Commencez votre essai gratuit
Se connecter

DPA

Dernière mise à jour le 23 juillet 2024

Cet accord sur le traitement des données (" DPA") est incorporé dans chaque accord entre Articulate Global, LLC (avec ses affiliés, "Articulate") et le client ("Client", "vous", "votre") pour la fourniture par Articulate des services, tels que définis ci-dessous. Le client conclut le présent DPA en son nom et au nom de toute personne affiliée qu'il autorise à utiliser les services conformément à l'accord ("Authorized Affiliate"). Articulate et le client sont chacun désignés individuellement comme une " partie" et collectivement comme les "parties" .

1. Définitions

Aux fins du présent DPA, les termes commençant par une majuscule ont la signification indiquée ci-dessous. Les autres termes commençant par une majuscule ont la signification qui leur est donnée dans l'accord.

1.1 "Affilié" désigne toute entité qui, directement ou indirectement, contrôle, est contrôlée par ou est sous contrôle commun avec une partie à ce DPA.

1.2 "Accord" désigne le(s) accord(s) sous-jacent(s) conclu(s) par écrit entre Articulate et le client pour la fourniture de services par Articulate au client.

1.3 "Loi applicable" désigne toutes les lois, réglementations et autres exigences légales applicables soit (i) à Articulate dans son rôle de fournisseur de services, soit (ii) à vous. Cela peut inclure, par exemple, le Règlement général sur la protection des données (Règlement (UE) 2016/679) (« RGPD») ; les exigences équivalentes au Royaume-Uni, y compris le UK General Data Protection Regulation et le Data Protection Act 2018Loi britannique sur la protection des données ») ; le California Consumer Privacy Act et ses règlements associés (« CCPA »), ainsi que le California Privacy Rights Act et ses règlements d'application lorsqu'ils entreront en vigueur (« CPRA ») ; la Loi sur la protection des renseignements personnels et les documents électroniques, L.C. 2000, ch.5 (« LPRPDE ») ; la Privacy Act 1988 d’Australie et les Principes australiens de confidentialité (« Privacy Act ») ; le Virginia Consumer Data Protection Act lorsqu’il entrera en vigueur (« VCDPA ») ; le Utah Consumer Privacy Act lorsqu’il entrera en vigueur (« UCPA ») ; ainsi que le Colorado Privacy Act et ses règlements associés lorsqu’ils entreront en vigueur (« CPA »). Chaque partie est uniquement responsable du respect de la législation applicable qui lui est propre.

1.4 "Responsable du traitement" désigne la personne physique ou morale, l'autorité publique, l'agence ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données à caractère personnel.

1.5 "Contenu du Client" (ou "Votre Contenu") fait référence à tout le contenu et à toute l'information que le client, un affilié autorisé ou un utilisateur télécharge, importe ou développe dans ou vers les services, ou qu'Articulate reçoit autrement par ou à travers les services de la part du client, d'un affilié autorisé ou d'un utilisateur.

1.6 "Personne concernée" désigne une personne physique identifiée ou identifiable. Lorsque le CCPA ou le CPRA s’appliquent, le terme inclut également un foyer identifié ou identifiable.

1.7 "Données personnelles" signifie (i) toute information relative à une personne identifiée ou identifiable, au sens du GDPR (indépendamment du fait que le RGPD s'applique ou non) ; (ii) "données personnelles" au sens de la VCDPA et de la CPA (indépendamment du fait qu'elles s'appliquent ou non) ; (iii) "informations personnelles" au sens de la PIPEDA, de la CCPA, de la CPRA et du Privacy Act (indépendamment du fait qu'elles s'appliquent ou non) ; et (iv) tout terme analogue tel que défini dans la loi applicable.

1.8 "Violation de données à caractère personnel" désigne la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé, accidentels ou illicites, à des données personnelles.

1.9 "Processus" et "Traitement" désignent toute opération ou tout ensemble d’opérations effectuées sur des données personnelles ou des ensembles de données personnelles, que ce soit par des moyens automatisés ou non, telles que la collecte, l’enregistrement, l’organisation, la création, la structuration, le stockage, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou la combinaison, la limitation, l’effacement ou la destruction.

1.10 "Sous-traitant" désigne une personne physique ou morale, une autorité publique, un organisme ou tout autre entité qui traite des données personnelles pour le compte du responsable du traitement.

1.11 "Services" désigne l'offre de logiciel en tant que service d'Articulate telle que définie dans un devis (c'est-à-dire Articulate 360, Rise, ou les deux), ou d'autres services identifiés dans un devis.

1.12 "Clauses contractuelles types" et "2021 Les CCN" désignent les clauses émises en vertu de la décision d'exécution (UE) 2021/914 de la commission du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en application du règlement (UE) 2016/679 du parlement européen et du conseil, disponible à l'adresse suivante : https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj. et complété comme décrit dans la section "Transferts de données" ci-dessous.

1.13 "Sous-traitant" désigne tout sous-traitant engagé par Articulate pour le traitement des données à caractère personnel.

1.14 "Trust & Compliance Documentation" means the documentation regarding privacy, data security, and Subprocessor information applicable to the specific Services purchased by Customer, as may be updated periodically, and accessible via Articulate's website at https://cms.articulate.zone/trust/ and https://cms.articulate.zone/trust/gdpr/

1.15 "UK SCC Addendum" désigne l'addendum sur le transfert international de données aux clauses contractuelles types de la commission européenne (disponible à la date d'entrée en vigueur à l'adresse https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/international-transfers/international-data-transfer-agreement-and-guidance/), complété comme indiqué dans la section "Transferts de données" ci-dessous.

1.16 "Utilisateur" désigne une ou plusieurs personnes que le client autorise à accéder aux services et à les utiliser.

2. Champ d'application et relations entre les parties

2.1 Le présent DPA ne s'applique qu'aux données à caractère personnel contenues dans le contenu du client.

2.2 Pour ces données personnelles, vous êtes (ou vous déclarez agir avec pleine autorité au nom de) le responsable du traitement, et Articulate est votre sous-traitant.

2.3 Si vous agissez au nom d’un responsable du traitement tiers (ou d’intermédiaires tels que d’autres sous-traitants du responsable du traitement), dans la mesure autorisée par la loi :

2.3.1 Vous serez le seul point de contact pour Articulate en ce qui concerne ces tierces parties ;

2.3.2 Articulate n'a pas besoin d'interagir directement avec une telle tierce partie pour les questions relatives à ce DPA ; et

2.3.3 Dans les cas où Articulate serait autrement tenu de fournir des informations, une assistance, une coopération ou toute autre prestation à ce tiers, Articulate pourra les fournir uniquement à vous ; mais

2.3.4 Articulate a le droit de suivre les instructions de ce tiers en ce qui concerne les données personnelles de ce tiers au lieu de vos instructions si Articulate croit raisonnablement que cela est légalement requis dans les circonstances.

3. Vos instructions pour Articulate

3.1 Articulate traitera les données personnelles uniquement de la manière décrite dans l'accord, à moins que la loi applicable ne l'oblige à faire autrement. Dans ce cas, Articulate vous informera de cette exigence légale avant le traitement, à moins que la loi ne l'interdise.

3.2 Les détails du traitement sont exposés dans l'annexe 1 du présent DPA.

3.3 L’Accord, y compris le présent addendum relatif à la protection des données (DPA), ainsi que votre configuration des paramètres ou options dans les Services, constituent vos instructions complètes et définitives à Articulate concernant le traitement des données personnelles, y compris aux fins des clauses contractuelles types, si elles s’appliquent.

3.4 Vous vous conformerez à la loi applicable à votre utilisation des services, y compris en obtenant tous les consentements et en fournissant tous les avis requis par la loi applicable pour qu'Articulate puisse fournir les services. Vous vous assurerez que vous avez le droit de transférer les données personnelles à Articulate afin qu'Articulate et ses sous-traitants puissent légalement traiter les données personnelles conformément à ce RGPD.

3.5 Vous ne devez pas demander à Articulate de traiter des données personnelles en violation de la loi applicable. Articulate vous informera rapidement si, de l'avis d'Articulate, une instruction de votre part enfreint la loi applicable.

4. Limitation de l'utilisation des données

4.1 Articulate ne "vendra" pas les données personnelles telles qu'elles sont définies dans le CCPA (que le CCPA s'applique ou non), le VCDPA ou le CPA, et ne "partagera" pas les données personnelles au sens du CPRA (que le CPRA s'applique ou non). Articulate ne conservera pas, n'utilisera pas et ne divulguera pas les données personnelles en dehors de la relation commerciale directe entre le client et Articulate.

4.2 Dans le cas d'une obligation légale de fournir des données personnelles à un tiers, dans la mesure où la loi le permet : (i) Articulate fournira rapidement au client une opportunité raisonnable de contester l'obligation légale ou de demander une protection pour la divulgation et (ii) Articulate, après consultation du client, ne divulguera que la quantité minimale de données personnelles nécessaires pour se conformer à l'obligation légale.

4.3 Articulate se conformera à toutes les restrictions applicables en vertu de l'ACPR sur la combinaison des données personnelles dans le contenu du client avec les données personnelles qu'Articulate reçoit de, ou au nom de, une ou plusieurs autres personnes, ou qu'Articulate recueille à partir de toute interaction entre elle et une personne concernée.

5. Sous-traitants

5.1 Articulate peut engager des sous-traitants pour traiter les données personnelles dans le cadre de la fourniture des services, en conformité avec la loi applicable. Avant qu'un sous-traitant ne traite des données à caractère personnel, Articulate imposera au sous-traitant des obligations contractuelles qui sont substantiellement les mêmes que celles imposées à Articulate en vertu de ce DPA. Articulate est responsable de la performance de ses sous-traitants dans la même mesure qu'Articulate est responsable de sa propre performance dans le cadre de l'accord.

5.2 Une liste actualisée des sous-traitants est disponible ci-dessous.  Articulate informera rapidement les Clients (et en tout état de cause, au moins trente (30) jours avant qu’un nouveau sous-traitant ne commence à traiter des données personnelles) en mettant à jour la ou les listes de sous-traitants mentionnées ci-dessus, concernant tout nouveau sous-traitant, avant qu’il ne commence à traiter des données personnelles, sauf en cas de circonstances exceptionnelles (telles que la défaillance d’un sous-traitant existant) nécessitant un traitement plus rapide des données personnelles.

Sous-traitants tiersObjectifService concernéProduitsLocalisation des centres de données des sous-traitants
AdaChatbotFournit des services d'assistance par chatArticulate 360ÉTATS-UNIS
Amazon Web Services, Inc.Hébergement & InfrastructureFournit des plateformes de cloud computing à la demande et des APIArticulate 360
Rise		ÉTATS-UNIS
UE
Sans navigateurAutomatisation du WebGénère des captures d'écran, des PDF et des certificats à la demande du clientArticulate 360
Rise		ÉTATS-UNIS
BugSnagServices de contrôleRésout les problèmes concernant les services liés aux produitsArticulate 360
Rise		ÉTATS-UNIS
DatadogAnalyseRésout les problèmes concernant les services liés aux produitsArticulate 360
Rise		ÉTATS-UNIS
ElevenLabsGénération de voix IA en optionConvertit du texte en paroleArticulate 360ÉTATS-UNIS
IntercomServices supportFournit des annonces in-app et des visites guidées de produitsArticulate 360
Rise		ÉTATS-UNIS
Looker Data SciencesAnalyseFournit des solutions d'intelligence économiqueArticulate 360
Rise		ÉTATS-UNIS
Okta, Inc.Services d'authentificationValide si un client est autorisé à se connecterArticulate 360
Rise		ÉTATS-UNIS
OpenAIServices d'IA en optionAlimente les fonctionnalités d'Articulate 360 AIArticulate 360ÉTATS-UNIS
Le cachet de la posteLivraison par courrier électroniqueEnvoi de notifications par courrier électronique aux apprenants ou aux experts en la matièreArticulate 360
Rise		ÉTATS-UNIS
RingCentralCommunication commercialeFournit un centre de contact cloud piloté par l’IAArticulate 360ÉTATS-UNIS
Force de venteCRMGère les interactions avec les clients et les données commercialesArticulate 360
Rise		ÉTATS-UNIS
TalkDeskSystèmes de venteFournit un centre de contact cloud piloté par l’IARiseÉTATS-UNIS
YouTrackAssure le suivi des anomalies et des évolutions logiciellesSuit les bugs logiciels et les demandes de nouvelles fonctionnalitésRiseÉTATS-UNIS

5.3 Vous pouvez vous opposer à l'utilisation par Articulate d'un nouveau sous-traitant en notifiant Articulate dans les dix (10) jours ouvrables après qu'Articulate vous ait notifié le nouveau sous-traitant conformément à la section 5.2. Si vous vous opposez raisonnablement à un nouveau sous-traitant, Articulate fera des efforts raisonnables pour vous proposer une modification des services ou recommander un changement commercialement raisonnable de votre configuration ou de votre utilisation des services, afin d’éviter que les données personnelles ne soient traitées par le nouveau sous-traitant concerné, sans que cela ne vous impose une charge déraisonnable. Si Articulate n’est pas en mesure de proposer un tel changement dans un délai raisonnable — n’excédant en aucun cas trente (30) jours — vous aurez la faculté de résilier le contrat et/ou les commandes concernées en adressant un avis écrit à Articulate, et en cessant d’utiliser les services à la date de prise d’effet de la résiliation. Articulate vous remboursera un montant proportionnel couvrant le reste de la durée de l'abonnement ou de la commande suivant la date effective de résiliation en ce qui concerne les services résiliés. Si vous ne vous opposez pas à l'utilisation du nouveau sous-traitant et que vous résiliez comme indiqué ci-dessus, le sous-traitant est réputé accepté par vous.

5.4 Votre accord sur la présente section 5 constitue votre consentement en vertu des clauses contractuelles types, si elles s'appliquent, et au traitement des données à caractère personnel par les sous-traitants qui sont énumérés dans le présent DPA à la date d'entrée en vigueur de l'accord.

5.5 Sur demande écrite, Articulate fournira au client des copies des accords conclus avec les sous-traitants ; étant entendu toutefois que, dans la mesure où ces accords contiennent des informations commerciales ou des dispositions sans lien avec les exigences des lois et réglementations applicables en matière de protection des données, ces informations non pertinentes pourront être supprimées ou expurgées par Articulate, à sa discrétion.

6. Sécurité

6.1 Articulate vous assistera dans le respect de vos obligations en matière de sécurité prévues par le RGPD et toute autre législation applicable, en lien avec le rôle d’Articulate dans le traitement des données personnelles, en tenant compte de la nature du traitement et des informations dont Articulate dispose. Cette assistance se matérialise par la mise en œuvre des mesures techniques et organisationnelles décrites en Annexe 2 du présent DPA, sans préjudice du droit d’Articulate d’apporter à l’avenir des remplacements ou modifications à ces mesures, à condition que cela n’entraîne pas une diminution substantielle du niveau de sécurité des données personnelles.

6.2 Vous êtes seul responsable de la consultation de toute documentation ou fonctionnalité de sécurité disponible (le cas échéant) et de l’évaluation, par vous-même, de la conformité des services et des mesures de sécurité associées à vos besoins, y compris à vos obligations en matière de sécurité prévues par la législation applicable. Vous ne pouvez utiliser les services que si les engagements en matière de sécurité énoncés dans le présent DPA offrent un niveau de sécurité adapté au risque lié aux données à caractère personnel. En signant le présent DPA, le client accepte et déclare que les engagements en matière de sécurité contenus dans le présent DPA offrent un niveau de sécurité adapté au risque lié aux données à caractère personnel.

6.3 Articulate veillera à ce que les personnes qu’elle autorise à traiter les données personnelles (i) soient soumises à un accord de confidentialité écrit couvrant ces données ou à une obligation légale appropriée de confidentialité, et (ii) reçoivent une formation adaptée à leur rôle dans le traitement des données personnelles.

7. Notification des violations de données à caractère personnel

7.1 Articulate et le client se conformeront aux obligations liées à la violation des données personnelles qui leur sont directement applicables en vertu du RGPD et d'autres lois applicables, y compris toute obligation de notifier les personnes concernées, les autorités gouvernementales ou les tiers.

7.2 En tenant compte de la nature du traitement et des informations dont dispose Articulate, Articulate vous aidera raisonnablement à vous conformer aux obligations liées à la violation de données personnelles qui vous sont applicables en vertu du droit applicable en vous informant sans délai indu après avoir pris connaissance d'une violation confirmée de données personnelles. Cette notification ne constitue pas une reconnaissance de faute ou de responsabilité. Dans la mesure du possible, cette notification inclura l'évaluation actuelle d'Articulate sur les points suivants, qui peuvent être basés sur des informations incomplètes :

7.2.1 La nature de la violation de données à caractère personnel, y compris, si possible, les catégories et le nombre approximatif de personnes concernées, ainsi que les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ;

7.2.2 Les conséquences probables de la violation de données à caractère personnel ; et

7.2.3 Les mesures prises ou proposées par Articulate pour remédier à la violation de données personnelles, y compris, le cas échéant, les mesures visant à atténuer ses éventuels effets négatifs.

7.3 Articulate fera des efforts raisonnables pour identifier la cause d'une violation confirmée de données personnelles et prendra les mesures correctives qu'Articulate juge nécessaires et raisonnables.

7.4 A tout moment, le client a le droit de prendre des mesures raisonnables et appropriées pour arrêter et remédier à l'utilisation non autorisée des informations personnelles.

8. Assistance pour répondre aux personnes concernées

8.1 Si Articulate reçoit une demande ou une plainte d'une personne concernée adressée au client ou à un affilié autorisé, Articulate transmettra la demande ou la plainte de la personne concernée au client dans les plus brefs délais.

8.2 En tenant compte de la nature du traitement, Articulate vous aidera raisonnablement à remplir votre obligation d'honorer les demandes des individus d'exercer leurs droits en vertu du RGPD ou d'autres lois applicables (tels que les droits d'accès à leurs données personnelles) ("Data Subject Request") par des mesures organisationnelles et techniques appropriées, dans la mesure du possible. Dans la mesure où vous, dans votre utilisation des services, n'êtes pas en mesure de répondre à une demande de la personne concernée, Articulate fournira, à votre demande, des efforts commercialement raisonnables pour vous aider à répondre à cette demande de la personne concernée, dans la mesure où Articulate est tenue de le faire en vertu de la loi applicable et est légalement autorisée à le faire.

9. Assistance en matière d'AIPD et de consultation des autorités de surveillance

9.1 En tenant compte de la nature du traitement et des informations dont dispose Articulate, Articulate vous fournira, sur demande écrite de votre part, une assistance et une coopération raisonnables pour la réalisation de toute évaluation de l'impact sur la protection des données légalement requise pour le traitement ou le traitement proposé des données personnelles en relation avec les services, ainsi que pour la consultation des autorités de contrôle. Un soutien supplémentaire pour les évaluations de l'impact de la protection des données ou les relations avec les régulateurs nécessitera un accord mutuel sur les honoraires, l'étendue de l'implication d'Articulate, et toute autre condition que les parties jugent appropriée.

10. Transferts de données

10.1 Vous autorisez Articulate et ses sous-traitants à effectuer des transferts internationaux de données personnelles conformément à ce DPA et à la loi applicable.

10.2 Dans la mesure où la loi l'exige, les CCAP 2021 font partie de ce DPA et prévalent sur le reste de ce DPA en cas de conflit, et (sauf dans les cas décrits à la section 10.4) ils seront réputés complétés comme suit :

10.2.1 Dans la mesure où vous agissez en tant que responsable du traitement et qu'Articulate agit en tant que sous-traitant en ce qui concerne les données à caractère personnel soumises aux CSC de 2021, son module 2 s'applique. Dans la mesure où vous agissez en tant que sous-traitant et qu'Articulate agit en tant que sous-traitant en ce qui concerne les données à caractère personnel soumises aux CSC de 2021, le module 3 s'applique.

10.2.2 La clause 7 (clause facultative d’adhésion) est incluse.

10.2.3 Dans la clause 9 (Utilisation des sous-traitants), les parties choisissent l'option 2 (Autorisation écrite générale). La liste initiale des sous-traitants est disponible dans la section 5.2 pour les services Articulate 360 et les services Rise. Si Articulate a l'intention d'ajouter ou de remplacer un sous-traitant sur cette liste, Articulate en informera les clients en mettant à jour la (les) liste(s) susmentionnée(s) au moins trente (30) jours avant la date à laquelle il est prévu que ce sous-traitant commence à traiter les données à caractère personnel.

10.2.4 En vertu de la clause 11 (recours), l'exigence facultative selon laquelle les personnes concernées doivent être autorisées à déposer une plainte auprès d'un organisme indépendant de règlement des litiges ne s'applique pas.

10.2.5 Dans la clause 17 (droit applicable), les parties choisissent l'option 1 (le droit d'un État membre de l'UE qui autorise les droits des tiers bénéficiaires). Les parties choisissent la loi irlandaise.

10.2.6 En vertu de la Clause 18 (Choix du tribunal et de la juridiction), les parties choisissent les tribunaux d’Irlande.

10.2.7 Au titre de l'annexe I (A) du CCN 2021 (liste des parties) :

10.2.7.1 Vous êtes l'exportateur. Les coordonnées de l'exportateur à utiliser par Articulate sont celles indiquées dans l'accord. Les coordonnées de l'exportateur que les personnes concernées peuvent utiliser sont indiquées dans son avis de confidentialité, de même que l'identité et les coordonnées du délégué à la protection des données (le cas échéant) et du représentant de l'exportateur dans l'Union européenne (le cas échéant).

10.2.7.2 L’activité de l’exportateur, en lien avec les données transférées au titre des présentes clauses, consiste en son utilisation des services concernés.

10.2.7.3 The importer is Articulate. The importer's mailing address is set forth in the Agreement, and its email address is privacy@articulate.com, subject to an update by Articulate of those addresses in accordance with the Agreement.

10.2.7.4 L’activité de l’importateur, en lien avec les données transférées au titre des présentes clauses, consiste en la fourniture des services concernés.

10.2.7.5 Lorsque le client achète les services, les parties sont réputées signer l'annexe I(A) des CCAP 2021.

10.2.8 Pour tout service particulier, les détails de l'annexe I(B) des CCAP 2021 (description du transfert) figurent dans l'appendice 1 du DPA

10.2.9 En vertu de l'annexe I(C) des CCAP 2021 (autorité de contrôle compétente), les parties suivront les règles d'identification de cette autorité en vertu de la clause 13 et, dans la mesure où la loi le permet, choisiront la commission irlandaise de protection des données.

10.2.10 L'annexe II des CCAP 2021 (Mesures techniques et organisationnelles) figure à l'appendice 2 du présent DPA.

10.2.11 L'annexe III des CCAP 2021 (liste des sous-traitants) est inapplicable.

10.3 Dans la mesure où la loi britannique sur la protection des données l'exige, l'addendum du CCN britannique fait partie de ce DPA et prévaut sur le reste du DPA tel qu'il est défini dans l'addendum du CCN britannique. Les termes non définis utilisés dans la présente section 10.3 sont définis dans l'UK SCC Addendum. Aux fins de l'addendum du UK SCC :

10.3.1 Tableau 1 de l'addendum du UK SCC : les parties sont vous et Articulate, avec les coordonnées indiquées dans la section 10.2.7 de ce DPA.

10.3.2 Tableau 2 de l'addendum au CCN britannique : les clauses contractuelles types approuvées sont les clauses contractuelles types visées à la section 10.2 du présent DPA.

10.3.3 Tableau 3 de l'addendum au CCN britannique :

10.3.3.1 Annexe 1A : conformément à la section 10.2.7 du présent DPA.

10.3.3.2 Annexe 1B : telle qu'elle figure à l'appendice 1 du présent DPA.

10.3.3.3 Annexe II : telle qu'elle figure à l'annexe 2 du présent DPA.

10.3.3.4 Annexe III : non applicable.

10.3.4 Tableau 4 de l'addendum au UK SCC : aucune des parties ne dispose du droit de résiliation prévu à l'article 19 de l'addendum au UK SCC.

10.3.5 En concluant le présent DPA, les parties sont réputées signer l'addendum du CCN britannique.

10.4 Pour les transferts de données à caractère personnel qui sont soumis à la loi fédérale suisse sur la protection des données ("FADP"), les 2021 CCAP font partie de ce DPA comme indiqué à la section 10.2 de ce DPA, mais avec les différences suivantes dans la mesure où elles sont requises par la FADP :

10.4.1 Les références au RGPD dans les CCAP 2021 doivent être comprises comme des références au FADP dans la mesure où les transferts de données sont soumis exclusivement au FADP et non au RGPD.

10.4.2 Le terme "État membre" dans les CCAP 2021 ne doit pas être interprété de manière à exclure les personnes concernées en Suisse de la possibilité de faire valoir leurs droits dans leur lieu de résidence habituelle (Suisse) conformément à la clause 18(c) des CCAP 2021.

10.4.3 Les références aux données personnelles dans les clauses contractuelles types de 2021 s’appliquent également aux données concernant des entités juridiques identifiables, et ce jusqu’à l’entrée en vigueur des révisions de la FADP supprimant cette portée élargie.

10.4.4 En vertu de l'annexe I(C) des CCAP 2021 (autorité de contrôle compétente) :

10.4.4.1 Lorsque le transfert est soumis exclusivement au FADP et non au RGPD, l'autorité de contrôle est le préposé fédéral à la protection des données et à la transparence.

10.4.4.2 Lorsque le transfert est soumis à la fois au FADP et au RGPD, l'autorité de contrôle est le préposé fédéral suisse à la protection des données et à la transparence dans la mesure où le transfert est régi par le FADP, et l'autorité de contrôle est celle indiquée à la section 10.2.9 du présent DPA dans la mesure où le transfert est régi par le RGPD.

11. Audits

11.1 Sur votre demande écrite, Articulate mettra à votre disposition toutes les informations raisonnablement nécessaires pour démontrer la conformité avec cette DPA, et permettra et contribuera à des audits, y compris des inspections, menées par vous ou par un autre auditeur mandaté par vous, comme suit :

11.1.1 Si le périmètre d’audit demandé est couvert par un rapport d’audit émis par un auditeur tiers au cours des douze (12) derniers mois, qu’Articulate vous transmet ce rapport et confirme qu’aucun changement majeur connu n’est intervenu dans les contrôles audités, vous acceptez de vous en tenir aux conclusions du rapport au lieu de demander un nouvel audit portant sur les mêmes contrôles. Le rapport est une information confidentielle d'Articulate.

11.1.2 Si elle n'est pas couverte par un tel rapport, Articulate fournira une description écrite de ses mesures de conformité pour ce DPA. Il s'agit d'informations confidentielles d'Articulate.

11.1.3 Vous acceptez d'exercer tout droit que vous pourriez avoir de mener un audit ou une inspection, y compris en vertu des Clauses Contractuelles Standard, si elles s'appliquent, en demandant à Articulate de fournir le rapport et/ou l'information décrits ci-dessus. Si vous souhaitez modifier cette instruction concernant l'audit, vous pouvez demander une modification de cette instruction en envoyant à Articulate une notification écrite comme prévu dans l'accord. Ce soutien supplémentaire peut être disponible et nécessiterait un accord mutuel sur les honoraires qui vous seraient facturés, l'étendue de l'audit, l'étendue de l'implication d'Articulate, et toute autre condition que les parties jugent appropriée.

11.1.4 Le client doit fournir à Articulate un préavis écrit de soixante (60) jours avant de procéder à un audit, et de tels audits ne peuvent avoir lieu plus d'une fois au cours de douze (12) mois. Le client ne peut effectuer des audits que pendant les heures normales d'ouverture d'Articulate et doit minimiser la perturbation de l'activité d'Articulate.

11.1.5 Dans la limite permise par la loi et dans la mesure où les audits perturbent le cours normal des activités d’Articulate, vous rembourserez à Articulate le temps consacré à l’assistance liée à l’audit, selon les tarifs convenus d’un commun accord entre les parties.

11.1.6 Rien dans ce DPA n'oblige Articulate à divulguer ou à rendre disponible :

11.1.6.1 toute donnée de tout autre client d'Articulate ;

11.1.6.2 l'accès aux systèmes ;

11.1.6.3 Les informations comptables ou financières d'Articulate ;

11.1.6.4 tout secret commercial d'Articulate ;

11.1.6.5 toute information ou accès qui, de l'avis raisonnable d'Articulate, pourrait (A) compromettre la sécurité des systèmes ou des locaux d'Articulate ; ou (B) amener Articulate à enfreindre ses obligations en vertu de la loi applicable ou des contrats applicables ; ou

11.1.6.6 Toute information demandée pour un motif autre que l’exécution de bonne foi de vos obligations, conformément au droit applicable, dans le cadre d’un audit de conformité à ce contrat de traitement des données (DPA).

11.1.7 Vous notifierez rapidement Articulate et fournirez des informations sur toute non-conformité réelle ou suspectée découverte lors d'un audit.

12. Retour ou destruction

12.1 Articulate s’engage, selon votre choix, à vous restituer et/ou à détruire toutes les données personnelles à votre demande ou dans un délai de six mois après la résiliation ou l’expiration de votre utilisation du service concerné, sauf si la législation applicable exige leur conservation. La certification de la suppression requise par les clauses contractuelles types (si elles s'appliquent) ne sera fournie que sur demande écrite.

12.2 Rien n'obligera Articulate à supprimer les données personnelles des fichiers créés à des fins de sécurité, de sauvegarde et de continuité des activités plus tôt que ne l'exigent les processus raisonnables de conservation des données d'Articulate.

13. Généralités

13.1 Affectation. Le présent addendum s’appliquera au bénéfice de, et liera tout successeur ayant repris tout ou partie substantielle des activités et actifs de l’une ou l’autre des parties, que ce soit par fusion, cession d’actifs, ou en vertu d’un autre accord ou de l’effet de la loi.

13.2 Contreparties ; signatures en fac-similé. Le présent DPA peut être signé en plusieurs exemplaires, dont chacun, une fois signé et remis, sera considéré comme un original, mais qui constitueront tous un seul et même instrument. Toute page de signature d'une telle contrepartie, ou toute transmission par télécopie de celle-ci, peut être jointe ou annexée à toute autre contrepartie pour compléter une contrepartie entièrement signée de ce DPA, et toute transmission par télécopie d'une signature d'une partie sera considérée comme un original et engagera cette partie.

13.3 Ordre de priorité. En ce qui concerne les droits et obligations des parties l'une envers l'autre, en cas de conflit entre les termes de l'accord et le présent DPA, ce sont les termes du présent DPA qui prévalent. En cas de conflit entre les dispositions du présent DPA et les clauses contractuelles types, ce sont les clauses contractuelles types qui prévalent.

13.4 Responsabilité. Dans la mesure où la loi le permet, le présent DPA est soumis à la clause de limitation de responsabilité de l'accord.

13.5 Divers. Le présent DPA constitue l'intégralité de l'accord entre les parties en ce qui concerne l'objet du présent DPA et fusionne toutes les communications, tous les accords et toutes les ententes antérieurs. Le présent DPA ne peut être modifié que par un accord écrit signé par les parties. Le fait pour l’une ou l’autre des parties de ne pas faire valoir, à un moment donné, l’une des dispositions des présentes ne saurait être interprété comme une renonciation à cette disposition, ni à toute autre, ni au droit de faire valoir ultérieurement toute disposition des présentes. Si une disposition du présent DPA est déclarée invalide ou inapplicable, cette disposition sera réputée modifiée dans la mesure où cela est nécessaire et possible, pour la rendre valide et applicable. En tout état de cause, l'inapplicabilité ou l'invalidité d'une disposition n'affectera pas les autres dispositions du présent DPA, et le présent DPA restera pleinement en vigueur, sera interprété et appliqué comme si cette disposition n'avait pas été incluse ou avait été modifiée comme indiqué ci-dessus, selon le cas.

ANNEXE 1

Détails du traitement des données

Objet, nature et finalité du traitement, et détails des opérations de traitement:  Fourniture des services conformément à l'accord.

Durée du traitement : Comme indiqué dans l'accord et/ou dans toute offre de prix, commande du client ou cahier des charges applicable.

Catégories de personnes concernées : Les données à caractère personnel transférées peuvent concerner des employés actuels et potentiels de l'exportateur et de ses sous-traitants, ainsi que d'autres tiers, selon la décision de l'exportateur.

Catégories de données

Pour Articulate 360 et Rise :

  • Nom et prénom
  • Employeur
  • Coordonnées de l'entreprise (par exemple, adresse électronique, numéro de téléphone)
  • Image de profil
  • Titre
  • Localisation approximative
  • Préférence linguistique
  • Profil professionnel

Catégories particulières de données (le cas échéant): Non applicable.

Garanties et restrictions appliquées spécifiquement aux catégories particulières de données : Non applicable. En tout état de cause, le même niveau élevé de protection décrit en Annexe 2 du contrat de traitement des données (DPA) s’applique à cette catégorie comme aux autres catégories de données personnelles.

La fréquence du transfert (par exemple, si les données sont transférées de manière ponctuelle ou continue) : En continu, aussi longtemps que nécessaire pour fournir les services conformément à l'accord.

La durée de conservation des données à caractère personnel ou, si cela n'est pas possible, les critères utilisés pour déterminer cette durée : six (6) mois ou, si elle est inférieure, la durée nécessaire pour fournir les services conformément à l'accord, ou la durée requise par le droit applicable.

ANNEXE 2

Mesures de sécurité techniques et organisationnelles

Articulate (l'importateur de données) met en œuvre les mesures de sécurité techniques et organisationnelles suivantes.

  1. Pseudonymisation et chiffrement : les données personnelles sont chiffrées au repos sur nos serveurs selon les standards de l’industrie (par exemple, AES 256 bits), et la gestion des clés est assurée par le fournisseur de l’environnement d’hébergement d’Articulate, Amazon Web Services (AWS).
  2. Mesures visant à garantir la confidentialité, l’intégrité, la disponibilité et la résilience continues des systèmes et services de traitement : Articulate utilise un système de détection d’intrusion pour analyser, détecter et signaler les événements réseau et autres situations d’alerte, et fait appel à un ou plusieurs partenaires tiers pour réaliser des évaluations de sécurité et d’applications. Articulate utilise également Amazon Web Services (AWS) comme fournisseur d'hébergement, qui fournit des redondances (par exemple, à travers au moins trois (3) zones de disponibilité physiquement isolées et indépendantes en ressources).
  3. Mesures de reprise après sinistre et de continuité d’activité (rétablissement de la disponibilité et de l’accès aux données personnelles en cas d’incident physique ou technique) : Articulate dispose d’une politique de reprise après sinistre et de procédures associées, prévoyant qu’en cas de sinistre, l’infrastructure sera reconstruite afin de rétablir les services dans les plus brefs délais, avec un RTO de 72 heures et un RPO de 24 heures.
  4. Test, évaluation et appréciation des mesures de sécurité : Articulate a une politique de réponse aux incidents qui est testée au moins une fois par an, ou à chaque fois qu'il y a un changement important dans notre sécurité.
  5. Identification et autorisation des utilisateurs : Les services Articulate 360 ne stockent pas les identifiants des utilisateurs ; ils s’appuient sur un service tiers de connexion unique (single sign-on) qui utilise des protocoles d’identification éprouvés et reconnus dans l’industrie pour authentifier les utilisateurs, incluant un chiffrement des données au repos avec une force cryptographique minimale de type AES-256.
  6. Protection des données pendant la transmission : Les données confidentielles sont cryptées en transit en utilisant au minimum le protocole Transport Layer Security (TLS 1.2).
  7. Protection des données pendant le stockage : Les données confidentielles sont cryptées au repos sur nos serveurs à l'aide de la norme industrielle Advanced Encryption Standard 256 bits. La gestion des clés est gérée par le fournisseur d'environnement d'hébergement d'Articulate, AWS.
  8. Sécurité physique des lieux où les données personnelles sont traitées : Articulate est une société opérant entièrement à distance, ce qui signifie que nous n'avons pas de bureaux physiques. Nous hébergeons les services Articulate sur des serveurs AWS. Les centres de données d’AWS sont à la pointe de la technologie, reposent sur des approches architecturales et techniques innovantes, sont hébergés dans des installations discrètes, et l’accès physique y est strictement contrôlé, tant à la périphérie qu’aux points d’entrée des bâtiments (par exemple, personnel de sécurité professionnel, vidéosurveillance).
  9. Enregistrement des événements : Articulate utilise des solutions SIEM conformes aux standards définis pour la centralisation des journaux et les fonctionnalités d’alerte, ainsi que AWS CloudWatch et AWS CloudTrail pour suivre tous les changements apportés à l’infrastructure.
  10. Configuration du système, y compris la configuration par défaut : Articulate consigne tous les changements d’infrastructure dans un système de gestion de versions et applique les meilleures pratiques du secteur pour déployer ces modifications de manière sûre et sécurisée sur ses services.
  11. Gouvernance et gestion internes de l’informatique et de la sécurité des systèmes d’information : les employés d’Articulate signent des accords de confidentialité et suivent une formation à la sécurité dès leur embauche, puis une formation de mise à jour chaque année. Articulate dispose de politiques et de procédures sur la protection, la gestion, la conservation et la suppression des données. Articulate utilise également un antivirus de pointe et un logiciel de gestion des appareils mobiles sur tous les postes de travail d'Articulate, surveille les fournisseurs et les sources tierces pour obtenir des informations actualisées sur les vulnérabilités, distribue rapidement les informations pertinentes sur les correctifs, et exige que les postes de travail de tous les membres de l'équipe d'ingénierie et d'autres personnes ayant accès aux serveurs AWS (notre hôte) soient cryptés au repos.
  12. Certification/assurance des processus et des produits : Articulate fait l'objet d'un audit annuel SOC2 de type 2 mené par une tierce partie et possède les certifications ISO 27001 et ISO 27701. Les employés sont tenus de suivre une formation de sensibilisation à la sécurité dès leur embauche, puis chaque année, afin de bien comprendre leurs obligations et responsabilités en matière de respect des politiques internes conçues pour protéger les données des clients.
  13. Minimisation des données : Articulate recueille les données personnelles nécessaires pour fournir des services aux clients et n'accorde l'accès aux données personnelles que si cela est nécessaire pour permettre aux ressources humaines d'effectuer leur travail. Articulate revoit également périodiquement les droits d’accès et les supprime dans un délai de 24 heures suivant le départ d’un collaborateur. En outre, les données personnelles sont conservées et détruites en toute sécurité conformément aux politiques de conservation des données d'Articulate (ou plus tôt à la demande du client), tant qu'il n'y a pas d'obligation légale de conserver ces données.
  14. Qualité des données : Les services Articulate valident les entrées des utilisateurs et les paramètres HTTP.
  15. Conservation limitée des données : Articulate a des politiques de conservation qui requièrent la suppression régulière des données personnelles. Articulate effectue des sauvegardes quotidiennes dans le cadre de notre processus de reprise après sinistre. Les données sont archivées pendant environ 60 jours et sont ensuite automatiquement écrasées.
  16. Responsabilité : Articulate a mis en œuvre un programme de protection de la vie privée, nommé un responsable de la protection des données, mis en œuvre des politiques et des pratiques de protection de la vie privée (y compris en matière de réponse aux incidents) et organisé des formations pour les employés au moins une fois par an.
  17. Portabilité des données et effacement : Articulate respecte les processus établis dans son accord de traitement des données pour répondre aux demandes des clients pour une copie, une correction ou un effacement des données personnelles de leurs utilisateurs finaux.
  18. Pour les transferts aux sous-traitants (ou sous-traitants secondaires) : mesures techniques et organisationnelles spécifiques à prendre par le sous-traitant (ou sous-traitant secondaire) pour pouvoir fournir une assistance au responsable du traitement et, pour les transferts d'un sous-traitant à un sous-traitant secondaire, à l'exportateur de données : les administrateurs et/ou utilisateurs de l’exportateur peuvent utiliser les fonctionnalités en libre-service des services pour accéder aux données des utilisateurs finaux, les supprimer ou les corriger. Toute autre assistance pertinente sera fournie par l'équipe d'assistance à la clientèle.