Addendum sur le traitement des données par RingCentral

Data Processing Agreement (DPA)
Dernière mise à jour: Mai 26, 2022
 
Le présent addendum au traitement des données (" DPA ") est conclu par et entre RingCentral et le Client (chacun étant une " Partie ", ensemble les " Parties "), et vient compléter le contrat signé entre les Parties auquel il est joint (" Contrat ") pour la fourniture des Services (tels que définis ci-dessous) au Client.
 
Les termes en majuscules utilisés mais non définis dans le présent DPA ont la même signification que dans le Contrat.
1.   Définitions
1.1.   Aux fins du présent DPA :
    (a)   "Société Affiliée" désigne une personne ou une entité qui est contrôlée par une partie aux présentes, qui contrôle une partie aux présentes ou qui est sous contrôle commun avec une partie aux présentes, et " contrôle " désigne la propriété effective de plus de cinquante pour cent (50 %) des titres avec droit de vote ou des participations d'une entité alors en circulation.
    (b)   "Contrat" désigne le principal contrat écrit ou électronique entre le Client et RingCentral pour la fourniture de l'un des services RingCentral au Client (chacun un " Service" et collectivement les "Services").
    (c)   "Lois Applicables en matière de Protection des Données" désigne toutes les lois sur la protection des données et la vie privée applicables à RingCentral dans le cadre du traitement des Données Personnelles en vertu du présent DPA
    (d)   "Responsable du Traitement" désigne l'entité qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des Données Personnelles.
    (e)   "Données Personnelles du Client" désigne toutes les Données à Caractère Personnel que RingCentral traite en tant que Sous-Traitant dans le cadre du Contrat.
    (f)   "Données à Caractère Personnel" désigne toute information relative à une personne physique identifiée ou identifiable, telle que définie par la loi applicable en matière de protection des données.
    (g)   "Sous-Traitant" désigne l'entité qui traite les Données Personnelles pour le compte du Responsable du Traitement.
    (h)   "Incident de Sécurité" désigne une violation de la sécurité entraînant une destruction, une perte, une altération, une divulgation ou un accès non autorisé aux Données Personnelles du Client, accidentels ou illégaux, qui compromettent la vie privée, la sécurité ou la confidentialité de ces Données Personnelles.
 
2.   Champ d'application du DPA
2.1   Le présent DPA s'appliquera dans la mesure où RingCentral traite les Données Personnelles du Client pour le compte d'un Client en tant que Sous-Traitant, tel que défini par la Loi Applicable sur la Protection des Données, ce traitement est décrit en détails en Annexe A. Tout traitement de Données Personnelles en tant que Responsable du Traitement par RingCentral est hors du champ d'application du présent DPA.
 
3.   Rôles et responsabilités
3.1   Rôles des Parties. Entre les Parties et aux fins du présent DPA, le Client est le Responsable du Traitement des Données Personnelles du Client traitées par RingCentral en vertu du Contrat en tant que Sous-Traitant pour le compte du Client. RingCentral se conformera aux obligations d'un Responsable du Traitement en vertu des Lois Applicables en matière de Protection des Données dans la mesure où il traite les Données Personnelle en tant que Responsable du Traitement pour les besoins des intérêts légitimes poursuivis par RingCentral, y compris, si cela est nécessaire, au titre de l'exploitation des services de communications fournis, et conformément au droit applicable.
3.2   Obligations du Client. Le Client s'engage à :
    (a)   S'assurer qu'il peut légalement divulguer les Données Personnelles du Client à RingCentral aux fins énoncées dans le Contrat.
    (b)   se conformer aux Lois Applicables en matière de Protection des Données dans le cadre de son utilisation des Services, ainsi que de sa propre collecte et de son traitement des Données Personnelles, y compris les Données Personnelles du Client. Le Client reconnaît et confirme avoir informé ses employés (actuels et futurs) et son comité d'entreprise, le cas échéant, que dans le cadre des Services le Client a accès aux données de trafic ; et
    (c)   Traiter des catégories particulières de Données Personnelles ou des données sensibles (telles que définies par les Lois Applicables en matière de Protection des Données), ou des Données Personnelle concernant des enfants ou des mineurs, ou liées à des condamnations pénales et des infractions, de manière légale et en s'appuyant sur une base juridique valide conformément aux Lois Applicables en matière de Protection des Données. Les Parties reconnaissent que les Services ne sont pas conçus pour reconnaître et/ou classer de telles données.
3.3   Limitation de finalité
    (a)   Sauf exigence contraire de la loi applicable, RingCentral traitera les Données Personnelles du Client (i) conformément aux instructions documentées du Client (lesquelles instructions sont énoncées dans le Contrat, le présent DPA et la configuration et l'utilisation des Services par le Client, conformément aux conditions d'utilisation applicables), (ii) aux fins de la fourniture, du contrôle, du soutien, de l'amélioration et de la maintenance des Services.
    (b)   RingCentral ne se livre pas à la vente de Données Personnelles.
3.4   Confidentialité du traitement. RingCentral veillera à ce que toute personne qu'elle autorise à traiter les Données Personnelles du Client soit soumise à une obligation de confidentialité (obligation contractuelle ou légale).
3.5   Sécurité. RingCentral maintiendra des mesures de sécurité techniques et organisationnelles appropriées pour préserver la sécurité des Données Personnelles du Client. RingCentral maintiendra un programme de sécurité de l'information et de gestion des risques basé sur les meilleures pratiques commerciales afin de préserver la confidentialité, l'intégrité et l'accessibilité des Données Personnelles du Client avec des mesures administratives, techniques et physiques conformes aux normes et pratiques de l’industrie de télécommunication généralement reconnues. Les mesures de sécurité de RingCentral sont décrites dans l'Addendum sur la Sécurité de RingCentral à l'adresse suivante https://netstorage.ringcentral.com/documents/trust-center-security-addendum.pdf.
3.6   Incidents de Sécurité. Dès qu'elle aura connaissance d'un Incident de Sécurité, RingCentral en informera le Client dans les meilleurs délais aux coordonnées que le Client a fournies dans le Portail Administratif et fournira en temps utile les informations que le Client pourra raisonnablement exiger, y compris pour permettre au Client de remplir toute obligation de déclaration de violation de données en vertu des Lois Applicables en matière de Protection des Données.
3.7   Fourniture de Rapports de Sécurité. RingCentral choisira un auditeur tiers indépendant et qualifié pour effectuer, aux frais de RingCentral, des vérifications au moins annuelles de la sécurité des services et des environnements, conformément aux normes reconnues à l'échelle internationale, telles que la norme ISO27001, les normes SOC 2, Type II ou leur équivalent. À la demande du client et en vertu d'un accord de non-divulgation, RingCentral fournira une copie des rapports d'audit les plus récents (ou une attestation de sécurité similaire) pour documenter le respect de l'exigence précédente, lorsque cette certification est disponible. Ce rapport d'audit est une information confidentielle de RingCentral et le client ne le distribuera pas à un tiers sans l'accord écrit de RingCentral.
3.8   Suppression ou Restitution des Données. Lors de la résiliation ou de l'expiration du Contrat, RingCentral supprimera les Données Personnelles du Client (y compris les copies) en sa possession ou, à la demande du Client, proposera des options permettant de restituer les Données Personnelles, sauf dans la mesure où RingCentral est tenue par le droit applicable de conserver tout ou partie des Données Personnelles du Client.
 
4.   Obligations liées au Traitement de Données
4.1   Sous-Traitants Secondaires. Le Client convient que RingCentral et ses Sociétés Affiliées peuvent engager des Sociétés Affiliées à RingCentral et des Sous-Traitants tiers (collectivement, les " Sous-Traitants Secondaires ") pour traiter les Données Personnelles du Client pour le compte de RingCentral. En fonction de l'étendue et de la nature du traitement confié aux Sous-Traitants Secondaires, RingCentral imposera à ces Sous-Traitants Secondaires des conditions de protection des données qui protègent les Données Personnelles du Client selon un standard équivalent prévu par le présent DPA et RingCentral restera responsable de toute violation du DPA causée par un Sous-Traitant Secondaire. Les Sous-Traitants Secondaires engagés par RingCentral pour chacun des services au moment de la conclusion du contrat sont indiqués dans la liste des Sous-Traitants Secondaires de RingCentral, disponible sur le site https://www.ringcentral.com/legal/dpa-subprocessor-list.html.
4.2   Notification pour les Sous-Traitants Secondaires. RingCentral peut, moyennant une notification raisonnable au Client aux coordonnées que le Client a renseignées sur le Portail d’Administrateur, ajouter ou remplacer les Sous-Traitants Secondaires. Si le client s'oppose à la désignation d'un Sous-Traitant Secondaire dans un délai de trente (30) jours calendaires à compter de cette notification pour des motifs raisonnables liés à la protection des Données Personnelles du Client, les Parties discuteront de ces préoccupations en vue de parvenir à une solution. Si une telle solution ne peut être trouvée, RingCentral ne désignera pas le Sous-Traitant Secondaire ou, si cela n'est pas possible, le Client aura le droit de suspendre ou de résilier le Service RingCentral concerné sans pénalité, moyennant une notification écrite de trente (30) jours à RingCentral. Nonobstant ce qui précède, en cas de force majeure imprévisible (telle qu'une défaillance du Sous-Traitant Secondaire de RingCentral) pouvant provoquer une dégradation ou une interruption du Service, RingCentral se réserve le droit de changer immédiatement le Sous-Traitant Secondaire défaillant afin de maintenir ou de rétablir les conditions standard du Service. Dans cette situation, la notification de changement de Sous-Traitant Secondaire peut être exceptionnellement envoyée après le changement.
4.3   Coopération et Droits des Personnes Concernées. Il est de la responsabilité du Client de répondre à toute demande des personnes concernées. Certains des Services de RingCentral peuvent fournir des moyens techniques directs permettant au Client de remplir ses obligations de répondre aux demandes des personnes concernées en vertu des Lois Applicables en matière de Protection des Données. Si le Client n'est pas en mesure de répondre à la demande de la personne concernée par le biais de ces moyens techniques, ou lorsque cette fonctionnalité n'est pas disponible, RingCentral fournira, en tenant compte de la nature du traitement, une assistance raisonnable au Client, afin de lui permettre de répondre aux demandes des personnes concernées. Dans le cas où une telle demande est faite directement à RingCentral, RingCentral invitera rapidement la personne concernée à contacter le Client.
4.4   Analyses d'Impact relatives à la Protection des Données. RingCentral doit, dans la mesure requise par les Lois Applicables en matière de Protection des Données, et à la demande et aux frais du Client, fournir au Client une assistance raisonnable pour les besoins des analyses d'impact relatives à la protection des données ou les consultations préalables avec les autorités de protection des données que le Client est tenu d'effectuer en vertu des Lois Applicables en matière de Protection des Données en relation avec les Services.
4.5   Transferts Internationaux. RingCentral peut transférer et traiter des Données Personnelles du Client en dehors de l'Espace Economique Européen (" EEE "), de la Suisse ou du Royaume-Uni, conformément à la liste publiée des Sous-Traitants Secondaires, vers des lieux où RingCentral, ses Sociétés Affiliées ou ses Sous-Traitants Secondaires effectuent des opérations de traitement de données. Dans la mesure où RingCentral traite (ou fait traiter) des Données Personnelles du Client provenant de l'EEE, de la Suisse ou du Royaume-Uni dans un pays qui n'a pas été reconnu par la Commission Européenne comme assurant un niveau de protection adéquat des Données Personnelles du Client, RingCentral se conformera aux Lois Applicable en matière de Protection des Données de l'EEE, de la Suisse et du Royaume-Uni concernant la collecte, l'utilisation, la conservation et tout autre traitement des Données Personnelles du Client de l'EEE, de la Suisse ou du Royaume-Uni, et mettra en place les mesures nécessaires pour garantir que le transfert est conforme aux Lois Applicables en matière de Protection des Données, ce qui inclut l'exécution des clauses contractuelles types de la Commission Européenne ou la mise en place de tout autre mécanisme de transfert valide en vertu des Lois Applicables en matière de Protection des Données.
4.6   Audits.
    (a)   Les deux Parties reconnaissent qu'elles ont l'intention de se fier normalement à la fourniture des rapports de sécurité visés à la section 3.7 ci-dessus pour vérifier la conformité de RingCentral au présent DPA.
    (b)   En outre, à la demande du Client, mais pas plus d'une fois au cours de chaque période de douze (12) mois, RingCentral remplira un questionnaire sur le programme de sécurité de l'information fourni par le Client, dont la portée est limitée aux services/environnements réels liés aux Services fournis au Client (" Examen de la sécurité ").
    (c)   Après l'examen par le Client du rapport d'audit ou d'une attestation similaire de RingCentral, et du questionnaire de sécurité de l'information rempli (y compris les modifications introduites par RingCentral pour combler les lacunes), si, dans la mesure requise par les Lois Applicables en matière de Protection des Données, des informations supplémentaires sont raisonnablement nécessaires pour démontrer le respect des obligations de RingCentral conformément aux Lois Applicables en matière de Protection des Données et au présent DPA, Le Client peut demander par écrit d'effectuer un audit (y compris des inspections) de RingCentral conformément à la procédure de demande d'audit ci-dessous, au maximum une fois par période de douze (12) mois, sauf si une autorité de surveillance exige spécifiquement qu'un audit soit effectué sur RingCentral ou en réponse à un Incident de Sécurité.
    (d)   Afin d'exercer son droit d'audit conformément à la présente section, le Client doit fournir à RingCentral une demande écrite et détaillée, comprenant l'explication des lacunes dans les rapports d'audit fournis par RingCentral et dans l'examen de sécurité qui rendent l'audit nécessaire pour démontrer la conformité de RingCentral au présent DPA ou aux Lois Applicables en matière de Protection des Données.
    (e)   L'audit peut être effectué par le Client ou par un tiers (ce tiers étant soumis à de strictes obligations de confidentialité, y compris l'exigence que les auditeurs individuels désignés n'aient pas effectué d'audits de l'un des concurrents de RingCentral au cours des douze (12) mois précédents et qu'il leur soit interdit d'effectuer de tels audits dans les douze (12) mois suivant l'audit de RingCentral) uniquement aux frais du Client. RingCentral peut s'opposer par écrit à l'audit d'un tiers si celui-ci, de l'avis raisonnable de RingCentral, n'est pas suffisamment qualifié ou indépendant, s'il est un concurrent de RingCentral ou s'il est manifestement inapproprié de toute autre manière. Toute objection de ce type de la part de RingCentral obligera le Client à désigner un autre auditeur ou à effectuer lui-même l'audit.
    (f)   RingCentral et le Client conviendront à l'avance de l'étendue et du calendrier de l'audit, afin de protéger les Informations confidentielles et propres à RingCentral et aux autres Parties, de minimiser la perturbation des activités de RingCentral, de limiter l'étendue aux services/environnements réels liés aux Services fournis au Client, et de convenir d'une durée raisonnable de l'audit.
    (g)   L'exécution de l'audit aura lieu pendant les heures normales de travail du personnel de RingCentral concerné et les Parties conviennent que RingCentral mettra à la disposition du client des documents qu'il pourra examiner, mais qu'il ne pourra pas conserver. RingCentral peut facturer des frais raisonnables pour les coûts encourus dans le cadre d'un tel audit, sur la base des tarifs de services professionnels de RingCentral, à moins que l'audit ne révèle une violation importante de la part de RingCentral. RingCentral fournira au client les détails de tous les frais applicables, ainsi que la base de leur calcul, avant la réalisation d'un tel audit.
    (h)   Toutes les informations fournies ou mises à la disposition du client conformément à la présente section sont considérées comme des Informations Confidentielles de RingCentral.
4.7   Demandes de Divulgation de Données. Si RingCentral reçoit d'une autorité chargée de l'application de la loi ou d'une autre autorité gouvernementale une demande de divulgation de Données Personnelles du Client que RingCentral traite pour le compte du Client, RingCentral notifiera et fournira au Client les détails de la demande de divulgation de données avant de divulguer toute Donnée Personnelle du Client, à moins que la loi ne l'interdise ou qu'il existe un risque imminent de préjudice grave qui interdit une notification préalable.
 
5.   Divers
5.1   Sauf mention contraire explicite, les conditions du Contrat s'appliquent au DPA. En cas de conflit entre les conditions du Contrat et les conditions du présent DPA, les conditions du présent DPA prévalent en ce qui concerne les activités de traitement des Données Personnelles du Client par RingCentral.
5.2   Le droit applicable et le forum qui s'appliquent à l'accord s'appliquent également au présent DPA.
5.3   Coordonnées pour les demandes de renseignements reliées à ce DPA: privacy@RingCentral.com.

 

Annexe A

DESCRIPTION DU TRAITEMENT

RingCentral est un fournisseur :

1. de services de communication et de collaboration dans le cloud pour des communications vocales haute définitions, la vidéo, les SMS, la messagerie et la collaboration par chat, les conférences audio et video et le fax;

2. une plateforme de gestion de la communication Client omni-channel qui unifie toutes les chaines de communication en contact avec le Client, y compris la voix, les e-mails, les SMS, le site Web, les applications mobiles, le chat et les communications sur les médias sociaux, sur une plateforme unique, permettant des réponses communautaires aux demandes de service client ;

ci-après dénommés collectivement (les "Services").

Le traitement des données a un impact sur les catégories de personnes suivantes :

  • Les employés du Client et les utilisateurs autorisés qui utilisent les Services dans le cadre de l'activité du Client.
  • Toute autre personne physique qui est impliquée ou mentionnée dans le contenu des communications ou des collaborations ayant lieu à travers l'utilisation des Services par le Client.

Les catégories de Données Personnelles du Client traitées comprennent :

  • Les informations d'identification de l'administrateur du Client, les informations de contact, telles que l'adresse, le numéro de téléphone (fixe et mobile), l'adresse e-mail et le numéro de fax, les informations relatives à l'emploi, telles que le titre du poste et le rôle professionnel.
  • Les informations d'identification de toute personne, y compris les employés des Clients, qui utilise les Services à la demande du Client et dans le cadre de son activité, y compris le numéro de téléphone (fixe et mobile) et l'adresse électronique.
  • Les enregistrements du détail des appels, y compris les numéros de l'appelant et du destinataire, la date et l'heure de début de l'appel, la durée de l'appel.
  • Pour les Services tels que RingCentral Contact Center, RingCentral Engage Digital et/ou RingCentral Engage Voice, et RingCentral Engage Digital Communautés :
    • Les informations d'identification des utilisateurs finaux telles que le nom complet, le sexe, les coordonnées (adresse, numéro de téléphone (fixe et mobile), adresse e-mail, numéro de fax), les informations relatives à l'emploi (titre du poste) et le nom de la société.
    • Les informations d'identification des employés ou des utilisateurs autorisés du Client ou d'autres contributeurs tiers, notamment le nom et l'adresse électronique.
    • Contenu publié sur les canaux de communication connectés aux Services, y compris les informations publiques sur les canaux de médias sociaux connectés au Service.
    • Le contenu publié sur l'espace de partage en ligne, y compris tout message public et tout message privé.
  • Toute autre Donnée Personnelle du Client que le Client, ses utilisateurs autorisés ou les tiers impliqués dans les communications choisissent, à leur seule discrétion, d'inclure dans le contenu des communications qui sont envoyées et reçues en utilisant les Services.

Catégories particulières de Données Personnelles du Client

Les Services ne sont pas conçus pour reconnaître et/ou classer les données comme des catégories spéciales de données ou des données sensibles (telles que définies dans le GDPR ou dans d'autres Lois Applicables en matière de Protection des Données), ni comme des Données Personnelles concernant des enfants ou des mineurs, ou liées à des condamnations pénales et des infractions. Dans la mesure où le Client traite des catégories spéciales de Données Personnelles, il s'engage à traiter cette catégorie de Données Personnelles de manière licite, et en particulier à s'appuyer sur une base juridique valable conformément aux Lois Applicables en matière de Protection des Données.

Opérations de traitement

RingCentral traite les Données Personnelles du Client aux fins de la fourniture et de la maintenance des Services auxquels le Client a souscrit, y compris tous les Services annexes ou connexes dans le cadre du Contrat, aux fins de la publication de contenus sur des canaux de communication publics/privés, de la gestion de la relation client, de la gestion des utilisateurs et du support client. RingCentral publie le contenu des utilisateurs autorisés sur les canaux de communication publics ou privés connectés à sa plate-forme et synchronise le contenu des utilisateurs finaux à partir de ces mêmes canaux. RingCentral stocke et affiche les informations du Client et l'historique des conversations aux utilisateurs autorisés.

Les Données Personnelles du Client seront traitées pendant la durée du Contrat, ou tel que requis par la loi ou tel que convenu entre les Parties.