Addendum relatif au traitement des données Hootsuite

Dernière mise à jour : 22 mai 2025

Le présent addendum relatif au traitement des données, y compris ses annexes (« DPA »), fait partie des conditions d'utilisation de l'enterprise ou de tout autre accord écrit ou électronique incorporant le présent DPA par référence (le « contrat ») entre Hootsuite et l'entité identifiée comme Client dans le contrat (« Client »), dans le but de fournir certains services (les « Services »).

Dans le cadre de la fourniture des services au Client conformément au contrat, Hootsuite peut traiter les données personnelles du Client (telles que définies ci-dessous) pour le compte du Client. Le présent DPA définit les conditions qui s'appliquent lorsque les données personnelles du Client soumises aux lois applicables en matière de protection des données sont traitées par Hootsuite au nom du Client en vertu du contrat.

Le Client conclut le présent DPA en son nom et, dans la mesure requise par les lois applicables en matière de protection des données, au nom et pour le compte de ses sociétés affiliées autorisées à utiliser les services en vertu du contrat. Sauf définition contraire, les termes commençant par une majuscule dans le présent DPA ont la même signification que celle qui leur est attribuée dans le contrat.

1. TRAITEMENT DES DONNÉES PERSONNELLES

1.1 Champs d'application. Le présent DPA s'applique au traitement des données personnelles des Clients qui sont soumises aux lois applicables en matière de protection des données par Hootsuite en tant que sous-traitant ou prestataire de services dans le but de fournir les services.

1.2 Rôles. Les parties reconnaissent et conviennent que, en ce qui concerne le traitement des données personnelles des Clients, le Client est le responsable du traitement ou l'entreprise, et Hootsuite est le sous-traitant ou le prestataire de services du Client en vertu des lois applicables en matière de protection des données.

1.3 Détails du traitement. L'objet, la durée, la nature et la finalité du traitement, ainsi que les types de données personnelles ou d'informations personnelles, et les catégories de personnes concernées ou de consommateurs, sont décrits dans l'annexe 1 du présent DPA.

1.4 Responsabilités du Client. Le Client doit, dans le cadre de son utilisation des Services : (a) se conformer à ses obligations en tant que responsable du traitement ou entreprise et traiter les informations personnelles du Client conformément aux lois applicables en matière de protection des données ; (b) s'assurer que ses instructions à Hootsuite sont conformes aux lois applicables en matière de protection des données ; (c) être seul responsable de l'exactitude, de la qualité et de la légalité des données à caractère personnel du Client ; et (d) s'assurer que le Client a le droit de transférer les Données à caractère personnel du Client à Hootsuite afin que Hootsuite et ses sous-traitants puissent légalement traiter les Données à caractère personnel du Client en vertu des lois applicables en matière de protection des données.

1.5 Instructions du Client. Le Client charge Hootsuite de collecter, d'analyser, d'afficher, de stocker et de traiter de toute autre manière les données personnelles du Client dans le but de fournir et d'améliorer les services au Client d'une manière conforme au contrat, au présent DPA et, le cas échéant, à la politique de confidentialité publiée à l'adresse https://hootsuite.com/legal/privacy. Hootsuite se conformera à d'autres instructions raisonnables fournies par le Client (par exemple, par e-mail ou par tickets d'assistance) ou initiées par les utilisateurs autorisés des services du Client, lorsque ces instructions sont conformes aux termes du contrat. Hootsuite informera le Client si, selon elle, une instruction enfreint les lois applicables en matière de protection des données.

1.6 Responsabilités de Hootsuite. Hootsuite doit se conformer à ses obligations en vertu des lois applicables en matière de protection des données dans son rôle de sous-traitant ou de prestataire de services et notifier le Client s'il ne peut pas ou ne peut plus respecter ces obligations. Hootsuite traitera uniquement les données personnelles du Client conformément aux instructions documentées du Client telles qu'énoncées à la Section 1.5 et s'engage à ne pas : (a) « vendre » ou « partager » les données personnelles du Client au sens des lois applicables en matière de protection des données (y compris le CCPA) ; (b) conserver, utiliser ou divulguer les données personnelles du Client à des fins autres que les fins commerciales spécifiées dans le contrat et le présent DPA ; (c) utiliser les données personnelles du Client reçues dans le cadre du contrat en dehors de la relation entre le Client et Hootsuite ; ou (d) combiner les données personnelles du Client avec des informations que Hootsuite a reçues d'autres sources. Dans chaque cas, sauf dans les cas autorisés par le contrat et les lois applicables en matière de protection des données.

2. SOUS-TRAITANTS

2.1 Nomination de sous-traitants. Le Client accepte et fournit une autorisation écrite générale autorisant Hootsuite et ses filiales à engager des sous-traitants, à condition que : (a) Hootsuite et chaque sous-traitant concluent un accord écrit contenant des obligations de protection des données offrant un niveau de protection des données personnelles des Clients équivalent à celui décrit dans le présent DPA (en particulier, en fournissant des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences des lois applicables en matière de protection des données) ; et (b) Hootsuite reste responsable du respect par ses sous-traitants des obligations prévues par le présent DPA et de tout acte ou omission de la part de ses sous-traitants qui amènerait Hootsuite à manquer à l'une de ses obligations en vertu du présent DPA.

2.2 Identification et notification des sous-traitants autorisés. Hootsuite tient à jour une liste de ses sous-traitants autorisés sur une page web publique, actuellement disponible à l'adresse https://hootsuite.com/legal/subprocessor-list. Le Client peut s'inscrire pour recevoir des notifications de nouveaux ou de remplaçants sous-traitants en envoyant un e-mail à privacy@hootsuite.com avec l'objet « Subprocessor Subscribe » (Abonnement au sous-traitant). Si le Client s'abonne pour recevoir des notifications, Hootsuite informera dans les trente (30) jours tout sous-traitant envisagé de créer un nouveau sous-traitant ou de le remplacer avant d'autoriser ce sous-traitant à traiter les données personnelles du Client dans le cadre de la fourniture des services applicables.

2.3 Droit de s'opposer à de nouveaux sous-traitants. Le Client peut raisonnablement s'opposer à ce que Hootsuite fasse appel à un nouveau sous-traitant ou un de remplacement en informant Hootsuite par écrit dans les dix (10) jours ouvrables suivant la réception de la notification de Hootsuite conformément à la Section 2.2. Le Client doit expliquer les motifs raisonnables d'une telle objection, qui doit être liée au respect des lois applicables en matière de protection des données. Dès réception d'une objection, Hootsuite déploiera des efforts raisonnables pour mettre à la disposition du Client une modification des services ou recommander une modification commercialement raisonnable de la configuration ou de l'utilisation des services par le Client afin d'éviter le traitement des données à caractère personnel du Client par le sous-traitant ayant fait l'objet d'une objection. Si Hootsuite n'est pas en mesure d'effectuer une telle modification ou recommandation dans un délai raisonnable, le Client peut résilier la partie concernée des services conformément aux conditions du contrat.

3. Confidentialité

3.1 Confidentialité. Hootsuite veille à ce que toutes les personnes autorisées à traiter les données personnelles de ses Clients (y compris son personnel, ses agents et ses sous-traitants) soient soumises à une obligation de confidentialité qui survivra à la fin de leur contrat de travail et/ou de leur relation contractuelle.

3.2 Demandes gouvernementales. Hootsuite ne divulguera les données personnelles des Clients à aucune agence chargée de l'application de la loi ou à aucune autorité gouvernementale (collectivement, « autorité gouvernementale ») sauf sur instruction du Client, ou si cela est nécessaire pour se conformer aux lois applicables ou à une ordonnance valide et contraignante d'une autorité gouvernementale, telle qu'une citation à comparaître ou une ordonnance du tribunal. Si une autorité gouvernementale demande l'accès aux données personnelles du Client, et sauf interdiction légale, Hootsuite doit (a) informer l'autorité gouvernementale que Hootsuite est un sous-traitant ou un prestataire de services et tenter de rediriger l'autorité gouvernementale vers le Client (et peut fournir les coordonnées de base du Client à l'autorité gouvernementale à ces fins) ; et (b) prendre des mesures commercialement raisonnables pour notifier au Client les demandes juridiquement contraignantes afin de permettre au Client de demander une ordonnance de protection ou tout autre recours approprié. Si Hootsuite est légalement tenu de répondre à la demande, Hootsuite examinera la légalité de la demande et déterminera si la demande peut être contestée. En tout événement, Hootsuite ne divulguera que les informations minimales nécessaires pour se conformer à la demande.

4. Sécurité

4.1 Mesures de sécurité. Hootsuite doit maintenir un programme de sécurité de l'information pour les services qui s'aligne sur le cadre de cybersécurité du National Institute of Standards and Technology (NIST) et la famille de normes de gestion de la sécurité de l'information (ISMS) (série de normes ISO/IEC 27000), ou toute autre norme alternative substantiellement équivalente à ces normes, et doit mettre en œuvre et maintenir des mesures techniques et organisationnelles appropriées pour protéger les données personnelles des Clients contre les incidents de sécurité et préserver la sécurité, la confidentialité et l'intégrité des données personnelles des Clients, comme décrit plus en détail dans l'annexe 2 du présent DPA (« Mesures de sécurité »). Ces mesures de sécurité doivent inclure, le cas échéant : (a) la pseudonymisation et le chiffrement des données personnelles du Client ; (b) la capacité à garantir la confidentialité, l'intégrité, la disponibilité et la résilience continues des systèmes et services de Hootsuite ; (c) la capacité à restaurer la disponibilité et l'accès aux données personnelles du Client en temps opportun en cas d'incident physique ou technique ; et (d) un processus permettant de tester, d'évaluer et d'évaluer régulièrement l'efficacité des mesures techniques et organisationnelles visant à garantir la sécurité du traitement. Hootsuite peut mettre à jour ou modifier les mesures de sécurité de temps à autre, à condition que ces mises à jour et modifications ne diminuent pas de manière significative la sécurité globale des services fournis au Client.

4.2 Audits et certifications de sécurité par des tiers. Hootsuite fait appel à des auditeurs externes pour vérifier l'adéquation de ses mesures de sécurité et accepte de faire réaliser un audit : (a) chaque année ; (b) conformément à la norme AICPA SOC 2 (AT-101) ou à des exigences essentiellement similaires ; et (c) par des professionnels de la sécurité tiers indépendants sélectionnés et rémunérés par Hootsuite. Le Client accepte que les rapports d'audit et les certifications de Hootsuite soient utilisés pour répondre à toute demande d'audit ou d'inspection émanant du Client (ou de l'auditeur tiers indépendant du Client), y compris dans le but de respecter les obligations d'audit en vertu des lois applicables sur la protection des données ou des CCT, que Hootsuite mettra à la disposition du Client sur demande écrite au plus une fois par an et sous réserve des obligations de confidentialité énoncées dans le contrat (ou un accord de confidentialité distinct, si nécessaire).

5. GESTION ET NOTIFICATION DES INCIDENTS

5.1 Si Hootsuite prend connaissance d'un incident de sécurité pour lequel une notification au Client est requise en vertu des lois sur la protection des données applicables, Hootsuite informera le Client de l'incident de sécurité sans retard injustifié. Hootsuite inclura dans la notification les informations sur l'incident de sécurité que Hootsuite est raisonnablement en mesure de divulguer au Client, en tenant compte de la nature des services, des informations disponibles pour Hootsuite et de toute restriction sur la divulgation des informations, telles que la confidentialité. Tout avis d'incident de sécurité fourni par Hootsuite ne constitue pas, et ne sera pas interprété comme, une reconnaissance par Hootsuite de toute faute ou responsabilité.

6. DEMANDES DE DROITS EN MATIÈRE DE CONFIDENTIALITÉ

6.1 Dans la mesure requise par les lois sur la protection des données applicables, et dans la mesure où le Client ne peut pas répondre par le biais des fonctionnalités mises à disposition via les services, Hootsuite fournira au Client une assistance raisonnable sur le plan commercial pour lui permettre de répondre aux demandes des personnes concernées ou des consommateurs cherchant à exercer leurs droits en vertu des lois sur la protection des données applicables, en tenant compte de la nature du traitement.

7. DPIA ET CONSULTATIONS

7.1 Sur demande écrite raisonnable du Client, et dans la mesure requise par les lois applicables en matière de protection des données, Hootsuite fournira au Client la coopération et l'assistance raisonnables nécessaires pour remplir les obligations du Client d'effectuer des évaluations d'impact relatives à la protection des données et de consulter les autorités de contrôle concernant l'utilisation des services par le Client.

8. Transferts internationaux de données

8.1 Transferts internationaux de données. Le Client reconnaît et accepte que Hootsuite puisse transférer et traiter les données personnelles du Client en dehors de son pays si cela est nécessaire pour fournir les services, y compris au Canada et dans d'autres pays où Hootsuite, ses affiliés et ses sous-traitants effectuent des opérations de traitement des données. Hootsuite prendra toutes les mesures nécessaires pour garantir que ces transferts sont effectués en conformité avec les lois européennes applicables en matière de protection des données. En particulier, le Client reconnaît que Hootsuite peut traiter les données personnelles du Client au Canada, une juridiction reconnue par la commission européenne comme offrant un niveau de protection adéquat pour les données personnelles.

8.2 Clauses contractuelles types. Dans la mesure où le transfert des données personnelles du Client à Hootsuite implique un transfert restreint, et que le transfert n'est pas couvert par un statut d'adéquation, les clauses contractuelles types (CCT) seront incorporées et feront partie intégrante du présent DPA, avec le Client (et tout affilié du Client) en tant qu'« exportateur de données » et Hootsuite Inc. en tant qu'« importateur de données », comme suit :

(a) En ce qui concerne les données personnelles du Client qui sont soumises au RGPD : (i) le module deux (responsable du traitement à sous-traitant) s'applique ; (ii) dans la clause 7, la clause dock optionnelle s'applique ; (iii) dans la clause 9, l'option 2 s'applique, et le délai de notification préalable des changements de sous-traitant est tel que prévu dans la section 2.2 du présent DPA ; (iv) dans la clause 11, la langue optionnelle ne s'applique pas ; (v) dans la clause 17, l'option 1 s'applique et les CCAP sont régis par le droit irlandais ; (vi) dans la clause 18(b), les litiges sont résolus devant les tribunaux irlandais ; (vii) l'annexe I des CCAP est réputée complétée par les informations figurant à l'annexe 1 du présent DPA ; et (viii) l'annexe II des CCAP est réputée complétée par les informations figurant à l'annexe 2 du présent DPA.

(b) En ce qui concerne les données personnelles des clients soumises au RGPD britannique, les CCS s'appliqueront conformément à la Section 8.2 (a), avec les modifications suivantes : (i) les CCS seront considérées comme modifiées conformément à l'addendum britannique, qui sera considéré comme exécuté par les parties et intégré au présent DPA et en fera partie intégrante ; (ii) tout conflit entre les CCS et l'addendum britannique sera résolu conformément aux sections 10 et 11 de l'addendum britannique ; (iii) les tableaux 1 à 3 de la partie 1 doivent être complétés respectivement avec les informations dans les annexes 1 et 2 du présent DPA ; et (iv) le tableau 4 de la partie 1 sera considéré comme terminé en sélectionnant « aucune des parties ».

(c) En ce qui concerne les données personnelles des Clients soumises à la LPD suisse, les CCT s'appliquent conformément à l'article 8.2(a), avec les modifications suivantes : (i) les références au « Règlement (UE) 2016/679 » et aux articles spécifiques de celui-ci sont remplacées par des références à la LPD suisse et aux articles ou sections équivalents ; (ii) les références à « UE », « Union » et « État membre » sont remplacées par des références à « Suisse » ; (iii) la clause 13(a) et l'annexe II(C) ne sont pas utilisées et l'« autorité de contrôle compétente » est l'inspecteur fédéral suisse de la protection des données ; (iv) les références à « l'autorité de contrôle compétente » et aux « tribunaux compétents » sont remplacées par des références à l'« Inspecteur fédéral suisse de la protection des données » et aux « tribunaux compétents de la Suisse » ; (v) à la clause 17, les CCT sont régies par le droit suisse ; et (vi) dans la clause 18(b), les litiges seront résolus devant les tribunaux compétents de la Suisse.

8.3 Clarifications apportées aux clauses contractuelles standard. Lorsque l'entité contractante de Hootsuite dans le cadre du contrat n'est pas Hootsuite Inc., cette entité contractante (et non Hootsuite Inc.) restera entièrement et uniquement responsable envers le Client de l'exécution des CCN par Hootsuite Inc., et le Client devra adresser toute instruction ou réclamation relative aux CCN à cette entité contractante. Les parties conviennent que si Hootsuite ne peut pas garantir la conformité avec les CSC, elle en informera rapidement le Client et le Client accordera à Hootsuite un délai raisonnable pour remédier à la non-conformité, période pendant laquelle Hootsuite et le Client coopéreront raisonnablement pour convenir des garanties ou mesures supplémentaires, le cas échéant, qui pourraient être raisonnablement requises. Le Client sera uniquement en droit de suspendre le transfert des Données Personnelles du Client et/ou de mettre fin aux parties concernées des Services pour non-conformité avec les SCC si Hootsuite n'a pas ou ne peut pas remédier à la non-conformité avant la fin de la période de correction. En outre, dans l'événement où Hootsuite adopte un mécanisme de transfert alternatif, ce dernier s'appliquera à la place des CCT décrites à l'article 8.2 du présent DPA, mais uniquement dans la mesure où ce mécanisme de transfert alternatif est conforme aux lois européennes applicables en matière de protection des données et s'étend aux territoires vers lesquels les données personnelles du Client sont transférées.

9. RESTITUTION ET SUPPRESSION DES DONNÉES À CARACTÈRE PERSONNEL

9.1 En cas de résiliation des Services, Hootsuite doit, sur demande écrite du Client reçue par Hootsuite dans les 30 jours suivant la résiliation des services, renvoyer ou supprimer toutes les données personnelles du Client et les copies de ces données dont il a la garde ou le contrôle, sauf s'il est légalement tenu de conserver les données personnelles du Client. Tant que les données à caractère personnel du Client ne sont pas supprimées ou renvoyées, Hootsuite continuera de protéger les données à caractère personnel du Client conformément au contrat, au présent DPA et aux lois sur la protection des données applicables.

10. DISPOSITIONS GÉNÉRALES

10.1 Effet juridique. Le présent DPA est un addendum au contrat conclu entre le Client et Hootsuite et y est incorporé en tant que partie intégrante. Sauf disposition expresse dans le présent document, une entité Hootsuite n'est pas partie du présent DPA (ou aux CCN) à moins qu'il ne soit parti au contrat. À l'exception des modifications apportées par le présent DPA, le contrat reste inchangé et pleinement en vigueur. Le présent DPA annule et remplace toutes les déclarations, ententes, contrats ou communications antérieurs ou contemporains entre le Client et Hootsuite, qu'ils soient écrits ou verbaux, concernant l'objet du présent DPA, y compris tout addenda relatif au traitement des données précédemment conclu entre Hootsuite et le Client.

10.2 Conflit. En cas de conflit entre une disposition du présent DPA et une disposition du contrat, l'ordre de préséance suivant s'appliquera : (1) les CSC ; (2) le présent DPA ; et (3) toute autre partie du contrat.

10.3 Résiliation. Le présent DPA restera en vigueur jusqu'à la résiliation du contrat.

10.4 Limitations de responsabilité. La responsabilité de chaque partie en vertu du présent DPA (y compris les CCS) est soumise aux exclusions et limitations de responsabilité énoncées dans le contrat. Pour éviter toute ambiguïté, la responsabilité totale de Hootsuite et de ses affiliés pour toutes les réclamations découlant de ou liées au présent DPA s'appliquera globalement à toutes les réclamations, y compris celles du Client et de ses affiliés. En aucun cas, le présent DPA ne restreint ni ne limite les droits de toute personne concernée ou de tout consommateur en vertu des lois applicables en matière de protection des données ou des CSC.

10.5 Divulgation du présent DPA. Le Client reconnaît que Hootsuite peut divulguer le présent DPA et toute disposition pertinente relative à la confidentialité dans le contrat à une autorité de surveillance européenne, ou à tout autre organisme judiciaire ou réglementaire européen, canadien ou américain sur demande.

10.6 Modifications. Nous pouvons modifier toute partie du présent DPA à tout moment en publiant les conditions révisées sur le site web de Hootsuite. Nous vous informerons de toute modification qui, à notre seule discrétion, a une incidence importante sur le présent DPA. Le DPA mis à jour entrera en vigueur au moment de sa publication ou à une date ultérieure spécifiée dans le DPA mis à jour, et le fait de continuer à utiliser les services après l'entrée en vigueur de ces modifications constituera votre consentement à ces changements.

11. DÉFINITIONS

11.1 Dans le présent accord de traitement des données, les termes suivants ont la signification qui leur est attribuée ci-dessous :

(a) Les termes « entreprise », « consommateur », « responsable du traitement », « personne concernée », « données personnelles », « informations personnelles », « sous-traitant », « prestataire de services » et « autorité de contrôle » ont la signification qui leur est donnée en vertu des lois applicables en matière de protection des données.

(b) « Affilié » désigne toute entité qui, directement ou indirectement, contrôle, est contrôlée par, ou est sous contrôle commun avec l'entité concernée. Aux fins de cette définition, le terme « contrôle » désigne la détention ou le contrôle direct ou indirect de plus de 50 % des actions avec droit de vote de l'entité concernée.

(c) Le terme « contrat » désigne l'accord écrit ou électronique que le Client a conclu avec Hootsuite et qui intègre le présent DPA par référence.

(d) « Lois applicables en matière de protection des données » désigne les lois européennes sur la protection des données, les lois américaines sur la protection de la vie privée et toutes les autres lois et réglementations en matière de protection des données et de la vie privée applicables au traitement des données à caractère personnel du Client dans le cadre du contrat.

(e) « Données personnelles du Client » désigne toutes les données personnelles ou informations personnelles fournies par le (ou au nom du) Client à Hootsuite, ou autrement traitées par Hootsuite pour le compte du Client dans le cadre du contrat, comme décrit dans l'annexe 1 du présent DPA. « Les « Données personnelles du Client » n'incluent pas les données personnelles ou les informations personnelles que le Client traite via des services tiers qui ne sont pas fournis par Hootsuite, mais auxquels le Client peut accéder ou utiliser en contact avec les Services. »

(f) « Europe » désigne, aux fins du présent DPA, l'Espace économique européen (EEE) et ses États membres, la Suisse et le Royaume-Uni (« UK »).

(g) « Lois européennes sur la protection des données » désigne l'ensemble des lois et réglementations européennes en matière de protection des données et de la vie privée applicables au traitement des données personnelles des Clients dans le cadre du contrat, y compris : (i) le Règlement général sur la protection des données de l'UE (« RGPD ») ; (ii) toute mise en œuvre nationale applicable du RGPD ; (iii) le RGPD tel qu'il est intégré dans le droit britannique en vertu de l'article 3 de la loi de 2018 (sur le retrait) de l'Union européenne et de la loi de 2018 sur la protection des données (ensemble, le « RGPD du Royaume-Uni ») ; et (iv) la loi fédérale suisse de 2020 sur la protection des données et son ordonnance (« LPD suisse ») ; dans chaque cas, tel qu'il peut être modifié, remplacé ou abrogé de temps à autre.

(h) « Hootsuite » désigne l'entité Hootsuite partie au contrat, à savoir Hootsuite Inc. (111 East 5th Avenue, 3rd Floor, Vancouver, Colombie-Britannique, Canada V5T 4L1), Sparkcentral Europe NV (Kempische Steenweg 311 b6.01, 3500 Hasselt, Belgique), Heyday Technologies Inc. (1100 avenue des Canadiens-de-Montréal, Bureau 150, Montréal, Québec, Canada, H3B 2S2), Talkwalker S.à r.l. (33 avenue John F. Kennedy, L-1855, Luxembourg), Talkwalker Inc. (3616 Far West Blvd., Suite 117 #419, Austin, TX 78731), Talkwalker Pte. Ltd. (9, Raffles Place, #26-01 Republic Plaza, Singapore 048619) ou Talkwalker KK (Ark Hills South Tower 16F, 1-4-5 Roppongi, Minato-ku Tokyo, 13, 106-0032, Japon).

(i) « Traitement » ou « traitement » désigne toute opération ou tout ensemble d'opérations effectuées sur les données à caractère personnel du Client, que ce soit ou non par des moyens automatisés, y compris la collecte, l'utilisation et la divulgation des données à caractère personnel du Client.

(j) « Transfert restreint » désigne un transfert de données personnelles de Clients en provenance d'Europe vers un pays qui ne fournit pas un niveau de protection adéquat des données personnelles au sens des lois européennes applicables en matière de protection des données.

(k) Par « Incident de sécurité », on entend une faille de sécurité entraînant la destruction accidentelle ou illégale, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des données personnelles de Clients traitées par Hootsuite dans le cadre de la fourniture des services. Cela n'inclut pas les tentatives infructueuses ou les activités qui ne compromettent pas la sécurité des données personnelles des Clients, y compris les tentatives de connexion infructueuses, les pings, les analyses de ports, les attaques par déni de service et autres attaques réseau sur les pare-feux ou les systèmes en réseau.

(l) Le terme « Services » désigne les services fournis par Hootsuite au Client, tels qu'ils sont définis dans le contrat, le bon de commande ou le formulaire d'autorisation associé (selon le cas).

(m) Les « CCT » désignent les clauses contractuelles standard approuvées par la Commission européenne conformément à sa décision 2021/914 du 4 juin 2021, telles qu'elles peuvent être modifiées, remplacées ou abrogées de temps à autre.

(n) Le terme « Sous-traitant » désigne tout sous-traitant tiers engagé par Hootsuite ou ses filiales pour aider à fournir les services au Client conformément au contrat et au présent DPA. Ce terme n'inclut pas les employés, les sous-traitants ou les consultants de Hootsuite ou de ses affiliés.

(o) « Addendum britannique » désigne l'addendum sur le transfert international de données aux clauses contractuelles types de la Commission européenne publié par le Commissaire à l'information du Royaume-Uni en vertu de l'article 119A(1) de la loi de 2018 sur la protection des données, tel qu'il peut être modifié, remplacé ou abrogé de temps à autre.

(p) « Lois américaines sur la protection de la vie privée » désigne toutes les lois fédérales et étatiques des États-Unis sur la protection des données et la confidentialité applicables au traitement des données personnelles du Client en vertu du contrat, y compris, sans s'y limiter : (i) la loi californienne sur la protection de la vie privée des consommateurs, telle que modifiée par la loi californienne sur les droits à la vie privée, et tout règlement d'application s'y rapportant (collectivement, le « CDPA ») ; (ii) la loi sur la protection des données des consommateurs de Virginie (« CDPA ») ; (iii) la loi sur la protection de la vie privée du Colorado (« CPA ») ; (iv) la loi sur la protection de la vie privée des consommateurs de l'Utah (« UCPA ») ; (v) la loi sur la confidentialité des données du Connecticut (« CTDPA ») ; la loi sur la confidentialité des données des consommateurs du Montana (« MCDPA ») ; (vii) la loi sur la confidentialité et la sécurité des données du Texas (« TDPSA ») ; (viii) la loi de l'Oregon sur la protection de la vie privée des consommateurs (« OCPA ») ; (ix) la loi sur la protection des données des consommateurs de l'Iowa (« ICDPA ») ; (x) la loi du Delaware sur la confidentialité des données personnelles (« DPDPA ») ; (xi) la loi sur la confidentialité des données du Nebraska (« NDPA ») ; (xii) la loi sur la confidentialité des données du New Jersey (« NJDPA ») ; (xiii) la loi sur la protection des informations du Tennessee (« TIPA ») ; (xiv) la loi du Maryland sur la confidentialité des données en ligne (« MODPA ») ; (xv) la loi sur la protection de la vie privée du New Hampshire (« NHPA ») ; et (xvi) la loi sur la confidentialité des données des consommateurs du Minnesota (« MCDPA »). Dans chaque cas, lorsqu'elles entreront en vigueur et pourront être modifiées, remplacées ou abrogées de temps à autre

Annexe 1 : Description du traitement

Cette annexe décrit le traitement des données à caractère personnel du Client par les parties en contact avec les Services et fait partie intégrante du contrat. Sauf définition contraire, les termes commençant par une majuscule dans la présente annexe ont la même signification que celle qui leur est attribuée dans le contrat.

(A) Liste des participants

Exportateur de données :
Nom :	L'exportateur de données est l'entité identifiée comme « Client » dans le contrat.
Adresse :	L'adresse est indiquée dans le contrat.
Nom, fonction et coordonnées de la personne de contact :	Les coordonnées sont celles indiquées dans le contrat.
Activités relatives aux données transférées en vertu de ces clauses :	Les activités de traitement dans le cadre de la réception des Services telles que définies dans le contrat
Rôle (responsable du traitement/sous-traitant) :	Contrôleur

Importateur de données :
Nom :	L'importateur de données est l'entité Hootsuite applicable, comme indiqué dans la section 8 du DPA.
Adresse :	L'adresse de l'entité Hootsuite concernée, comme indiqué dans la section 8 du DPA.
Nom, fonction et coordonnées de la personne de contact :	Jennifer Ma, Directeur principal, Délégué à la protection de la vie privée, à la conformité des produits et à la protection des données
Activités relatives aux données transférées en vertu de ces clauses :	Les activités de traitement dans le cadre de la fourniture des Services telles que définies dans l'Accord
Rôle (responsable du traitement/sous-traitant) :	Sous-traitant

(B) Description du traitement et du transfert

Services
Catégories de personnes concernées ou de consommateurs :	- Les employés, consultants ou sous-traitants du Client autorisés à utiliser les Services. - Les personnes dont les données personnelles ou les informations personnelles sont incluses dans (i) les médias sociaux et autres services de messagerie (par exemple, WhatsApp, WeChat, X, Facebook, Instagram, TikTok, SMS) ; (ii) les communications par chat, y compris les publications, les communications, les messages, les pages ou les fils ; et (iii) d'autres sources publiques (par exemple, Global News Group) ; et qui sont traitées pour le compte du Client dans le cadre des services.
Catégories de données personnelles ou d'informations personnelles :	Les informations traitées par le biais des Services sont déterminées et contrôlées par les Clients à leur seule discrétion et peuvent inclure les catégories suivantes : Tous les services - Données d'identification (par exemple, nom, identifiant de médias sociaux, nom d'utilisateur, ID utilisateur, informations de profil, données de géolocalisation) - Coordonnées (par exemple, nom, adresse e-mail, numéro de téléphone) - Contenu des médias sociaux et autres contenus générés par les utilisateurs d'Internet/de la plateforme (par exemple, mises à jour de statut, publications, commentaires, pages, profils, mentions J'aime, flux, éléments sur le blog ou le forum contenant des mots-clés et des caractéristiques) Services Hootsuite - Autres renseignements personnels (par exemple, âge, sexe, employeur, profession, emplacement géographique, éducation, situation financière, habitudes, centre d'intérêt et préférences) - E-mails, documents, contenu généré par l'utilisateur (par exemple, messages, publications, photos, vidéos, commentaires, pages, profils, flux ou communications sur les sites/réseaux de médias sociaux) et autres données sous forme électronique - Entrées et sorties des clients pour les services basés sur l'intelligence artificielle - Contenu, communications, messages, données et autres informations non décrits ci-dessus qui sont envoyés ou reçus par le client par le biais des services - Catégories de données personnelles décrites dans les produits Hootsuite Inbox, les produits de chatbot Hootsuite et les produits Hootsuite Listening Services Sparkcentral ; Produits Hootsuite Inbox - Contenu de messagerie que les individus choisissent de partager (par exemple, messages sur les réseaux sociaux, messages dans l'application, SMS) - Métadonnées des médias sociaux et des messages (par exemple, nombre d'abonnés aux médias sociaux, nombre de publications, nombre de tweets) Services Heyday. Produits de chatbot Hootsuite - Données conversationnelles (par exemple, les conversations extraites et traitées via le site web du client ou d'autres services de messagerie pris en charge, et les informations de commande) - Données relatives à l'appareil et à la navigation (par exemple, adresse IP, nombre de visites sur le site web, nombre de pages vues, temps passé, navigation dans le chat, tags des utilisateurs) Services Talkwalker. Produits d'écoute Hootsuite - Utilisateurs des médias sociaux et d'Internet : caractéristiques personnelles accessibles au public (par exemple, âge, sexe, intérêts et préférences, parcours professionnel et éducatif, photos et vidéos) - Toute autre information liée à la surveillance de la marque publiée sur un média social ou un site Internet accessible au public qui contient des informations personnelles
Les données sensibles (le cas échéant) et les restrictions ou mesures de protection appliquées :	Les informations traitées par le biais des Services sont déterminées et contrôlées par les Clients et peuvent inclure les données sensibles suivantes : données personnelles révélant l'origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques, l'appartenance syndicale, les données relatives à la santé ou à la vie sexuelle, ou les données relatives aux infractions, aux condamnations pénales ou aux mesures de sécurité. Voir l'annexe 2 pour les restrictions et les mesures de protection appliquées pour les données sensibles.
Fréquence du transfert :	Continu
Nature du traitement :	La collecte, le stockage, l'organisation, la modification, l'extraction, la divulgation, la communication et d'autres utilisations dans le cadre de l'exécution des services tels qu'ils sont définis dans le contrat.
Finalité(s) et objet du transfert et du traitement ultérieur :	Activités de traitement dans le cadre de l'exécution des Services, comme indiqué dans le contrat, notamment : - Fournir un accès aux services Hootsuite, Sparkcentral, Heyday et/ou Talkwalker ; - Fournir, gérer et mettre à jour les fonctionnalités conformément à la licence, à la configuration et à l'utilisation par le client et les utilisateurs autorisés ; - Surveiller les performances, la sécurité et la disponibilité du système en temps réel ; - Identifier, diagnostiquer et résoudre les problèmes techniques, les bugs et les erreurs, y compris en effectuant des tests et une assurance qualité ; - Faciliter les intégrations avec des applications et des services tiers autorisés ; et - Autres activités de traitement nécessaires à la prestation des Services conformément aux instructions documentées du Client.
Période et durée pendant lesquelles les données à caractère personnel ou les informations personnelles seront traitées et conservées :	Conformément à la section 9 du DPA.

Aux fins des CCT, l'autorité de surveillance compétente doit être déterminée conformément au RGPD.

Annexe 2 : Mesures de sécurité

La présente annexe décrit les mesures techniques et organisationnelles à mettre en œuvre par Hootsuite et constitue une partie intégrante du contrat. Sauf définition contraire, les termes commençant par une majuscule dans la présente annexe ont la même signification que celle qui leur est attribuée dans le contrat.

Les mesures techniques et organisationnelles (« TOM ») à mettre en œuvre (y compris toutes les certifications pertinentes) pour garantir un niveau de sécurité approprié en tenant compte de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques pour les droits et libertés des personnes physiques, sont décrites pour les services applicables sur le lien suivant https://www.hootsuite.com/legal/security-practices. Le tableau suivant fournit des exemples de TOM mis en œuvre par Hootsuite.

Type de TOM	Description des TOMs
Mesures de pseudonymisation et de chiffrement des données personnelles	Pseudonymisation Le traitement des données à caractère personnel est limité au sein des services. Par exemple, lorsque des données sont traitées (p. ex., extraites et analysées), et lorsque cela est possible, un identifiant unique est utilisé comme identifiant plutôt que les champs de données personnelles complets tels que le prénom et le nom de l'utilisateur du compte et son adresse e-mail professionnelle. Chiffrement Les données fournies par les clients à Hootsuite sont chiffrées pendant le transit et au repos afin d'atténuer les menaces de sécurité au niveau Standard du secteur.
Mesures visant à garantir la confidentialité, l'intégrité, la disponibilité et la résilience continues des systèmes et services de traitement	Contrôles d'accès - Des politiques et procédures de contrôle d'accès qui traitent de l'intégration, du départ, de la transition entre les rôles, des examens réguliers des accès, des limitations et du contrôle de l'utilisation des privilèges d'administrateur, ainsi que des délais d'inactivité ont été mises en œuvre. - L'identification et la séparation des tâches et des domaines de responsabilité contradictoires, comme la séparation des tâches, sont mises en œuvre. - Un inventaire précis et à jour des comptes informatiques est tenu à jour. - Les principes du « besoin de savoir » et du « moindre privilège » sont appliqués et les droits d'accès des utilisateurs sont revus régulièrement afin de détecter les privilèges excessifs. - Une limite de tentatives de connexion est imposée. - L'accès à distance aux systèmes de production et à d'autres segments sensibles du réseau nécessite une connexion via un VPN. Authentification - Les mots de passe nécessitent un minimum de complexité défini. Les mots de passe initiaux doivent être modifiés après la première connexion. - L'accès aux systèmes utilisés par les employés et le personnel contractuel de Hootsuite est contrôlé par une authentification multifacteur (MFA). L'authentification unique (SSO) a été mise en place à l'échelle de l'entreprise afin de garantir un contrôle d'accès renforcé et plus centralisé des systèmes utilisés par les employés et le personnel contractuel de Hootsuite. Pratiques en matière de personnel - Tous les employés sont tenus par des accords de confidentialité ainsi que par les politiques de sécurité et de confidentialité de Hootsuite. Dès leur intégration et au moins une fois par an par la suite, tous les employés reçoivent une formation sur la sécurité et la confidentialité. - Un examen préalable à l'embauche (qui peut inclure une vérification des antécédents criminels), proportionnel à la sensibilité du poste, et lorsque la loi le permet, est réalisé. Détection et surveillance des intrusions - Les mécanismes de détection des intrusions sont utilisés pour surveiller les services afin de détecter des intrusions non autorisées. - Les pare-feux sont configurés conformément aux meilleures pratiques du secteur, et les ports qui ne sont pas utilisés pour la fourniture des services Hootsuite sont bloqués par configuration auprès de notre fournisseur de centre de données. - Des scans de vulnérabilité sont effectués en production et des efforts commercialement raisonnables sont déployés pour remédier à toute découverte présentant un risque matériel pour l'environnement Hootsuite. - Le verrouillage de l'écran est appliqué et le chiffrement complet des disques est mis en œuvre pour les ordinateurs portables de l'entreprise.
Mesures visant à garantir la capacité à rétablir la disponibilité et l'accès aux données personnelles dans les meilleurs délais en cas d'incident physique ou technique	Reprise après sinistre Les données des clients sont stockées de manière redondante à plusieurs endroits dans les centres de données du fournisseur d'hébergement Hootsuite pour garantir leur disponibilité. Il existe des procédures de sauvegarde et de restauration pour permettre la reprise après une catastrophe majeure. Sauvegardes Le contenu client et le code source de l'application sont automatiquement sauvegardés au moins une fois par nuit. L'équipe des opérations de Hootsuite est alertée en cas de panne du système.
Processus permettant de tester, d'évaluer et d'analyser régulièrement l'efficacité des mesures techniques et organisationnelles afin de garantir la sécurité du traitement	L'équipe de sécurité Un responsable de la sécurité et une équipe de sécurité dédiés supervisent, surveillent et testent les mesures techniques et organisationnelles mises en œuvre pour les services. Audits et certifications - Validation indépendante de l'existence et de la maturité de son programme de cybersécurité et de son programme de protection de la vie privée par le biais des certifications suivantes : ∙ISO/IEC 27001:2022 Cadre pour la gestion de la sécurité de l'information ∙ISO/IEC 27701:2019 Contrôles de confidentialité pour la protection des informations personnelles ∙ISO/IEC 27017:2015 Directives de sécurité pour les services cloud ∙ISO/IEC 27018:2019 Protection des données personnelles dans les clouds publics - Un audit annuel SOC 2 de type II réalisé par un tiers indépendant pour tester l'efficacité des mesures techniques et organisationnelles en place. Les audits et certifications liés à la sécurité des services Hootsuite comprennent également : - Le rapport SOC 3 décrit les informations relatives aux contrôles internes de Hootsuite en matière de sécurité. - Hootsuite est conforme au programme britannique Cyber Essentials. - L'utilisation de Hootsuite est autorisée dans le cadre du programme fédéral de gestion des risques et des autorisations du gouvernement américain, un processus de certification audité selon la norme NIST SP 800-53.
Mesures pour l'identification et l'autorisation des utilisateurs	Journaux - Les journaux qui enregistrent les détails des transmissions de la data à partir des systèmes informatiques qui stockent ou traitent des données à caractère personnel et l'accès des utilisateurs aux services sont surveillés et examinés par l'équipe de sécurité pour vérifier l'accès autorisé. - Tous les journaux système contenant des informations importantes, telles que les journaux d'authentification et d'accès réseau, sont collectés dans un dépôt central et surveillés par une équipe dédiée pour détecter toute activité suspecte. Chiffrement et pare-feux - Toutes les interfaces destinées au public sont sécurisées via un chiffrement et des pare-feux conformes aux normes du secteur. - Les systèmes de production ne sont accessibles qu'après authentification multifacteur (MFA). - Les pare-feux (par exemple : pare-feu d'application web, pare-feu réseau) sont utilisés et surveillés en continu sur les systèmes de production. Contrôle d'accès - Le contrôle d'accès basé sur les rôles est appliqué conformément aux principes du « besoin de savoir » et du « moindre privilège ».
Mesures de protection des données lors de la transmission	Les services prennent en charge les dernières suites de chiffrement et protocoles sécurisés standard de l'industrie pour chiffrer tout le trafic en transit. Hootsuite prend actuellement en charge TLS 1.2 ou une version supérieure pour son trafic web. L'accès à distance aux systèmes de production et à certains autres segments sensibles du réseau n'est possible que par le biais d'un tunnel VPN, qui nécessite une authentification multifacteur et est chiffré de bout en bout.
Mesures de protection des données pendant le stockage	Le contenu du client est chiffré au repos (à l'aide d'AES avec un chiffrement de 128 ou 256 bits), le cas échéant et compte tenu de la nature du contenu et des risques associés. Les contrôles d'accès (tels que décrits plus haut) sont mis en œuvre pour restreindre l'accès uniquement au personnel autorisé, sur la base du « besoin de savoir » et du « moindre privilège », dans le but de gérer les services.
Mesures visant à assurer la sécurité physique des lieux où les données à caractère personnel sont traitées	Sécurité des prestataires de services cloud Hootsuite utilise Amazon Web Services (AWS) pour ses centres de données de production afin de fournir les services Hootsuite, Sparkcentral et Heyday. AWS possède des certifications et accréditations reconnues à l'international, démontrant la conformité à des normes mondiales rigoureuses, telles que ISO 27017 pour la sécurité du cloud, ISO 27018 pour la confidentialité du cloud, SOC 1, SOC 2 et SOC 3, PCI DSS niveau 1. Les informations sur la certification et la conformité d'Amazon Web Services peuvent être consultées sur le site AWS Sécurité et le site AWS Conformité. Hootsuite utilise Hetzner pour ses centres de données de production afin de fournir les services de Hootsuite Listening et les services de Talkwalker. Hetzner est certifié ISO 27001. Sécurité des bureaux Hootsuite Tous les bureaux Hootsuite où des données personnelles peuvent être traitées disposent de : - Systèmes de contrôle d'accès électroniques pour protéger l'entrée principale et les zones de sécurité - Surveillance de l'installation par les services de sécurité et enregistrement des accès à l'installation - Vidéosurveillance des zones de sécurité pertinentes, telles que les entrées et les sorties - Attribution et révocation centralisées des autorisations d'accès - Identification de tous les visiteurs par vérification de leur carte d'identité et enregistrement (un registre des visiteurs est tenu) - Identification obligatoire dans les zones de sécurité pour tous les employés et visiteurs - Les visiteurs doivent être accompagnés par des employés à tout moment.
Mesures pour assurer la journalisation des événements	Tous les systèmes utilisés dans la prestation des services Hootsuite, y compris les pare-feux, les routeurs, les commutateurs réseau, les systèmes de détection d'intrusion, les services anti-malware et les systèmes d'exploitation, consignent les informations sur des serveurs de journaux sécurisés afin de permettre les examens et l'analyse de la sécurité. Voir aussi : Détection et surveillance des intrusions ci-dessus pour plus de détails
Mesures pour garantir la configuration du système, y compris la configuration par défaut	Les serveurs de production, les bases de données et les configurations de sécurité cloud sont renforcés conformément aux directives de configuration internes et à la politique de gestion de la configuration. La configuration et les versions des systèmes sont gérées en code via nos systèmes de gestion des configurations. Les modifications apportées aux ensembles de configuration nécessitent un examen par les pairs et une approbation. De nouvelles instances sont créées à partir d'« images de base » préconfigurées et renforcées.
Mesures de gouvernance et de gestion internes de l'informatique et de la sécurité informatique, ainsi que des mesures de certification et d'assurance des processus et des produits	Hootsuite met en œuvre et gère des politiques et des procédures de sécurité conformes aux normes du secteur et au cadre de cybersécurité du National Institute of Standards and Technology (NIST). Il existe un responsable et une équipe dédiés à la sécurité qui mettent en œuvre les politiques et les normes de sécurité et qui supervisent les audits annuels et les certifications mentionnés ci-dessus (par exemple, SOC 2 Type II, programme Cyber Essentials du Royaume-Uni, autorisation FedRAMP, ISO 27001 en fonction de l'entité concernée).
Mesures pour assurer la minimisation des données	L'accès aux données personnelles est limité selon les principes du « besoin de savoir » et du « moindre privilège ». Les exportateurs de données (clients) sont les responsables du traitement des données qu'ils choisissent de télécharger sur les services et peuvent décider de limiter la quantité de données traitées. L'accès aux serveurs de production est régulé par des contrôles d'accès basés sur les rôles.
Mesures visant à garantir la qualité des données	Les données sont extraites des médias sociaux en temps réel à l'aide d'API. L'exactitude et la qualité des données dépendront des données sources des réseaux sociaux. Les exportateurs de données (clients) sont les responsables du traitement des données qu'ils choisissent de mettre en ligne sur les services et peuvent mettre à jour ou modifier les données pour garantir leur qualité.
Mesures visant à garantir une conservation limitée des données	Afin de maintenir l'exactitude des données et de réduire la conservation des données, et lorsque cela s'applique aux services, les données extraites des réseaux sociaux ne sont stockées que temporairement pour affichage. Une politique de conservation et de destruction des enregistrements est en place et les données sont conservées aussi longtemps que nécessaire pour fournir les services, à des fins de tenue de registres, pour se conformer aux obligations légales, résoudre les litiges et faire appliquer les conditions des services. Des processus de suppression des données sont en place pour les demandes de suppression des personnes concernées.
Mesures pour assurer la responsabilité	Un responsable et une équipe dédiés à la sécurité sont chargés de s'assurer que les politiques et procédures appropriées en matière de sécurité et de protection des données sont mises en œuvre et respectées. Hootsuite a nommé un délégué à la protection des données qui, en collaboration avec l'équipe de protection de la vie privée, supervise le programme de confidentialité. Au niveau exécutif, les dirigeants sont régulièrement informés des questions relatives à la protection des données et peuvent contribuer à apporter une contribution stratégique aux pratiques de Hootsuite en matière de protection des données. Les employés suivent une formation annuelle sur la confidentialité et la sécurité. Un processus a été mis en place pour répondre rapidement aux demandes des personnes concernées et les gérer, telles que les demandes d'accès et de suppression de leurs informations. Hootsuite respecte les principes de protection dès la conception, notamment en menant des évaluations et des examens des répercussions sur la vie privée lors de la mise en œuvre de nouvelles fonctionnalités de ses produits et de nouveaux processus.
Mesures visant à autoriser la portabilité des données et à garantir leur suppression	Les clients peuvent demander la restitution ou la suppression de toutes les données personnelles et de toutes les copies de ces données dont ils ont la garde ou le contrôle. Des processus sont en place pour les demandes de suppression des données des sujets concernés. Pour la portabilité des données, il existe des options « Exportation des données » au sein des services où le contenu client peut être exporté aux formats CSV.
Informations sur le sous-traitant	Voir : https://www.hootsuite.com/legal/subprocessor-list

Si vous avez besoin d'un contrat écrit et signé, veuillez cliquer ici, compléter vos coordonnées de client et signer électroniquement l'addendum.