Accord sur le traitement des données (pour les Clients soumis aux lois européennes sur la protection des données, y compris la Suisse et le Royaume-Uni, et/ou les lois sur la protection des données en Australie et en Afrique du Sud)

Le présent accord sur le traitement des données (« ATD » ou « Accord ») fait partie intégrante du Contrat-cadre (tel que défini dans les Conditions relatives aux Produits) conclu entre le client, l’agence ou le revendeur (le « Client » ou « vous ») et la société Yext mentionnée ici (« Yext »). Il reflète l’accord des parties en matière de traitement des données personnelles (telles que définies ici). Les termes commençant par une majuscule utilisée dans le présent ATD et non définis par ailleurs auront le sens qui leur est attribué dans le Contrat-cadre ou les Conditions relatives aux Produits, situées ici : https://www.yext.fr/terms/product-terms/. En cas de divergence entre le présent ATD, le Contrat-cadre, ou les Conditions relatives aux Produits, les dispositions des documents suivants (par ordre de préséance) priment, sauf convention contraire : (a) le présent ATD, (b) le Contrat-cadre et (c) les Conditions relatives aux Produits.

Dans le présent ATD, les termes suivants sont définis comme suit :

« Autorité de surveillance » désigne l’autorité compétente en matière de protection des données sur le territoire où le Client est établi.

« Catégories particulières de données personnelles » a la signification attribuée aux termes « catégories particulières de données à caractère personnel », « catégories particulières de données personnelles », « catégories spéciales de données personnelles », « données sensibles », ou « informations sensibles » en vertu de la Loi sur la protection des données personnelles applicable.

« Donnée(s) personnelle(s) » a la signification attribuée aux termes « données à caractère personnel », « données personnelles », ou « informations personnelles » en vertu de la Loi sur la protection des données personnelles applicable.

« Filiales » désigne une entité qui (i) contrôle, (ii) est contrôlée par, ou (iii) est contrôlée conjointement avec Yext. Une entité est réputée contrôler une autre entité si elle a le pouvoir de diriger ou d’ordonner la direction en matière de gestion ou de politique de cette entité, que ce soit en qualité de propriétaire ou sur la base d’un droit de vote, d’un contrat, etc.

« Loi(s) sur la protection des données personnelles » désigne la Directive 2002/58/CE, le RGPD et toute autre législation et/ou règlement mettant en œuvre (ou adopté en vertu de) l’une de ces lois, ou encore qui les modifie, remplace, complète, ré-adopte ou consolide, ainsi que la Loi sur la protection des données de 2018 du Royaume-Uni, la Loi sur la protection des informations personnelles numéro 4 de 2013 (« POPIA ») de l’Afrique du Sud, et toute autre loi applicable relative au traitement des données personnelles et à la vie privée pouvant exister dans une juridiction concernée.

« Pays tiers » désigne l’ensemble des pays autres que (i) les membres de l’Espace économique européen (EEE) et la Suisse et (ii) tout autre pays, territoire ou secteurs spécifiques qui ont fait l’objet d’un constat d’adéquation au regard des Lois sur la protection des données personnelles applicables.

« RGPD » signifie, dans chaque cas dans la mesure applicable aux activités de Traitement : (i) le Règlement (UE) 2016/679 ; et (ii) le Règlement (UE) 2016/679 tel que modifié par toute législation découlant du retrait du Royaume-Uni de l’Union européenne ;

Les termes « Responsable du traitement », « Personne concernée », « Traitement » (ou « Traiter »), « Violation de données personnelles » et « Sous-traitant » ont la signification donnée par les Lois sur la protection des données personnelles applicables.

  1. Vous acceptez d’être considéré comme Responsable du traitement des Données personnelles de vos clients finaux, employés et visiteurs de vos pages web (ou alors, dans le cas d’une agence ou d’un revendeur, les clients de ladite agence sont considérés comme Responsables du traitement des Données personnelles de leurs propres clients finaux, employés et visiteurs de leurs pages web) pouvant être transmises à ou générées par Yext (ou par l’agence ou le revendeur) dans le cadre de la fourniture des Produits (« Données personnelles Client »). Yext agit en qualité de Sous-traitant dans la livraison des Produits. Vous acceptez que toutes les Données personnelles Client fournies à Yext en relation avec les Produits soient traitées par vous conformément aux Lois sur la protection des données personnelles applicables. Yext n’est pas responsable de l’exactitude, de la qualité et de la légalité des Données personnelles Client fournies à Yext et des moyens par lesquels ces Données personnelles Client ont été acquises avant d’être fournies à Yext.
  2. Vous reconnaissez que Yext (ou dans le cas d’une agence ou d’un revendeur, l’agence ou le revendeur, selon le cas) a besoin de certaines Données personnelles pour configurer et gérer les comptes Client et la relation avec le Client. Yext (ou l’agence ou le revendeur, selon le cas) Traitera ces Données personnelles en tant que Responsable du traitement.
  3. Lors du Traitement des Données personnelles Client dans le cadre de la fourniture de Listings, Reviews ou d’autres Produits tels que Events, Answers, Knowledge Tags et Pages (y compris en ce qui concerne les cookies ou les technologies de suivi qui font partie de la fonctionnalité du Produit à des fins d’analyse comme Conversion Tracking), Yext agira en tant que Sous-traitant (ou dans le cas d’une agence ou d’un revendeur, l’agence ou le revendeur sera le Sous-traitant et Yext sera le Sous-traitant de second rang).
  4. Lorsque Yext est un Sous-traitant (ou un Sous-traitant de second rang), les dispositions des articles 5 à 15 ci-dessous s’appliquent au Traitement des Données personnelles Client. Vous et Yext acceptez qu’en plus des articles 5 à 15, vous et Yext devez vous conformer à toute disposition supplémentaire spécifique à un pays dans la mesure où la Loi sur la protection des données personnelles d’un pays spécifié dans l’annexe 3 s’applique au Traitement des Données personnelles Client.
  5. Yext traite les Données personnelles Client uniquement en conformité avec les instructions documentées qui sont établies dans le présent ATD et dans le Contrat-cadre (y compris les Conditions relatives aux Produits), y compris en ce qui concerne les transferts de Données personnelles Client à des Pays tiers, et ne Traite aucune Donnée personnelle Client pour d’autres fins, sauf prescription contraire prévue dans la loi. Yext vous informera de telles prescriptions légales avant tout Traitement. Si vous êtes une agence ou un revendeur, vous garantissez que l’accord conclu avec vos propres clients contient les stipulations appropriées vous autorisant à Traiter leurs Données personnelles Client et garantissant que vos propres clients ont fourni un consentement approprié afin de vous permettre de sous-traiter le Traitement de Données personnelles Client auprès de Yext et d’autres Sous-traitants de second rang à des conditions essentiellement similaires à celles du présent ATD.
  6. L’objet du Traitement des Données Personnelles est la fourniture des Produits et ledit Traitement se poursuivra jusqu’à la date à laquelle Yext cessera de vous fournir les Produits. Vos droits et obligations sont ceux énoncés dans le Contrat-cadre. L’annexe 1 du présent ATD précise la nature et le but du Traitement, le type de Données personnelles traitées par Yext, ainsi que les catégories de Personnes Concernées dont les Données personnelles sont Traitées.
  7. Yext met en œuvre des mesures de sécurité appropriées des points de vue technique et organisationnel (y compris celles assurant que le personnel de Yext qui est autorisé à Traiter les Données personnelles Client s’est engagé à remplir les obligations de confidentialité appropriées), afin de garantir un niveau de sécurité adapté aux risques que présente le Traitement des Données personnelles Client, y compris les mesures contenues dans les Lois sur la protection des données personnelles. Les détails de ces mesures sont indiqués à l’Annexe 2.
  8. En cas de Violation de données personnelles susceptible d’avoir un impact sur les Données personnelles Client, Yext enverra une notification au Responsable du Traitement pertinent (à l’adresse électronique que nous avons dans nos fichiers) (ou, dans le cas d’une agence ou revendeur, Yext notifiera l’agence ou le revendeur) sans délai, après que la Violation de données personnelles a été constatée.
  9. Yext vous fournira les informations et l’assistance auxquelles vous pouvez raisonnablement prétendre (et dans des délais raisonnables spécifiés) afin de permettre au Responsable du Traitement de remplir ses obligations selon les Lois sur la protection des données personnelles. L’assistance porte notamment sur les points suivants : (i) remplir les obligations relatives à la sécurité qui incombent au Responsable du Traitement, (ii) respecter les obligations de répondre aux requêtes des Personnes concernées pour l’exercice de leurs droits ; et (iii) réaliser une analyse d’impact relative à la protection des Données personnelles et revoir toute opération de Traitement en vue de s’assurer que celle-ci est conforme à l’analyse d’impact relative à la protection des Données personnelles, ainsi que consulter l’Autorité de surveillance compétente (le cas échéant). L’assistance de Yext sur la base de la présente disposition est fournie aux frais du Responsable du Traitement. Le Responsable du traitement peut demander une telle assistance en envoyant un courriel à privacy@yext.com. Yext informe le Responsable du traitement de toute demande reçue directement d’une Personne concernée.
  10. Yext effectue un audit de la sécurité des ordinateurs et de l’environnement informatique qu’elle utilise dans le Traitement des Données personnelles Client. Cet audit (a) est effectué au moins une fois par an ; (b) il peut être effectué par un professionnel de la sécurité indépendant désigné par Yext, aux frais de celle-ci ; (c) il est effectué conformément à la certification SOC2 ; et (d) conduit à l’établissement d’un rapport d’audit (« Rapport») dont le contenu confidentiel est la propriété de Yext. Sur demande écrite de votre part, Yext vous enverra une copie confidentielle de ce Rapport, de sorte que vous puissiez vérifier raisonnablement la conformité de Yext aux obligations relatives à la sécurité contenues dans le présent ATD.
  11. Si vous souhaitez modifier l’instruction précitée relative à l’exercice du droit d’audit afin de démontrer la conformité à l’article 28 du RGPD, vous avez le droit de modifier cette instruction, moyennant un préavis de 30 jours et à vos propres frais et dépens, en nous adressant une demande écrite, à condition que Yext n’ait pas l’obligation de fournir des Informations Confidentielles ni de se soumettre à un audit plus d’une fois par an.
  12. Yext enverra immédiatement une notification au Responsable du Traitement (ou dans le cas d’une agence ou revendeur, l’agence ou le revendeur) si, selon elle, l’une de vos instructions énoncées à l’article 11 constitue une violation d’une quelconque disposition des Lois sur la protection des données personnelles applicables. Le cas échéant, Yext est autorisée, mais pas obligée, de suspendre l’exécution des instructions concernées jusqu’à ce que vous confirmiez telle instruction par écrit.
  13. Après la fin du Contrat-cadre, Yext, à la suite de votre demande écrite, supprimera ou vous retournera l’ensemble des Données personnelles Client qu’elle détient, sauf disposition contraire de la loi.
  14. Vous reconnaissez et acceptez que Yext travaille avec des Filiales et autres tiers appropriés en qualité de sous-traitants de second rang (ensemble « Sous-traitants de second rang») dans le cadre du traitement des Données personnelles Client, tout en ayant imposé auxdits Sous-traitants de second rang des obligations relatives à la protection des Données personnelles consignées dans un accord écrit, dont la portée n’est pas moindre que celles imposées à Yext au titre du présent ATD. Yext engage sa responsabilité quant au respect de ces obligations par ses Sous-traitants de second rang. La liste des Sous-traitants de second rang est disponible à l’adresse https://www.yext.com/terms/subprocessors/, de même que l’outil auquel vous acceptez de souscrire afin de recevoir une notification préalable des nouveaux Sous-traitants de second rang. Vous pouvez vous opposer à ce que Yext fasse appel à un nouveau Sous-traitant de second rang en adressant une notification écrite à Yext dans un délai de dix (10) jours après réception de la notification envoyée par l’outil mentionné ci-dessus. Pour être admise, l’opposition doit être fondée et documentée de façon raisonnable quant à la non-conformité d’un Sous-traitant de second rang aux Lois sur la protection des données personnelles applicables. Si Yext estime que l’opposition est fondée, elle s’abstient de faire appel au Sous-traitant de second rang concerné dans le cadre du Traitement des Données personnelles Client. Le cas échéant, Yext déploie les efforts raisonnables afin de (i) mettre à votre disposition une modification des Produits fournis par Yext ou (ii) recommander une modification de votre configuration ou utilisation des Produits afin d’éviter le Traitement des Données personnelles Client par le Sous-traitant de second rang contesté. Si Yext n’est pas en mesure de mettre à disposition une telle modification dans un délai raisonnable, vous pouvez mettre fin à la souscription du Produit ne pouvant être fourni par Yext sans faire appel au Sous-traitant de second rang contesté, en adressant une notification écrite à Yext. Yext vous remboursera tout éventuel montant prépayé couvrant la durée restante de la souscription au Produit à compter de la date de résiliation effective de ladite souscription au Produit.
  15. Vous reconnaissez que, dans le cadre de l’abonnement aux Produits, les Données personnelles Client sont stockées ou consultées depuis le Royaume-Uni ou tout autre Pays tiers dans lequel les Sous-traitants de second rang de Yext sont établis. Alors que les transferts vers le Royaume-Uni sont couverts par la décision d’adéquation de la Commission européenne du 28 juin 2021 en faveur du Royaume-Uni, Yext assurera une protection adéquate pour tout transfert ultérieur vers des Sous-traitants de second rang dans tout Pays tiers (par exemple, Yext, Inc.) conformément aux Lois sur la protection des données personnelles applicables.

 

 

 

 

 

Annexe 1

INFORMATION RELATIVE AU TRAITEMENT DES DONNÉES PERSONNELLES 

Les Produits de Yext assistent les entreprises dans la gestion de leur information numérique publique.

Personnes concernées

Les Données personnelles Client transférées concernent les catégories de Personnes concernées suivantes :

Si le Client utilise Listings (qui fait partie du Produit Listings ou des packages Starter, Professional et Ultimate) et/ou Events et décide de fournir ces informations dans Listings et/ou Events, les employés du Client.

Si le Client utilise Review Monitoring (qui fait partie du Produit Reviews ou des packages Professional et Ultimate), les individus qui soumettent des avis en ligne sur les Sites des Editeurs concernés.

Si le Client utilise Review Generation (qui fait partie du Produit Reviews ou du package Ultimate), les individus qui soumettent des avis au Client.

Si le Client s’abonne à Pages, les visiteurs des pages web du Client qui sont basés sur Pages.

Si le Client s’abonne à Knowledge Tags, les visiteurs des pages web du Client qui utilisent Knowledge Tags.

Si le Client s’abonne à Answers, les visiteurs des pages web du Client qui utilisent Answers.

Si le Client décide d’utiliser Conversion Tracking, ce que le Client fait volontairement, les visiteurs du site web accédant aux contenus de Listings et/ou d’Events sur les Sites des Éditeurs concernés.

Si le Client décide d’utiliser Conversion Tracking, ce que le Client fait volontairement, les visiteurs du site web accédant à Pages, Knowledge Tags et/ou Answers.

Typologies des Données personnelles

Les Données personnelles Client transférées concernent les typologies de Données personnelles suivantes :

 

 

 

 

 

 

Produit

 Types de Données personnelles Traitées par Yext

pour le compte du Client
Nom, coordonnées, biographie et/ou titre des employés du Client Nom ou pseudonyme d’une personne qui soumet un avis en ligne sur le Site de l’Editeur concerné et le contenu de cet avis Nom et adresse électronique ou numéro de téléphone portable d’une personne qui soumet un avis au Client et le contenu de cet avis Informations techniques concernant le visiteur du site web, telles que l’adresse IP* Informations d’utilisation relatives à la visite du site web  (l’URL de référence, le contenu consulté et le contenu avec lequel il y a eu interaction)
Listings/Events Oui, mais seulement si fournis par le Client        
Review Monitoring   Oui      
Review Generation     Oui    
Pages**       Oui Oui**
Knowledge Tags**       Oui Oui**
Answers***       Oui Oui***
Conversion Tracking****         Oui

*L’adresse IP n’est pas mise à la disposition des utilisateurs du Client.

**Pages et Knowledge Tags peuvent être déployés avec un pixel dont l’objectif est de fournir des analyses agrégées au Client.

***Answers peut être déployé avec un cookie de session dont le but est de fournir des analyses agrégées au Client. Answers peut également être déployé avec une fonctionnalité optionnelle de questions-réponses afin qu’un visiteur puisse soumettre son nom et son adresse électronique pour être contacté par le Client.

****Conversion Tracking est une fonctionnalité optionnelle intégrant le contenu de Listings ou Events sur les Sites des Editeurs ou dans Pages, Knowledge Tags ou Answers, laquelle fournit des informations globales permettant de savoir si les visiteurs des dispositifs mis en place par Yext visitent d’autres sites web spécifiés par le Client. Elle comprend un cookie persistant dont le but est de fournir des analyses agrégées au Client.

 

Catégories particulières de données personnelles

Les Données personnelles Client transférées concernent les Catégories particulières de données personnelles suivantes :

Aucune ;

Yext ne collecte ni ne Traite intentionnellement des Catégories particulières de données personnelles lors de la mise à disposition de ses Produits et services. Le Client accepte de ne fournir, à aucun moment, des Catégories particulières de données personnelles à Yext.

 

Opérations de Traitement

Les Données personnelles Client transférées sont soumises aux activités de Traitement de base suivantes :

Collecte, divulgation par transmission et diffusion, hébergement, maintenance, organisation, stockage et support.

 

Annexe 2

MESURES TECHNIQUES ET ORGANISATIONNELLES

  1. Contrôle de l’accès aux zones de Traitement

Yext met en œuvre des mesures appropriées afin d’empêcher les personnes non autorisées d’accéder aux équipements de Traitement des données utilisés pour Traiter les Données Personnelles Client. Pour ce faire, elle prend notamment les mesures suivantes :

  • Système de contrôle d’accès
  • Accès par carte
  • Délivrance de clés
  • Verrouillage des portes
  • Installations de surveillance – Moniteur CCTV
  • Système d’alarme
  • Présence d’agents de sécurité, pendant les heures d’ouverture et heures supplémentaires pour certaines installations
  1. Contrôle de l’accès aux systèmes de Traitement des données

Yext met en œuvre des mesures appropriées pour éviter que ses systèmes de Traitement de données ne soient utilisés par des personnes non autorisées. Cela se fait notamment par :

  • Des procédures de mots de passe (y compris longueur minimale, changement de mot de passe)
  • L’accès aux systèmes informatiques est soumis à l’approbation de la direction des ressources humaines et des administrateurs des systèmes informatiques
  • Révision des contrôles d’accès pour s’assurer que les autorisations sont modifiées pour les personnes qui déménagent ou qui quittent l’entreprise
  1. Contrôle d’accès à des domaines spécifiques des systèmes de Traitement des données

Yext garantit que les personnes autorisées à utiliser ses systèmes de Traitement des données ne peuvent accéder aux Données personnelles Client que dans le cadre et dans la mesure de leur autorisation d’accès respective et que les Données personnelles Client ne peuvent être lues, copiées, modifiées ou supprimées sans autorisation. Ceci est notamment réalisé par :

  • Des droits d’accès différenciés
  • Des droits d’accès définis en fonction des responsabilités
  • L’enregistrement automatisé de l’accès des utilisateurs à certains systèmes informatiques
  1. Contrôle de la transmission

Yext met en œuvre des mesures appropriées pour empêcher que les Données personnelles Client ne soient lues, copiées, modifiées ou supprimées par des parties non autorisées pendant leur transmission ou pendant le transport des supports de données, et afin de garantir qu’il soit possible de vérifier et d’établir à quels organismes le transfert des Données personnelles Client par des moyens de transmission de données est envisagé. Ceci est notamment réalisé par :

  • L’utilisation d’un réseau privé à part entière pour tous les transferts de données au sein de Yext
  • Le cryptage par VPN pour l’accès à distance, le transport et la communication de données
  • L’interdiction des clés USB et CD Rom non cryptés
  1. Contrôle par les instructions données

Yext garantit que les Données personnelles Client ne peuvent être Traitées que conformément aux instructions documentées établies dans le présent ATD et dans le Contrat-cadre (y compris les Conditions relatives aux Produits). Ceci est réalisé par :

  • La formulation non ambiguë des instructions contractuelles
  1. Contrôle de la disponibilité

Yext met en œuvre des mesures appropriées pour garantir que les Données personnelles Client soient protégées contre toute destruction ou perte accidentelle. Cela se fait notamment par :

  • Des procédures de sauvegarde
  • L’alimentation électrique sans coupure (Uninterruptible power supply or UPS)
  • Le stockage à distance
  • Des systèmes anti-virus/pare-feu
  1. Séparation du Traitement pour des finalités différentes

Yext met en œuvre des mesures appropriées pour garantir que les Données personnelles Client qui sont destinées à des fins différentes puissent être Traitées séparément. Pour ce faire, elle adopte notamment les mesures suivantes :

  • Séparation des systèmes informatiques de l’entreprise
  • Séparation des environnements de test et de production

 

 

Annexe 3

CONDITIONS SPÉCIFIQUES À CERTAINS PAYS

AUSTRALIE

Yext se conformera, en ce qui concerne les Données personnelles Client qu’elle Traite, aux Principes australiens de protection de la vie privée (APPs) (à l’exception de l’APP 1) énoncés à l’Annexe 1 de la Loi de 1988 sur la protection de la vie privée (Cth) (« Privacy Act »).

Si Yext informe le Responsable du traitement (ou le revendeur ou l’agence) concerné conformément à l’article 8, Yext fournira ensuite au Responsable du traitement, au revendeur ou à l’agence concernés, l’assistance et les informations qui peuvent être raisonnablement exigées par ce Responsable du traitement, ce revendeur ou cette agence pour se conformer à leurs obligations en vertu de la Partie IIIC de la Privacy Act.

Le cas échéant, vous vous assurerez que vous disposez des autorisations appropriées pour vous permettre de demander à Yext de Traiter les Données personnelles Client conformément à la Loi sur le spam de 2003 (« Spam Act 2003 »).