Produits

La plateforme SurveyMonkey est conçue pour répondre à tous les cas d’usage. Découvrez tout ce que notre solution peut vous apporter.

Collectez vos infos avec l’aide du leader mondial des logiciels de sondage.

Intégrez SurveyMonkey à plus de 100 applications.

Collectez infos et paiements sur des formulaires en ligne.

Créez des sondages plus efficaces et obtenez des insights grâce à l'IA.

Des solutions qui répondent à tous vos besoins d’études de marché.

Modèles

Mesurez la satisfaction de vos clients et leur fidélité à votre marque.

Transformez vos clients en ambassadeurs de votre marque.

Collectez des données pour améliorer l’expérience utilisateur.

Collectez les coordonnées de prospects, d’invités, etc.

Collectez les réponses à votre prochain événement.

Découvrez les attentes des participants pour votre prochain événement.

Renforcez l’engagement de vos employés et améliorez leurs performances.

Sondez les participants pour créer des réunions de plus en plus productives.

Améliorez les performances de vos employés grâce au feedback.

Améliorez le contenu ou la présentation de vos cours.

Découvrez ce que vos étudiants pensent de leurs enseignants.

Découvrez ce que vos clients pensent de vos idées de produits.

Ressources

Découvrez nos bonnes pratiques concernant les sondages.

Pour tout savoir sur les sondages et le feedback.

Guides et conseils sur l’utilisation de SurveyMonkey.

Les plus grandes marquent boostent leur croissance avec SurveyMonkey.

Nous contacterConnexion
Nous contacterConnexion

63%の人が、製品/サービスを利用する際にその会社のプライバシーとセキュリティの実績を考慮しています。

リーガルサイドバー統計

Téléchargez un exemplaire de l’Accord sur le traitement des données (ATD) client SurveyMonkey ici.

Clauses contractuelles types (SCC)

Nous avons rédigé cet Accord sur le traitement des données de façon à inclure toutes les configurations SCC possibles. Il est possible qu’elles ne s’appliquent pas toutes à votre cas. Pour plus de clarté :  

  • Si vous êtes un client demeurant dans l’U.E. ou au R.-U. : vous n’avez pas besoin de SCC. Vous avez signé votre contrat avec l’entité irlandaise de SurveyMonkey et les SCC ne sont pas obligatoires entre les entités situées dans l’U.E. et au R.-U.
  • Si vous êtes un client américain et vous considérez comme un responsable du traitement des données, la section 9.2(a) s’applique à vous.Vous êtes le responsable du traitement des données et l’exportateur des données, et SurveyMonkey est le sous-traitant et l’importateur des données.Le Module 2 des SCC s’applique à votre contrat.
  • Si vous êtes un client américain et vous considérez comme un sous-traitant, la section 9.2(b) s’applique à vous.Vous êtes le responsable du traitement des données et l’exportateur des données, et SurveyMonkey est le sous-traitant et l’importateur des données.Le Module 3 des SCC s’applique à votre contrat.
  • Si vous ne vous trouvez pas aux États-Unis, dans l’U.E. ou au R.-U. mais que vous choisissez d’utiliser le stockage des données de l’U.E., la section 9.2(c) s’applique à vous.Vous êtes le responsable du traitement des données et l’exportateur des données, et SurveyMonkey est le sous-traitant et l’importateur des données.Le Module 4 des SCC s’applique à votre contrat.
  • Si vous vous trouvez en dehors des États-Unis, de l’Union européenne ou du Royaume-Uni et que vous n’utilisez pas notre stockage de données dans l’UE, aucune clause contractuelle type (SCC) n’est nécessaire car les données personnelles sont transférées à SurveyMonkey Europe UC (situé en Irlande). Aucun dispositif de transfert n'est nécessaire pour les transferts dans l'UE.

Cet Accord sur le traitement des données SurveyMonkey (« ATD ») fait partie de votre Accord avec SurveyMonkey et contient des conditions relatives à la protection des données, la confidentialité et la sécurité, conformément aux lois et réglementations sur la protection des données, le cas échéant.Dans le cas (et dans la mesure seulement) où il existe un conflit entre le RGPD et la CCPA, les parties se conformeront à l’exigence la plus onéreuse ou à la norme la plus élevée qui sera, en cas de litige à cet égard, déterminée uniquement par SurveyMonkey.

Le présent Accord est conclu entre le client et l’entité SurveyMonkey concernée, déterminée comme suit : 

(i) Pour les clients situés dans un pays autre que les États-Unis, SurveyMonkey Europe UC sera l’entité contractante.

(ii) Pour les clients situés aux États-Unis, SurveyMonkey Inc. sera l’entité contractante.

Ceci est la version la plus récente de notre ATD (en date du 15 février 2024). 

Dans cet ATD, les expressions suivantes ont, sauf interprétation contraire imposée par le contexte, les significations suivantes :

« Accord » désigne tout accord entre SurveyMonkey Inc. ou SurveyMonkey Europe et un client pour les Services.Un tel accord peut porter divers titres, tels que « bon de commande », « commande », « conditions d’utilisation » ou « contrat de services en vigueur ».

« Article 28 » fait référence à l’article 28 du RGPD et du RGPD britannique, tel qu’applicable au traitement des Données personnelles du client.  

« Client » ou « vous » désigne le client qui est identifié sur l’Accord et/ou qui prend part à l’Accord.  

« Données client » fait référence à toutes les données (y compris mais sans s’y limiter les Données personnelles du client) fournies à SurveyMonkey par le Client ou pour le compte du Client par le biais de l’utilisation des Services et à toutes les données envoyées au Client par des tiers en utilisant les Services.

« Données personnelles du client » fait référence à toutes les Données personnelles envoyées aux Services par ou au Client et traitées par SurveyMonkey dans le but de fournir les Services au Client, y compris mais sans s’y limiter les données personnelles définies dans l’annexe 2 de cet ATD.

La « législation sur la protection des données » désigne toutes les lois obligatoires sur la protection des données ou de la vie privée directement applicables à SurveyMonkey en sa qualité de sous-traitant ou de fournisseur de services (selon le cas) en ce qui concerne le traitement des Données personnelles en vertu de l’Accord, y compris : 
(i) le règlement général sur la protection des données (règlement [UE] 2016/679) (« RGPD ») et toutes les autres lois ou réglementations (ainsi que leurs mises à jour, amendements ou remplacements) de l’U.E., de l’EEE ou des États membres du marché unique européen qui s’appliquent au traitement des Données personnelles dans le cadre de l’Accord ;

ii) la nouvelle loi fédérale suisse sur la protection des données (« nLPD ») ;

(iii) toutes les lois et réglementations américaines qui s’appliquent au traitement des données à caractère personnel dans le cadre de l’Accord, y compris mais sans s’y limiter la loi californienne sur la protection de la vie privée des consommateurs de 2018 (code civil californien §§ 1798.100 - 1798.199) (« CCPA ») ; 

(iv) toutes les lois et réglementations qui s’appliquent au traitement des données à caractère personnel dans le cadre de l’Accord périodiquement en vigueur au Royaume-Uni (notamment le RGPD britannique) ; et

(v) la loi sur la protection des renseignements personnels et des documents électroniques canadienne (« LPRPDE ») et l’ensemble de ses mises à jour, modifications ou remplacements qui s’appliquent au traitement des données personnelles au Canada.

Les termes « responsable du traitement des données », « évaluation de l’impact sur la protection des données », « processus », « traitement », « sous-traitant », « autorité de contrôle » ont la même signification que dans le RGPD ou le RGPD britannique.

Les termes « Entreprise », « Fin professionnelle », « Fin commerciale », « Informations personnelles », « Prestataire de services », « Vendre » et « Partager » ont la même signification que celle définie dans la CCPA pour les termes équivalents en anglais. 

« SurveyMonkey » ou « nous » désigne, pour les clients aux États-Unis, SurveyMonkey Inc., et pour les clients hors des États-Unis, SurveyMonkey Europe.

« SurveyMonkey Europe » désigne SurveyMonkey Europe UC, une société irlandaise sise à l’adresse : 2 Shelbourne Buildings, Second Floor, Shelbourne Road, Dublin 4, Irlande.

« SurveyMonkey Inc. » désigne SurveyMonkey Inc., une société du Delaware sise à l’adresse : One Curiosity Way, San Mateo, CA 94403, États-Unis. 

« Avis de confidentialité de SurveyMonkey » désigne l’Avis de confidentialité de SurveyMonkey que vous pouvez consulter à https://fr.surveymonkey.com/mp/legal/privacy/.

Les « Données personnelles » font référence aux informations concernant un individu (« Personne concernée ») qui est, ou peut être raisonnablement identifié à partir d’informations, soit seules, soit combinées à d’autres informations.

« Services » désigne les services commandés à SurveyMonkey par le Client dans le cadre de l’Accord.

« SCC » fait référence aux Clauses contractuelles types (Standard Contractual Clauses) annexées à la décision de la Commission européenne du : i) 4 juin 2021 sur les clauses contractuelles types pour le transfert des Données personnelles à des pays tiers en vertu du RGPD ii) (jusqu’à ce que SurveyMonkey ait conclu les Clauses contractuelles types décrites au i) 5 février 2010 pour le Transfert des Données personnelles du client à des Sous-traitants établis dans des Pays tiers en vertu de la directive 95/46/EC. Quand la nLPD s’applique, toute référence dans les SCC doit être interprétée comme une référence correspondante à la nLPD. Tous les termes utilisés dans ce contexte doivent donc être interprétés en fonction de la définition fournie dans la nLPD.

« Avenant pour le R.-U. » fait référence (i) au modèle d’avenant émis par le Bureau du commissaire à l’information du Royaume-Uni et déposé devant le Parlement britannique le 2 février 2022 conformément à l’article 119A de la loi britannique sur la protection des données de 2018, tel que révisé de temps à autre en vertu de l’article 18 des clauses obligatoires.Lorsque le modèle d’avenant auquel il est fait référence dans cette définition signifie le document intitulé « International Data Transfer Addendum to the EU Commission Standard Contractual, version B1.0 » en vigueur le 21 mars 2022 ; ou (ii) [jusqu’à ce que SurveyMonkey ait conclu l’avenant pour le Royaume-Uni décrit au point (i)], à la décision de la Commission européenne du 5 février 2010 pour le transfert de données personnelles à des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/EC.

« RGPD britannique » désigne le RGPD de l’UE où il fait partie des lois d’Angleterre et du Pays de Galles, d’Écosse et d’Irlande du Nord en vertu de l’article 3 de la loi de 2018 de l’Union européenne (retrait) et tel que modifié par les règlements de 2019 et 2020 sur la protection des données, la confidentialité et les communications électroniques (amendements, etc.) (sortie de l’UE) respectivement et toute législation en vigueur au Royaume-Uni de temps à autre qui modifie ou remplace ultérieurement le RGPD britannique.

Dans le cadre de la prestation des Services au Client, SurveyMonkey est un sous-traitant des Données personnelles du client aux fins du RGPD. Dans le cadre de la loi CCPA, le cas échéant, par le présent Accord, SurveyMonkey et le Client conviennent que SurveyMonkey est un « Prestataire de services » et que le Client est l’« Entreprise » en ce qui concerne les Informations personnelles.

Cet ATD restera en vigueur jusqu’à sa résiliation (conformément aux conditions énoncées dans l’Accord) ou son expiration. 

Le Client garantit et déclare qu’il est en droit de transférer des Données client à SurveyMonkey afin que SurveyMonkey puisse traiter et transférer légalement les Données personnelles conformément à cet Accord sur le traitement des données.Le Client doit s’assurer que les Personnes concernées ont été informées de, et ont donné tout consentement nécessaire à, cette utilisation, ce traitement et ce transfert ainsi que le stipulent les Lois sur la protection des données applicables et que les consentements légaux ont été obtenus (si nécessaire).Le Client doit s’assurer que toutes les Données personnelles traitées ou transférées à SurveyMonkey le sont de manière légale et appropriée.Le Client se conformera à l’ensemble des législations applicables en matière de protection des données.

Lorsque la société SurveyMonkey traite des Données client à caractère personnel au nom du Client, elle s’engage à :

(a) ne le faire que sur la base des instructions documentées du Client et en accord avec les Lois sur la protection des données, y compris en ce qui concerne les transferts des Données personnelles du Client vers un pays tiers ou un organisme international et les parties acceptent que l’Accord représente ces instructions documentées du Client à SurveyMonkey de traiter les Données client à caractère personnel (y compris vers des destinations hors de l’EEE), en plus d’autres instructions raisonnables fournies par le Client à SurveyMonkey (par ex. via e-mail) tant que ces instructions ne vont pas à l’encontre du présent Accord ;

(b) s’assurer que tous les employés de SurveyMonkey concernés par le traitement de Données client à caractère personnel sont soumis à des obligations de confidentialité en ce qui concerne les données à caractère personnel ;

(c) mettre à la disposition du Client les informations nécessaires pour qu’il puisse démontrer le respect de ses obligations en vertu de l’Article 28 du RGPD (ou autres exigences similaires de la législation en matière de Protection des données si cela est applicable au Client), si ces informations sont détenues par SurveyMonkey et ne sont pas autrement disponibles pour le Client via son compte et d’autres sections d’utilisateur ou sur les sites Web de SurveyMonkey, sous réserve que le Client fasse parvenir à SurveyMonkey un avis écrit au moins 14 jours avant cette demande d’informations ;

(d) coopérer, à la demande raisonnable du Client, pour permettre à ce dernier de se conformer à tout exercice des droits accordés aux Personnes concernées par les Lois sur la protection des données concernant les Données personnelles traitées par SurveyMonkey dans le cadre de la prestation des Services ;

(e) fournir une assistance, si demandée par le Client, pour répondre directement aux demandes d’une Personne concernée relatives à ses Données à caractère personnel et envoyées par le biais des Services ;

(f) suite à leur suppression de votre fait, ne pas conserver de Données à caractère personnel sur votre compte, hormis celles nécessaires pour se conformer aux lois et règlements applicables et qui peuvent autrement être conservées dans des copies de sauvegarde de routine effectuées à des fins de récupération après incident et de continuité d’activité, conformément à nos politiques de conservation des données ; 

(g) coopérer avec tout organisme de contrôle ou tout organisme qui le remplace ou lui succède de temps à autre (ou, dans la mesure où le Client l’exige, avec tout autre organisme de réglementation de la protection des données ou de la vie privée en vertu des Lois sur la protection des données) pour l’exécution des tâches de cette autorité de contrôle lorsque cela est nécessaire ; 

(h) assister le Client, dans la mesure du raisonnable, quand le Client : 

(i) réalise une évaluation de l’impact sur la protection des données impliquant les Services (cela peut inclure la mise à disposition de documents permettant au client de réaliser sa propre évaluation) ; ou

(ii) doit déclarer un Incident de sécurité (tel que défini ci-dessous) à un organisme de contrôle ou une Personne concernée.

(i) ne pas Vendre ou Partager des Informations personnelles

(j) ne pas collecter, conserver, utiliser, divulguer ou traiter de toute autre manière les Informations personnelles à des fins professionnelles et commerciales spécifiques autres que les suivantes : (1) fournir nos Services tels que décrits dans le présent Accord ; (2) améliorer nos services existants et développer de nouveaux services (par exemple, en effectuant des recherches pour développer de nouveaux produits ou fonctionnalités) ; (3) à nos fins opérationnelles et aux fins opérationnelles de nos prestataires et partenaires d’intégration ; (4) pour assurer la sécurité et l’intégrité dans la mesure où l’utilisation des informations personnelles de la personne concernée est raisonnablement nécessaire et proportionnée à ces fins ; (5) déboguer pour identifier et réparer les erreurs qui nuisent aux fonctionnalités prévues existantes ; (6) utilisation transitoire à court terme, telle que la personnalisation du contenu que nous ou nos prestataires affichons sur les services ; et (7) autres utilisations que nous vous notifions conformément aux Lois sur la protection des données ;

(k) ne pas conserver, utiliser, combiner ou divulguer les Informations personnelles collectées en vertu de l’Accord en dehors de la relation commerciale directe entre SurveyMonkey et le Client, sauf autorisation expresse de la CCPA ;  

(i) lorsque les Lois sur la protection des données l’exigent, informer le Client s’il est porté à sa connaissance que toute instruction reçue du Client enfreint les dispositions des Lois sur la protection des données. Nonobstant ce qui précède, SurveyMonkey n’a aucune obligation de surveiller ou vérifier la légalité de toute instruction reçue du Client. Si SurveyMonkey détermine qu’il n’est plus possible de respecter ses obligations en vertu de la CCPA, SurveyMonkey en informera le Client ; et

(m) respecter les restrictions et obligations définies dans cet Accord sur le traitement des données et l’ensemble des Lois sur la protection de données applicables.

6.1 Sous-traitement.Le Client fournit une autorisation générale à SurveyMonkey pour engager des sous-traitants ultérieurs, sous réserve du respect des exigences de la présente Section 6.

6.2 Liste des sous-traitants secondaires. SurveyMonkey, sous réserve des dispositions de l’Accord relatives à la confidentialité ou d’autres dispositions imposées par SurveyMonkey :

(a) mettra à la disposition du Client une liste des sous-traitants SurveyMonkey qui sont impliqués dans le traitement ou sous-traitement des Données personnelles du client dans le cadre de la fourniture des Services (« Sous-traitants secondaires »), ainsi qu’une description de la nature des services fournis par chaque Sous-traitant secondaire (« Liste des sous-traitants secondaires »).Vous pouvez demander un exemplaire de cette Liste des sous-traitants secondaires ici ;

(b) s’assurera que tous les Sous-traitants figurant sur la Liste des sous-traitants sont liés par des conditions contractuelles qui, à tous égards importants, ne sont pas moins rigoureuses que celles contenues dans le présent ATD ; et 

(c) sera responsable des actes et omissions de ses Sous-traitants dans la même mesure que SurveyMonkey serait responsable si elle exécutait les services de chacun de ces sous-traitants directement selon les conditions du présent ATD, sauf disposition contraire dans le présent Accord.

6.3 Nouveaux Sous-traitants secondaires/Sous-traitants secondaires de remplacement SurveyMonkey fournira au Client une notification écrite de l’ajout d’un nouveau Sous-traitant secondaire ou du remplacement d’un Sous-traitant secondaire existant pendant toute la durée de l’Accord (« Notification de nouveau sous-traitant secondaire »).Le Client s’inscrira à une liste de diffusion mise à disposition par SurveyMonkey, ici par l’intermédiaire de laquelle ces notifications seront envoyées par e-mail, ou bien vérifiera les mises à jour de la liste ici.Si le Client a une raison raisonnable de s’opposer à l’utilisation par SurveyMonkey d’un nouveau Sous-traitant secondaire ou d’un Sous-traitant secondaire de remplacement, le Client en informera SurveyMonkey rapidement par écrit et, en tout état de cause, dans les 30 jours suivant la réception d’une Notification de nouveau Sous-traitant secondaire.Dans le cas d’une telle objection raisonnable, le Client ou SurveyMonkey peut résilier la partie de tout Accord relatif aux Services qui ne peut pas être raisonnablement fournie sans le nouveau Sous-traitant secondaire faisant l’objet de l’objection (ce qui peut, à la discrétion et au choix de SurveyMonkey, impliquer la résiliation de l’ensemble de l’Accord) avec effet immédiat en fournissant une notification écrite à l’autre partie.Cette résiliation se fera sans droit de remboursement de tous les frais payés d’avance par le Client pour la période suivant la résiliation.

7.1 Mesures de sécurité.SurveyMonkey a, en prenant en compte l’état de l’art, le coût d’implémentation et la nature, l’étendue, le contexte et les objectifs des Services ainsi que le niveau de risque, mis en œuvre des mesures techniques et organisationnelles (conformément à l’Annexe 1) pour garantir un niveau de sécurité approprié au risque de traitement interdit ou illégal, à la perte accidentelle des Données client à caractère personnel et/ou aux dommages qui leur seraient causés.À intervalles raisonnables, SurveyMonkey teste et évalue l’efficacité de ces mesures techniques et organisationnelles afin de garantir la sécurité du traitement.

7.2 Notification de violation et d’incident de sécurité.Si SurveyMonkey a connaissance d’un accès non autorisé ou illégal ou d’une acquisition, altération, utilisation, divulgation ou destruction des Données client à caractère personnel (« Incident de sécurité »), SurveyMonkey prendra des mesures raisonnables pour en informer le Client sans délai excessif.Un Incident de sécurité ne comprend pas les tentatives infructueuses ou les activités qui ne compromettent pas la sécurité des Données personnelles, y compris les tentatives infructueuses de connexion, les pings, les balayages de ports, les attaques par déni de service ou autres attaques de réseau sur les pare-feu ou les systèmes en réseau.La notification d’un Incident de sécurité au client ne constitue pas une acceptation de responsabilité de la part de SurveyMonkey.

7.3 SurveyMonkey coopérera raisonnablement avec le Client en ce qui concerne toute investigation relative à un Incident de sécurité en préparant les avis nécessaires et en fournissant toutes autres informations raisonnablement demandées par le Client en rapport avec un Incident de sécurité.

8.1 Audits.Lorsque SurveyMonkey traite les Données client à caractère personnel pour le Client en tant que sous-traitant (uniquement), le Client fournira à SurveyMonkey un préavis écrit d’au moins un mois avant tout audit, qui peut être mené par le Client ou un auditeur indépendant nommé par le client (à condition qu’aucune personne réalisant l’audit ne soit ou n’agisse au nom d’un concurrent de SurveyMonkey) (« Auditeur »).La portée d’un audit sera la suivante :

(a) Le Client n’aura le droit de réaliser un audit qu’une fois par année d’abonnement, à moins qu’il ne soit contraint par la loi ou un organisme de réglementation ayant une autorité établie sur le Client de réaliser ou faciliter la réalisation de plus d’un audit au cours de cette année d’abonnement (auquel cas le Client et SurveyMonkey conviendront, avant la réalisation de ces audits, d’un taux de remboursement raisonnable des frais d’audit de SurveyMonkey).

(b) SurveyMonkey accepte, sous réserve de restrictions de confidentialité appropriées et raisonnables, de fournir des preuves des certifications et normes de conformité qu’elle maintient et fournira au Client à sa demande un résumé analytique des tests de pénétration annuels de SurveyMonkey les plus récents ; ce résumé devra contenir les actions correctives entreprises par SurveyMonkey suite à ces tests de pénétration.

(c) Les audits porteront uniquement sur les systèmes, procédures et documents de SurveyMonkey relatifs au traitement et à la protection des Données client à caractère personnel, et les Auditeurs les réaliseront sous réserve des restrictions de confidentialité appropriées et raisonnables demandées par SurveyMonkey.

(d) Le Client informera SurveyMonkey et lui communiquera dans les meilleurs délais et de façon confidentielle tous les détails relatifs à des problèmes de non-conformité ou de sécurité détectés pendant la conduite d’un audit.

8.2 Les parties acceptent que, sauf si un arrêté ou une mesure contraignante émanant d’une autorité de contrôle ou de régulation ayant autorité sur le Client exige qu’il en soit autrement, cette section 8 définisse l’entière portée des droits d’audit du Client opposables à SurveyMonkey.

9.1 Dans la mesure où cela est applicable, pour les transferts de Données personnelles du client depuis l’Espace économique européen (« EEE »), la Suisse ou le Royaume-Uni vers des lieux situés en dehors de l’EEE, la Suisse et le Royaume-Uni (soit directement, soit par transfert ultérieur) qui ne disposent pas de normes adéquates de protection des données telles que déterminées par la Commission européenne ou les Lois sur la protection des données pertinentes, SurveyMonkey s’appuie sur les éléments suivants :

(a) les SCC ; et

(b) pour les transferts soumis au RGPD britannique, l’Avenant pour le Royaume-Uni ; ou

(c) d’autres garanties appropriées, ou dérogations (dans la mesure où elles sont appropriées), spécifiées ou autorisées par la législation sur la protection des données. 

9.2 Le cas échéant, les parties signent les SCC (dont une copie est accessible ici) et l’Avenant pour le Royaume-Uni (Annexe 3). Les SCC sont incorporées dans le présent Accord par référence et s’appliquent comme suit : 

(a) lorsque le Client passe un contrat avec SurveyMonkey Inc. aux États-Unis dans le cadre de l’Accord sur les services et qu’il est un responsable du traitement des Données personnelles du client et que, par l’utilisation des Services, il transfère ces Données personnelles du client depuis l’EEE vers des lieux qui n’ont pas été déterminés comme offrant des niveaux adéquats de protection des Données personnelles par la Commission européenne, SurveyMonkey signe les SCC en tant qu’importateur de données et le Client signe les SCC en tant qu’exportateur de données et seul le Module 2 des SCC s’appliquera ; et/ou

(b) lorsque le Client passe un contrat avec SurveyMonkey Inc. aux États-Unis dans le cadre de l’Accord sur les services et qu’il est un sous-traitant des Données personnelles du client et que, par l’utilisation des Services, il transfère ces Données personnelles du client depuis l’EEE vers des lieux qui n’ont pas été déterminés comme offrant des niveaux adéquats de protection des Données personnelles par la Commission européenne, SurveyMonkey signe les SCC en tant qu’importateur de données et le Client signe les SCC en tant qu’exportateur de données et seul le Module 3 des SCC s’appliquera ; et/ou

(c) lorsque le Client n’est pas un résident de l’EEE et passe un contrat avec SurveyMonkey Europe UC pour le stockage des Données personnelles du client au sein de l’EEE dans le cadre de l’Accord sur les services et qu’il est un responsable du traitement des Données personnelles du client et que, par l’utilisation des Services, il transfère ces Données personnelles depuis l’EEE vers des lieux qui n’ont pas été déterminés comme offrant des niveaux adéquats de protection des Données personnelles par la Commission européenne, SurveyMonkey signe les SCC en tant qu’exportateur de données et le Client signe les SCC en tant qu’importateur de données et seul le Module 4 des SCC s’appliquera ; et

(d) dans la Clause 7, la clause de docking facultative s’appliquera ;

(d) dans la Clause 11, la langue facultative ne s’appliquera pas ;

(f) Dans la Clause 17, les SCC seront régies par la loi irlandaise ;

(g) dans la Clause 18, les litiges seront résolus devant les tribunaux d’Irlande ; et

(h) les Annexes I et II des SCC sont considérées complétées par les informations figurant dans l’Accord et les détails fournis dans les Annexes du présent ATD.

9.3 Pour les transferts qui sont protégés par la nLPD, les SCC s’appliquent conformément à l’article 9.2 ci-dessus, sauf :

(a) toute référence au RGPD dans les SCC doit être interprétée comme une référence à la nLPD ;  

(b) toute références aux lois de l’« UE », l’« Union » et des « états membres » doit être interprétée comme une référence aux lois suisses et  

(c) toute référence à l’« autorité de contrôle compétente » et aux « tribunaux compétents » doit être interprétée comme une référence à l’autorité de protection des données et aux tribunaux pertinents en Suisse sauf si les clauses contractuelles types, mises en œuvre conformément à ce qui est décrit ci-dessus, ne peuvent pas être utilisées pour transférer légalement de telles Données personnelles du Client conformément à la loi fédérale suisse sur la protection des données/nouvelle loi fédérale sur la protection des données, auquel cas les clauses contractuelles types suisses seront incorporées par référence et feront partie intégrante de cet Accord sur le traitement des données et s’appliqueront à de tels transferts. Aux fins des SCC suisses, les Annexes pertinentes des SCC suisses doivent être remplies avec les informations contenues dans les Annexes I et II de cet ATD (le cas échéant) et les dispositions d’interprétation définies dans la présente section 9.3 s’appliqueront (le cas échéant et dans la mesure où cela est nécessaire pour se conformer à la nLPD).

9.4 Sur demande écrite et conformément aux dispositions des Clauses contractuelles types ou de l’Avenant pour le Royaume-Uni (selon le cas), SurveyMonkey fournira au Client des copies des Clauses contractuelles types ou de l’Avenant pour le Royaume-Uni qu’il a conclus avec des importateurs de données en sa qualité de sous-traitant.

10.1 Responsabilité pour le traitement des données. La responsabilité globale respective des parties, que ce soit par contrat, délit civil (négligence comprise), non respect des dispositions législatives ou réglementaires ou de toute autre circonstance pour toutes réclamations découlant du présent ATD ou s'y rapportant, sera stipulée dans le présent Accord, sauf si convenu autrement par écrit par les parties.

10.2 Conflit. En cas de conflit ou d’ambiguïté entre : (i) les conditions du présent ATD et les conditions de l’Accord, en ce qui concerne l’objet du présent ATD, les conditions du présent ATD prévaudront ; (ii) les conditions de toute disposition contenue dans le présent ATD et toute disposition contenue dans les Clauses contractuelles types, la disposition des Clauses contractuelles Types prévaudra.

10.3 Traitement indépendant. Il est de la responsabilité exclusive du Client de se conformer à la législation sur la protection des données, en ce qui concerne tous les recueils et traitements indépendants de données personnelles sans rapport avec les Services.Le Client fournira ses propres avis de confidentialité clairs et visibles décrivant avec précision la manière dont il procède et SurveyMonkey ne sera pas responsable du traitement des données personnelles par le Client dans ces circonstances.Le Client indemnisera SurveyMonkey dans son intégralité pour toute réclamation ou responsabilité découlant du recueil et de l’utilisation de données personnelles par le Client dans ces circonstances.

10.4 Totalité de l'accord. L’Accord (qui comprend le présent ATD) et tout Bon de commande représentent l’intégralité de l'accord entre les parties et remplacent tous les autres accords ou conditions antérieurs ou contemporains, écrits ou oraux, portant sur son objet. Chacune des parties confirme qu’elle ne s’est pas fondée sur des déclarations non consignées dans l’Accord pour conclure l’Accord.

10.5 Dissociabilité. Si une disposition du présent ATD est jugée inapplicable par un tribunal compétent, la disposition en question est dissociée et les autres dispositions demeurent pleinement en vigueur. Rien dans le présent ATD n’est destiné à établir un partenariat ou une coentreprise entre les parties (ou ne doit être considéré comme tel), ni n’autorise une partie à prendre des engagements pour ou au nom d’une autre partie, sauf si cela est expressément prévu dans le présent document.

10.6 Exemplaire électronique. L’ATD est fourni sous la forme d’un document électronique.

10.7 Droit applicable. Le présent ATD est régi par les lois irlandaises et les parties se soumettent à la compétence exclusive des tribunaux irlandais (en ce qui concerne tous les litiges contractuels et non contractuels), sauf en cas d’infraction ou de violation présumée des lois, règlements, normes, orientations réglementaires et directives d’autorégulation actuelle ou future en matière de protection de la vie privée au niveau de l’État ou fédéral aux États-Unis d’Amérique, auquel cas les lois de l’État de Californie s’appliquent, sauf disposition contraire de la loi.

Description des mesures de sécurité techniques et organisationnelles mises en œuvre par SurveyMonkey

SurveyMonkey maintiendra des mesures de protection administratives, physiques et techniques appropriées (« Mesures de sécurité ») pour assurer la sécurité, la confidentialité et l’intégrité des données à caractère personnel qui lui sont fournies dans le cadre de la prestation des Services au Client.

Les Mesures de sécurité incluent ce qui suit : 

(a) Domaine : organisation de la sécurité des informations.

(i) Rôles et responsabilités en matière de sécurité. Le personnel SurveyMonkey ayant accès aux données est soumis à des obligations de confidentialité.

(ii) Programme de gestion des risques. Si nécessaire, SurveyMonkey réalise une évaluation des risques avant le traitement des données.

(b) Domaine : gestion des ressources.

(i) Traitement des ressources.

(1) SurveyMonkey dispose de procédures pour l’élimination des documents imprimés qui contiennent des Données client.

(2) SurveyMonkey maintient un inventaire de tout le matériel sur lequel sont stockées les Données client.

(3) SurveyMonkey classe les informations personnelles qu’elle traite pour les clients afin de les identifier et de permettre un accès restreint approprié (p. ex., via des noms d'utilisateur, des mots de passe et le chiffrement). 

(c) Domaine : sécurité au niveau des ressources humaines.

(i) Formation à la sécurité.

(1) SurveyMonkey informe son personnel des procédures de sécurité pertinentes et de leurs rôles respectifs.SurveyMonkey informe également son personnel des conséquences possibles d’une violation des règles et procédures de sécurité.

(d) Domaine : sécurité physique et environnementale.

(i) Accès physique aux sites.SurveyMonkey limite l’accès aux sites où se trouvent les systèmes d’information qui traitent les Données client aux personnes autorisées.

(ii) Protection contre les perturbations.SurveyMonkey utilise une variété de systèmes standard du secteur pour se protéger contre la perte de données due à une panne d’alimentation électrique ou à des interférences sur les lignes.

(iii) Suppression des composants.SurveyMonkey utilise des processus standard du secteur pour supprimer les Données client quand elles sont devenues inutiles.

(e) Domaine : gestion des communications et des opérations. 

(i) Politique opérationnelle. SurveyMonkey conserve des documents de sécurité décrivant ses mesures de sécurité et les procédures et responsabilités pertinentes de son personnel qui a accès aux Données client.

(ii) Procédures de récupération des données. 

(1) De façon régulière et continue, SurveyMonkey crée des copies de sauvegarde des Données client à partir desquelles les Données client peuvent être récupérées en cas de perte de l’exemplaire principal.

(2) SurveyMonkey stocke des copies des Données client et des procédures de récupération des données dans un endroit différent de celui où se trouve l’équipement informatique principal traitant les Données client.

(3) SurveyMonkey a mis en place des procédures spécifiques régissant l’accès aux copies des Données client.

(iii) Logiciels malveillants. SurveyMonkey dispose de contrôles de protection contre les logiciels malveillants pour éviter que des logiciels malveillants n’obtiennent un accès non autorisé aux Données client, y compris des logiciels malveillants provenant de réseaux publics.

(iv) Données « au-delà des frontières ». 

(1) SurveyMonkey chiffre les Données client qui sont transmises sur des réseaux publics.

(v) Consignation des événements.

(1) SurveyMonkey consigne toute utilisation de ses systèmes de traitement des données.

(2) SurveyMonkey consigne tout accès et toute utilisation des systèmes d’information contenant les Données client, et enregistre l’ID d’accès, l’horodatage et certaines activités pertinentes.

(f) Domaine : gestion des incidents liés à la sécurité des informations.

(i) Processus de réponse aux incidents. 

(1) SurveyMonkey dispose d’un plan de réponse aux incidents.

(2) SurveyMonkey tient un registre des violations de la sécurité avec une description de la violation, la période concernée, les conséquences de la violation, le nom de la personne ayant signalé la violation et le nom de la personne à qui elle a été signalée, ainsi que les mesures correctives, le cas échéant.

(g) Domaine : gestion de la continuité des activités.

(i) Le stockage redondant de SurveyMonkey et ses procédures de récupération des données sont conçus pour tenter de reconstituer les Données client dans leur état d’origine, avant le moment où elles ont été perdues ou détruites.

(h) Contrôle de l’accès aux zones de traitement.  Processus visant à empêcher les personnes non autorisées d’accéder à l’équipement de traitement des données (à savoir les téléphones, les serveurs de bases de données et d’applications et le matériel connexe) où les Données client à caractère personnel sont traitées ou utilisées, notamment : 

(i) mise en place de zones sécurisées ; 

(ii) protection et restriction des chemins d’accès ;

(iii) sécurisation des téléphones portables/cellulaires ;   

(iv) équipement de traitement des données et ordinateurs personnels ;

(v) tous les accès aux centres de données où sont hébergées les Données client à caractère personnel sont consignés, surveillés et suivis ;  

(vi) les centres de données où sont hébergées les Données client à caractère personnel sont protégés par un système d’alarme et d’autres mesures de sécurité appropriées ; et 

(vii) le site est conçu pour résister aux intempéries et à d’autres conditions naturelles raisonnablement prévisibles, il est protégé 24h/24 par des gardes, un système d’accès par carte-clé et/ou biométrique (en fonction du niveau de risque), un système de filtrage et un accès contrôlé par escorte, et il est également équipé de générateurs de secours en cas de panne d’électricité.

(i) Contrôle de l’accès aux systèmes de traitement des données. Processus visant à empêcher l’utilisation des systèmes de traitement des données par des personnes non autorisées, notamment :  

(i) identification du terminal et/ou de l’utilisateur du terminal auprès des systèmes de traitement des données ; 

(ii) déconnexion automatique au bout de 30 minutes ou moins du terminal de l’utilisateur s’il reste inactif, identification et mot de passe requis pour la reconnexion ;

(iii) émission et protection de codes d’identification ;  

(iv) exigences de complexité des mots de passe (longueur minimale, expiration, etc.) ; et

(v) protection contre les accès externes par le biais d’un pare-feu industriel standard.  

(j) Contrôle d’accès pour l’utilisation de parties spécifiques des systèmes de traitement de données. Mesures visant à garantir que les personnes habilitées à utiliser les systèmes de traitement des données ne peuvent accéder aux données que dans le cadre et dans la mesure couverts par leur permission d’accès (autorisation) respective et que les Données client à caractère personnel ne peuvent être lues, copiées, modifiées ou supprimées sans autorisation, notamment en :

(i) mettant en œuvre des politiques contraignantes à l’égard des employés et fournissant une formation concernant les droits d’accès de chaque employé aux Données client à caractère personnel ;

(ii) prenant des mesures disciplinaires efficaces et mesurées à l’encontre des personnes qui accèdent aux Données client à caractère personnel sans autorisation ; 

(iii) communiquant les données uniquement aux personnes autorisées ; 

(iv) mettant en œuvre les principes de l’accès le moins privilégié possible aux informations contenant des Données client à caractère personnel, en se basant strictement sur les exigences du « besoin de savoir » ;

(v) appliquant une gestion de l’accès aux réseaux de production et aux données régie par des contrôles via VPN, authentification à deux facteurs et accès en fonction du rôle ;

(vi) transmettant les informations relatives aux journaux des systèmes d’applications et d’infrastructures à un système de gestion centralisée des journaux à des fins de dépannage, d’examen de la sécurité et d’analyse ; et 

(vii) appliquant des politiques de contrôle de la conservation des copies de sauvegarde conformes aux lois applicables et adaptées à la nature des données en question et au risque correspondant.

(k) Contrôle des transmissions. Procédures visant à empêcher que les Données client à caractère personnel soient lues, copiées, modifiées ou supprimées par des parties non autorisées pendant leur transmission ou pendant le transport des supports de données et à garantir qu’il soit possible de vérifier et d’établir à quels organismes le transfert des Données client à caractère personnel au moyen d’installations de transmission de données est envisagé , notamment : 

(i) utilisation de pare-feu et de technologies de chiffrement pour protéger les passerelles et les pipelines par lesquels transitent les données ;

(ii) mise en place de connexions VPN pour protéger la connexion au réseau interne de l’entreprise ;

(iii) surveillance constante des infrastructures (par exemple ICMP-Ping au niveau du réseau, examen de l’espace disque au niveau du système, livraison réussie de pages de test spécifiées au niveau de l’application) ; et

(iv) contrôle de l’exhaustivité et de l’exactitude du transfert des données (vérification de bout en bout). 

(l) Contrôle du stockage. Lors du stockage des Données client à caractère personnel : elles seront sauvegardées dans le cadre d’un processus de sauvegarde et de récupération désigné sous forme chiffrée, en utilisant une solution de chiffrement prise en charge commercialement et toutes les données définies comme des Données client à caractère personnel stockées sur un dispositif informatique portable ou un support de stockage portable seront également chiffrées. Les solutions de chiffrement seront déployées avec au moins une clé de 128 bits pour le chiffrement symétrique et une clé de 1 024 bits (ou plus) pour le chiffrement asymétrique ;

(m) Contrôle d’introduction et de suppression des données. Mesures visant à garantir qu’il est possible de vérifier et d’établir si et par qui les Données client à caractère personnel ont été introduites dans les systèmes de traitement des données ou en ont été supprimées, notamment :

(i) authentification du personnel autorisé ;

(ii) mesures de protection pour l’introduction des données en mémoire, ainsi que pour la lecture, la modification et la suppression des données stockées ;

(iii) utilisation de codes utilisateur (mots de passe) ;

(iv) preuve établie au sein de l’organisation de l’importateur des données de l’autorisation de saisie ; et

(v) vérification du verrouillage des entrées des sites de traitement des données (les salles abritant le matériel informatique et les équipements connexes).

(n) Contrôle de disponibilité. Mesures visant à garantir que les Données client à caractère personnel sont protégées contre la destruction ou la perte accidentelle, notamment la redondance des infrastructures et des sauvegardes régulières effectuées sur les serveurs de base de données. 

(o) Segmentation du traitement. Procédures permettant de traiter séparément les données recueillies pour des finalités différentes, notamment :

(i) séparation des données par la sécurité des applications pour les utilisateurs appropriés ;

(ii) stockage des données, au niveau de la base de données, dans différentes tables, séparées par le module ou la fonction auxquelles elles s’appliquent ;

(iii) conception d’interfaces, de traitements par lots et de rapports destinés uniquement à des fins et des fonctions spécifiques, de sorte que les données recueillies à des fins spécifiques sont traitées séparément ; et

(iv) interdiction d’utiliser des données en temps réel à des fins de test, car seules des données factices générées à des fins de test peuvent être utilisées à cette fin.

(p) Programme de gestion des vulnérabilités. Programme visant à garantir que les systèmes sont régulièrement vérifiés pour détecter les vulnérabilités et que celles qui sont détectées sont immédiatement corrigées, notamment :

(i) analyses régulières de tous les réseaux, notamment les environnements de test et de production ; et 

(ii) tests de pénétration réguliers et correction rapide des vulnérabilités.

(q) Destruction des données. En cas d’expiration ou de résiliation de l’Accord par l’une ou l’autre des parties ou à la demande du Client après réception d’une demande d’une personne concernée ou d’un organisme de réglementation : 

(i) toutes les Données client seront détruites de manière sécurisée dans un délai de 3 mois ; et

(ii) toutes les Données client seront purgées de tous les dispositifs de stockage de SurveyMonkey et/ou de tiers, y compris les sauvegardes, dans les 6 mois suivant la résiliation du contrat ou la réception d’une demande du Client, sauf si SurveyMonkey est tenu par la loi de conserver une catégorie de données pendant une période plus longue.SurveyMonkey veillera à ce que toutes ces données qui ne sont plus nécessaires soient détruites à un niveau suffisant pour garantir qu’elles ne sont plus récupérables.

(r) Normes et certifications. Les solutions de stockage de données et/ou les sites disposent au moins des rapports SOC 1 (SSAE 16) ou SOC 2 (les certifications ou les niveaux de sécurité équivalents ou similaires seront examinés au cas par cas).

(s) Contrôle sur site. Lorsqu'ils sont présents sur place chez le client, tous les employés et sous-traitants (le cas échéant) se conformeront à toutes les règles, réglementations, pratiques et procédures raisonnables (y compris, sans s'y limiter, les dispositions relatives à la sécurité) généralement prescrites par le Client. Ils n'utiliseront les biens du client que dans les buts énoncés dans un accord et restitueront tous ces biens au client à la fin des services applicables.

(t) Stratégie en matière de qualité des données. SurveyMonkey met en œuvre une Stratégie en matière de qualité des données, conçue pour maintenir la qualité des données à un niveau approprié. SurveyMonkey rectifie les données lorsqu'elles s'avèrent incorrectes ou incomplètes par conception.  SurveyMonkey conserve les hachages cryptographiques de certaines données de production et des journaux de modifications des données de domaine afin que nous puissions surveiller et suivre les changements.  Nous avons mis en place des procédures permettant aux utilisateurs de corriger leurs informations personnelles, de faire cesser leur traitement et de corriger les problèmes liés aux données dans le système.

(i) SurveyMonkey collecte des informations exactes, pertinentes et complètes auprès des clients afin de permettre le bon fonctionnement de leur activité commerciale. 

(ii) SurveyMonkey maintient les données conformément aux politiques de cycle de vie de manière opportune, ce qui garantit un accès constant aux données. 

(iii) Les normes de qualité des données peuvent varier d’un client à l’autre, en fonction de leurs cas d’utilisation. 

(u) Confidentialité dès la conception. SurveyMonkey a mis en place des politiques et procédures pour garantir la protection des données dès leur conception.  Toutes les données dans le système sont limitées selon un accès approprié (par politique) et leur cycle de vie est maintenu par la politique.  Tous les systèmes connectés à la production utilisent par défaut la réduction et la pseudo-anonymisation des données, afin d'éviter les problèmes de confidentialité et de sécurité, plutôt que d'avoir à les résoudre ultérieurement.  

(i) Nous considérons les questions de protection des données comme partie intégrante de la conception et de la mise en œuvre de systèmes, services, produits et pratiques commerciales, et considérons la confidentialité des données comme une fonction essentielle de notre service. 

(ii) Nous anticipons les risques et événements pouvant porter atteinte à la vie privée et prenons des mesures pour éviter tout préjudice aux individus.

(iii) Nous ne traitons que les données personnelles dont nous avons besoin au regard de nos objectifs et nous utilisons ces données uniquement à ces fins. 

(iv) Nous veillons à ce que les données personnelles soient automatiquement protégées dans tous les systèmes, services, produits et/ou pratiques commerciales informatiques, de sorte que les individus n’aient pas à prendre de mesures particulières pour protéger leur vie privée.

(v) Nous offrons de solides paramètres de confidentialité par défaut, des options et contrôles conviviaux et respectons les préférences des utilisateurs.

(vi) Nous faisons appel à des sous-traitants qui fournissent des garanties suffisantes en matière de mesures techniques et organisationnelles mises en œuvre pour garantir la protection des données dès la conception. 

(vii) Lorsque nous utilisons d’autres systèmes, services ou produits dans nos activités de traitement, nous veillons à n’utiliser que des systèmes dont les concepteurs et les fabricants prennent en compte les questions de confidentialité des données. 

(v) Test de la sécurité des données. SurveyMonkey testera sa politique de sécurité des données au moins une fois par an, en faisant appel à un outil standard (BurpScanner par exemple), ou en faisant appel à un service ou consultant tiers certifié. 

(x) Stratégie de prévention de la perte de données. SurveyMonkey utilise la formation et l'enseignement comme stratégie de prévention de la perte de données.  L’accès aux données au sein du système est limité et réduit pour éviter que les utilisateurs aient un accès non nécessaire aux données.  Tous les utilisateurs sont tenus de signer des politiques relatives à l'accès approprié aux données des clients. Cela fait partie de la formation annuelle de remise à niveau sur la sécurité. 

(y) Mesures de sécurité techniques. SurveyMonkey est une entreprise de distribution répartie, et ne dispose donc d'aucun pare-feu d'entreprise interne ou de détecteur d'intrusion pour son réseau interne.  Tout accès aux ressources de l'entreprise doit s'effectuer via des canaux chiffrés.  Toutes les ressources de l’entreprise doivent être stockées dans des systèmes compatibles MFA. 

Finalité et nature du traitement des Données à caractère personnel, catégories de Données à caractère personnel, Personnes concernées 

Finalité et nature du traitementSurveyMonkey peut traiter les Données client à caractère personnel comme nécessaire pour exécuter techniquement les Services, y compris le cas échéant : •      Hébergement et stockage
•      Sauvegarde et récupération après incident
•      Amélioration technique du service
•      Gestion des modifications du service
•      Résolution des problèmes
•      Prestation de services chiffrés sécurisés
•      Déploiement de nouveaux ou nouvelles versions, correctifs, mises à jour et mises à niveau des produits ou des systèmes
•      Surveillance et tests de l’utilisation et de la performance des systèmes
•      Détection et suppression proactive des bugs
•      Sécurité informatique y compris la gestion des incidents
•      Maintenance et performances des systèmes d’assistance technique et des infrastructures informatiques
•      Migration, implémentation, configuration et tests des performances
•      Recommandations de produits
•      Prestation du service client, transfert des données
•      Assistance en cas de demande des Personnes concernées (le cas échéant)
Catégories de Données à caractère personnelLe Client peut envoyer des Données client à caractère personnel aux Services et peut demander aux participants du Client d’envoyer des données à caractère personnel aux Services, dont l’étendue est déterminée et contrôlée par le Client à sa seule discrétion et qui peuvent inclure, sans limitation : 

• Des Données à caractère personnel de tous types qui peuvent être envoyées par les participants du Client au Client via les utilisateurs des Services (par exemple via des sondages ou d’autres outils de feedback). Par exemple : le nom, la localisation géographique, l’âge, les coordonnées, l’adresse IP, la profession, le sexe, la situation financière, les préférences personnelles, les habitudes personnelles d’achat ou de consommation et autres préférences et données personnelles que le Client sollicite ou souhaite recueillir auprès de ses participants. 

• Des Données à caractère personnel de tous types qui peuvent être incluses à des formulaires et des sondages hébergés dans les Services pour le Client (des questions de sondage par exemple). 

• Les coordonnées et informations de facturation des employés, des utilisateurs finaux autorisés et des autres contacts professionnels du Client. Par exemple : nom, titre, employeur, coordonnées (entreprise, email, téléphone, adresse, etc.), informations de paiement et autres données relatives au compte.
•      Les participants du Client peuvent envoyer des catégories spéciales de Données à caractère personnel au Client via les Services, dont l’étendue est déterminée et contrôlée par le Client. Pour plus de clarté, ces catégories particulières de Données à caractère personnel peuvent inclure des informations révélant l’origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques, l’appartenance syndicale et le traitement de données concernant la santé ou la vie sexuelle.
Personnes concernées Les personnes concernées incluent :
•     les personnes physiques qui envoient des données à caractère personnel à SurveyMonkey par le biais des Services (via des sondages et des formulaires en ligne hébergés par SurveyMonkey pour le compte du Client) ;
•      les personnes physiques dont les données à caractère personnel peuvent être envoyées au Client par le biais des Services ;
•      les personnes physiques intervenant en tant qu’employés, représentants ou autres contacts commerciaux du Client ;
•      les utilisateurs du Client autorisés par ce dernier à accéder aux Services et à les utiliser.

ANNEXES POUR les clauses contractuelles types

ANNEXE I -

A. LISTE DES PARTIES

MODULE 2 : transfert du responsable du traitement au sous-traitant

MODULE 3 : transfert de sous-traitant à sous-traitant

MODULE 4 : transfert du sous-traitant au responsable du traitement

Exportateur(s) des données : comme spécifié dans cet Accord

Nom, poste et coordonnées du contact : comme spécifiés dans cet Accord

Activités liées aux données transférées dans le cadre de ces Clauses : comme spécifiées dans l’Annexe 2 de l’ATD

Importateur(s) des données : comme spécifié dans cet Accord

Nom : comme spécifié dans cet Accord

Nom, poste et coordonnées du contact : comme spécifiés dans cet Accord

Activités liées aux données transférées dans le cadre de ces Clauses : comme spécifiées dans l’Annexe 2 de l’ATD

B. DESCRIPTION DU TRANSFERT

MODULE 2 : transfert du responsable du traitement au sous-traitant

MODULE 3 : transfert de sous-traitant à sous-traitant

MODULE 4 : transfert du sous-traitant au responsable du traitement

Catégories des personnes concernées dont les données personnelles sont transférées : comme spécifiées dans l’Annexe 2 de l’ATD

Catégories de données personnelles transférées : comme spécifiées dans l’Annexe 2 de l’ATD

Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, comme par exemple une stricte limitation de la finalité, des restrictions d’accès (y compris l’accès réservé au personnel ayant suivi une formation spécialisée), la tenue d’un registre des accès aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires : comme spécifiées dans les Annexes 1 et 2 de l’ATD

La fréquence du transfert (par exemple, si les données sont transférées de manière ponctuelle ou continue) : ponctuel et continu (en fonction de l’utilisation des Services)

Nature du traitement : comme spécifiée dans l’Annexe 2 de l’ATD

Finalité du transfert de données et autre traitement : comme spécifiée dans l’Annexe 2 de l’ATD

La période pendant laquelle les données personnelles seront conservées ou, si cela n’est pas possible, les critères utilisés pour déterminer cette période : comme spécifié dans l’Accord et comme spécifié ici.

Pour les transferts à des sous-traitants (secondaires), préciser également l’objet, la nature et la durée du traitement : voir ici.

C. AUTORITÉ DE CONTRÔLE COMPÉTENTE

Identifier la ou les autorités de contrôle compétentes conformément à la Clause 13 : Irlande

ANNEXE II – MESURES TECHNIQUES ET ORGANISATIONNELLES COMME SPÉCIFIÉES DANS L’ANNEXE 1 DE L’ATD

ANNEXE III – LISTE DES SOUS-TRAITANTS

MODULE 2 : transfert du responsable du traitement au sous-traitant

MODULE 3 : transfert de sous-traitant à sous-traitant

MODULE 4 : transfert du sous-traitant au responsable du traitement des données. Le Client a autorisé l’utilisation des sous-traitants secondaires suivants : voir ici.

AVENANT POUR LE ROYAUME-UNI 

1. En ce qui concerne les transferts de données soumis au RGPD britannique, les parties concluent par les présentes l’Avenant pour le Royaume-Uni (dont une copie est disponible ici) et l’Avenant pour le R.-U. est intégré au présent Accord par référence. Pour les transferts de données régis par le RGPD britannique, toute référence à l’« autorité de contrôle compétente » ou aux « tribunaux compétents » doit être interprétée comme une référence à l’autorité de protection des données et aux tribunaux pertinents au Royaume-Uni. 

2. Les parties conviennent que le format et le contenu des tableaux de la partie 1 de l’Avenant pour le Royaume-Uni sont modifiés et remplacés par le tableau ci-dessous.

Tableaux de référence pour l’Avenant pour le Royaume-UniInformations pour remplir le tableau
Tableau 1 : date de débutÀ compter de la date d’entrée en vigueur de l’Accord.
Tableau 1 : détails des partiesSont considérés complétés par les informations figurant à l’Annexe 2 du présent Accord.
Tableau 2 : annexe aux SCC pour l’UELes parties sélectionnent l’option suivante dans le tableau 2 :

« SCC pour l’UE approuvées, notamment les informations des Annexes et avec seulement les modules, clauses ou dispositions facultatives suivants des SCC pour l’UE approuvées entrant en vigueur aux fins du présent Avenant ».

Détails des « modules », « clauses » et « dispositions facultatives » des SCC entrant en vigueur aux fins de l’Avenant pour le Royaume-Uni et définis ci-dessus dans la section 9.2 du présent Accord.
Tableau 3 : annexe 1A – Liste des partiesEst considérée complétée par les informations figurant à l’Annexe 2 du présent Accord.
Tableau 3 : annexe 1B – Description du transfertEst considérée complétée par les informations figurant à l’Annexe 2 du présent Accord.
Tableau 3 : annexe II – Mesures techniques et organisationnellesSont considérées complétées par les informations figurant à l’Annexe 1 du présent Accord.
Tableau 3 : annexe III - Liste des sous-traitants (Module 2)Une liste des sous-traitants secondaires est disponible conformément aux dispositions relatives aux sous-traitants secondaires de l’Accord.
Tableau 4 : résiliation de l’AvenantLes parties décident qu’aucune des parties ne peut résilier l’Avenant pour le Royaume-Uni car il est incorporé à l’Accord.

3. En cas de conflit ou d’incohérence entre le présent Accord et l’Avenant pour le Royaume-Uni, l’Avenant pour le Royaume-Uni prévaut sur le conflit ou l’incohérence en question.