Avis de traduction : Ce document a été traduit depuis l’anglais par souci de commodité et d’accessibilité. Dans la mesure permise par la loi applicable, la version en langue anglaise constitue la version faisant foi et prévaudra en cas de conflit, d’incohérence, d’ambiguïté ou de différence d’interprétation.
Le présent Data Processing Agreement (« DPA »), y compris ses schedules et annexes, fait partie de l’Accord entre Rochen Limited (« Rochen ») et le Client pour la fourniture des Services.
Le présent DPA s’applique lorsque et dans la mesure où Rochen traite des Données personnelles du Client pour le compte du Client en lien avec les Services. Les Conditions de service de Rochen (« TOS ») incorporent le présent DPA par référence.
Les termes commençant par une majuscule définis dans le présent DPA s’appliquent aux fins du présent DPA. Les termes commençant par une majuscule utilisés mais non définis dans le présent DPA ont la signification qui leur est donnée dans les TOS.
Le présent DPA est conclu entre :
Rochen Limited (« Rochen »), une société constituée en Écosse, Royaume-Uni, portant le numéro d’immatriculation SC242971 et ayant son siège social au 11 Dudhope Terrace, Dundee, DD3 6TS, Royaume-Uni, pour son propre compte et pour le compte de ses Affiliées participant à la fourniture des Services, y compris Rochen US, Inc. ; et
Client, la personne ou l’entité qui a conclu un accord avec Rochen pour les Services.
Rochen et le Client sont chacun une « partie » et ensemble les « parties ».
Dans le présent DPA :
Affiliée désigne toute entité qui contrôle directement ou indirectement une partie, est contrôlée par une partie, ou est sous contrôle commun avec une partie.
Accord désigne les Conditions de service de Rochen, ainsi que toute commande applicable, tout accord de service ou autre accord écrit ou électronique entre le Client et Rochen régissant l’utilisation des Services par le Client, y compris tout document incorporé par référence, tel que la Politique d’utilisation acceptable de Rochen et les autres politiques applicables.
Lois applicables sur la protection des données désigne l’ensemble des lois relatives à la protection des données et à la vie privée applicables au traitement des Données personnelles du Client au titre de l’Accord, y compris, le cas échéant, le UK GDPR, la loi britannique Data Protection Act 2018, l’EU GDPR, les lois nationales de mise en œuvre applicables de l’Espace économique européen, la Loi fédérale suisse sur la protection des données et d’autres lois similaires relatives à la protection des données.
Données personnelles a la signification qui lui est donnée dans les Lois applicables sur la protection des données.
Données personnelles du Client désigne les Données personnelles que Rochen traite pour le compte du Client en lien avec les Services, y compris les Données personnelles téléversées, soumises, stockées, transmises ou autrement mises à disposition par le Client ou pour son compte au moyen des Services.
Données de relation client désigne les Données personnelles traitées par Rochen en qualité de responsable du traitement indépendant en lien avec l’administration du compte, la facturation, les paiements, le support, la sécurité et le fonctionnement de la relation client, et non les Données personnelles du Client traitées pour le compte du Client au moyen des Services.
Applications du Client désigne toute application, site web, logiciel, code, base de données ou autre composant déployé, hébergé ou exploité par le Client ou pour son compte au moyen des Services, y compris les contenus et configurations associés.
Personne concernée, Violation de données personnelles, traiter, traitement, responsable du traitement, sous-traitant et autorité de contrôle ont la signification qui leur est donnée dans les Lois applicables sur la protection des données.
Transfert restreint désigne un transfert de Données personnelles soumis à des restrictions de transfert en vertu des Lois applicables sur la protection des données.
Services désigne tout service fourni par Rochen au titre de l’Accord, y compris l’hébergement web, l’hébergement cloud infogéré, les serveurs, le calcul, le stockage, l’enregistrement de domaines, le réseau de diffusion de contenu (CDN), le DNS, les sauvegardes, la sécurité, l’hébergement d’applications, l’hébergement e-mail, l’hébergement de bases de données, les certificats SSL, le support technique, la migration, les services professionnels et les services connexes.
Sous-traitant ultérieur désigne tout tiers, y compris les Affiliées de Rochen, engagé par Rochen pour traiter des Données personnelles du Client pour le compte du Client en lien avec les Services.
UK GDPR désigne la version du Règlement général sur la protection des données retenue en droit britannique.
EU GDPR désigne le Règlement (UE) 2016/679.
3.1 Le présent DPA s’applique uniquement dans la mesure où Rochen traite des Données personnelles du Client en qualité de sous-traitant ou de sous-traitant ultérieur pour le compte du Client en lien avec les Services.
3.2 Le Client agit en qualité de responsable du traitement, ou en qualité de sous-traitant pour le compte d’un responsable du traitement tiers. Rochen agit en qualité de sous-traitant, ou de sous-traitant ultérieur lorsque le Client agit en qualité de sous-traitant.
3.3 Rochen traite certaines Données personnelles en qualité de responsable du traitement indépendant. Cela comprend les données d’inscription au compte, les données de facturation et de paiement, les communications de support, les métadonnées d’utilisation du service, les données liées aux abus et à la sécurité, ainsi que d’autres données administratives ou opérationnelles relatives à la relation client (« Données de relation client »). Par souci de clarté, les Données de relation client n’incluent pas les données stockées, hébergées ou traitées par le Client au moyen des Services, lesquelles demeurent des Données personnelles du Client. Lorsque les communications de support incluent des Données personnelles du Client soumises par le Client ou pour son compte aux fins de recevoir un support, Rochen traitera ces Données personnelles du Client conformément au présent DPA.
3.4 Le traitement des Données de relation client est régi par l’Avis de confidentialité de Rochen et non par le présent DPA.
3.5 En cas de conflit entre le présent DPA et l’Accord, le présent DPA prévaut concernant le traitement des Données personnelles du Client. En cas de conflit entre le présent DPA et les Clauses contractuelles types ou l’Addendum britannique, les Clauses contractuelles types ou l’Addendum britannique prévaudront dans la mesure du conflit.
3.6 Le présent DPA est destiné à s’appliquer à l’échelle mondiale. Lorsque des lois autres que le UK GDPR ou l’EU GDPR s’appliquent, y compris les lois des États-Unis, du Canada, du Brésil, de l’Inde ou d’autres juridictions, les parties conviennent que le présent DPA sera interprété et appliqué de manière à satisfaire aux exigences de ces lois dans la mesure applicable.
3.7 Dans la mesure applicable en vertu des lois américaines relatives à la vie privée, y compris le California Consumer Privacy Act (CCPA) et le California Privacy Rights Act (CPRA), le Client est une « business » ou un « controller » et Rochen est un « service provider » ou un « processor ». Rochen ne vendra ni ne partagera les Données personnelles du Client au sens de ces termes dans les lois applicables des États américains relatives à la vie privée, sauf dans la mesure autorisée par ces lois.
4.1 Rochen traitera les Données personnelles du Client uniquement sur instructions documentées du Client, sauf si la loi applicable l’exige. L’Accord, le présent DPA, l’utilisation et la configuration des Services par le Client, ainsi que les instructions du Client fournies via le portail My Rochen, les canaux de support ou tout autre moyen convenu constituent les instructions documentées du Client.
4.2 Rochen n’est pas tenue d’évaluer ou de surveiller la légalité de l’utilisation des Services ou des instructions du Client, sauf dans la mesure exigée par les Lois applicables sur la protection des données. Rochen informera le Client si, selon l’avis raisonnable de Rochen et sur la base des informations dont elle dispose, une instruction enfreint manifestement les Lois applicables sur la protection des données, sauf si la loi lui interdit de le faire.
4.3 Le Client est responsable de s’assurer que ses instructions sont licites et qu’il a fourni tous les avis requis et obtenu tous les droits, autorisations et bases légales nécessaires au traitement des Données personnelles du Client au moyen des Services.
5.1 Rochen traite les Données personnelles du Client afin de fournir, sécuriser, prendre en charge, maintenir, surveiller, améliorer et dépanner les Services ; effectuer des sauvegardes et restaurations ; prévenir les abus et incidents de sécurité ; se conformer aux instructions du Client ; et tel qu’autrement décrit dans l’Accord et le présent DPA.
5.2 Les détails relatifs à l’objet, la durée, la nature et la finalité du traitement, les types de Données personnelles et les catégories de Personnes concernées sont énoncés à l’Annexe 1.
6.1 Le Client est responsable de :
6.2 Par souci de clarté, le Client est seul responsable de la sécurité, de la configuration, des mises à jour, des correctifs, de la suppression et de la gestion des Applications du Client hébergées ou traitées au moyen des Services, y compris toute Donnée personnelle du Client traitée par ou dans les Applications du Client. Cette responsabilité s’applique même lorsque les Applications du Client sont installées, configurées, migrées, mises à jour ou autrement assistées au moyen d’outils, de fonctionnalités ou d’un support fournis par Rochen dans le cadre des Services, sauf disposition expresse contraire de l’Accord.
6.3 Le Client reconnaît que Rochen ne contrôle pas les catégories ou le volume de Données personnelles du Client que le Client choisit de téléverser, stocker, transmettre ou autrement traiter au moyen des Services.
Rochen veillera à ce que le personnel autorisé à traiter les Données personnelles du Client soit soumis à des obligations de confidentialité appropriées, qu’elles soient contractuelles, légales ou professionnelles, et à ce qu’il traite les Données personnelles du Client uniquement dans la mesure nécessaire pour fournir les Services ou autrement permise par le présent DPA.
8.1 Rochen mettra en œuvre et maintiendra des mesures techniques et organisationnelles appropriées conçues pour protéger les Données personnelles du Client contre la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé, de manière accidentelle ou illicite.
8.2 Les mesures tiendront compte de la nature, de la portée, du contexte et des finalités du traitement, des risques présentés par le traitement, de l’état de l’art, des coûts de mise en œuvre et de la nature des Services.
8.3 Les mesures de sécurité de Rochen comprennent, selon leur applicabilité aux Services et dans la limite de l’infrastructure et de la plateforme gérées par Rochen :
8.4 Par souci de clarté, les mesures de sécurité de Rochen ne s’étendent pas aux Applications du Client. Rochen n’effectue pas de tests de sécurité au niveau applicatif, y compris l’analyse des vulnérabilités ou les tests d’intrusion des Applications du Client, sauf disposition expresse contraire de l’Accord.
8.5 Des détails supplémentaires sont énoncés à l’Annexe 2.
9.1 Rochen notifiera le Client sans retard indu après avoir pris connaissance d’une Violation de données personnelles confirmée affectant les Données personnelles du Client.
9.2 La notification de Rochen comprendra, dans la mesure raisonnablement disponible, des informations destinées à aider le Client à satisfaire à ses propres obligations de notification de violation, y compris la nature de l’incident, les catégories et le nombre approximatif de Personnes concernées et d’enregistrements affectés lorsque connus, les conséquences probables, ainsi que les mesures prises ou proposées pour remédier à l’incident.
9.3 La notification ou la réponse de Rochen à une Violation de données personnelles ne constitue pas une reconnaissance de faute ou de responsabilité.
9.4 Le Client est responsable de déterminer si une Violation de données personnelles doit être notifiée à une autorité de contrôle, aux Personnes concernées ou à toute autre partie, sauf si les Lois applicables sur la protection des données exigent que Rochen notifie directement.
10.1 Le Client donne à Rochen une autorisation générale d’engager des Sous-traitants ultérieurs pour traiter les Données personnelles du Client en lien avec les Services.
10.2 Rochen maintiendra une liste des Sous-traitants ultérieurs à l’adresse https://rochen.com/legal/subprocessors. La liste identifiera le Sous-traitant ultérieur, la finalité du traitement, l’emplacement de l’entité et, le cas échéant, le lieu du traitement. La même page peut également identifier d’autres fournisseurs tiers utilisés par Rochen en lien avec les Données de relation client, les opérations commerciales, la facturation, les communications, la prévention de la fraude, l’analytique, le marketing ou tout autre traitement côté responsable du traitement décrit dans l’Avis de confidentialité de Rochen.
10.3 Rochen imposera à chaque Sous-traitant ultérieur des obligations écrites de protection des données qui ne sont pas, en substance, moins protectrices que celles imposées à Rochen en vertu du présent DPA, dans la mesure applicable à la nature des services fournis par le Sous-traitant ultérieur.
10.4 Rochen demeure responsable envers le Client de l’exécution des obligations de ses Sous-traitants ultérieurs dans la mesure exigée par les Lois applicables sur la protection des données.
10.5 Rochen fournira un avis concernant les nouveaux Sous-traitants ultérieurs ou les Sous-traitants ultérieurs de remplacement en mettant à jour la liste des Sous-traitants ultérieurs ou par une autre méthode appropriée. Lorsque cela est raisonnablement possible, cet avis sera fourni avant le changement. Le Client peut s’opposer à un nouveau Sous-traitant ultérieur ou à un Sous-traitant ultérieur de remplacement pour des motifs raisonnables liés à la protection des données en notifiant Rochen par écrit dans les 30 jours suivant l’avis. Les parties travailleront de bonne foi pour résoudre l’objection. Si les parties ne parviennent pas à résoudre l’objection, le Client peut résilier les Services concernés, et Rochen remboursera les frais prépayés pour la partie non utilisée des Services résiliés, sauf disposition contraire de l’Accord.
11.1 Le Client peut sélectionner la région du centre de données pour chaque site web ou service lorsque la sélection de région est disponible. Rochen propose actuellement des régions d’hébergement aux États-Unis, au Canada, au Royaume-Uni, en Allemagne, en Australie, en Inde et au Brésil, sous réserve de disponibilité et de configuration du service.
11.2 Le Client reconnaît que certains Services, y compris la diffusion de contenu, le DNS, la sécurité, la surveillance, le support, le routage e-mail, l’administration à distance, la facturation, la prévention de la fraude, les sauvegardes, le stockage de sauvegardes hors site, la reprise après sinistre et d’autres fonctions opérationnelles, peuvent impliquer un traitement ou un accès depuis des lieux situés en dehors de la région d’hébergement sélectionnée.
11.3 Le personnel et les Affiliées de Rochen peuvent traiter des Données personnelles du Client depuis le Royaume-Uni, les États-Unis, le Canada, le Brésil, l’Inde et d’autres lieux où Rochen ou ses Sous-traitants ultérieurs approuvés opèrent, dans la mesure nécessaire pour fournir, prendre en charge, sécuriser et maintenir les Services.
11.4 Pour les Transferts restreints soumis à l’EU GDPR, les parties conviennent que les Clauses contractuelles types adoptées par la Décision d’exécution (UE) 2021/914 de la Commission (les « Clauses contractuelles types ») sont incorporées par référence dans le présent DPA et s’appliquent comme suit :
11.5 Pour les Transferts restreints soumis au UK GDPR, les parties conviennent que l’Addendum international de transfert de données du Royaume-Uni aux Clauses contractuelles types de l’UE s’applique comme indiqué à l’Annexe 4.
11.6 Pour les transferts depuis la Suisse, les parties conviennent que les Clauses contractuelles types s’appliquent avec les modifications spécifiques suisses appropriées.
11.7 Lorsqu’une décision d’adéquation ou un autre mécanisme de transfert licite s’applique, Rochen peut se fonder sur ce mécanisme à la place ou en complément des Clauses contractuelles types ou de l’Addendum britannique.
11.8 Rochen prendra des mesures raisonnables conçues pour garantir que les transferts internationaux de Données personnelles du Client soient protégés conformément aux Lois applicables sur la protection des données dans toutes les juridictions où les Services sont fournis, y compris les États-Unis et le Canada.
12.1 Compte tenu de la nature du traitement, Rochen fournira une assistance raisonnable au Client, au moyen de mesures techniques et organisationnelles appropriées, afin d’aider le Client à répondre aux demandes des Personnes concernées en vertu des Lois applicables sur la protection des données.
12.2 Si Rochen reçoit une demande d’une Personne concernée relative aux Données personnelles du Client, Rochen dirigera, sauf interdiction légale, la Personne concernée vers le Client ou notifiera le Client. Rochen ne répondra pas à la demande sauf sur instructions documentées du Client ou si la loi l’exige.
12.3 Le Client est responsable d’utiliser les contrôles disponibles dans les Services pour accéder, corriger, exporter, supprimer ou restreindre les Données personnelles du Client lorsque ces contrôles sont disponibles.
Compte tenu de la nature du traitement et des informations dont dispose Rochen, Rochen fournira une assistance raisonnable au Client concernant les obligations du Client relatives à la sécurité, à la notification des violations, aux analyses d’impact relatives à la protection des données et à la consultation préalable des autorités de contrôle, dans la mesure exigée par les Lois applicables sur la protection des données et lorsque le Client n’a pas autrement accès aux informations pertinentes.
Cette assistance sera fournie sur une base raisonnable. Dans la mesure où cette assistance nécessite des ressources ou efforts supplémentaires importants au-delà de la fourniture standard des Services, Rochen peut facturer cette assistance au Client à ses tarifs standard.
14.1 Pendant la durée des Services, le Client peut accéder, exporter, modifier et supprimer les Données personnelles du Client au moyen des outils et protocoles mis à disposition via les Services.
14.2 À la résiliation ou à l’expiration des Services, Rochen supprimera ou retournera les Données personnelles du Client conformément à l’Accord, à la configuration du service applicable et aux instructions documentées du Client, sauf si la loi applicable exige leur conservation.
14.3 Le Client reconnaît que les Données personnelles du Client supprimées peuvent demeurer dans les sauvegardes pendant une période limitée jusqu’à leur écrasement ou suppression conformément au cycle de vie des sauvegardes de Rochen. Les données de sauvegarde sont isolées du traitement ordinaire et ne sont pas restaurées sauf dans le cadre de processus de restauration de sauvegarde, de continuité des activités, de sécurité ou de conformité légale.
15.1 Rochen mettra à disposition les informations raisonnablement nécessaires pour démontrer la conformité au présent DPA et aux Lois applicables sur la protection des données.
15.2 Le Client peut demander un audit au plus une fois par année civile, sauf si une autorité de contrôle l’exige ou à la suite d’une Violation de données personnelles confirmée affectant les Données personnelles du Client. Tout audit doit être soumis à des exigences raisonnables de confidentialité, de sécurité, de calendrier et de portée, et ne doit pas interférer de manière déraisonnable avec les activités commerciales de Rochen.
15.3 Rochen peut satisfaire aux obligations d’audit en fournissant des certifications de tiers pertinentes, rapports d’audit, résumés, politiques, questionnaires ou autres documents démontrant la conformité, le cas échéant.
15.4 Les audits seront réalisés principalement par la fourniture de documents et par des moyens à distance. Les audits sur site ne sont pas autorisés sauf lorsque les Lois applicables sur la protection des données l’exigent et lorsqu’aucune alternative raisonnable n’est disponible.
15.5 Le Client est responsable des coûts raisonnables engagés par Rochen pour soutenir les audits, y compris le temps, les ressources et tout coût de tiers, sauf si cet audit est requis en raison d’une violation du présent DPA ou des Lois applicables sur la protection des données par Rochen.
16.1 Si Rochen reçoit une demande juridiquement contraignante d’une autorité publique portant sur des Données personnelles du Client, Rochen notifiera le Client et dirigera l’autorité requérante vers le Client, sauf interdiction légale.
16.2 Rochen examinera ces demandes et les contestera ou les restreindra lorsque Rochen détermine raisonnablement que la demande est illicite, trop large ou autrement inappropriée, en tenant compte des circonstances et du droit applicable.
17.1 Rochen peut fournir les Services par l’intermédiaire d’Affiliées de Rochen, y compris Rochen US, Inc. Lorsqu’une Affiliée de Rochen traite des Données personnelles du Client pour le compte du Client, Rochen veillera à ce que l’Affiliée soit liée par des obligations cohérentes avec le présent DPA.
17.2 Rochen demeure responsable de la performance des Affiliées de Rochen au titre du présent DPA dans la mesure exigée par les Lois applicables sur la protection des données.
La responsabilité de chaque partie au titre du présent DPA est soumise aux limitations et exclusions de responsabilité prévues dans l’Accord, sauf dans la mesure interdite par les Lois applicables sur la protection des données ou les Clauses contractuelles types.
Le présent DPA commence lorsque le Client accepte l’Accord ou commence à utiliser les Services et se poursuit jusqu’à ce que Rochen ne traite plus de Données personnelles du Client pour le compte du Client.
Rochen peut mettre à jour le présent DPA de temps à autre afin de refléter les modifications de la loi, des orientations réglementaires, des Services ou des activités de traitement de Rochen. Rochen notifiera les modifications importantes par des moyens appropriés, tels que la publication d’une version mise à jour sur son site web, par e-mail ou par notification via le portail client.
Rochen traitera les Données personnelles du Client dans la mesure nécessaire pour fournir, prendre en charge, sécuriser, maintenir, administrer et améliorer les Services au titre de l’Accord, y compris le support technique connexe et les demandes des clients, et tel qu’autrement instruit par le Client par son utilisation des Services.
Pendant la durée de l’Accord et toute période pendant laquelle Rochen traite des Données personnelles du Client dans le cadre de la conservation des sauvegardes, de la clôture de compte, de la conformité légale, de la résolution des litiges ou d’autres finalités licites permises par l’Accord et les Lois applicables sur la protection des données.
Rochen traite les Données personnelles du Client dans la mesure nécessaire pour fournir, prendre en charge, sécuriser, maintenir, administrer et améliorer les Services au titre de l’Accord, et tel qu’autrement instruit par le Client par son utilisation des Services.
Cela inclut, le cas échéant :
Le Client détermine les catégories de Personnes concernées. Elles peuvent inclure :
Le Client détermine les catégories de Données personnelles. Elles peuvent inclure :
Les Services ne sont pas spécifiquement conçus pour traiter des catégories particulières de Données personnelles, des données relatives à des infractions pénales, des informations de santé protégées, des données de cartes de paiement stockées par le Client ou des données de sensibilité similaire, sauf si l’Accord en dispose autrement ou sauf si le Client a configuré les Services et ses propres applications pour satisfaire aux exigences légales et de sécurité applicables.
Continue pendant la durée des Services.
Le Client peut choisir la région d’hébergement pour chaque site web ou service lorsque la sélection de région est disponible. Certains traitements peuvent néanmoins avoir lieu en dehors de la région d’hébergement sélectionnée, y compris l’accès au support, l’administration du compte, la surveillance de sécurité, la diffusion de contenu, le DNS, le routage e-mail, le traitement des paiements, la prévention de la fraude, les sauvegardes, le stockage de sauvegardes hors site, la reprise après sinistre et d’autres traitements opérationnels.
Rochen maintient des mesures techniques et organisationnelles adaptées à la nature des Services, y compris le cas échéant :
Rochen engage des Sous-traitants ultérieurs pour fournir certains aspects des Services.
Rochen maintient une liste à jour des Sous-traitants ultérieurs, y compris leur identité, leur finalité et leur localisation, à l’adresse : https://www.rochen.com/legal/subprocessors
Cette liste peut être mise à jour de temps à autre conformément à la Section 10 du présent DPA.
La présente Annexe 3 fait partie des informations requises en vertu des Lois applicables sur la protection des données et, le cas échéant, des Clauses contractuelles types.
La présente Annexe 4 fait partie du Data Processing Agreement (DPA) et s’applique aux Transferts restreints soumis au UK GDPR.
Les parties conviennent que l’Addendum international de transfert de données du Royaume-Uni (« Addendum britannique »), version B1.0 émise par l’Information Commissioner’s Office du Royaume-Uni et en vigueur au 21 mars 2022, est incorporé au présent DPA et s’applique aux Clauses contractuelles types de l’UE (« EU SCCs ») telles que complétées ci-dessous.
Les coordonnées des parties, y compris les informations de contact, sont énoncées dans l’Accord et le présent DPA. Les Affiliées de Rochen et les Sous-traitants ultérieurs approuvés peuvent participer au traitement tel que décrit dans le présent DPA.
Chaque partie peut mettre fin au présent Addendum britannique conformément à la Section 19 de l’Addendum britannique.
En cas de conflit entre la présente Annexe 4 et les EU SCCs ou l’Addendum britannique, les EU SCCs et l’Addendum britannique prévaudront dans la mesure du conflit.
La présente Annexe 4 fait partie des garanties applicables aux Transferts restreints en vertu des Lois applicables sur la protection des données.
Dernière mise à jour : 29 avril 2026