Mis à jour le 25 octobre 2022

1. Introduction et Portée

  1. Le présent avenant relatif au traitement des données (Data Processing Addendum ou « DPA ») est un avenant aux Conditions de serviceConditions »). Toutes les dispositions des Conditions s’appliquent et sont intégrées au présent DPA, mais en cas de conflit entre le présent DPA et toute disposition des Conditions, les dispositions du présent DPA prévaudront.
  2. Le présent DPA ne s’applique aux Clients que si et dans la mesure où (a) Kinsta traite les Données personnelles du Client (définies ci-dessous) pour ou au nom du Client conformément au Contrat (b) et où les Lois sur la protection des données s’appliquent à ces Données personnelles du Client.
  3. Mises à jour du DPA. Nous nous réservons le droit d’apporter des modifications au présent DPA à tout moment et à notre seule discrétion. Si nous apportons des modifications au présent DPA, nous vous notifierons ces modifications en modifiant la date figurant en haut du présent DPA. Si vous continuez à utiliser nos services après la notification des modifications, cela signifie que vous acceptez ces modifications. Veuillez évaluer régulièrement le présent DPA et vérifier s’il a été mis à jour.

2. Définitions

Les termes en majuscules qui ne sont pas définis dans le présent DPA ont leur signification donnée ailleurs dans l’accord. En outre, les termes définis ci-après ne s’appliquent qu’à la présente LPD.

  1. Les termes « responsable du traitement », « sous-traitant« , « personne concernée« , « traitement« , « données à caractère personnel » et « violation des données à caractère personnel » ont le sens qui leur est attribué dans la législation sur la protection des données.
  2. « Données personnelles du client » désigne toute donnée personnelle de l’utilisateur final soumise aux lois sur la protection des données que le client fournit, transfère ou rend accessible à Kinsta dans le cadre des services.
  3. « Lois sur la protection des données » désigne le Règlement général sur la protection des données 2016/679 du Parlement européen et du Conseil de l’UE du 27 avril 2016 (RGPD), la loi britannique sur la protection des données de 2018 et le RGPD britannique, la loi suisse sur la protection des données, toute législation nationale d’application applicable de ces lois, et dans chaque cas, telle que modifiée, remplacée ou remplacée de temps à autre.

3. Rôles des Parties

  1. Le client est le responsable du traitement et Kinsta est le responsable du traitement en ce qui concerne les données personnelles du client. Kinsta ne traitera les données personnelles du Client que conformément aux instructions documentées du Client, qui comprennent les dispositions du Contrat, à moins qu’il n’en soit autrement requis pour se conformer à toute Loi sur la protection des données. Nous vous informerons si, à notre avis, vos instructions enfreignent les lois sur la protection des données.
  2. Le client et Kinsta se conformeront aux lois sur la protection des données. Le Client doit obtenir toutes les autorisations, consentements, libérations ou permissions nécessaires, et fournir tous les avis de confidentialité requis, concernant les Données personnelles du Client. Afin d’éviter tout doute, le Client est seul responsable de l’exactitude, de la qualité et de la légalité de toutes les Données personnelles du Client et des bases sur lesquelles elles sont collectées auprès de la Personne concernée.

4. Nature, Finalité et Durée du Traitement

  1. Kinsta traitera les Données personnelles du Client dans la mesure où cela est nécessaire à l’exécution des Services – ce qui se limite généralement à l’hébergement passif des Applications du Client et au support connexe – ou à la protection des droits légaux de Kinsta, pendant la durée du Contrat, sauf accord contraire par écrit.
  2. Le transfert par le client de ses données personnelles vers Kinsta dans le cadre des services est déterminé et contrôlé par le client à sa seule discrétion.
  3. Kinsta peut traiter les catégories suivantes de données personnelles du client : toute donnée personnelle collectée, utilisée ou autrement traitée auprès des utilisateurs finaux des applications du client.
  4. Kinsta peut traiter les données personnelles des clients provenant des catégories suivantes de personnes concernées : Utilisateurs finaux des applications du client.

5. Transferts transfrontaliers

  1. Vous choisissez le(s) centre(s) de données de Google Cloud Platform où seront hébergées vos Applications Client.  Vous reconnaissez, acceptez et comprenez que (a) toutes vos Données personnelles du Client seront automatiquement transférées et stockées dans le centre de données Google que vous choisissez, et (b) les Données personnelles du Client peuvent être transférées de l’Espace économique européen (« EEE »), du Royaume-Uni ou de la Suisse vers le pays où se trouve le centre de données Google, en fonction de votre choix.  
  2. Kinsta et Google se sont mis d’accord sur les conditions de traitement des données et de sécurité de la plateforme Google Cloud et sur les clauses contractuelles types de l’UE. Pour plus d’informations, voir les engagements de Google concernant les transferts transfrontaliers dans la section « Transfert international de données » ici : https://cloud.google.com/security/gdpr/.
  3. Le client autorise le transfert de ses données personnelles à toute juridiction en dehors de l’EEE, y compris les États-Unis, dans le but de fournir les services. En tant que contrôleur et/ou exportateur des données personnelles du client, le client est responsable de s’assurer que de tels transferts sont conformes aux lois sur la protection des données.

6. Sous-processeurs

  1. Kinsta engage des sous-traitants tiers qui traitent les données personnelles des Clients (« Sous-traitants ») dans le but de fournir les Services. Une liste actuelle des Sous-traitants est disponible dans l’Annexe A du DPA en ligne de Kinsta, située ici : https://kinsta.com/fr/mentions-legales/addenda-protection-donnees/ (la « Liste des Sous-traitants »). Le Client autorise Kinsta à engager ces Sous-processeurs dans le but de fournir les Services.
  2. Kinsta peut mettre à jour la liste des Sous-traitants de temps à autre, et ces mises à jour seront le seul moyen de fournir une notification des changements de Sous-traitants au client. Le Client est responsable de la vérification et de l’évaluation régulières de la liste des Sous-traitants. Le fait que le Client ne s’oppose pas par écrit à un nouveau Sous-traitant dans les quatorze (14) jours suivant l’affichage par Kinsta du nouveau Sous-traitant sur la liste des Sous-traitants constitue l’autorisation par le Client du nouveau Sous-traitant.
  3. Si Kinsta détermine, à sa seule discrétion, qu’elle ne peut raisonnablement pas donner suite à l’objection opportune du Client à l’encontre d’un Sous-processeur, sur avis de Kinsta, le Client peut choisir de résilier le Contrat conformément aux dispositions de résiliation des Conditions de service, qui constituent le seul et unique recours du Client.
  4. Kinsta imposera à ses sous-traitants des obligations identiques ou substantiellement équivalentes à celles énoncées dans la présente LPD par voie de contrat écrit. Kinsta sera responsable envers le Client de l’exécution par les Sous-traitants de leurs obligations en matière de protection des données relatives aux Données Personnelles du Client.

7. Évaluations de Sécurité et d’impact

  1. Kinsta s’assurera que son personnel est soumis à des obligations de confidentialité contraignantes en ce qui concerne les données personnelles des clients.
  2. En tenant compte de l’état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes concernées, Kinsta mettra en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque.
  3. Compte tenu de la nature du Traitement et des informations dont dispose Kinsta, Kinsta aidera le Client à s’assurer du respect des obligations du Client en vertu des Lois sur la protection des données en ce qui concerne la sécurité, les évaluations d’impact et les consultations avec les autorités de contrôle ou de régulation.

8. Atteinte à la Protection des Données Personnelles

  1. Compte tenu de la nature du Traitement et des informations dont dispose Kinsta, Kinsta aidera le Client à s’assurer du respect des obligations du Client en vertu des Lois sur la protection des données en ce qui concerne une violation des données personnelles.
  2. En cas de découverte d’une violation des données personnelles, Kinsta informera rapidement les contacts techniques et de compte du Client en utilisant les moyens établis pour les communications de routine liées au compte.
  3. Notre avis doit comprendre les renseignements suivants dans la mesure où ils sont raisonnablement accessibles à Kinsta au moment de l’avis, et Kinsta doit mettre à jour son avis à mesure que des renseignements supplémentaires deviennent raisonnablement accessibles : (a) les dates et les heures de l’atteinte à la protection des données personnelles ; (b) les faits fondamentaux qui sous-tendent la découverte de l’atteinte à la protection des données personnelles ou la décision d’entreprendre une enquête sur une atteinte présumée à la protection des données personnelles, selon le cas ; (c) une description des données personnelles du client impliquées dans cette atteinte, soit spécifiquement, soit par référence aux données, et (d) les mesures prévues ou en cours pour corriger ou atténuer cette vulnérabilité qui donne naissance à cette atteinte aux données personnelles.

9. Demandes des Personnes Concernées

  1. Compte tenu de la nature du Traitement, Kinsta assistera le Client par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour l’accomplissement de l’obligation du Client de répondre aux demandes d’exercice des droits de la Personne concernée en vertu des lois sur la protection des données.
  2. Kinsta informera promptement le Client si nous recevons une demande d’une Personne Personnelle de Données d’invoquer ses droits à l’égard des Données Personnelles du Client, sauf interdiction contraire par la loi applicable ; et, sauf dans la mesure requise par la loi applicable, nous ne prendrons aucune action indépendante en réponse à une demande d’une Personne Personnelle sans instruction écrite préalable du Client.

10. Vérification et Inspection

  1. Sous réserve d’une entente écrite de non-divulgation, Kinsta fournira au Client les renseignements raisonnablement nécessaires pour démontrer le respect des obligations énoncées dans la présente LPD.
  2. Tout audit sera (i) soumis et conditionné à un préavis écrit raisonnable, d’au moins soixante (60) jours, à Kinsta ; (ii) soumis et conditionné à un accord écrit de confidentialité et de non-divulgation et à un plan d’audit écrit détaillé examiné et pré-approuvé par Kinsta ; (iii) limité à une fois toutes les trois (3) années civiles ; (iv) aux seuls coûts et frais du Client ; (v) limité dans sa portée et son objectif à l’évaluation d’un manquement présumé spécifiquement identifié de Kinsta aux dispositions du présent DPA et seulement après que le Client ait épuisé tous les autres moyens raisonnables déterminés par Kinsta ; et (vi) en présence virtuelle ou physique d’un représentant de Kinsta sans perturber de manière déraisonnable les opérations commerciales de Kinsta.

11. Suppression ou Retour des Données Personnelles du Client

En cas de résiliation en bonne et due forme du Contrat et sur instruction écrite du Client, Kinsta prendra des mesures raisonnables pour supprimer les Données personnelles du Client ou lui retourner les Données personnelles du Client et leurs copies, sous réserve des lois applicables exigeant que Kinsta continue à stocker les Données personnelles du Client.

Annexe A

Liste des Sous-processeurs

  • Cloudflare : Nous utilisons Cloudflare pour sécuriser et améliorer les performances des services.
  • Google Cloud Platform : Nous utilisons Google Cloud Platform pour héberger et sécuriser les applications client et stocker les données liées aux applications client.
  • Google Workspace : Nous utilisons les applications Google Workspace pour traiter les communications par e-mail et gérer les documents en ligne.
  • Intercom : Nous utilisons Intercom pour communiquer avec nos clients et leur fournir un support.
  • Mailchannels : Mailchannels est un fournisseur SMTP qui envoie des e-mails transactionnels à partir d’applications clientes.
  • Migrate Guru : Notre équipe de migration peut utiliser Migrate Guru pour migrer les applications des clients abonnés à des plans d’hébergement WordPress infogérés, avec la permission du client.