Addendum sur le traitement des données par RingCentral

Data Processing Agreement (DPA)
Dernière mise à jour: Octobre 1 2024
 
Le présent addendum relatif au traitement des données (" DPA ") est conclu par et entre RingCentral et le Client (chacun étant une " Partie ", ensemble les " Parties "), et vient compléter le contrat signé entre les Parties auquel il est joint (" Contrat ") pour la fourniture des Services (tels que définis ci-dessous) au Client. 
Les termes en majuscules utilisés mais non définis dans le présent DPA ont la même signification que dans le Contrat.
1.   Définitions
 
1.1.   Aux fins du présent DPA :
 
    (a)   " Société Affiliée " désigne une personne ou une entité qui est contrôlée par une partie aux présentes, qui contrôle une partie aux présentes ou qui est sous contrôle commun avec une partie aux présentes, et " contrôle " désigne la propriété effective de plus de cinquante pour cent (50 %) des titres avec droit de vote ou des participations d'une entité alors en circulation.
    (b)  "Contrat" désigne le principal contrat écrit ou électronique entre le Client et RingCentral pour la fourniture de l'un des Services RingCentral au Client.
    (c)  " Lois Applicables en matière de Protection des Données " désigne toutes les lois sur la protection des données et la vie privée (y inclus le RGPD) applicables à RingCentral dans le cadre du traitement des Données Personnelles en vertu du présent DPA.
    (d) " Responsable du Traitement " désigne l'entité qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des Données Personnelles.
    (e)   " Données Personnelles du Client " désigne toutes les Données à Caractère Personnel que RingCentral traite en tant que Sous-Traitant dans le cadre du Contrat.
    (f)  " Données à Caractère Personnel " désigne toute information relative à une personne physique identifiée ou identifiable, telle que définie par la loi applicable en matière de protection des données.
    (g)  " RGPD " désigne (i) le Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, (ii) toutes les Lois Applicables en matière de Protection des Données en vigueur dans les pays membres de l’Union Européenne, (iii) le UK Data Protection Act (DPA 2018), tel que modifié, et le UK GDPR, et (iv) le Loi Fédérale sur la Protection des Données.  
    (h) " Services " désigne les services de RingCentral tels que décrits à l’Annexe A.
    (i)  " Sous-Traitant " désigne l'entité qui traite les Données Personnelles pour le compte du Responsable du Traitement.
    (j)  " Incident de Sécurité " désigne une violation de la sécurité entraînant une destruction, une perte, une altération, une divulgation ou un accès non autorisé aux Données Personnelles du Client, accidentels ou illégaux, qui compromettent la vie privée, la sécurité ou la confidentialité de ces Données Personnelles.
 
 
2.   Champ d'application du DPA
 
2.1  Le présent DPA s'appliquera dans la mesure où RingCentral traite les Données Personnelles du Client pour le compte d'un Client en tant que Sous-Traitant ; ce traitement étant décrit en détails en Annexe A. Tout traitement de Données Personnelles par RingCentral en tant que Responsable du Traitement est hors du champ d'application du présent DPA.
 
 
3.   Rôles et responsabilités
 
3.1   Rôles des Parties. Aux fins du présent DPA, le Client est le Responsable du Traitement des Données Personnelles du Client traitées par RingCentral en vertu du Contrat en tant que Sous-Traitant pour le compte du Client. RingCentral se conformera aux obligations d'un Responsable du Traitement en vertu des Lois Applicables en matière de Protection des Données dans la mesure où il traite les Données Personnelles en tant que Responsable du Traitement pour les besoins de ses intérêts légitimes, y compris, si cela est nécessaire, au titre de l'exploitation des services de communications fournis, et conformément au droit applicable.
 
3.2   Obligations du Client. Le Client s'engage à :
 
    (a)   S'assurer qu'il peut légalement divulguer les Données Personnelles du Client à RingCentral aux fins énoncées dans le Contrat.
    (b)   Se conformer aux Lois Applicables en matière de Protection des Données dans le cadre de son utilisation des Services, ainsi que de sa propre collecte et de son traitement des Données Personnelles, y compris les Données Personnelles du Client. Le Client reconnaît et confirme avoir informé ses employés (actuels et futurs) et son comité d'entreprise, le cas échéant, que dans le cadre des Services le Client a accès aux données de trafic ; et
    (c)   Traiter des catégories particulières de Données Personnelles ou des données sensibles (telles que définies par les Lois Applicables en matière de Protection des Données), ou des Données Personnelle concernant des enfants ou des mineurs, ou liées à des condamnations pénales et des infractions, de manière légale et en s'appuyant sur une base juridique valide conformément aux Lois Applicables en matière de Protection des Données. Les Parties reconnaissent que les Services ne sont pas conçus pour reconnaître et/ou classer de telles données.
 
3.3   Limitation de la finalité. Sauf exigence contraire de la loi applicable, RingCentral traitera les Données Personnelles du Client (i) conformément aux instructions documentées du Client (lesquelles instructions sont énoncées dans le Contrat, le présent DPA et la configuration et l'utilisation des Services par le Client, conformément aux conditions d'utilisation applicables), (ii) aux fins de la fourniture, du contrôle, du soutien, de l'amélioration et de la maintenance des Services.
 
3.4   Confidentialité du traitement. RingCentral veillera à ce que toute personne qu'elle autorise à traiter les Données Personnelles du Client soit soumise à une obligation de confidentialité (obligation contractuelle ou légale).
 
3.5   Sécurité. RingCentral maintiendra des mesures de sécurité techniques et organisationnelles appropriées pour préserver la sécurité des Données Personnelles du Client. RingCentral maintiendra un programme de sécurité de l'information et de gestion des risques basé sur les meilleures pratiques commerciales afin de préserver la confidentialité, l'intégrité et l'accessibilité des Données Personnelles du Client avec des mesures administratives, techniques et physiques conformes aux normes et pratiques de l’industrie de télécommunication généralement reconnues. Les mesures de sécurité de RingCentral sont décrites dans l'Addendum sur la Sécurité de RingCentral à l'adresse suivante https://netstorage.ringcentral.com/documents/trust-center-security-addendum.pdf.
 
3.6   Incidents de Sécurité. Dès qu'elle aura connaissance d'un Incident de Sécurité, RingCentral en informera le Client dans les meilleurs délais aux coordonnées que le Client a fournies dans le Portail Administratif et fournira en temps utile les informations que le Client pourra raisonnablement exiger, y compris pour permettre au Client de remplir toute obligation de déclaration de violation de données en vertu des Lois Applicables en matière de Protection des Données.
 
3.7   Fourniture de Rapports de Sécurité. RingCentral choisira un auditeur tiers indépendant et qualifié pour effectuer, aux frais de RingCentral, des vérifications au moins annuelles de la sécurité des services et des environnements, conformément aux normes reconnues à l'échelle internationale, telles que la norme ISO27001, les normes SOC 2, Type II ou leur équivalent. À la demande du client et en vertu d'un accord de non-divulgation, RingCentral fournira une copie des rapports d'audit les plus récents (ou une attestation de sécurité similaire) pour documenter le respect de l'exigence précédente, lorsque cette certification est disponible. Ce rapport d'audit est une information confidentielle de RingCentral et le client ne le distribuera pas à un tiers sans l'accord écrit de RingCentral.
 
3.8  Audits.
 
  1.  (a)   Les deux Parties reconnaissent qu'elles ont l'intention de se baser sur les rapports de sécurité visés à la section 3.7 ci-dessus pour vérifier la conformité de RingCentral au présent DPA.
  2.  (b)   De plus, à la demande du Client, mais pas plus d'une fois au cours de chaque période de douze (12) mois, RingCentral remplira un questionnaire sur le programme de sécurité de l'information fourni par le Client, dont la portée est limitée aux services/environnements réels liés aux Services fournis au Client (" Examen de la sécurité ").
  3. (c)   Après l'examen par le Client du rapport d'audit ou d'une attestation similaire de RingCentral, et du questionnaire de sécurité de l'information rempli (y compris les modifications introduites par RingCentral pour combler les lacunes), si, dans la mesure requise par les Lois Applicables en matière de Protection des Données, des informations supplémentaires sont raisonnablement nécessaires pour démontrer le respect des obligations de RingCentral conformément aux Lois Applicables en matière de Protection des Données et au présent DPA, Le Client peut demander par écrit d'effectuer un audit (y compris des inspections) de RingCentral conformément à la procédure de demande d'audit ci-dessous, au maximum une fois par période de douze (12) mois, sauf si une autorité de surveillance exige spécifiquement qu'un audit soit effectué sur RingCentral ou en réponse à un Incident de Sécurité.
  4.  (d)   Afin d'exercer son droit d'audit conformément à la présente section, le Client doit fournir à RingCentral une demande écrite et détaillée, comprenant l'explication des lacunes dans les rapports d'audit fournis par RingCentral et dans l'examen de sécurité qui rendent l'audit nécessaire pour démontrer la conformité de RingCentral au présent DPA ou aux Lois Applicables en matière de Protection des Données.
  5.  (e)   L'audit peut être effectué par le Client ou par un tiers (ce tiers étant soumis à de strictes obligations de confidentialité, y compris l'exigence que les auditeurs individuels désignés n'aient pas effectué d'audits de l'un des concurrents de RingCentral au cours des douze (12) mois précédents et qu'il leur soit interdit d'effectuer de tels audits dans les douze (12) mois suivant l'audit de RingCentral) uniquement aux frais du Client. RingCentral peut s'opposer par écrit à l'audit d'un tiers si celui-ci, de l'avis raisonnable de RingCentral, n'est pas suffisamment qualifié ou indépendant, s'il est un concurrent de RingCentral ou s'il est manifestement inapproprié de toute autre manière. Toute objection de ce type de la part de RingCentral obligera le Client à désigner un autre auditeur ou à effectuer lui-même l'audit.
  6.  (f)   RingCentral et le Client conviendront à l'avance de l'étendue et du calendrier de l'audit, qui ne pourra pas avoir lieu avant un minimum de trente (30) jours à compter de la date de la demande écrite prévue au paragraphe 3.8 (d), afin de protéger les Informations confidentielles et propres à RingCentral et aux autres Parties, de minimiser la perturbation des activités de RingCentral, de limiter l'étendue aux services/environnements réels liés aux Services fournis au Client, et de convenir d'une durée raisonnable de l'audit.
  7.  (g)   L'exécution de l'audit aura lieu pendant les heures normales de travail du personnel de RingCentral concerné et les Parties conviennent que RingCentral mettra à la disposition du client des documents qu'il pourra examiner, mais qu'il ne pourra pas conserver. RingCentral peut facturer des frais raisonnables pour les coûts encourus dans le cadre d'un tel audit, sur la base des tarifs de services professionnels de RingCentral, à moins que l'audit ne révèle une violation importante de la part de RingCentral. RingCentral fournira au client les détails de tous les frais applicables, ainsi que la base de leur calcul, avant la réalisation d'un tel audit.
  8.  (h)   Toutes les informations fournies ou mises à la disposition du client conformément à la présente section sont considérées comme des Informations Confidentielles de RingCentral. Coopération et Droits des Personnes Concernées. Il est de la responsabilité du Client de répondre à toute demande des personnes concernées. Certains des Services de RingCentral peuvent fournir des moyens techniques directs permettant au Client de remplir ses obligations de répondre aux demandes des personnes concernées en vertu des Lois Applicables en matière de Protection des Données. Si le Client n'est pas en mesure de répondre à la demande de la personne concernée par le biais de ces moyens techniques, ou lorsque cette fonctionnalité n'est pas disponible, RingCentral fournira, en tenant compte de la nature du traitement, une assistance raisonnable au Client, afin de lui permettre de répondre aux demandes des personnes concernées. Dans le cas où une telle demande est faite directement à RingCentral, RingCentral invitera rapidement la personne concernée à contacter le Client.
  9.  
3.9   Suppression ou Restitution des Données. Lors de la résiliation ou de l'expiration du Contrat, RingCentral supprimera les Données Personnelles du Client (y compris les copies) en sa possession ou, à la demande du Client, proposera des options permettant de restituer les Données Personnelles, sauf dans la mesure où RingCentral est tenue par le droit applicable de conserver tout ou partie des Données Personnelles du Client.
 
 
4.   Obligations liées au Traitement de Données en application du RGPD
 
4.1   Sous-Traitants Secondaires. Le Client convient que RingCentral et ses Sociétés Affiliées peuvent engager des Sociétés Affiliées à RingCentral et des Sous-Traitants tiers (collectivement, les " Sous-Traitants Secondaires ") pour traiter les Données Personnelles du Client pour le compte de RingCentral. En fonction de l'étendue et de la nature du traitement confié aux Sous-Traitants Secondaires, RingCentral imposera à ces Sous-Traitants Secondaires des conditions de protection des données qui protègent les Données Personnelles du Client selon un standard équivalent prévu par le présent DPA et RingCentral restera responsable de toute violation du DPA causée par un Sous-Traitant Secondaire. Les Sous-Traitants Secondaires engagés par RingCentral pour chacun des services au moment de la conclusion du contrat sont indiqués dans la liste des Sous-Traitants Secondaires de RingCentral, disponible sur le site https ://www.ringcentral.com/legal/dpa-subprocessor-list.html et/ou dans le Contrat.
 
4.2   Notification - Nouveaux Sous-Traitants Secondaires.  RingCentral peut, moyennant une notification raisonnable au Client aux coordonnées que le Client a renseignées sur le Portail d’Administrateur, ajouter ou remplacer les Sous-Traitants Secondaires. Si le client s'oppose à la désignation d'un Sous-Traitant Secondaire dans un délai de trente (30) jours calendaires à compter de cette notification pour des motifs raisonnables liés à la protection des Données Personnelles du Client, les Parties discuteront de ces préoccupations en vue de parvenir à une solution. Si une telle solution ne peut être trouvée, RingCentral ne désignera pas le Sous-Traitant Secondaire ou, si cela n'est pas possible, le Client aura le droit de suspendre ou de résilier le Service RingCentral concerné sans pénalité, moyennant une notification écrite de trente (30) jours à RingCentral. Nonobstant ce qui précède, en cas de force majeure imprévisible (telle qu'une défaillance du Sous-Traitant Secondaire de RingCentral) pouvant provoquer une dégradation ou une interruption du Service, RingCentral se réserve le droit de changer immédiatement le Sous-Traitant Secondaire défaillant afin de maintenir ou de rétablir les conditions standard du Service. Dans cette situation, la notification de changement de Sous-Traitant Secondaire peut être exceptionnellement envoyée après le changement.
 
4.3   Analyses d'Impact relatives à la Protection des Données. RingCentral doit, dans la mesure requise par le RGPD, et à la demande et aux frais du Client, fournir au Client une assistance raisonnable pour les besoins des analyses d'impact relatives à la protection des données ou les consultations préalables avec les autorités de protection des données que le Client est tenu d'effectuer en vertu des Lois Applicables en matière de Protection des Données en relation avec les Services.
 
4.4   Transferts Internationaux. RingCentral peut transférer et traiter des Données Personnelles du Client en dehors de l'Espace Economique Européen (" EEE "), de la Suisse ou du Royaume-Uni, conformément à la liste applicable des Sous-Traitants Secondaires, vers des lieux où RingCentral, ses Sociétés Affiliées ou ses Sous-Traitants Secondaires effectuent des opérations de traitement de données.
 
    (a) Cadre de protection des données UE-États-Unis (Data Privacy Framework). RingCentral est certifié auprès du Département Américain du Commerce (U.S. Department of Commerce) et adhère au cadre de protection des données UE-Etats-Unis (the EU-U.S. Data Privacy Framework (EU-U.S. DPF), the UK Extension to the EU-U.S. DPF, and the Swiss-U.S. Data Privacy Framework). La Notice of Certification de RingCEntral est applicable aux Services.
    (b) Clauses Contractuelles Type. Dans la mesure où RingCentral traite (ou fait traiter) des Données Personnelles du Client provenant de l'EEE, de la Suisse ou du Royaume-Uni dans un pays qui n'a pas été reconnu par la Commission Européenne comme assurant un niveau de protection adéquat des Données Personnelles du Client, RingCentral se conformera aux Lois Applicable en matière de Protection des Données de l'EEE, de la Suisse et du Royaume-Uni concernant la collecte, l'utilisation, la conservation et tout autre traitement des Données Personnelles du Client de l'EEE, de la Suisse ou du Royaume-Uni, et mettra en place les mesures nécessaires pour garantir que le transfert est conforme aux Lois Applicables en matière de Protection des Données, ce qui inclut l'exécution des clauses contractuelles types de la Commission Européenne ou la mise en place de tout autre mécanisme de transfert valide en vertu des Lois Applicables en matière de Protection des Données.
 
4.6  Demandes de Divulgation de Données. Si RingCentral reçoit d'une autorité chargée de l'application de la loi ou d'une autre autorité gouvernementale une demande de divulgation de Données Personnelles du Client que RingCentral traite pour le compte du Client, RingCentral notifiera et fournira au Client les détails de la demande de divulgation de données avant de divulguer toute Donnée Personnelle du Client, à moins que la loi ne l'interdise ou qu'il existe un risque imminent de préjudice grave qui interdit une notification préalable.
 
5.   Divers
5.1   Sauf mention contraire explicite, les conditions du Contrat s'appliquent au DPA. En cas de conflit entre les conditions du Contrat, toutes dispositions relatives aux mesures de sécurité prévues au DPA ou au Contrat, et les conditions du présent DPA, les conditions du présent DPA prévalent en ce qui concerne les activités de traitement des Données Personnelles du Client par RingCentral.
5.2   Le droit applicable et le forum qui s'appliquent à l'accord s'appliquent également au présent DPA.
5.3   Coordonnées pour les demandes de renseignements reliées à ce DPA: [email protected].

 

Annexe A

DESCRIPTION DU TRAITEMENT

Finalité du Traitement

Les activités de traitement effectuées par RingCentral ont pour but de  fournir l'un des services suivants :

  1. 1. Services de communication et de collaboration dans le cloud pour des communications vocales haute définitions, la vidéo, les SMS, la messagerie et la collaboration par chat, les conférences audio et video et le fax;

  2. 2. Centre de contact et plateforme de gestion de la communication Client omni-channel qui unifie tou     s les canaux      de communication en contact avec le Client, y compris la voix, les e-mails, les SMS, le site Web, les applications mobiles, le chat et les communications sur les médias sociaux, sur une plateforme unique, permettant des réponses communautaires aux demandes de service client ;

  3. 3. Services d’événements et de présentations virtuels;

  4. 4. Services d’assistance (professional services);

  5. 5. Tout autre service prévu au Contrat, à moins qu'il ne soit régi par des dispositions spécifiques en matière de protection des données ;

tels que ces services sont décrits au Contrat,

ci-après dénommés collectivement (les "Services").

Les Services peuvent inclure des tableaux de bord fournissant diverses mesures et informations sur les communications des clients, dont certaines sont basées sur une plateforme d'intelligence conversationnelle faisant appel à l'intelligence artificielle.

Personnes Concernées

Le traitement des données a un impact sur les catégories de personnes suivantes :

  • Les employés du Client et les utilisateurs autorisés qui utilisent les Services dans le cadre de l'activité du Client. 
  • Toute autre personne physique qui est impliquée ou mentionnée dans le contenu des communications ou des collaborations ayant lieu à travers l'utilisation des Services par le Client.

Données Personnelles du Client

En fonction des Services, les catégories de Données Personnelles du Client traitées peuvent inclure, notamment :

  • Les données de compte de service qui peuvent comprendre l'un des éléments suivants : nom ; numéro de téléphone ; adresse électronique ; adresse physique ; titre ; rôle ; informations de profil ; paramètres d'application, identifiants de connexion (identifiant, connexion, compte, mots de passe) ;
  • Les données d'utilisation qui peuvent comprendre l'un des éléments suivants : informations sur l'appareil (telles que l'adresse IP, le FAI, le type d'appareil et de système d'exploitation, le système d'exploitation et la version du client, la version du client, le type de microphone ou de haut-parleurs, le type de connexion et les informations connexes, etc.) ; type de connexion et informations connexes (par exemple, connexion par Wifi) ; journaux du système, y compris les journaux d'utilisation, les journaux du backend, les journaux du client ; identifiants de cookies ; métadonnées de communication, y compris les enregistrements détaillés des appels (CDR) et les données relatives au trafic ; 
  • Le contenu généré par l'utilisateur, qui peut comprendre l'un des éléments suivants : noms ou numéros de téléphone des participants ; messages de chat ; texte des télécopies entrantes et sortantes ; messages vocaux ; texte des SMS entrants et sortants ; notes de réunion ; flux audio/vidéo en transit ; enregistrements de réunions ou d'appels ; contenu des interactions avec le centre de contact (p. ex, ) ; transcriptions d'appels ou de réunions enregistrés ; résumés d'appels ou de réunions enregistrés ; historique des réunions ; fichiers, images et liens partagés ; pièces jointes aux messages, telles que notes, tâches, événements, extraits de code et .gifs ; créations de dossiers ; historique des recherches ; présence en ligne et messages d'état ; retour d'information de l'utilisateur ;Toutes autres Données Personnelles du Client qui peuvent être nécessaires à RingCentral pour fournir les Services tels que décrits au Contrat.

Catégories Particulières de Données Personnelles du Client

Les Services ne sont pas conçus pour reconnaître et/ou classer les données comme des catégories particulières      de données ou des données sensibles (telles que définies dans le GDPR ou dans d'autres Lois Applicables en matière de Protection des Données), ni comme des Données Personnelles concernant des enfants ou des mineurs, ou liées à des condamnations pénales et des infractions. Dans la mesure où le Client traite des catégories particulières      de Données Personnelles, il s'engage à traiter cette catégorie de Données Personnelles de manière licite, et en particulier à s'appuyer sur une base juridique valable conformément aux Lois Applicables en matière de Protection des Données.

Opérations de Traitement

RingCentral traite les Données Personnelles du Client dans le but de fournir et de maintenir les Services auxquels le Client a souscrit, y compris tout service auxiliaire ou connexe dans le cadre du Contrat, ce qui peut inclure, notamment la collecte, le stockage, la transmission, l'enregistrement, la transcription, la publication, l'affichage, l'extraction, la consultation, la combinaison, la structuration et l'adaptation.

Durée du Traitement

Les Données Personnelles du Client seront traitées pendant la durée du Contrat, ou tel que requis par la loi ou convenu entre les Parties.