Passer directement au contenu principal

Accords et Modalités

Politiques et Directives

Marques commerciales et propriété intellectuelle

Fournisseurs

Protection des données et de la vie privée

ACCORD DE TRAITEMENT DE DONNÉES

Cet Accord de Traitement des Données (« ATD ») est conclu entre le Client et Zendesk, Inc. (« Zendesk »), chacun une « Partie » et ensemble les « Parties ».

Le client et Zendesk ont conclu l'Accord selon lequel le client bénéficie de l'accès et de l'utilisation des Services pendant la Durée de l'abonnement. Le présent ATD est incorporé et fait partie intégrante du Contrat. Si vous souhaitez signer électroniquement le DPA, veuillez cliquer ici.

1. OBLIGATIONS MONDIALES EN MATIÈRE DE CONFIDENTIALITÉ DES PARTIES

  1. Propriété des données de service. Zendesk ne fait valoir aucun droit de propriété ou intérêt sur les Données de service traitées en vertu du présent ATD et, entre les Parties, les Données de service détenues par le Client demeurent la propriété du Client.
  2. Données Personnelles. Les Parties conviennent que la nature, les finalités, le Sujet, la durée du traitement, les catégories de Données Personnelles ou de personnes concernées, et les périodes de conservation applicables sont décrits à l'Annexe I.
  3. Législation applicable en matière de protection des données. Zendesk et le client conviennent de respecter leurs obligations respectives en vertu de la loi applicable sur la protection des données.
  4. Obligations de Zendesk. Zendesk accepte de :

    1. traiter les Données Personnelles selon les instructions documentées du Client, sauf si la loi applicable permet ou exige autrement. Zendesk informera le client immédiatement si ses instructions de traitement enfreignent la loi applicable sur la protection des données;

    2. ne pas vendre ou partager des Données Personnelles;

    3. assurez-vous que svi les employés et les contractants sont pleinement conscients de leurs responsabilités pour protéger les Données Personnelles en vertu de ce DPA et se sont engagés à une obligation contractuelle ou légale appropriée de confidentialité;

    4. notifier le Client s'il ne peut plus respecter ses obligations en vertu de la Loi applicable sur la protection des données et permettre au Client de prendre des mesures raisonnables et appropriées pour remédier au traitement non autorisé des Données personnelles ;

    5. mettre en œuvre et maintenir des mesures techniques et organisationnelles appropriées conçues pour protéger les Données Personnelles contre la destruction, la perte, l'altération, la divulgation ou l'accès non autorisés, en tenant compte de la probabilité et de la gravité des risques pour les droits à la vie privée des Sujets de données, y compris les mesures de l'Annexe II ;

    6. notifier le Client d'une violation confirmée des données Personnelles sans retard injustifié et dans les 48 heures, sauf interdiction par la loi ou une agence gouvernementale ; prendre des mesures appropriées conçues pour atténuer la ou les causes de la violation des données Personnelles ; et fournir au Client toutes les informations nécessaires comme requis par la Loi Applicable sur la Protection des Données ;

    7. aider raisonnablement le Client avec son obligation de répondre aux demandes des Sujets de données et, si Zendesk reçoit une demande directement du Sujet de données du Client, diriger le Sujet de données vers le Client sauf si la loi l'interdit ; et

    8. mettre à disposition des informations et une assistance raisonnables sur le plan PME-PMI pour activer le Client à mener toute évaluation d'impact sur la protection des données ou consultation de l'autorité de contrôle, comme requis par la Loi Applicable sur la Protection des Données.

  5. Obligations du client. Client, en tant que responsable du traitement des données, détermine quelles Données à caractère personnel sont traitées par les Services. Le Client est responsable de l’évaluation des mesures techniques et organisationnelles de Zendesk, le cas échéant, pour les types de Données à caractère personnel que le Client souhaite traiter par son utilisation des Services.

2. UTILISATION DES SOUS-TRAITANTS

  1. Sous-traitants. Le client donne son autorisation écrite générale à Zendesk pour utiliser des sous-traitants à condition que :

    1. Zendesk reste responsable envers le client pour les actes ou omissions de ses sous-traitants concernant leur traitement des données personnelles ; et

    2. chaque sous-traitant s'engage à protéger les Données Personnelles conformément aux exigences de ce DPA.

  2. Mises à jour de la politique de sous-traitant. Zendesk mettra à jour la Politique du Sous-traitant avec tout Sous-traitant nouvellement nommé au moins 30 jours avant ladite modification. Le client peut s'inscrire pour recevoir des notifications par e-mail de tels changements.
  3. Objections à la politique de sous-traitant. Le client peut s'opposer à tout nouveau Sous-traitant désigné pour des raisons valables liées à la protection des données. Si le client s’oppose, il en informera Zendesk par écrit en envoyant un E-mail à privacy@zendesk.com dans les 30 jours suivant la mise à jour de la Politique relative aux Sous-traitants. Dans un tel cas, les Parties négocieront, de bonne foi, une solution à l'objection du Client. Si les Parties ne parviennent pas à une résolution dans les 60 jours suivant la réception par Zendesk de l'objection du client, Zendesk, à sa seule discrétion, prendra l'une des mesures suivantes :

    1. instruire le Sous-traitant de ne pas traiter les Données Personnelles du client, et le DPA continuera sans être affecté, ou

    2. permettre au Client de résilier toute partie affectée des Services et fournir au Client un remboursement au prorata des Frais d’abonnement payés à l’avance pour la partie affectée des Services qui n’ont pas encore été reçus à la date d’entrée en vigueur de la résiliation.

3. AUDIT

  1. Auditeurs externes. Zendesk utilise des auditeurs externes indépendants et qualifiés pour vérifier l'adéquation de ses mesures de protection des données et le respect de ses obligations dans ce DPA (par exemple, SOC 2 Type II ou ISO 27001).
  2. Rapport d’audit. À la demande écrite du client, Zendesk fournira au client un rapport d'audit, sous réserve des dispositions de confidentialité de l'accord.
  3. Assistance. Dans la mesure où les exigences d'audit du Client en vertu de la Loi applicable sur la protection des données ne sont pas raisonnablement satisfaites par le Rapport d'audit ou d'autres documents que Zendesk met généralement à la disposition de ses clients, et que le Client n'a pas autrement accès aux informations pertinentes, Zendesk aidera raisonnablement le Client.
  4. Audit. Si le client ne peut pas satisfaire à ses obligations d’audit en vertu de la Législation applicable sur la protection des données grâce à l’assistance fournie par Zendesk dans la Section 3.3 et que le client a le droit de réaliser un audit en vertu de la Législation applicable sur la protection des données, le client peut demander un tel audit en envoyant un préavis écrit d’au moins 30 jours à privacy@zendesk.com. Un tel audit peut être effectué pas plus d'une fois par an, doit être réalisé pendant les horaires d’ouverture normaux avec une durée raisonnable, ne doit pas interférer avec les opérations de Zendesk, et doit être effectué uniquement au siège de Zendesk ou dans un bureau commercial convenu. Cet audit n’impliquera pas l’accès à des données relatives à d’autres clients de Zendesk, ou à des installations ou systèmes sécurisés d’une manière qui violerait les contrôles de sécurité de Zendesk ou ferait en sorte que Zendesk viole ses obligations de confidentialité envers un tiers. Toute information générée en connexion avec un tel audit est une Information Confidentielle de Zendesk et sera rapidement fournie à Zendesk. Le client est responsable des coûts et des dépenses liés à tout audit qu'il demande au-delà du rapport d'audit.

4. TRANSFERTS INTERNATIONAUX DE DONNÉES

  1. Transferts internationaux de données. Le Client reconnaît qu’il est nécessaire pour l’exécution des Services que Zendesk puisse traiter les Données de service à l’échelle mondiale conformément à la Législation applicable en matière de protection des données. Si Zendesk transfère des Données Personnelles d'un pays d'origine vers un pays qui n'a pas reçu de décision d'adéquation de la part du pays d'origine, les transferts respecteront un ou plusieurs des Mécanismes de Transfert suivants, applicables à toutes les Données Personnelles, et dans l'ordre suivant :

    1. un mécanisme de certification valide ;

    2. Règles d'entreprise contraignantes (BCR) ;

    3. SCC.

  2. Mécanismes de transfert. Mécanismes de transfert, sélections de clauses, et exigences spécifiques par pays, le cas échéant, sont détaillés et incorporés par référence dans l'Annexe III.
  3. Évaluation de transfert de données. Le client reconnaît qu'il peut être obligé de réaliser une évaluation de transfert de données en plus de s'appuyer sur les mécanismes de transfert. Zendesk fournira une assistance raisonnable pour cette évaluation sur demande.
  4. Signature contraignante. Le client reconnaît que la signature de l'Accord constitue une signature contraignante des SCC et des autres exigences de signature indiquées dans les Conditions spécifiques à la région.

5. RETOUR ET DESTRUCTION DES DONNÉES PERSONNELLES

Sur demande écrite du client, Zendesk mettra les données de service à la disposition du client pour exportation ou téléchargement comme prévu dans l'accord. Zendesk supprimera les données de service conformément à la politique de suppression des données de service de Zendesk.

6. SERVICES D’INNOVATION

Toutes les Sections de ce DPA s'appliquent aux Services d'Innovation, sauf pour la Section 3 (Audit), l'Annexe II (Mesures de sécurité techniques et organisationnelles de Zendesk – Services de grand compte), et l'Annexe III, Sections 1 et 2 (Règles d'entreprise contraignantes et Cadre de confidentialité des données).

7. CONFLITS

Sauf accord contraire, les conditions du présent ATD prévaudront sur toutes les conditions contradictoires du Contrat.

8. DÉFINITIONS

[svi]:Tous les termes utilisés dans ce DPA auront les significations qui leur sont données ci-dessous. Lorsque non définis dans ce DPA, les termes « sell », « partager », « traitement », « traiter », « processeur », « contrôleur », « exportateur de données », « importateur de données », « sujet des données », « violation de données personnelles » (et termes similaires), et « autorité de contrôle » auront la même signification que dans la Loi Applicable sur la Protection des Données. Tous les termes commençant par une majuscule qui ne sont pas autrement définis dans le présent ATD sont tels que définis dans le Contrat.

« Loi applicable sur la protection des données » désigne svi les lois et réglementations sur la protection des données applicables à chaque partie en lien avec son traitement respectif des Données Personnelles dans le cadre du présent Accord.

« Rapport d’audit » désigne un résumé confidentiel de tout tel rapport de certification ou d’audit pour les Services grand compte.

« Règles d’Entreprise Contraignantes » désigne (a) les Règles d’Entreprise Contraignantes de l’UE – Sous-traitant pour les transferts de Données Personnelles soumis au RGPD, ou (b) les Règles d’Entreprise Contraignantes du Royaume-Uni – Sous-traitant pour les transferts de Données Personnelles du Royaume-Uni.

« Programme de Bug Bounty » désigne les conditions à l’adresse : https://support.zendesk.com/hc/en-us/articles/115002853607-Zendesk-Bug-Bounty-Program.

Page Web sur la résilience des entreprises https://support.zendesk.com/hc/en-us/articles/360022191434-Business-Continuity-and-Disaster-recovery.

« Données Personnelles » désigne toute donnée personnelle se rapportant, directement ou indirectement, à une personne physique identifiée ou identifiable qui est contenue dans les Données de Service.

« Page Web de Statut » https://status.zendesk.com/.

« SCCs » désigne les clauses contractuelles types approuvées par une autorité de contrôle comme Mécanisme de transfert.

«Sous-traitant ultérieur» désigne tout sous-traitant tiers engagé par Zendesk qui reçoit et traite les Données de service conformément aux instructions du Client (telles que communiquées par Zendesk) et aux conditions de son contrat de sous-traitance écrit avec Zendesk, tel qu’indiqué dans la Politique relative aux Sous-traitants ultérieurs.

«Politique de sous-traitant» désigne la politique à l’adresse: https://support.zendesk.com/hc/en-us/articles/4408883061530-Sub-processor-Policy.

« Mécanisme de transfert » désigne le ou les cadres régissant le traitement international des Données Personnelles décrit dans l’Annexe III.

ANNEXE I

Détails du traitement

Exportateur de données : Client

Coordonnées : Fournie dans le bloc de signature DPA.

Rôle de l’exportateur de données : Le client est un contrôleur (en ce qui concerne Zendesk)

Importateur de données : Zendesk, Inc.

Coordonnées : Provided in the bloc de signature DPA

Rôle de l’importateur de données : Zendesk est un processeur

  1. Nature et finalité du traitement : Zendesk traitera les Données Personnelles comme spécifié dans l'Accord et pour les fins déterminées par le Client.
  2. Activités de traitement : Les activités de traitement incluront l'hébergement et le traitement des Données Personnelles comme spécifiquement instruit par le programme du Client ou dans l'Accord.
  3. Durée de traitement et de conservation : Zendesk traitera et conservera les Données Personnelles de manière continue pendant la Durée de l'Abonnement. Zendesk supprime les Données Personnelles conformément à la Politique de Suppression des Données de Service de Zendesk.
  4. Sujets de données : Le client peut, à sa seule discrétion, soumettre des Données Personnelles aux Services, qui peuvent inclure, sans s'y limiter : les employés (y compris les contractuels et les employés temporaires), les proches des employés, les clients, les clients potentiels, les prestataires de services, les partenaires commerciaux, les fournisseurs, les Utilisateurs Finaux, les conseillers (tous étant des personnes physiques) du client et toute(s) personne(s) physique(s) autorisée(s) par le client à utiliser les Services.
  5. Catégories de Données Personnelles : Le client peut traiter toute catégorie de données personnelles à sa seule discrétion en utilisant les Services, ce qui peut inclure, sans s'y limiter, les catégories suivantes de données personnelles : prénom et nom, adresse e-mail, titre, poste, employeur, informations de contact (entreprise, e-mail, numéros de téléphone, adresse physique), date de naissance, sexe, communications (enregistrements téléphoniques, messagerie vocale, métadonnées), et informations de service client.
  6. Catégories particulières de données (le cas échéant) : Les catégories de données sensibles nécessitant un traitement spécial en vertu de la loi applicable sur la protection des données peuvent être incluses dans les Données Personnelles à la discrétion du Client.

ANNEXE II

Mesures de sécurité techniques et organisationnelles de Zendesk – Services Grand Compte

Les mesures techniques et organisationnelles pour protéger les Données de Service pour les Services de Grand Compte sont contenues dans les Mesures de Sécurité pour Grand Compte de Zendesk.

Zendesk se réserve le droit de mettre à jour son programme de sécurité de temps à autre, à condition, toutefois, que toute mise à jour ne réduise pas sensiblement les protections globales de la présente Annexe II.

  1. Programme de sécurité de l'information et équipe : Le programme de sécurité Zendesk comprend des politiques et des normes documentées de garanties administratives, techniques, physiques et organisationnelles, qui régissent le traitement des Données de service conformément à la loi applicable. Le programme de sécurité est conçu pour protéger la confidentialité et l'intégrité des Données de Service, en fonction de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques liés au traitement pour les Sujets des données. Zendesk maintient une équipe de sécurité répartie à travers le monde, au téléphone 24 h/24 et 7 j/7 pour réagir aux alertes et événements de sécurité.
  2. Certifications de sécurité : Zendesk détient les certifications suivantes liées à la sécurité de la part d'auditeurs tiers indépendants : SOC 2 Type II, ISO 27001:2013, ou ISO 27018:2014.
  3. Contrôles d'accès physiques : Zendesk prend des mesures raisonnables, telles que le personnel de sécurité et les bâtiments sécurisés, pour empêcher les personnes non autorisées d'accéder physiquement aux Données de Service et vérifie que les tiers exploitant des centres de données pour le compte de Zendesk respectent ces contrôles.
  4. Contrôles d'accès au système : Zendesk prend des mesures raisonnables pour empêcher l’utilisation des Données de service sans autorisation. Ces contrôles varient en fonction de la nature du traitement entrepris et peuvent inclure, parmi d'autres contrôles, l'authentification via des mots de passe et/ou l'authentification à deux facteurs, des processus d'autorisation documentés, des change management process documentés et/ou, la journalisation des accès à plusieurs niveaux.
  5. Contrôles d'accès aux données : Zendesk prend des mesures raisonnables pour s’assurer que les Données de service sont accessibles et gérables uniquement par le personnel dûment autorisé, que l’accès direct aux requêtes de base de données est restreint et que les droits d’accès aux applications sont établis et appliqués pour s’assurer que les personnes autorisées à utiliser un système de traitement de données n’ont accès qu’aux Données de service auxquelles elles ont le privilège d’accéder ; et que les Données de service ne peuvent pas être lues, copiées, modifiées ou supprimées sans autorisation dans le cadre du traitement.
  6. Contrôles de transmission : Zendesk prend des mesures raisonnables pour garantir la capacité de vérifier et d’établir quelles entités sont transférées des Données de service au moyen d’installations de transmission de données afin que les Données de service ne puissent pas être lues, copiées, modifiées ou supprimées sans autorisation pendant la transmission ou le transport électronique. Les données de service sont chiffrées en transit sur les réseaux publics lors de la communication avec les interfaces utilisateur (UIs) de Zendesk et l'interface de programmation d'application (API) via le protocole standard de l'industrie HTTPS/TLS (TLS 1.2 ou supérieur). Les exceptions au chiffrement en transit peuvent inclure tout produit tiers qui ne prend pas en charge le chiffrement, que le responsable du traitement peut lier via les services de grand compte à sa discrétion. Les données de service sont cryptées lors de leur stockage par le sous-traitant de Zendesk et le fournisseur de services gérés, Amazon Web Services Inc., via AES-256.
  7. Contrôles d'entrée : Zendesk prend des mesures raisonnables pour fournir la possibilité de vérifier et d’établir si et par qui les Données de service ont été saisies dans des systèmes de traitement de données, modifiées ou supprimées, et que tout transfert de Données de service à un prestataire de services tiers est effectué via une transmission sécurisée.
  8. Séparation logique : Les données des différents environnements Client de Zendesk sont logiquement séparées sur les systèmes gérés par Zendesk pour s’assurer que les Données de service collectées par différents contrôleurs sont séparées les unes des autres.
  9. Aucune porte dérobée : Zendesk n’a pas intégré de porte dérobée ou d’autres méthodes dans les Services pour permettre aux autorités gouvernementales de contourner ses mesures de sécurité pour accéder aux Données de service.
  10. Architecture et sécurité du centre de données : Zendesk héberge les Données de Service principalement dans des centres de données AWS qui ont été certifiés conformes à ISO 27001, PCI DSS Fournisseur de Service Niveau 1, et/ou SOC2. Les services d’infrastructure AWS incluent une alimentation de secours, des systèmes HVAC et un équipement d’extinction d’incendies afin de protéger les serveurs et donc les données du client. La sécurité sur site d'AWS inclut un certain nombre de mises en avant, telles que des agents de sécurité, des clôtures, la sécurisation des flux, la technologie de détection d'intrusion, et d'autres mesures de sécurité. Plus de détails sur les contrôles AWS sont disponibles à l'adresse : https://aws.amazon.com/security.
  11. Architecture réseau et sécurité : Les systèmes Zendesk sont hébergés dans des zones correspondant à leur sécurité selon leur fonction, la classification des informations et leur niveau de risque. L'architecture de sécurité réseau de Zendesk se compose de plusieurs zones avec des systèmes plus sensibles, comme des serveurs de base de données, dans les zones les plus fiables de Zendesk. Selon la zone, des surveillances de sécurité et des contrôles d’accès supplémentaires s’appliquent. Des DMZ sont utilisées entre Internet et en interne entre les différentes zones de confiance. Le réseau de Zendesk est protégé grâce à l'utilisation des services de sécurité AWS clés, des audits réguliers et des technologies d'Intelligence réseau, qui surveillent et/ou bloquent le trafic malveillant connu et les attaques réseau. Zendesk utilise l'analyse de sécurité réseau pour fournir une identification rapide des systèmes potentiellement vulnérables, en plus du vaste programme d'analyse et de test interne de Zendesk. Zendesk participe également à plusieurs programmes de partage de renseignements sur les menaces pour surveiller les menaces publiées sur ces réseaux de renseignements sur les menaces et agir en fonction du risque. Zendesk a une approche multicouche de l’atténuation des attaques DDoS, en utilisant des défenses de périphérie du réseau, ainsi que des outils de mise à l’échelle et de protection.
  12. Tests, surveillance et journalisation : Chaque année, Zendesk emploie des experts en sécurité tiers pour effectuer un test de pénétration large sur les réseaux de production et d'entreprise de Zendesk. Zendesk utilise un système de gestion des événements de sécurité (SIEM), qui Gather des journaux à partir d'appareils réseau importants et de systèmes hôtes. Le SIEM envoie des alertes sur des Déclencheurs qui notifient l'équipe de sécurité en fonction d'événements corrélés pour investigation et réponse. Les points d’entrée et de sortie du service (ingress et egress) sont utilisés et surveillés pour détecter toute anomalie, y compris la surveillance du système 24h/24 et 7j/7.
  13. Lieux d’hébergement des données : Zendesk offre aux clients une option pour choisir où les données de service sont hébergées si un client achète l'option supplémentaire Emplacement du centre de données. Une description complète de cette offre est fournie à : https://support.zendesk.com/hc/en-us/articles/360053579674.
  14. Disponibilité et continuité : Zendesk met à disposition du public une Page de Statut, qui inclut les détails de disponibilité des systèmes, la maintenance programmée, l’historique des Incidents de service et les événements de sécurité pertinents. Zendesk utilise le regroupement de services et les redondances réseau pour éliminer les points individuels de défaillance. Notre régime de sauvegarde strict et/ou l'offre de services de Plan de reprise d’activité amélioré de Zendesk nous permet de fournir un niveau élevé de disponibilité de service, car les données de service sont répliquées dans toutes les zones disponibles. Le programme de reprise après sinistre de Zendesk garantit que les services Zendesk restent disponibles et sont facilement récupérables en cas de catastrophe, grâce à la construction d'un environnement technique robuste. Des détails supplémentaires sont disponibles sur la page Web Résilience commerciale de Zendesk.
  15. Sécurité des Utilisateurs : Zendesk effectue des vérifications des antécédents préalables à l'emploi de svi employés, y compris la vérification de l'éducation et de l'emploi, conformément aux lois locales applicables. Les employés reçoivent une formation à la sécurité au moment de l'embauche, puis chaque année par la suite. Les employés sont liés par des accords de confidentialité écrits pour maintenir la confidentialité des données.
  16. Gestion des fournisseurs : Zendesk utilise des fournisseurs tiers pour fournir certains aspects des Services. Zendesk complète une évaluation des risques de sécurité des vendors prospectifs.
  17. Prime de bug : Zendesk maintient un programme de Bug Bounty pour permettre aux chercheurs en sécurité indépendants de rapporter des vulnérabilités de sécurité de manière continue.

Mesures de sécurité techniques et organisationnelles Zendesk – Services d’innovation

Les mesures techniques et organisationnelles visant à protéger les Données de service pour les Services d’innovation sont contenues dans les Mesures de sécurité de l’innovation de Zendesk.

Le programme de sécurité des informations Zendesk comprend des politiques ou des normes documentées régissant le traitement des Données de service conformément à la loi applicable, ainsi que des garanties administratives, techniques et physiques conçues pour protéger la confidentialité et l’intégrité des Données de service. Zendesk se réserve le droit de mettre à jour son programme de sécurité de temps à autre, à condition, toutefois, que toute mise à jour ne réduise pas sensiblement les protections globales de la présente Annexe II.

  1. Contrôles d'accès physiques : Zendesk prend des mesures raisonnables pour empêcher les personnes non autorisées d’accéder physiquement aux Données de service.

  2. Contrôles d'accès système : Zendesk prend des mesures raisonnables pour empêcher l’utilisation des Données de service sans autorisation.

  3. Contrôles d'accès aux données : Zendesk prend des mesures raisonnables pour garantir que les Données de Service sont accessibles et gérables uniquement par l'équipe dûment autorisée.

  4. Commandes de la boîte de vitesses : Zendesk prend des mesures raisonnables pour s’assurer de la capacité de vérifier et d’établir à quelles entités sont transférées les Données de service au moyen d’installations de transmission de données afin que les Données de service ne puissent pas être lues, copiées, modifiées ou supprimées sans autorisation pendant la transmission ou le transport électronique.

  5. Commandes d’entrée : Zendesk prend des mesures raisonnables pour fournir qu’il est possible de vérifier et d’établir si et par qui les Données de service ont été saisies dans des systèmes de traitement de données, modifiées ou supprimées, et que tout transfert de Données de service à un prestataire de services tiers est effectué via une transmission sécurisée.

  6. Séparation logique : Les données des différents environnements Client de Zendesk sont logiquement séparées sur les systèmes gérés par Zendesk pour s’assurer que les Données de service collectées par différents contrôleurs sont séparées les unes des autres.

  7. Politiques de sécurité et personnel : Zendesk a et maintiendra un programme de sécurité géré pour identifier les risques et mettre en œuvre des technologies préventives, ainsi que des technologies et des processus pour l'atténuation des attaques courantes. Zendesk a, et maintiendra, une équipe de sécurité de l’information à temps plein chargée de protéger les réseaux, systèmes et services de Zendesk, et de développer et dispenser une formation aux employés de Zendesk conformément aux politiques de sécurité de Zendesk.

ANNEXE III

Mécanismes de Transfert et Termes Spécifiques à la Région

Zendesk utilise plusieurs mécanismes de transfert régissant le transfert international de Données Personnelles, selon la juridiction des Données Personnelles qui sont Traitées. Des conditions supplémentaires spécifiques à la confidentialité dans les Conditions spécifiques à la région sont incorporées le cas échéant.

1. Règles d'entreprise contraignantes

Zendesk, ses sociétés affiliées et ses Sous-traitants ultérieurs se conforment aux exigences des Règles d’entreprise contraignantes de Zendesk, qui ont été approuvées par la Commission irlandaise de protection des données et le Bureau de la Commission de l’information du Royaume-Uni et disponibles sur le Centre de confiance de Zendesk à l’adresse : https://www.zendesk.com/trust-center/.

2. Cadre de protection des données

Zendesk a certifié participer et se conformer aux accords UE-États-Unis. Cadre de protection des données (« DPF UE-États-Unis ») DPF »), à l'extension britannique du DPF UE-États-Unis. DPF, et au DPF Suisse-États-Unis. Cadre de protection des données (« DPF Suisse-États-Unis ») DPF”) (voir : https://www.dataprivacyframework.gov/s/). Zendesk s’engage à maintenir l’auto-certification de conformité avec les États-Unis et l'UE. DPF, l'extension britannique au DPF UE-États-Unis. DPF, et le Suisse-États-Unis. DPF, ou tout cadre de remplacement, pour les Services fournis en vertu du Contrat et du présent ATD.

3. SCC

  1. Zendesk utilise également les clauses contractuelles types adoptées par la Commission européenne, telles qu’énoncées dans l’annexe de la décision d’exécution 2021/914 de la Commission européenne du 4 juin 2021, disponible à l’adresse : https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32021D0914 (« CCT de l’UE »), ainsi que l’Addendum international sur le transfert de données du Royaume-Uni aux clauses contractuelles types de la Commission européenne, disponible à l’adresse : https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf (« Addendum du Royaume-Uni »). Les parties reconnaissent que les CCT sont incorporées au présent ATD comme si elles étaient entièrement énoncées ci-dessous. Ces liens peuvent être mis à jour de temps à autre en fonction des mises à jour par les autorités réglementaires et seront mis à jour par amendement à ce DPA.

  2. Dans la mesure où les SCC sont publiées et obligatoires par une autorité de contrôle qui ne sont pas des SCC de l'UE, les parties les interprètent comme terminé conformément aux sélections de la sous-section (e).

  3. En cas de conflit ou d'ambiguïté, les termes des SCCs prévaudront sur le DPA et svi les autres termes entre Zendesk et le client.

  4. Où les CCT de l'UE sont reconnues par une autorité de contrôle locale comme un Mécanisme de Transfert, elles s'appliquent à svi les Données Personnelles sujettes à cette autorité et seront considérées comme terminées de la manière spécifiée dans la sous-section (e).

  5. CCT UE. Où les CCT de l'UE sont utilisées comme mécanisme de transfert, elles sont considérées comme terminées comme suit :

    1. Module 2 (Contrôleur à Sous-traitant) s’appliquera lorsque le Client est un responsable du traitement des Données de service et Zendesk est un sous-traitant des Données de service ; le Module 3 (Sous-traitant à Sous-traitant) s’appliquera lorsque le Client est un sous-traitant des Données de service et Zendesk est un sous-traitant des Données de service ;

    2. dans la Clause 7, la clause d'amarrage valeur facultative ne s'appliquera pas;

    3. dans la Clause 9(a), l'Option 2 « Autorisation Écrite Générale » s'appliquera, et la période pour l'avis préalable des changements de Sous-traitant comme indiqué dans la section « Utilisation des Sous-traitants » de ce DPA;

    4. dans la Clause 11, la langue valeur facultative ne s'appliquera pas;

    5. à la Clause 17, l’Option 1 s’appliquera et sera régie par les lois prévues dans le Contrat, ou par les lois d’Irlande si aucune loi d’État membre de l’EEE ne s’applique, ou par les lois de l’importateur où aucune des deux ne s’applique ;

    6. dans la Clause 18(b), les différends seront résolus devant les tribunaux dans l'ordre de préséance suivant : (1) comme prévu dans l'Accord, (2) Dublin, Irlande, si aucun État membre de l'EEE ne s'applique, (3) pays du client ayant juridiction sur le siège social du client, (4) adresse du siège social enregistré de Zendesk;

    7. dans l'Annexe I.A et I.B et l'Annexe II des CCT de l'UE sont considérées comme terminées avec les informations listées dans les Annexes I et II de ce DPA ; et

    8. en Annexe I.C des CCT, l’autorité de contrôle sera l’autorité compétente à l’égard de l’exportateur de données. Lorsque l'exportateur de données n'est pas établi dans le local pays mais se trouve toujours dans le champ d'application territorial de la loi applicable sur la protection des données, l'autorité de contrôle compétente sera située là où l'exportateur de données a désigné un représentant, mais s'il n'a pas désigné de représentant, alors l'autorité de contrôle de l'Irlande sera l'autorité compétente.

  6. Addendum britannique. Lorsque l'addendum du Royaume-Uni s'applique, il sera réputé terminé comme suit :

    1. Tableau 1, est considéré comme terminé avec les informations indiquées à l'Annexe I de ce DPA, dont le Contenu est par les présentes accepté par les Parties;

    2. Tableau 2, les Parties sélectionnent la case à cocher qui indique : « Les clauses contractuelles types de l'UE approuvées, y compris les informations de l'annexe et avec uniquement les modules, clauses ou dispositions facultatives suivants des clauses contractuelles types de l'UE approuvées mises en œuvre aux fins de cet addendum », et le tableau accompagnant sont considérés comme terminés selon les préférences des Parties décrites dans cet annexe ;

    3. Tableau 3, est considéré comme terminé avec les informations indiquées dans l'Annexe I, l'Annexe II et comme indiqué dans la section « Utilisation des sous-traitants » de ce DPA ; et

    4. Tableau 4, les Parties conviennent qu'aucune Partie ne peut résilier l'Addendum UK comme indiqué dans la Section 19.