sont stockées ou consultées depuis les États-Unis ou tout autre Pays pertinent dans lequel les Sous-traitants de Yext sont établis. Afin de garantir que les transferts de données de ce type soient protégés de façon adéquate, conformément aux Lois européennes et suisses sur la protection des données, Yext, Inc. est auto-certifiée conforme au “Bouclier de protection des données UE/Suisse – États-Unis” du ministère américain du commerce ; cette certification couvre les Données personnelles Client. Lorsque Yext fait appel à un Sous-traitant (autre que Yext, Inc.) dans un Pays pertinent, elle prend des mesures en vue de mettre en place la protection adéquate dans le transfert des données, telle qu’elle est définie dans le RGPD (ces mesures pouvant inclure l’utilisation des Clauses-types).

 

 

 

 

 

Annexe 1

INFORMATION RELATIVE AU TRAITEMENT DES DONNÉES

 

Personnes concernées

 

Les Données personnelles transférées concernent les catégories de Personnes concernées suivantes :

 

Les employés du Client ;

 

Dans la mesure où le Client a souscrit un abonnement au Produit Yext “Reviews”, les individus qui rédigent et soumettent des avis au Client.

 

Catégories de données

 

Les Données personnelles transférées concernent les catégories de données suivantes :

 

Coordonnées de contact, nom, e-mail, profil et fonction des employés du Client ;

 

Dans la mesure où le Client a souscrit un abonnement au Produit Yext “Reviews”, le nom et l’e-mail ou le numéro de portable de l’individu qui rédige et soumet un avis au Client, ainsi que le contenu de l’avis.

 

Catégories spéciales de données (le cas échéant)

 

Les Données personnelles transférées concernent les catégories de données sensibles suivantes :

 

Aucune ;

 

Yext ne collecte ni ne traite intentionnellement des données sensibles lors de la mise à disposition de ses Produits et services. Le Client accepte de ne pas fournir, à aucun moment, des données sensibles à Yext.

 

Opérations de traitement

 

Les Données personnelles transférées sont soumises aux activités de traitement de base suivantes :

 

Hébergement, entretien et assistance.