Note additionnelle relative à la protection des données

Effective à compter du 14 décembre 2022

Pour consulter la version précédente, cliquez ici.

La présente Note additionnelle relative à la protection des données renvoie à, et fait partie intégrante des Conditions d'utilisation de NextRoll  et à tout note additionnelle relative aux Services applicable existant entre NextRoll, Inc. pour elle-même, en son nom ainsi qu'au nom de NextRoll Limited (ensemble, « NextRoll »), et le Client.  Elle prend effet au moment de l'acceptation des Conditions d'utilisation.

Lorsque la Législation sur la protection de données applicable protège les données à caractère personnel traitées en vertu du Contrat, les Clients peuvent conclure la présente Note additionnelle relative à la protection des données (qui incorpore les Clauses contractuelles types) : (i) pour protéger les données à caractère personnel conformément aux exigences de la Législation sur la protection des données applicable ; et (ii) pour fournir des garanties appropriées concernant les Transferts limités de données à caractère personnel en dehors des Territoires européens.

La présente Note additionnelle relative à la protection des données reflète l'accord des Parties en ce qui concerne les conditions régissant le traitement des données à caractère personnel en vertu du Contrat.

1. DÉFINITIONS

Dans cette Note additionnelle relative à la protection des données, les termes suivants ont les significations suivantes :

  • « responsable du traitement », « sous-traitant », « personne concernée », « données à caractère personnel » et « traitement » (ainsi que « traiter ») ont la signification qui leur est attribuée dans la Législation sur la protection des données applicable ;

  • « Données CRM du client » désigne les adresses e-mail claires (c'est-à-dire en texte brut, non hachées), les noms, les titres, l'historique des contacts, l'historique des commandes ou d'autres données CRM sur les Utilisateurs finaux qui sont fournies par le Client, obtenues par le biais d'intégrations tierces avec les Services, ou obtenues par NextRoll au nom du Client dans le cadre des Services. Les Données CRM du client n'incluent pas les Données de services ou les Rapports de performance. (Il s'agit de la définition énoncée dans les Conditions d'utilisation de NextRoll, les « Conditions d'utilisation ».)

  • « Données à caractère personnel du client » désigne les Données à caractère personnel contenues dans les Données CRM du client et les Données de services ;

  • « Législation sur la protection des données applicable » désigne l'ensemble des lois, règles et règlements applicables alors en vigueur concernant la confidentialité, le traitement, l'utilisation, la protection ou la sécurité des données, y compris, sans s'y limiter, le Règlement 2016/679 du  Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement général sur la protection des données) (le « RGPD de l'UE ») ; le RGPD de l'UE tel qu'inscrit dans le droit britannique en vertu de la section 3 de la loi britannique de 2018 le retrait du Royaume-Uni de l'Union européenne (le « RGPD britannique ») ; la directive de l'UE relative à la vie privée et aux communications électroniques (directive 2002/58/CE) ; la  loi californienne de 2018 sur la protection de la vie privée des consommateurs, telle que modifiée, et tout règlement promulgué s'y rapportant (« CCPA ») ; la loi de Virginie sur la protection des données des consommateurs (« VCDPA ») ; la loi du Colorado sur la protection de la vie privée et les règlements connexes (« CPA ») ; la loi de l'Utah sur la protection de la vie privée des consommateurs (« UCPA ») ; et la loi du Connecticut concernant la confidentialité des données personnelles et la surveillance en ligne (« CTDPA »).

  • « Données à caractère personnel » désigne les données constituant des « données personnelles », des « informations personnelles » ou des termes similaires tels que définis dans la Législation sur la protection des données applicable ;

  • « Transfert limité » désigne : (i) lorsque le RGPD de l'UE s'applique, un transfert de données à caractère personnel de l'Espace économique européen vers un pays n'appartenant pas à l'Espace économique européen qui ne fait pas l'objet d'une décision d'adéquation de la Commission européenne ; et (ii) lorsque le RGPD britannique s'applique, un transfert de données à caractère personnel du Royaume-Uni vers tout autre pays ne faisant pas l'objet d'une réglementation d'adéquation conformément à l'article 17A de la loi britannique de 2018 sur la protection des données ; et

  • « Données de services » désigne les données que NextRoll collecte auprès des Utilisateurs finaux à l'aide de la Technologie sur les Sites du client, y compris les données obtenues de tiers pendant la fourniture des Services. Les Données de services n'incluent pas les Données CRM du client. Si le Client s'inscrit au multi-écran ou utilise les Services de MSC de RollWorks autorisant NextRoll à hacher les adresses e-mail des Utilisateurs finaux à partir des Sites du client, ces adresses e-mail hachées des Utilisateurs finaux constitueront les Données de services. (Il s'agit de la définition énoncée dans les Conditions d'utilisation).

  • « Clauses contractuelles types » désigne : (i) lorsque le RGPD de l'UE s'applique, les clauses contractuelles annexées à la décision d'exécution 2021/914 de la Commission européenne du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu du règlement (UE) 2016/679 du Parlement européen et du Conseil (les « CCT de l'UE ») ; et (ii) lorsque le RGPD britannique s'applique, l'Addendum sur le transfert international de données du Commissaire à l'information du Royaume-Uni aux clauses contractuelles types de la Commission européenne, version B1.0, en vigueur le 21 mars 2022 (les « CCT britanniques »).

Tout autre terme commençant par une majuscule qui n'est pas défini dans la présente Note additionnelle relative à la protection des données a la signification qui lui est attribuée dans le Contrat.

2. RELATION DES PARTIES

Le Client (le « Responsable du traitement ») désigne NextRoll en tant que sous-traitant pour traiter les Données CRM du client, comme décrit plus en détail à l'Annexe I.

Chaque partie est un responsable du traitement des données comprenant les Données de services dont elle a la charge ou qu'elle contrôle, à condition que ce qui précède ne vise pas à altérer, modifier ou limiter (a) les obligations de l'une ou l'autre partie en ce qui concerne les avis, autorisations et consentements liés auxdites Données de services, comme cela peut être énoncé dans les Conditions d'utilisation, (b) les droits d'accès, d'utilisation, de possession ou de modification desdites Données de services, tels qu'ils peuvent également être énoncés dans les Conditions d'utilisation, ou (c) les obligations de contrôle conjoint qui peuvent être imposées par la loi, telles que l'obtention du consentement afin de respecter la Législation sur la protection des données applicable.

3. DONNÉES INTERDITES

Le Client ne divulgue aucune catégorie particulière de données à caractère personnel (comme il est défini dans la Législation sur la protection des données applicable) à NextRoll aux fins du traitement.

4. LIMITATION DE LA FINALITÉ

NextRoll traite les Données CRM du client en tant que sous-traitant aux fins décrites à l'Annexe I afin d'exécuter ses obligations en vertu du Contrat, en conformité avec la Législation sur la protection des données applicable et en stricte conformité avec les instructions documentées du Client (la « Finalité autorisée »), sauf exigence contraire d'une ou plusieurs lois non incompatibles avec la Législation sur la protection des données applicable. En aucun cas, NextRoll ne traite les Données CRM du client à ses propres fins ou à celles d'un tiers. NextRoll informe immédiatement le Client si elle apprend que les instructions de traitement du Client enfreignent la Législation sur la protection des données applicable.

5. TRANSFERTS LIMITÉS

5.1. Les parties conviennent que lorsque le transfert des Données à caractère personnel du client du Client à NextRoll est un Transfert limité, il est soumis aux Clauses contractuelles types comme énoncé à la présente clause 5.

5.2. En ce qui concerne les Données de services qui sont protégées par le RGPD de l'UE, les CCT de l'UE s'appliqueront, complétées comme suit :

  • Le module 1 s'appliquera ;
  • À la clause 7, la clause d'adhésion facultative s'appliquera ;
  • À la clause 17, l'option 1 s'appliquera et les CCT de l'UE seront régis par le droit irlandais ;
  • À la clause 18, paragraphe b), les litiges seront tranchés par les juridictions d'Irlande ;
  • L'annexe I des CCT de l'UE est réputée complétée par les informations figurant à l'Annexe I de la présente Note additionnelle relative à la protection des données ; et
  • L'annexe II des CCT de l'UE est réputée complétée par les informations figurant à l'Annexe II de la présente Note additionnelle relative à la protection des données.

5.3. En ce qui concerne les Données CRM du client qui sont protégées par le RGPD de l'UE, les CCT de l'UE s'appliqueront, complétées comme suit :

  • Le module 2 s'appliquera ;
  • À la clause 7, la clause d'adhésion facultative s'appliquera ;
  • À la clause 9, l'option 2 s'appliquera et le délai de notification préalable de changements relatifs aux sous-traitants ultérieurs sera celui stipulé à la clause 8.3 de la présente Note additionnelle relative à la protection des données ;
  • À la clause 11, la langue facultative ne s'appliquera pas ;
  • À la clause 17, l'option 1 s'appliquera et les CCT de l'UE seront régis par le droit irlandais ;
  • À la clause 18, paragraphe b), les litiges seront tranchés par les juridictions d'Irlande ;
  • L'annexe I des CCT de l'UE est réputée complétée par les informations figurant à l'Annexe I de la présente Note additionnelle relative à la protection des données ; et
  • L'annexe II des CCT de l'UE est réputée complétée par les informations figurant à l'Annexe II de la présente Note additionnelle relative à la protection des données.

5.4. En relation avec les Données CRM et de service du Client et les Données de services qui sont protégées par le RGPD britannique, les CCT britanniques s'appliqueront et seront réputées exécutées entre le Client et NextRoll, avec les Tableaux des CCT britanniques complétés comme suit :

  • Tableau 1 : les informations détaillées relatives aux Parties seront celles stipulées à l'Annexe I.A de la présente Note additionnelle relative à la protection des données, comme celles de leurs sociétés affiliées dans la mesure où celles-ci sont impliquées dans un tel transfert. Les contacts clés pour chaque Partie sont les contacts indiqués à l'Annexe I.A de la présente Note additionnelle relative à la protection des données.
  • Tableau 2 : les Clauses contractuelles types approuvées par l'UE mentionnées dans le tableau 2 sont les CCT de l'UE, complétées comme indiqué ci-dessus dans les clauses 5.2 (pour les transferts concernant des Données de services) ou 5.3 (pour les transferts impliquant des Données CRM du client) de la présente Note additionnelle relative à la protection des données, selon le type de données transférées.
  • Tableau 3 : les Annexes IA, IB et II figurent aux Annexes I et II de la présente Note additionnelle relative à la protection des données. L'Annexe III n'est pas applicable.
  • Tableau 4 : NextRoll peut mettre fin aux CCT britanniques conformément à la section 19 des CCT britanniques.

5.5. Si une contradiction, directe ou indirecte, devait être constatée entre une clause de la présente Note additionnelle relative à la protection des données ou du Contrat et les Clauses contractuelles types, ces dernières prévaudront.

6. CONFIDENTIALITÉ DU TRAITEMENT

NextRoll s'assure que toute personne autorisée à traiter les Données à caractère personnel du Client (dont le personnel, les agents et les sous-traitants ultérieurs de NextRoll) (une « Personne autorisée  ») est soumise à une obligation stricte de confidentialité (qu'il s'agisse d'une obligation contractuelle ou légale) et n'autorise aucune personne non soumise à cette obligation de confidentialité à traiter les Données à caractère personnel du Client. NextRoll s'assure que toutes les Personnes autorisées traitent les Données à caractère personnel du Client uniquement dans la mesure nécessaire à la Finalité autorisée.

7. SÉCURITÉ

NextRoll met en œuvre les mesures techniques et organisationnelles appropriées pour protéger les Données à caractère personnel du Client contre une destruction, perte ou altération accidentelle ou illégale, ou contre une divulgation ou un accès non autorisé (un « Incident de sécurité »). Ces mesures tiennent compte de l'état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque (variable en matière de probabilité et de gravité) pour les droits et libertés des personnes physiques.

Au minimum, ces mesures comprennent les mesures visées à l'Annexe II.

8. SOUS-TRAITANCE ULTÉRIEURE

8.1. La présente clause 8 s'applique uniquement au traitement des Données CRM du client par NextRoll, et non au traitement des Données de services que NextRoll effectue.

8.2. Le Client consent à ce que NextRoll fasse appel aux sous-traitants ultérieurs répertoriés à l'URL https://www.nextroll.com/terms/data-protection/subprocessors (la « Page des sous-traitants ultérieurs ») pour traiter les Données CRM du client.

8.3. Le Client consent à ce que NextRoll engage des sous-traitants ultérieurs tiers supplémentaires ou de remplacement pour traiter les Données CRM du client à condition que : (i) NextRoll mette à jour sa Page des sous-traitants ultérieurs en précisant tout changement de sous-traitant ultérieur proposé au moins 14 jours avant la nomination ou le remplacement d'un sous-traitant ultérieur (le Client peut s'abonner au flux RSS de la Page des sous-traitants ultérieurs pour être automatiquement informé de ces changements) ; (ii) NextRoll impose à tout sous-traitant ultérieur nommé des conditions de protection des données qui, en substance, protègent aussi bien les Données CRM du client que celles de la présente Note additionnelle relative à la protection des données ; et (iii) NextRoll demeure entièrement responsable de toute violation de cette clause causée par un acte, une erreur ou une omission de son sous-traitant ultérieur.

8.4. Si le Client s'oppose à la nomination d'un sous-traitant ultérieur supplémentaire ou de remplacement pour des motifs raisonnables liés à la protection des Données CRM du client, NextRoll ne nommera pas le sous-traitant ultérieur ou, si cela n'est pas possible, le Client pourra choisir de suspendre ou de résilier le Service affecté (sans préjudice des frais encourus par le Client avant cette suspension ou résiliation).

9. ASSISTANCE AU CLIENT

9.1. NextRoll aide le Client à respecter les obligations de ce-dernier en vertu de la Législation sur la protection des données applicable, dans la mesure requise par celle-ci.

9.2. Si NextRoll croit ou apprend que son traitement des Données CRM du client est susceptible de présenter un risque élevé pour les droits à la protection des données et les libertés des personnes concernées, NextRoll en informera rapidement le Client et lui fournira toute l'assistance raisonnable et opportune dont il pourrait avoir besoin pour effectuer une analyse d'impact relative à la protection des données conformément à la Législation sur la protection des données applicable, y compris, si nécessaire, aider le Client à consulter son autorité compétente en matière de protection des données.

9.3. Demandes des personnes concernées.

  • En ce qui concerne les Données CRM du client, NextRoll fournit toute l'assistance raisonnable et opportune au Client pour lui permettre de répondre à : (i) toute demande d'une personne concernée pour exercer l'un de ses droits en vertu de la Législation sur la protection des données applicable (dont ses droits d'accès, de rectification, d'opposition, d'effacement et de portabilité des données, le cas échéant) en rapport avec les Données CRM du client ; et (ii) toute autre correspondance, demande ou réclamation d'une personne concernée, d'un organisme de surveillance ou d'un autre tiers en lien avec le traitement des Données CRM du client. Si cette demande, correspondance ou réclamation s'adresse directement à NextRoll, cette dernière en informera rapidement le Client en lui fournissant tous les détails.
  • En ce qui concerne les Données de services, NextRoll répond aux demandes des personnes concernées conformément à la Législation sur la protection des données applicable et, le cas échéant, le Client fournit une assistance à NextRoll dans le cadre de ces réponses.

10. INCIDENTS DE SÉCURITÉ

Dès qu'elle a connaissance d'un Incident de sécurité confirmé, NextRoll en informe le Client sans délai excessif et lui fournit toutes les informations et la coopération opportunes dont il pourrait avoir besoin pour remplir ses obligations de signalement de violation de données en vertu de (et dans les délais requis par) la Législation sur la protection des données applicable. NextRoll prend également toutes les mesures nécessaires pour corriger ou atténuer les effets d'un Incident de sécurité confirmé et tient le Client informé de toutes les évolutions liées à cet Incident de sécurité confirmé.

11. SUPPRESSION OU RESTITUTION DES DONNÉES

À la résiliation ou à l'expiration du Contrat, NextRoll détruit toutes les Données CRM du client (y compris toutes les copies de ces dernières) en sa possession ou sous son contrôle (y compris les Données CRM du client ayant fait l'objet d'une sous-traitance ultérieure à un tiers pour leur traitement) à la demande du Client ou conformément à la politique de conservation des données de NextRoll définie à l'adresse https://www.nextroll.com/privacy. Cette exigence ne s'applique pas dans la mesure où NextRoll est tenue par une loi applicable de conserver tout ou partie des Données CRM du client, auquel cas NextRoll isolera et protégera les Données CRM du client de tout traitement ultérieur, sauf dans la mesure requise par cette loi jusqu'à ce que la suppression soit possible.

NextRoll peut conserver les Données de services conformément à ses politiques de conservation et de suppression.

12. AUDIT

12.1. En ce qui concerne le traitement des Données de services par NextRoll, NextRoll met à la disposition du Client, à la demande de celui-ci, une document suffisamment complète pour démontrer la conformité de NextRoll à la présente Note additionnelle relative à la protection des données et/ou à la Législation sur la protection des données applicable.

12.2. En ce qui concerne le traitement par NextRoll des Données CRM du client, NextRoll autorise le Client (ou les auditeurs tiers qu'il a désignés) à vérifier que NextRoll respecte la présente Note additionnelle relative à la protection des données, et met à la disposition du Client l'ensemble des informations, des systèmes et du personnel nécessaires pour que le Client (ou ses auditeurs tiers) puisse effectuer cet audit. NextRoll reconnaît que le Client (ou ses auditeurs tiers) peut pénétrer dans les locaux qu'elle détient ou contrôle uniquement afin d'effectuer cet audit, à condition que le Client l'informe de son intention de procéder à cet audit moyennant un préavis raisonnable, qu'il effectue cet audit pendant les horaires de travail normaux et qu'il prenne toutes les mesures raisonnables pour éviter de perturber inutilement les activités de NextRoll. Le Client n'exercera pas ses droits d'audit (y compris en envoyant des questions écrites à NextRoll à cet effet) plus d'une fois tous les douze (12) mois civils, sauf (i) sur les instructions d'une autorité compétente en matière de protection des données ; ou (ii) si le Client estime qu'un audit supplémentaire est nécessaire en raison d'un Incident de sécurité confirmé subi par NextRoll. Le Client est seul responsable des coûts de cet audit et NextRoll est autorisée à facturer au Client l'assistance qu'elle fournit dans le cadre de cet audit, aux tarifs journaliers alors en vigueur pour ses services professionnels.

12.3. Le Client reconnaît que NextRoll est régulièrement auditée selon les normes SOC 2 par des auditeurs tiers indépendants. Sur demande, NextRoll remet au Client une copie de la synthèse de son ou ses rapports d'audit, lesquels sont soumis aux clauses de confidentialité du Contrat.

12.4. Si et dans la mesure où il choisit d'effectuer un audit concernant le traitement des Données CRM du client de NextRoll en vertu de la clause 8.9 du module 2 des Clauses contractuelles types, à ce que cet audit soit effectué conformément aux exigences des présentes clauses 12.2 à 12.4.

ANNEXE I

DESCRIPTION DU TRAITEMENT DES DONNÉES

La présente Annexe I fait partie de la Note additionnelle relative à la protection des données et décrit le traitement que NextRoll effectuera pour le compte du Client.

A. Liste des parties

Client(s) / exportateur(s) de données :

Nom :
Le Client qui a conclu le Contrat avec NextRoll
Adresse :
L'adresse que le Client a fournie lorsqu'il s'est inscrit pour utiliser la plateforme de marketing numérique de NextRoll
Nom, fonction et coordonnées de la personne de contact :
Les coordonnées que le Client a fournies lorsqu'il s'est inscrit pour utiliser la plateforme de marketing numérique de NextRoll
Activités en rapport avec les données transférées au titre des présentes clauses :
La réception des services de marketing numérique fournis par NextRoll en vertu du Contrat.
Signature et date :
La présente Note additionnelle relative à la protection des données (y compris les Clauses contractuelles types) est réputée exécutée à l'acceptation du Contrat par le Client.
Rôle (responsable du traitement/sous-traitant) :
Responsable du traitement (pour les Données CRM du client)
Responsable du traitement (pour les Données de services)

NextRoll / importateur(s) de données :

Nom :
NextRoll, Inc.
Adresse :
201 California St Floor 5, Suite 500, San Francisco, CA 94111
Nom, fonction et coordonnées de la personne de contact :
Équipe confidentialité de NextRoll : privacy@nextroll.com
Activités en rapport avec les données transférées au titre des présentes clauses :
La fourniture des services de marketing numérique au Client en vertu du Contrat
Signature et date :
La présente Note additionnelle relative à la protection des données (y compris les Clauses contractuelles types) est réputée exécutée à l'acceptation du Contrat par le Client.
Rôle (responsable du traitement/sous-traitant) :
Sous-traitant (pour les Données CRM du client)
Responsable du traitement (pour les Données de services)

В. Description du transfert

Catégories de personnes concernées dont les données à caractère personnelles sont transférées :
  • Personnes concernées qui sont des clients potentiels et existants du Client (les « Personnes concernées clientes »)
  • Personnes concernées qui sont des employés ou des membres du personnel du Client (les « Personnes concernées employées »)
  • Personnes concernées qui consultent les sites Web du Client sur lesquels le pixel NextRoll est placé (« Utilisateurs finaux du Client »)
Catégories de données à caractère personnelles transférées :
  • Personnes concernées clientes : coordonnées et toute autre information de contact associée (par exemple, adresse e-mail, nom, adresse, numéro de téléphone, nom de l'entreprise, titre du poste) sur les Utilisateurs finaux qui est fournie par le Client (en tant qu'exportateur de données) à NextRoll (en tant qu'importateur de données), obtenue par le biais d'intégrations tierces avec les services autorisés par le Client, ou obtenue par NextRoll au nom du Client en relation avec les services.
  • Personnes concernées employées : adresse e-mail et adresse IP.
  • Utilisateurs finaux du Client : informations sur l'appareil et le comportement de navigation sur les sites des Clients collectées par le pixel NextRoll (par exemple, cookies, informations sur l'appareil, adresse IP, données de localisation non précises, données de navigateur, données de pixel publicitaire) et, si le Client l'autorise, les adresses e-mail hachées saisies sur le Site du Client par les Utilisateurs finaux du Client.
Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, telles que la limitation stricte des finalités, les restrictions d'accès (notamment l'accès réservé au personnel ayant suivi une formation spécialisée), la tenue d'un registre d'accès aux données, les restrictions applicables aux transferts ultérieurs ou les mesures de sécurité supplémentaires :
  • Aucune
Fréquence du transfert (indiquez, par exemple, si les données sont transférées sur une base ponctuelle ou continue) :
  • Base continue pendant toute la durée du Contrat
Nature du traitement :
  • La fourniture des services de marketing numérique en vertu du Contrat
Finalité(s) du transfert et du traitement ultérieur des données :

Les services de marketing numérique fournis par NextRoll comprendront le traitement des Données CRM du client au nom de celui-ci aux fins suivantes :

  • envoi d'e-mails ciblés aux Personnes concernées clientes à la demande du Client ;
  • association des Données à caractère personnel des Personnes concernées clientes avec les Données de services de NextRoll et les données en ligne des partenaires publicitaires tiers afin de reconnaître les Personnes concernées clientes lorsqu'elles visitent les sites Web des publishers tiers en vue d'enchérir sur, et de leur afficher, des publicités ciblées pour le compte du Client, et de compléter les Données CRM du client avec un comportement de navigation identifié sur les sites des Clients et les interactions avec le marketing direct des Clients.
  • présentation de rapports au Client sur l'impact des campagnes publicitaires par e-mail et en ligne auprès des Personnes concernées clientes ;
  • utilisation des adresses e-mail appartenant aux Personnes concernées employées comme informations de connexion pour accéder à la plateforme de marketing numérique de NextRoll.

Les Données de services peuvent également être traitées par NextRoll en sa qualité de responsable du traitement pour fournir et améliorer ses services pour tous les clients, y compris pour le ciblage publicitaire, les rapports, les rapports d'analyse et les analyses (dans le but de créer des Rapports de performance) et la sélection de publicités.

Durée de conservation des données à caractère personnel ou, lorsque ce n'est pas possible, critères utilisés pour déterminer cette durée :
  • Si le Client ou NextRoll résilie explicitement les Services NextRoll conformément au Contrat, NextRoll supprimera les Données CRM du client sous 90 jours à partir de la date de résiliation.
  • Si le compte d'un Client est suspendu depuis au moins 90 jours, ses Données CRM seront supprimées.
  • Si un Client ne s'est pas connecté à son compte NextRoll au cours des 365 derniers jours, qu'il n'a utilisé aucun produit au cours des 30 derniers jours, et qu'aucune dépense publicitaire n'a été effectuée au cours des 30 derniers jours, les Données CRM du client seront supprimées au 366e jour d'inactivité sur le compte.
  • En tant que responsable du traitement des Données de services, NextRoll conservera lesdites données conformément à ses politiques de conservation des données.
Pour les transferts à des sous-traitants (ultérieurs), veuillez également préciser l'objet, la nature et la durée du traitement :
L'objet, la nature et la durée du traitement sont tels qu'indiqués ci-dessus et dans le Contrat.

C. Autorité de contrôle compétente

Indiquez la ou les autorités de contrôle compétentes (par exemple, conformément à la clause 13 des CCT)
L'autorité de contrôle compétente est déterminée conformément à la clause 13 des Clauses Contractuelles Types.

ANNEXE II

MESURES TECHNIQUES ET ORGANISATIONNELLES LIÉES À LA SÉCURITÉ

Description des mesures techniques et organisationnelles mises en œuvre par le ou les sous-traitants/importateurs de données (y compris toute certification pertinente) pour garantir un niveau de sécurité approprié, compte tenu de la nature, de la portée, du contexte et de la finalité du traitement, ainsi que des risques pour les droits et libertés des personnes physiques :

 
Mesurer
Description
1
Mesures de pseudonymisation et de chiffrement des données à caractère personnel

Au cours du processus de conception, NextRoll vise à réduire au minimum la collecte et l'utilisation des Données à caractère personnel du Client dans la mesure du possible.

Si les Données à caractère personnel du Client sont utilisées, elles seront pseudonymisées par agrégation, anonymisation ou hachage, sauf si les données brutes sont requises à des fins commerciales légitimes. Si les données réelles sont requises, elles seront chiffrées selon les normes de chiffrement en vigueur.

2
Mesures visant à garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement
Voir point 4 ci-dessous
3
Mesures garantissant de disposer de moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique

Les systèmes de NextRoll sont conçus pour être hautement disponibles et tirent parti d'architectures évolutives et distribuées couvrant plusieurs zones géographiques dans AWS.

NextRoll maintient la surveillance des systèmes et un centre d'exploitation 24 h/24 et 7 j/7 pour gérer les problèmes opérationnels.

NextRoll a créé et teste régulièrement des plans de reprise après sinistre. Ces plans précisent les méthodes de rétablissement des services, les objectifs en matière de délais et de points de reprise, ainsi que les processus de traitement et de signalement des incidents en lien avec des données à caractère personnel.

4
Procédures visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles afin de garantir la sécurité du traitement

NextRoll effectue chaque année un audit SOC 2 de type 2.

NextRoll maintient un programme de conformité continue dans le cadre duquel les contrôles et les procédures de sécurité sont automatiquement suivis, et les anomalies signalées en vue de leur correction.

En outre, NextRoll effectue des analyses de vulnérabilité, maintient un programme permanent de primes à la faille détectée et effectue un test d'intrusion en faisant appel à un tiers tous les six mois. Des outils, notamment de gestion de la posture de sécurité cloud (CSPM) et de gestion des actifs (CMDB), effectuent continuellement de la découverte d'actifs, évaluent leur posture et priorisent les conclusions en fonction du risque qu'elles posent.

5
Mesures d'identification et d'autorisation de l'utilisateur

Pour chacune des applications AdRoll et RollWorks, NextRoll maintient un service central d'authentification et d'autorisation qui prend en charge l'authentification unique (SSO) et l'authentification multifactorielle (AMF). Des contrôles d'accès sont appliqués en fonction du rôle attribué à l'utilisateur dans le domaine applicatif.

Pour les applications professionnelles de NextRoll, dont l'accès à distance, NextRoll utilise une solution SSO tierce en mode SaaS, qui impose l'AMF à tous les utilisateurs de NextRoll. Il existe également des contrôles d'accès basés sur les rôles (RBAC).

6
Mesures de protection des données pendant la transmission
Toutes les connexions aux services orientés clients de NextRoll sur les réseaux publics sont chiffrées à l'aide du protocole TLS 1.2 ou supérieur avec un ensemble d'algorithmes cryptographiques validé. L'outil de CSPM permet un suivi continu de l'exécution et signale les écarts.
7
Mesures de protection des données pendant le stockage
Les Données à caractère personnel du Client sont chiffrées selon les normes de chiffrement contemporaines définies dans les normes cryptographiques de NextRoll. L'outil de CSPM permet un suivi continu de l'exécution et signale les écarts. L'accès aux magasins de données est basé sur les rôles, limité aux cas d'utilisation validés et régulièrement revu.
8
Mesures visant à garantir la sécurité physique des lieux où les données à caractère personnel sont traitées
Le traitement des données de NextRoll est hébergé par AWS. La sécurité physique est donc assurée dans le cadre de ce service par ce fournisseur.
9
Mesures visant à garantir la journalisation des événements

Les applications, les systèmes et les services réseau de NextRoll créent une journalisation détaillée qui comprend, sans s'y limiter : la réussite et l'échec de la connexion, la création d'un utilisateur, la modification des autorisations, l'accès aux données, les transactions frauduleuses et les tentatives d'attaque.

Les événements sont transmis à un dépôt central en écriture seule et analysés en vue de détecter des problèmes de sécurité potentiels. La solution de gestion des informations et des événements de sécurité (GIES) normalise les journaux et applique des renseignements sur les menaces pour identifier les indicateurs de compromission (IOC).

NextRoll maintient un certain nombre de produits de sécurité qui fournissent des alertes de sécurité spécifiques basées sur des règles de surveillance conditionnelle et d'anomalies. Celles-ci sont fournies et constamment mises à jour par des prestataires, conjointement avec les règles développées en interne.

10
Mesures visant à garantir la configuration du système, notamment la configuration par défaut

NextRoll stocke et déploie des configurations système standard. Ces images sont analysées à l'aide d'outils, qui déterminent que les systèmes sont configurés selon les meilleures pratiques recommandées et ne contiennent pas de graves vulnérabilités.

Un outil de suivi de l'intégrité des fichiers (FIM) a été mis en place et signale les changements apportés au CSPM. Conjointement avec la solution CMDB, NextRoll peut détecter les écarts par rapport aux configurations standard.

11
Mesures pour la gouvernance et la gestion de l’informatique interne et de la sécurité informatique

NextRoll dispose d'un programme de sécurité global qui gère les risques posés par les utilisateurs, les données, les systèmes et les fournisseurs tout au long du cycle de vie. Cela comprend les mesures suivantes :

  • Les utilisateurs sont créés avec des autorisations appropriées à leur rôle, signent des contrats de confidentialité et reçoivent une formation sur les politiques et meilleures pratiques en matière de confidentialité et de sécurité. L'accès des utilisateurs est lié à leur situation d'emploi, de sorte que leurs comptes et droits sont révoqués automatiquement à la résiliation de leur contrat de travail.
  • Les utilisateurs sont tenus de recourir à l'AMF et à des technologies d'accès à distance sécurisé pour accéder aux ressources, le principe étant la vérification systématique.
  • Les appareils disposent de contrôles et de versions standardisés.
  • Les appareils sont protégés contre les logiciels malveillants par une solution d'entreprise qui est gérée de manière centralisée et intégrée dans les moyens de surveillance continue de la sécurité.
  • Les appareils extérieurs à l'entreprise (BYOD) ont un accès conditionnel aux ressources basé sur l'architecture de vérification systématique, en fonction de leur score de risque et du score de risque minimal nécessaire pour accéder aux ressources.
  • Les fournisseurs sont vérifiés afin de garantir qu'ils ne créent pas de risques inacceptables.
  • Une norme de sécurité des terminaux d'entreprise est maintenue et définit la version minimale des logiciels cruciaux. Les systèmes sont mis à jour régulièrement.
  • Les autorisations sont examinées et supprimées régulièrement.
  • Les systèmes sont nettoyés à la fin de leur durée de vie.
12
Mesures de certification/assurance des processus et des produits

NextRoll fonde son programme de sécurité sur le NIST CSF et l'utilise pour rendre compte de la situation au comité de sécurité et de conformité.

NextRoll vérifie ses processus et produits, et effectue un audit annuel SOC 2 de type 2 en faisant appel à un auditeur externe.

Les outils de CSPM et de CMDB fournissent également des repères fondés sur les meilleures pratiques et les cadres de sécurité reconnus.

13
Mesures visant à garantir la minimisation des données
NextRoll met en œuvre la minimisation des données en tant que norme pendant son processus de conception. Toutes les nouvelles utilisations des Données à caractère personnel du Client sont examinées et validées selon cette exigence.
14
Mesures visant à garantir la qualité des données
NextRoll traite les Données à caractère personnel du Client que ce dernier lui fournit. Le Client est donc tenu de s'assurer de l'exactitude des Données à caractère personnel du Client.
15
Mesures visant à garantir une conservation limitée des données
NextRoll a mis en place des politiques de conservation des données basées sur les types de données collectés, qui sont automatiquement appliquées à l'aide de paramètres de durée de vie (TTL) dans les magasins de données.
16
Mesures visant à garantir la reddition de comptes
NextRoll a mis en place une structure de gouvernance qui comprend un certain nombre de mesures de reddition de comptes, dont la nomination d'un délégué à la protection des données (dont les coordonnées figurent dans notre Politique de confidentialité : https://nextroll.com/fr-FR/privacy), la mise en œuvre de la protection intégrée de la vie privée qui passe par la réalisation d'analyses d'impact relatives à la confidentialité des données selon les besoins, et un comité de sécurité et de conformité.
17
Mesures visant à permettre la portabilité des données et à garantir l'effacement
NextRoll dispose d'un processus automatique de suppression des Données à caractère personnel du Client sur demande, dans le délai requis par la Législation sur la protection des données applicable, et permet le téléchargement des Données à caractère personnel du Client pour les transmettre à d'autres prestataires de services.

Pour les transferts vers des sous-traitants (ultérieurs), veuillez également décrire les mesures techniques et organisationnelles que le sous-traitant (ultérieur) doit prendre pour être en mesure d'aider le Client (et, pour les transferts d'un sous-traitant à un sous-traitant ultérieur, l'exportateur de données).

Mesurer
Description
Mesures de protection des données en libre-service
La plateforme de marketing numérique de NextRoll et la page Web consacrée aux demandes de confidentialité (/privacy/requests) permettent au Client d'accéder aux Données à caractère personnel du Client, de les corriger ou de les supprimer si nécessaire pour répondre à toute demande de protection des données émanant de personnes concernées.