Aller au contenu principal

Accord de traitement des données

Version 2.0Dernière mise à jour:

Le présent Accord de traitement des données (« DPA » ou « Avenant »), y compris les Clauses contractuelles types (telles que définies ci-dessous) annexées aux présentes (collectivement, le « DPA »), est conclu à compter de la date d'entrée en vigueur (la « Date d'entrée en vigueur ») de l'acceptation par le client concerné (le « Client ») des Conditions d'utilisation entre Zenovay (la « Société » ou « Zenovay ») et le Client auquel ce DPA est joint et incorporé (l'« Accord »). Tous les termes en majuscules non autrement définis dans ce DPA auront la signification qui leur est donnée dans l'Accord.

Cet Avenant deviendra juridiquement contraignant à compter de la conclusion de l'Accord par le Client ou de la signature de cet Avenant.

1. Définitions

Pour les besoins de ce DPA, les termes suivants ont les significations définies ci-dessous :

  • « Affilié » désigne (i) une entité dont une partie détient directement ou indirectement cinquante pour cent (50 %) ou plus du capital ou des participations, (ii) une entité qui détient au moins cinquante pour cent (50 %) ou plus du capital ou des participations d'une partie, ou (iii) une entité qui est sous contrôle commun avec une partie en ayant au moins cinquante pour cent (50 %) ou plus du capital ou des participations de cette entité et d'une partie détenus par la même personne, mais cette entité ne sera considérée comme un Affilié que tant que cette propriété existe.
  • « Personne concernée » désigne (i) une personne physique identifiée ou identifiable qui se trouve dans l'EEE ou dont les droits sont protégés par les lois européennes sur la protection des données ; ou (ii) un « Consommateur » tel que ce terme est défini dans le CCPA.
  • « Données client » désigne tout contenu, donnée, information ou autre matériel (y compris les informations personnelles) que le Client, les utilisateurs finaux ou les Affiliés du Client soumettent, ou qui sont collectés par les Services pour traitement par Zenovay dans le cadre des Services.
  • « EEE » désigne l'Espace économique européen.
  • « Lois européennes sur la protection des données » désigne toutes les lois et réglementations sur la protection des données applicables au traitement des informations personnelles dans le cadre de l'Accord, y compris, le cas échéant, la Directive UE 95/46/CE, le Règlement (UE) 2016/679 (RGPD), la Directive ePrivacy de l'UE (Directive 2002/58/CE), la loi fédérale suisse sur la protection des données (« nLPD », en vigueur depuis le 1er septembre 2023), et toutes lois nationales de mise en œuvre.
  • « Informations personnelles » ou « Données personnelles » désigne les informations qui identifient, sont liées à, décrivent, sont raisonnablement susceptibles d'être associées à, ou pourraient raisonnablement être reliées, directement ou indirectement, à une personne concernée particulière. Les informations personnelles comprennent les informations considérées comme des « données personnelles », des « informations personnellement identifiables » ou des termes similaires tels que définis par les lois applicables sur la protection des données.
  • « Traitement » désigne toute opération ou ensemble d'opérations effectuées sur des informations personnelles, que ce soit ou non par des moyens automatisés, telles que la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation, la récupération, la consultation, l'utilisation, la divulgation, la diffusion, la restriction, l'effacement ou la destruction.
  • « Clauses contractuelles types » ou « CCT » désigne les clauses contractuelles types pour le transfert de données personnelles vers des sous-traitants établis dans des pays tiers approuvées par la Décision de la Commission européenne 2021/914 du 4 juin 2021.
  • « Sous-traitant ultérieur » désigne tout sous-traitant tiers engagé par Zenovay ou ses Affiliés pour traiter des informations personnelles pour le compte du Client dans le cadre de l'Accord.

2. Relation des parties ; Traitement des données

2.1 Rôles et étendue du traitement

Les parties reconnaissent et conviennent que, en ce qui concerne le traitement des informations personnelles, le Client est le responsable du traitement des données (ou « entreprise » au sens du CCPA) et Zenovay est le sous-traitant des données (ou « prestataire de services » au sens du CCPA). Le Client devra, dans son utilisation des Services, traiter les informations personnelles conformément aux exigences des lois applicables sur la protection des données. Les instructions du Client pour le traitement des informations personnelles devront être conformes aux lois applicables sur la protection des données. Le Client est seul responsable de l'exactitude, de la qualité et de la légalité des informations personnelles et des moyens par lesquels le Client a acquis ces informations personnelles.

2.2 Instructions de traitement du Client

En concluant ce DPA, le Client charge Zenovay de traiter les informations personnelles uniquement conformément à la loi applicable : (a) pour fournir les Services et le support technique associé ; (b) comme spécifié davantage par l'utilisation par le Client des Services (y compris via le tableau de bord, l'API ou d'autres interfaces) ; (c) comme documenté dans l'Accord, y compris ce DPA ; et (d) comme documenté davantage dans toute autre instruction écrite donnée par le Client et reconnue par Zenovay comme constituant des instructions aux fins de ce DPA.

2.3 Conformité de Zenovay aux instructions

Zenovay ne traitera les informations personnelles que conformément aux instructions documentées du Client, sauf si le traitement est requis par les lois applicables auxquelles Zenovay est soumise, auquel cas Zenovay informera le Client de cette exigence légale avant le traitement, sauf si cette loi interdit une telle information pour des raisons importantes d'intérêt public.

2.4 Détails du traitement

L'objet, la nature, la finalité, la durée et les types d'informations personnelles et les catégories de personnes concernées traités dans le cadre de ce DPA sont décrits à l'Annexe A (Détails du traitement) ci-jointe.

3. Confidentialité

Zenovay s'assurera que toute personne autorisée à traiter des informations personnelles en son nom est soumise à une obligation de confidentialité, que ce soit par contrat ou obligation légale.

4. Sécurité

4.1 Mesures de sécurité

Compte tenu de l'état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques de probabilité et de gravité variables pour les droits et libertés des personnes physiques, Zenovay mettra en œuvre et maintiendra des mesures techniques et organisationnelles appropriées pour protéger les informations personnelles contre les incidents de sécurité (tels que définis ci-dessous) et pour préserver la sécurité et la confidentialité des informations personnelles, comme décrit à l'Annexe B (Mesures de sécurité) ci-jointe.

4.2 Notification d'incident de sécurité

« Incident de sécurité » désigne toute destruction, perte, altération, divulgation non autorisée ou accès non autorisé accidentel ou illégal aux informations personnelles. Zenovay notifiera le Client sans délai injustifié (et en tout état de cause dans les 72 heures) après avoir pris connaissance de tout incident de sécurité. Cette notification devra :

  • Décrire la nature de l'incident de sécurité, y compris les catégories et le nombre approximatif de personnes concernées et d'enregistrements d'informations personnelles concernés
  • Communiquer les coordonnées du contact protection des données désigné par Zenovay ([email protected]) auprès duquel des informations supplémentaires peuvent être obtenues
  • Décrire les conséquences probables de l'incident de sécurité
  • Décrire les mesures prises ou envisagées pour remédier à l'incident de sécurité et en atténuer les effets négatifs possibles

5. Sous-traitants ultérieurs

5.1 Sous-traitants ultérieurs autorisés

Le Client reconnaît et accepte que Zenovay puisse engager des sous-traitants ultérieurs pour traiter des informations personnelles pour le compte du Client. La liste actuelle des sous-traitants ultérieurs est disponible sur zenovay.com/legal/subprocessors.

5.2 Obligations des sous-traitants ultérieurs

Zenovay devra :

  • Conclure un accord écrit avec chaque sous-traitant ultérieur imposant des obligations de protection des données substantiellement similaires à celles imposées à Zenovay dans le cadre de ce DPA
  • Rester pleinement responsable envers le Client de l'exécution des obligations de chaque sous-traitant ultérieur
  • Effectuer une diligence raisonnable appropriée sur chaque sous-traitant ultérieur avant son engagement

5.3 Modifications des sous-traitants ultérieurs

Zenovay fournira au Client un préavis écrit d'au moins 30 jours avant l'ajout de tout nouveau sous-traitant ultérieur. Le Client peut s'opposer à l'utilisation par Zenovay d'un nouveau sous-traitant ultérieur en notifiant Zenovay par écrit dans les 10 jours suivant la réception de l'avis de Zenovay, à condition que cette opposition soit fondée sur des motifs raisonnables liés à la protection des données. Si le Client s'oppose raisonnablement à un nouveau sous-traitant ultérieur et que Zenovay ne peut pas fournir une alternative commercialement raisonnable, le Client peut résilier les Services concernés en fournissant un avis écrit à Zenovay.

6. Droits des personnes concernées

Zenovay devra, dans la mesure permise par la loi et dans le cadre de son rôle de sous-traitant, notifier rapidement le Client si Zenovay reçoit une demande d'une personne concernée pour l'accès, la correction, la modification ou la suppression de ses informations personnelles. Zenovay devra, compte tenu de la nature du traitement, aider le Client par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour l'exécution des obligations du Client de répondre aux demandes d'exercice des droits des personnes concernées en vertu des lois sur la protection des données, y compris le droit d'accès, de rectification, d'effacement, de limitation du traitement, de portabilité des données et d'opposition au traitement.

7. Retour et suppression des données

7.1 Périodes de conservation des données

Les informations personnelles sont conservées selon le plan d'abonnement du Client :

  • Plan gratuit : 1 an (365 jours)
  • Plan Pro : 2 ans (730 jours)
  • Plan Scale : 4 ans (1 460 jours)
  • Plan Entreprise : Période de conservation personnalisée telle que convenue dans le Bon de commande applicable

7.2 Processus de suppression en deux phases

Lorsque les informations personnelles dépassent la période de conservation applicable au plan du Client, Zenovay met en œuvre un processus de suppression en deux phases :

  • Phase 1 - Masquage temporaire : Les informations personnelles plus anciennes que la période de conservation sont marquées comme masquées et exclues des requêtes d'analyse du Client. Les données restent dans les systèmes de Zenovay mais ne sont pas accessibles via les Services.
  • Phase 2 - Période de grâce : Le Client est informé par e-mail que des données ont été masquées. Une période de grâce de 30 jours commence, pendant laquelle le Client peut passer à un plan supérieur pour récupérer les données masquées.
  • Phase 3 - Suppression définitive : Après l'expiration de la période de grâce de 30 jours, les informations personnelles masquées sont définitivement supprimées à l'aide de méthodes de suppression sécurisées.

7.3 Récupération des données

Si le Client passe à un plan avec une période de conservation plus longue pendant la période de grâce, Zenovay récupérera automatiquement (démasquera) les informations personnelles qui entrent dans la nouvelle période de conservation. Les données définitivement supprimées ne peuvent pas être récupérées.

7.4 Suppression lors de la résiliation

Lors de la résiliation ou de l'expiration de l'Accord, Zenovay devra (selon le choix du Client) : (a) retourner au Client toutes les informations personnelles en possession ou sous le contrôle de Zenovay via l'exportation de données ; ou (b) supprimer toutes les informations personnelles en possession ou sous le contrôle de Zenovay. Cette exigence ne s'appliquera pas dans la mesure où Zenovay est tenue par la loi applicable de conserver certaines ou toutes les informations personnelles, auquel cas Zenovay isolera et protégera les informations personnelles de tout traitement ultérieur sauf dans la mesure requise par cette loi.

8. Droits d'audit

Zenovay mettra à la disposition du Client, sur demande raisonnable et sous réserve d'obligations de confidentialité, toutes les informations nécessaires pour démontrer la conformité à ce DPA et permettra et contribuera aux audits, y compris les inspections, menés par le Client ou un auditeur mandaté par le Client. Le Client peut exercer ses droits d'audit dans le cadre de cette section en :

  • Examinant les certifications de sécurité maintenues par les fournisseurs d'infrastructure de Zenovay (Cloudflare : SOC 2 Type II, ISO 27001, ISO 27018 ; Supabase : SOC 2 Type II), fournies sur demande raisonnable. Zenovay lui-même n'est pas actuellement certifié SOC 2 ; nous mettrons à jour cette divulgation dès qu'un audit sera réalisé.
  • Envoyant à Zenovay un questionnaire concernant les pratiques de protection des données de Zenovay (limité à une fois par an sauf si requis par les lois sur la protection des données)
  • Dans des circonstances exceptionnelles, en effectuant un audit sur site ou à distance des pratiques de protection des données de Zenovay, sous réserve d'un préavis raisonnable, d'obligations de confidentialité et du remboursement des coûts raisonnables de Zenovay

9. Transferts internationaux

9.1 Transferts de données

Zenovay peut transférer et traiter des informations personnelles à l'échelle mondiale selon les besoins pour fournir les Services. Si Zenovay transfère des informations personnelles de l'EEE ou de la Suisse vers un pays extérieur à l'EEE/Suisse qui n'a pas été reconnu par la Commission européenne ou le Conseil fédéral suisse comme offrant un niveau adéquat de protection des données, ces transferts seront soumis à des garanties appropriées telles que requises par les lois sur la protection des données, notamment :

  • Cadre de protection des données UE-États-Unis (DPF) / DPF Suisse-États-Unis : Pour les transferts vers des sous-traitants établis aux États-Unis certifiés dans le cadre du DPF, recours à la Décision d'adéquation de la Commission européenne du 10 juillet 2023 et à la reconnaissance suisse correspondante.
  • Clauses contractuelles types (CCT) : Comme détaillé à la Section 9.2 ci-dessous.
  • Mesures supplémentaires : Évaluations d'impact des transferts, chiffrement en transit et au repos, contrôles d'accès et autres mesures recommandées par le CEPD et le PFPDT à la lumière de l'arrêt Schrems II.

9.2 Clauses contractuelles types

Dans la mesure où Zenovay traite des informations personnelles protégées par les lois européennes sur la protection des données (y compris le RGPD et la nLPD) et transfère ces informations personnelles vers un pays non reconnu par la Commission européenne ou le Conseil fédéral suisse comme offrant un niveau de protection adéquat, les Clauses contractuelles types (Module Deux : Responsable du traitement vers sous-traitant) s'appliquent et sont incorporées par référence dans ce DPA. Pour les besoins des Clauses contractuelles types :

  • Le Client est l'« exportateur de données » et Zenovay est l'« importateur de données »
  • Les parties acceptent les clauses optionnelles de la Clause 7, de la Clause 11 et de la Clause 9(a)
  • La loi de l'État membre applicable sera la loi de l'État membre dans lequel le Client est établi ou, si le Client n'est pas établi dans un État membre, la loi d'Irlande
  • L'autorité de contrôle compétente sera l'autorité de contrôle de l'État membre dans lequel le Client est établi ; pour les Clients suisses, le PFPDT (Préposé fédéral à la protection des données et à la transparence) ; pour les Clients non établis dans un État membre ou en Suisse, la Commission irlandaise de protection des données
  • Pour les transferts soumis à la nLPD, les références aux dispositions du RGPD sont interprétées comme des références aux dispositions équivalentes de la nLPD, et les références à l'UE/EEE sont interprétées comme des références à la Suisse
  • La description du transfert est établie à l'Annexe A (Détails du traitement)
  • Les mesures techniques et organisationnelles sont établies à l'Annexe B (Mesures de sécurité)

10. Limitation de responsabilité

La responsabilité de chaque partie dans le cadre de ce DPA est soumise aux exclusions et limitations de responsabilité prévues dans l'Accord.

11. Dispositions générales

11.1 Ordre de préséance

En cas de conflit ou d'incohérence entre ce DPA et l'Accord, les dispositions de ce DPA prévaudront dans la mesure de ce conflit ou de cette incohérence.

11.2 Modification

Zenovay peut mettre à jour ce DPA de temps à autre pour refléter les changements dans les lois sur la protection des données, les orientations réglementaires ou les meilleures pratiques du secteur. Les modifications importantes seront notifiées au Client au moins 30 jours avant leur entrée en vigueur.

11.3 Divisibilité

Si une disposition de ce DPA est jugée invalide ou inapplicable, les dispositions restantes resteront pleinement en vigueur.

11.5 Droit applicable et juridiction

Ce DPA sera régi et interprété conformément aux dispositions relatives au droit applicable et à la juridiction dans l'Accord, sauf disposition contraire des Clauses contractuelles types.

Annexe A : Détails du traitement

Liste des parties

Exportateur de données : Client (tel que défini dans l'Accord)

Importateur de données : Zenovay, Suisse

Description du transfert

Objet : L'objet du traitement des données est la fourniture de services d'analyse de sites web.

Nature et finalité du traitement : Zenovay traitera les informations personnelles pour fournir des services d'analyse de sites web et d'applications, notamment :

  • La collecte et l'analyse des données des visiteurs du site web
  • La génération de rapports et d'insights d'analyse
  • La fourniture de services de tableau de bord et de visualisation des données
  • Le stockage et la maintenance des données d'analyse
  • La notation automatisée de la valeur des visiteurs (échelle 0-100 basée sur des signaux comportementaux, géographiques et de données d'appareil)
  • Les insights d'analyse basés sur l'IA (via Cloudflare AI Gateway et OpenAI, lorsqu'activés par le Client)
  • La fourniture de support client et de gestion de compte

Durée du traitement : La durée du traitement correspond à la durée de l'Accord plus la période de conservation des données applicable au plan d'abonnement du Client (1 an pour le plan gratuit, 2 ans pour le plan Pro, 4 ans pour le plan Scale, ou personnalisé pour le plan Entreprise). Les données dépassant la période de conservation sont soumises au processus de suppression en deux phases décrit à la Section 7.

Catégories d'informations personnelles : Les catégories d'informations personnelles transférées peuvent inclure :

  • Données réseau : Adresses IP (stockées pour l'analyse géographique et la sécurité), géolocalisation approximative (pays, région, ville)
  • Données d'appareil : Chaînes user-agent, type d'appareil, navigateur, système d'exploitation, résolution d'écran
  • Données de navigation : URL de pages visitées, titres de pages, URL de référence, horodatages, temps passé sur les pages
  • Données comportementales : Profondeur de défilement, nombre de clics, interactions avec les formulaires (champs sensibles exclus), métriques d'engagement
  • Données de campagne : Paramètres UTM, identifiants de clics de plateformes publicitaires (p. ex. Google, Facebook, TikTok)
  • Données de conversion : Événements personnalisés, réalisations d'objectifs et valeurs associées tels que configurés par le Client
  • Données de session : Identifiants de session, durée, pages par session, statut de visiteur récurrent

Données optionnelles (lorsque les fonctionnalités sont activées par le Client) :

  • Replay de session : Captures DOM, mouvements de souris, clics et comportement de défilement (champs sensibles automatiquement masqués)
  • Cartes thermiques : Données agrégées de position des clics et du défilement
  • Identification des utilisateurs : Nom, e-mail, téléphone, entreprise et identifiants personnalisés lorsque fournis par l'implémentation du Client
  • Enrichissement B2B : Nom d'entreprise, domaine, secteur, taille et autres attributs professionnels dérivés de services d'enrichissement tiers

Le Client est responsable de déterminer quelles informations personnelles sont collectées et d'assurer la conformité aux lois applicables sur la protection de la vie privée.

Catégories de personnes concernées : Les personnes concernées dont les informations personnelles sont traitées comprennent :

  • Les visiteurs des sites web et applications du Client
  • Les utilisateurs des services en ligne du Client
  • Les clients des produits ou services du Client
  • Les employés ou représentants du Client (à des fins de gestion de compte)

Données sensibles : Zenovay n'a pas l'intention de traiter des données personnelles sensibles (p. ex. informations de santé, données biométriques, coordonnées de comptes financiers). Le Client est interdit de transmettre des données personnelles sensibles à Zenovay sans accord écrit préalable et garanties appropriées.

Fréquence du transfert : La fréquence de transfert des données personnelles est continue, jusqu'à la fin de l'accord.

Annexe B : Mesures de sécurité

Zenovay a mis en œuvre et maintiendra les mesures de sécurité techniques et organisationnelles suivantes :

1. Contrôles d'accès physiques

  • Infrastructure cloud hébergée sur le réseau de pointe mondial de Cloudflare, certifié selon les normes industrielles (SOC 2, ISO 27001)
  • Services de base de données fournis par Supabase, hébergés sur une infrastructure cloud certifiée
  • Contrôles d'accès physiques gérés par les fournisseurs d'infrastructure (Cloudflare, Supabase)
  • Surveillance de sécurité 24h/24, 7j/7 et vidéosurveillance des centres de données

2. Contrôles d'accès aux systèmes

  • Authentification multifacteur (MFA) requise pour l'accès administratif
  • Contrôles d'accès basés sur les rôles (RBAC) limitant l'accès en fonction de la fonction
  • Identifiants utilisateur uniques pour tous les accès système
  • Examens réguliers des accès et révocation des autorisations inutiles
  • Journalisation et surveillance de tous les accès et activités système

3. Contrôles d'accès aux données

  • Chiffrement des données en transit avec TLS 1.2 ou supérieur
  • Chiffrement des données sensibles au repos avec le chiffrement AES-256
  • Accès aux informations personnelles limité au personnel autorisé uniquement
  • Séparation des données pour empêcher l'accès non autorisé aux données inter-clients

4. Contrôles de transmission

  • Chiffrement de la transmission des données à l'aide des protocoles TLS/SSL
  • API sécurisées avec contrôles d'authentification et d'autorisation
  • Journalisation et surveillance des transmissions de données

5. Contrôles d'entrée

  • Journalisation d'audit de la création, modification et suppression de données
  • Procédures de contrôle des versions et de gestion des changements
  • Sauvegardes automatisées avec capacité de récupération à un moment précis

6. Contrôles de disponibilité

  • Réseau de pointe mondial Cloudflare avec basculement automatique sur plus de 300 centres de données
  • Base de données gérée Supabase avec récupération à un moment précis
  • Sauvegardes régulières stockées dans des emplacements géographiquement distribués
  • Procédures de reprise après sinistre et de continuité des activités
  • Procédures de surveillance des systèmes et de réponse aux incidents
  • Remarque : Aucun SLA de disponibilité spécifique n'est fourni sauf accord séparé dans un contrat Entreprise

7. Mesures organisationnelles

  • Formation régulière de sensibilisation à la sécurité pour les employés
  • Accords de confidentialité signés par tous les employés
  • Procédures de réponse aux incidents et de notification des violations
  • Examens et évaluations de sécurité périodiques
  • Programme de gestion des risques liés aux fournisseurs pour les sous-traitants ultérieurs

Coordonnées

Pour les questions concernant ce DPA ou les pratiques de traitement des données, veuillez contacter :

Email: [email protected]

Support: [email protected]

Address: Zenovay, Suisse

Politiques associées:Politique de confidentialitéConditions d'utilisationPolitique de cookiesAccord de traitement des donnéesUtilisation acceptableSous-traitantsSécurité & ConfidentialitéMentions légales