Le présent addendum relatif au traitement des données, y compris les clauses contractuelles types, le cas échéant (« DPA »), est conclu entre Asana, Inc. (« Asana ») et l'entité identifiée dans l'Accord (« Client ») (ci-après dénommés individuellement une « Partie » et collectivement les « Parties »). Le présent DPA est incorporé par référence dans l'accord d'abonnement applicable régissant l'utilisation du Service (l' « Accord ») entre les Parties. Tous les termes en majuscules utilisés dans le présent DPA, mais non définis, auront la signification énoncée dans l'Accord. En cas de conflit ou d'incohérence entre le présent DPA, tout accord de traitement des données précédemment signé et les conditions restantes de l'Accord, le présent DPA prévaudra.
Le présent DPA définit les conditions qui s'appliquent lorsqu'Asana traite des données personnelles en vertu de l'Accord. L'objectif du DPA est de garantir que les données sont traitées conformément aux lois applicables, dans le respect des droits des individus dont les données personnelles sont traitées dans le cadre du présent Accord.
« Loi(s) applicable(s) » désigne toutes les lois, réglementations et autres exigences légales ou réglementaires applicables dans toute juridiction relatives à la confidentialité, la protection des données, la sécurité ou le traitement des données personnelles, y compris, mais sans s'y limiter, (i) la California Consumer Privacy Act, Cal. Civ. Code § 1798.100 et suivants (« CCPA » et la California Privacy Rights Act subséquente de 2020 « CPRA »), (ii) le règlement général sur la protection des données, le règlement (UE) 2016/679 (« RGPD »), (iii) en ce qui concerne le Royaume-Uni, le Data Protection Act 2018 (« DPA britannique 2018 ») et le RGPD tels qu’enregistrés dans le droit britannique en vertu de la section 3 du United Kingdom’s European Union (Withdrawal) Act 2018 (le « RGPD britannique »), (iv) la loi fédérale suisse sur la protection des données (« Loi suisse sur la protection des données ») et (v) la loi sur la protection des données personnelles (« APPI »). Pour éviter toute ambiguïté, si les activités de traitement d’Asana impliquant des données personnelles n’entrent pas dans le champ d’application d’une loi applicable, cette loi n’est pas applicable aux fins du présent DPA.
« Asana » : Asana, Inc, société constituée dans l'État du Delaware (États-Unis), ainsi que ses sociétés affiliées.
« contrôleur des données », « opérateur commercial », « données personnelles », « traiter », « traitement », « responsable du traitement », et « personne concernée » auront les mêmes significations que celles définies par la loi applicable. D'autres termes pertinents tels que « Business », « objectif commercial », « consommateur », « données personnelles », « vente » (y compris les termes « vendre », « vendant », « vendu » et d'autres variantes de ceux-ci), « fournisseur de services », « partager » ou « partage » à des fins de « publicité comportementale inter-contexte » et « tiers » ont la signification donnée à ces termes en vertu de la loi applicable.
« Données personnelles du Client » désigne les données personnelles, les informations personnelles ou les informations personnellement identifiables que le Client téléverse ou saisit d'une autre manière dans le Service et qui sont traitées dans le cadre de la fourniture du Service en vertu de l'Accord par Asana pour le compte du Client. Sauf accord contraire écrit, les Données personnelles du Client traitées conformément au Contrat excluent explicitement les Données restreintes.
« Principes de confidentialité des données » désigne les principes du cadre de confidentialité des données (tels que complétés par les principes supplémentaires).
« Cadres de protection des données » désigne le Cadre de protection des données UE-États-Unis (« CPD UE-États-Unis »), le Cadre de protection des données Suisse-États-Unis (« CPD Suisse-États-Unis ») et l'Extension britannique du CPD UE-États-Unis (« Extension britannique ») tels qu'administrés par le service du commerce des États-Unis.
« EEE » désigne l'Espace économique européen, qui comprend les États membres de l'Union européenne, ainsi que la Norvège, l'Islande et le Liechtenstein.
« Données restreintes » désigne les données personnelles qui peuvent être classées comme « catégories spéciales de données » en vertu des Lois applicables, y compris, mais sans s'y limiter, les numéros de sécurité sociale, les numéros de comptes financiers, les informations de carte de crédit ou les informations relatives à la santé.
« Transfert restreint » désigne : (i) lorsque le RGPD s'applique, un transfert de données personnelles en provenance d'un pays de l'EEE vers un pays situé en dehors de l'EEE qui ne fait pas l'objet d'une décision d'adéquation de la part de la Commission européenne ; (ii) lorsque le RGPD britannique s'applique, un transfert de données personnelles en provenance du Royaume-Uni vers tout autre pays qui ne fait pas l'objet d'une réglementation d'adéquation adoptée conformément à la section 17A de la DPA britannique 2018 ; et (iii) lorsque la loi fédérale suisse sur la protection des données personnelles s'applique, un transfert de données personnelles vers un pays situé en dehors de la Suisse, qui ne figure pas sur la liste des juridictions compétentes publiée par le Commissaire fédéral à la protection des données et à l'information en Suisse.
« Incident de sécurité » désigne toute violation de sécurité confirmée qui entraîne la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès, accidentels ou illicites, aux données personnelles du client traitées par Asana et/ou ses sous-traitants dans le cadre de la fourniture du service.
« Clauses contractuelles types » désigne (i) lorsque le RGPD s'applique, les clauses contractuelles types annexées à la décision d'exécution 2021/914 de la Commission européenne du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil européen (disponible à partir de juin 2021 https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj), (les « CCP de l'UE ») ; (ii) lorsque le RGPD britannique s'applique, les clauses types applicables en matière de protection des données adoptées conformément à l'article 46(2)(c) ou (d) du RGPD britannique, y compris les clauses types en matière de protection des données émises par le Commissaire en vertu de la section 119A(1) de la DPA britannique 2018, telle que révisée de temps à autre (« Addendum britannique ») ; et (iii) lorsque la loi fédérale suisse sur la protection des données personnelles s'applique, les clauses types applicables en matière de protection des données émises, approuvées ou reconnues par le Commissaire fédéral à la protection des données et à l'information en Suisse (les « CCP suisses »), dans chaque cas telles que terminées comme décrit à la section 9 (Transferts de données) ci-dessous.
2.1 Asana en tant que sous-traitant et fournisseur de services. Les Parties reconnaissent et conviennent qu'en ce qui concerne les Données personnelles du Client, le Client est un contrôleur des données et une entreprise et Asana est un responsable du traitement et un fournisseur de services, tels que définis par la loi applicable.
2.2 Asana en tant que sous-traitant. Dans les cas où le Client peut être un sous-traitant, le Client désigne Asana comme sous-traitant du Client, ce qui ne modifiera pas les obligations du Client ou d’Asana en vertu du présent DPA.
3.1 Limitation de la finalité. Asana traitera les Données personnelles du Client (a) afin de fournir le Service conformément au Contrat ; (b) conformément aux instructions légitimes du Client telles que définies à la section 3.3 ; (c) si nécessaire pour se conformer au Droit applicable ; et (d) selon tout autre accord écrit. Le Client, en tant que responsable du traitement, reconnaît que le Service tel qu'il est fourni n'est pas destiné au stockage ou à l'utilisation de Données restreintes. À sa seule discrétion, le Client détermine toutes les catégories et tous les types de données personnelles du Client qu'il peut soumettre et transférer à Asana par le biais du Service. Le Client est responsable de l'utilisation sécurisée et appropriée du Service afin d'assurer un niveau de sécurité adapté au risque concernant les Données personnelles du Client et convient que les mesures de conformité et de sécurité énoncées dans l'Accord et le présent DPA sont considérées comme des garanties suffisantes pour le traitement de toutes les Données restreintes que le Client fournit au Service.
3.2 Aucune vente de données personnelles/aucun partage à des fins de publicité ciblée. Asana ne vendra pas (tel que défini par la loi applicable) les données personnelles du Client, ne partagera pas les données personnelles du Client à des fins de publicité comportementale inter-contexte ou ne traitera pas les données personnelles du Client à d'autres fins que celles énoncées dans l'Accord, sauf si elle y est obligée en vertu de la loi applicable. Dans ce cas, Asana informera le Client de cette obligation légale avant un tel traitement, sauf interdiction légale de le faire. Asana ne conservera, n’utilisera ni ne divulguera les Données personnelles du Client à des fins commerciales (telles que définies par la loi applicable) autres que la fourniture du Service. Asana comprend ses obligations telles qu'énoncées dans la présente section et s'y conformera. De plus amples détails concernant les opérations de traitement d’Asana sont énoncés à l’Annexe A.
3.3 Instructions licites. Le Client désigne Asana en tant que sous-traitant (ou sous-traitant ultérieur) pour traiter les Données personnelles du Client pour le compte du Client et conformément aux instructions de ce dernier. Le Client ne demandera pas à Asana de traiter les données personnelles du Client en violation des lois applicables. Asana informera rapidement le Client si, de l’avis d’Asana, une instruction du Client enfreint le Droit applicable. Le Contrat, y compris le présent DPA, ainsi que la configuration du Service par le Client (que le Client peut être en mesure de modifier ponctuellement), constituent les instructions complètes et finales du Client à Asana concernant le traitement des Données personnelles du Client, sauf accord contraire écrit.
4.1 Sous-traitants. Le Client reconnaît et accepte que les Sociétés affiliées d’Asana et certains tiers puissent être retenus comme sous-traitants (« Sous-traitants ») pour traiter les Données personnelles du Client pour le compte d’Asana, afin de fournir le Service. Les sous-traitants d’Asana sont répertoriés sur la page des sous-traitants d’Asana. Asana imposera des obligations contractuelles à tout sous-traitant désigné par Asana, l'obligeant à protéger les données personnelles du Client selon des normes au moins aussi protectrices que celles énoncées dans le présent DPA. Asana conserve la responsabilité de la bonne exécution par ses sous-traitants en vertu du présent DPA, dans la même mesure qu’Asana est responsable de sa propre bonne exécution. Si le Client s’abonne pour recevoir les mises à jour disponibles sur la page Sous-traitants d’Asana, le Client sera automatiquement informé des nouveaux sous-traitants dix (10) jours ouvrables avant qu’Asana n’autorise ledit sous-traitant à traiter les Données personnelles du Client (ou, en cas d’urgence, dès que cela est raisonnablement possible). Les accords de sous-traitance devant être fournis en vertu de la clause 9 des clauses contractuelles types peuvent comporter toutes les informations commerciales, ou les dispositions non liées aux clauses contractuelles types, expurgées avant d’être partagés avec le Client, et le Client accepte que ces copies ne soient fournies que sur demande écrite du Client.
4.2 Droit d'opposition. Le Client peut s’opposer à l’utilisation par Asana d’un nouveau sous-traitant (sur la base de motifs raisonnables relatifs à la protection des données) en informant Asana rapidement par écrit à dpa@asana.com dans les trente (30) jours suivant la réception de la notification d’Asana telle que décrite à la section 4.1. Dans le cas où le Client s’oppose à un nouveau sous-traitant, Asana déploiera des efforts commerciaux raisonnables pour mettre à la disposition du Client une modification du Service ou de la configuration ou de l’utilisation du Service par le Client afin d’éviter le traitement des données personnelles du Client par le nouveau sous-traitant faisant l’objet de l’opposition. Si Asana n'est pas en mesure de mettre en œuvre cette modification dans un délai raisonnable, qui ne dépassera pas trente (30) jours, l'une ou l'autre des Parties pourra, sur notification écrite, résilier sans pénalité le(s) Bon(s) de commande applicable(s) ou le Contrat.
5.1 Sécurité. Asana fera usage des mesures techniques et organisationnelles appropriées pour protéger les Données personnelles du Client qu'elle traite. Ces mesures tiendront compte de l'état de la technique, des coûts de mise en œuvre, mais également de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque de probabilité et de gravité variables quant aux droits et libertés des personnes physiques, afin d'assurer un niveau de sécurité adapté au risque. Asana veillera à ce que les personnes qu'Asana autorise à traiter les Données personnelles du Client soient soumises à des accords de confidentialité écrits ou à une obligation légale de confidentialité au moins aussi protectrice que les obligations de confidentialité énoncées dans l'Accord.
5.2 Notification et réponse aux incidents de sécurité. Dans la mesure où les lois applicables l'exigent et en tenant compte de la nature du traitement et des informations dont Asana dispose, Asana assistera le Client en lui notifiant un incident de sécurité sans délai indu ou dans le délai requis par les lois applicables. Dans la mesure du possible, cette notification comprendra l’évaluation alors en cours d’Asana des éléments suivants :
(a) la nature de l'incident de sécurité, y compris, si possible, les catégories et le nombre approximatif d'individus concernés, ainsi que les catégories et le nombre approximatif d'enregistrements de données personnelles concernés ;
(b) les conséquences probables de l'incident de sécurité ; et
(c) les mesures prises ou proposées par Asana en réponse à l'Incident de sécurité, y compris, le cas échéant, les mesures pour atténuer ses conséquences négatives éventuelles.
Asana fournira au Client des mises à jour périodiques et en temps utile dès que des informations supplémentaires concernant l'incident de sécurité seront disponibles. Le Client reconnaît que toute mise à jour peut être basée sur des informations incomplètes. Asana n'évaluera pas le contenu des Données du client dans le but de déterminer si ces Données du client sont soumises à des exigences en vertu du Droit applicable. Aucune disposition du présent DPA ou des clauses contractuelles types ne sera interprétée comme obligeant Asana à enfreindre ou à retarder le respect de toute obligation légale qu'elle pourrait avoir en ce qui concerne un incident de sécurité ou d'autres incidents de sécurité en général.
Dans la mesure où la loi le permet, Asana renverra la personne au Client si Asana reçoit des demandes d'une personne cherchant à exercer les droits qui lui sont accordés en vertu de la loi applicable concernant ses données personnelles, qui peuvent inclure : l'accès, la rectification, la limitation du traitement, l'effacement (« droit à l'oubli »), la portabilité des données, l'opposition au traitement ou le droit de ne pas faire l'objet d'une prise de décision individuelle automatisée (chacune étant une « Demande de la personne concernée »). Dans le cas où le Client ne serait pas en mesure de répondre à une Demande d’une personne concernée dans le cadre de son utilisation du Service, Asana, à la demande du Client, déploiera des efforts commercialement raisonnables pour aider le Client à répondre à ladite Demande d’une personne concernée, dans la mesure où Asana est légalement autorisée à le faire et où la réponse à ladite Demande d’une personne concernée est requise en vertu des Lois applicables. Dans la mesure où la loi le permet, le Client sera responsable de tous les coûts découlant de la fourniture par Asana de fonctionnalités supplémentaires que le Client a demandées pour répondre à une Demande de la personne concernée.
Compte tenu de la nature du traitement et des informations dont dispose Asana, Asana coopérera avec le Client et lui fournira une assistance raisonnable afin de lui permettre de réaliser toute analyse d’impact relative à la protection des données légalement requise portant sur le traitement ou le traitement proposé des données personnelles du Client impliquant Asana, et en consultation avec les autorités de contrôle ou d’autres autorités réglementaires, le cas échéant, en fournissant au Client toute documentation accessible au public concernant le Service ou en se conformant à la section 10 (Audits) ci-dessous. Une assistance supplémentaire pour les analyses d’impact relatives à la protection des données ou les relations avec les autorités de réglementation peut être disponible et nécessiterait un accord mutuel sur les frais, le champ d’application de l’implication d’Asana et toute autre condition que les Parties jugeraient appropriée.
Dans la mesure où la loi le permet, sur demande de données ou d’enregistrements émanant des forces de l’ordre ou d’une entité gouvernementale, Asana répondra à ces demandes conformément aux directives énoncées dans les directives d’application de la loi d’Asana. Asana ne répond qu'aux demandes des autorités chargées de l'application de la loi qui adhèrent à la procédure légale établie et aux lois applicables.
9.1 Le Client autorise Asana et ses sous-traitants à effectuer des transferts internationaux de données personnelles du Client conformément au présent DPA et au droit applicable.
9.2 Le Client reconnaît et accepte que, sous réserve du respect des lois applicables, Asana peut traiter les données personnelles du Client lorsque Asana, ses sociétés affiliées ou ses sous-traitants effectuent des opérations de traitement des données. Dès lors que le transfert de Données personnelles du Client depuis le Client (« exportateur de données ») vers Asana (« importateur de données ») nécessite la mise en place de certaines garanties appropriées (« Mécanisme(s) de transfert »), les Parties conviennent qu'elles seront soumises aux cadres et Mécanismes de transfert suivants, réputés être intégrés au présent DPA et en faire partie, tel qu'indiqué ci-après :
(a) Ordre de priorité. Dans le cas où le Service est couvert par plus d'un Mécanisme de transfert, le transfert de données personnelles sera soumis à un seul Mécanisme de transfert, le cas échéant, et conformément à l'ordre de priorité suivant : (a) les Cadres de confidentialité des données ; (b) les Clauses contractuelles types telles qu'énoncées à la section 9.2(c)-(e) ; et, si aucune des dispositions précédentes n'est applicable, alors (c) d'autres Mécanismes de transfert de données alternatifs autorisés par les Lois applicables s'appliqueront.
(b) Cadres de confidentialité des données. Dans la mesure où Asana traite des Données personnelles du Client en provenance de l'EEE, du Royaume-Uni ou de la Suisse, Asana déclare qu'Asana est autocertifiée en vertu des Cadres de confidentialité des données et qu'elle respectera les Principes de confidentialité des données.
(c) Clauses contractuelles types de l'UE. Les CCT de l'UE s'appliqueront aux transferts restreints de données personnelles du Client protégées par le RGPD et seront complétées comme suit :
(i) Les clauses énoncées dans le module 2 (transfert de contrôleur des données à responsable du traitement) ne s'appliquent que dans la mesure où le Client est contrôleur des données et Asana est responsable du traitement ;
(ii) Les clauses énoncées dans le module 3 (transfert de responsable du traitement à responsable du traitement) ne s'appliquent que dans la mesure où le Client est responsable du traitement et Asana est sous-traitant ;
(iii) L’« exportateur de données » est le Client, et les coordonnées de l’exportateur sont indiquées ci-dessous ;
(iv) L’« importateur de données » est Asana, et les coordonnées d’Asana sont indiquées ci-dessous ;
(v) Dans la clause 7, la clause d'adhésion facultative s'applique ;
(vi) Dans la clause 9, l'option 2 s'applique et le délai de notification préalable pour toute modification à l'initiative du sous-traitant est celui prévu à la section 4.1 du présent DPA ;
(vii) L'option énoncée dans la clause 11 ne s'applique pas ;
(viii) Dans la clause 17, l'option 1 s'applique, et les CCT de l'UE seront régies par le droit irlandais ;
(ix) Dans la clause 18(b), tout litige sera tranché par les juridictions irlandaises ; et
(x) Les annexes I et II de l'appendice sont reprises à la pièce A ci-dessous.
(d) Addendum relatif au transfert international de données au Royaume-Uni. L'Addendum britannique s'applique aux transferts restreints de données personnelles du client protégées par le RGPD britannique et sera complété comme suit :
(i) Le tableau 1 sera complété par les informations pertinentes de l'annexe I figurant à la pièce A ;
(ii) Le tableau 2 sera complété par les clauses et modules pertinents des CCT de l'UE, tels qu'identifiés à la section 9.2(c) du présent DPA ;
(iii) Le tableau 3 sera complété par toutes les informations pertinentes des annexes I et II de l'Addendum, reprises à la pièce A et à la section 4.1 du présent DPA ; et
(iv) Dans le tableau 4, l'importateur de données peut mettre fin à l'Addendum britannique conformément aux termes de ce même document.
(e) Clauses contractuelles types suisses. En ce qui concerne les transferts restreints de données personnelles de clients protégées par la loi suisse sur la protection des données, les CCT de l'UE s'appliquent également auxdits transferts, conformément au paragraphe (c) qui précède, et sous réserve de ce qui suit :
(i) Toute référence dans les CCT de l'UE à la « directive 95/46/CE » ou au « règlement (UE) 2016/679 » sera interprétée comme une référence à la loi fédérale suisse sur la protection des données ;
(ii) Toute référence à l' « UE », à l' « Union » et au « droit des États membres » sera interprétée comme une référence au droit suisse ; et
(iii) Toute référence à l' « autorité de contrôle compétente » et aux « tribunaux compétents » sera interprétée comme une référence à l'autorité et aux tribunaux compétents en matière de protection des données en Suisse ;
à moins que les CCT de l'UE telles que mises en œuvre ci-dessus ne puissent être utilisées pour transférer légalement ces données personnelles du client conformément à la loi suisse sur la protection des données, auquel cas les CCT suisses seront plutôt incorporées par référence et feront partie intégrante du présent DPA et s'appliqueront à de tels transferts. Le cas échéant, les annexes ou appendices pertinents des CCT suisses seront remplis à l'aide des informations contenues dans la pièce A du présent DPA (le cas échéant).
9.3 Il n'est pas dans l'intention de l'une ou l'autre des Parties d'aller à l'encontre ou de restreindre les dispositions énoncées dans les clauses contractuelles types et, par conséquent, en cas de conflit entre lesdites clauses contractuelles types et une quelconque disposition de l'Accord (y compris le présent DPA), les clauses contractuelles types prévalent.
9.4 En concluant le présent DPA, les Parties sont réputées avoir signé les clauses contractuelles types en vigueur et leurs appendices et annexes en vigueur.
10.1 Audit. Asana autorisera la conduite d’audits par le Client (ou un auditeur tiers convenu d’un commun accord par les deux parties (« Auditeur »)) de la documentation, des données, des certifications, des rapports et des enregistrements relatifs au traitement par Asana des données personnelles du Client (« Enregistrements ») dans le seul but de déterminer la conformité d’Asana au présent DPA, sous réserve des conditions de la présente section 10, à condition que l’Accord reste en vigueur et que cet audit soit aux frais exclusifs du Client (un « Audit »), et Asana contribuera à ces audits.
10.2 Avis écrit. Le Client peut demander un Audit moyennant une notification écrite préalable de quatorze (14) jours adressée à Asana, pas plus d’une fois par an, sauf en cas d’Incident de sécurité survenant sur les systèmes d’Asana, auquel cas le Client peut demander un Audit dans un délai raisonnable suivant cet Incident de sécurité.
10.3 Autres demandes écrites et inspections. Dans la mesure où la fourniture d’Enregistrements ne fournit pas suffisamment d’informations pour permettre au Client de déterminer la conformité d’Asana aux conditions du présent DPA, le Client peut, si nécessaire : (i) demander des informations supplémentaires à Asana par écrit, et Asana répondra à ces demandes écrites dans un délai raisonnable (« Demandes écrites ») ; et (ii) uniquement lorsque les réponses d’Asana à ces Demandes écrites ne fournissent pas le niveau d’information nécessaire requis par le Client, demander l’accès aux locaux, aux systèmes et au personnel d’Asana, moyennant un préavis écrit de vingt et un (21) jours à Asana (une « Inspection »), sous réserve que les parties aient convenu mutuellement (a) de la portée, du calendrier et de la durée de l’Inspection, (b) du recours à un Auditeur pour mener l’Inspection, (c) du fait que l’Inspection soit effectuée uniquement pendant les heures de bureau habituelles d’Asana, avec une perturbation minimale des opérations commerciales d’Asana, et (d) du fait que tous les coûts associés à l’Inspection soient à la charge du Client (y compris le temps d’Asana consacré à faciliter l’Inspection, facturé aux tarifs d’Asana alors en vigueur). Les inspections ne seront autorisées qu'une fois par an, sauf en cas d'incident de sécurité.
10.4 Confidentialité. Dans le cadre de tout Audit ou de toute Inspection effectué(e) conformément à la présente section 10, l'Auditeur doit être lié par des obligations de confidentialité au moins aussi protectrices que celles contenues dans l'Accord. Les Auditeurs n'auront pas le droit de recevoir des données ou des informations relatives à d'autres clients d'Asana ou toute autre Information confidentielle d'Asana qui n'est pas directement pertinente aux fins autorisées de l'Audit ou de l'Inspection.
10.5 Action corrective. Si une non-conformité importante est identifiée par un Audit ou une Inspection, Asana prendra rapidement des mesures pour corriger cette non-conformité.
À la date de résiliation de l’Accord et sur demande écrite vérifiée du représentant autorisé du Client (qui, aux fins de la présente section, est soit un responsable de la facturation, soit un administrateur du Service, soit un membre du personnel du Client qui a confirmé par écrit qu’il est autorisé à prendre des décisions au nom du Client), Asana supprimera les Données personnelles du Client, excepté si les Lois applicables l’interdisent. Si Asana ne reçoit aucune demande de ce type après la résiliation, Asana peut supprimer les données personnelles du Client conformément à ses obligations en vertu des lois applicables.
PIÈCE A
Annexe I aux Clauses contractuelles types
A. LISTE DES PARTIES
MODULE DEUX : transfert de contrôleur des données à responsable du traitement
MODULE TROIS : transfert de responsable du traitement à responsable du traitement
Exportateur(s) de données : | Détails/Descriptions |
|---|---|
Nom : | Client, un utilisateur du Service |
Adresse : | Adresse telle qu'indiquée dans l'Accord |
Nom, fonction et coordonnées de la personne à contacter : | Coordonnées telles qu'indiquées dans l'Accord |
Activités pertinentes eu égard aux données transférées en vertu des présentes clauses : | Les activités concernées sont décrites dans la section B ci-après |
Signature et date : | Voir la section 9.4 du DPA |
Rôle (contrôleur des données/responsable du traitement) : | Contrôleur des données et/ou responsable du traitement |
Importateur(s) de données : | Détails/Descriptions |
|---|---|
Nom : | Asana, Inc., fournisseur du Service |
Adresse : | 633 Folsom Street, Suite 100, San Francisco, CA 94107, États-Unis |
Nom, fonction et coordonnées de la personne à contacter : | |
Activités pertinentes eu égard aux données transférées en vertu des présentes clauses : | Les activités concernées sont décrites dans la section B ci-après |
Signature et date : | Voir la section 9.4 du DPA |
Rôle (contrôleur des données/responsable du traitement) : | Responsable du traitement |
B. DESCRIPTION DU TRANSFERT
MODULE DEUX : transfert de contrôleur des données à responsable du traitement
MODULE TROIS : transfert de responsable du traitement à responsable du traitement
Catégories d'individus concernés par le transfert de leurs données personnelles
Les catégories d'individus concernés par le transfert de leurs données personnelles sont déterminées uniquement par l'exportateur de données. Dans le cadre normal du Service de l’importateur de données, les catégories de personnes concernées peuvent inclure (mais sans s’y limiter) : le personnel de l’exportateur de données, les clients, les fournisseurs de services, les partenaires commerciaux, les sociétés affiliées et les autres Utilisateurs finaux.
Catégories de données personnelles transférées
Les catégories de données personnelles transférées sont déterminées uniquement par l'exportateur de données. Dans le cadre normal du Service de l'importateur de données, les catégories de données à caractère personnel transférées peuvent inclure (mais sans s'y limiter) : le nom, l'adresse e-mail, le téléphone, le titre, les projets en texte libre et les listes de tâches saisies par l'exportateur de données ou ses Utilisateurs finaux.
Données sensibles transférées (le cas échéant) et restrictions ou mesures de protection appliquées qui prennent pleinement en considération la nature des données et les risques encourus, notamment une limitation stricte de la finalité, des restrictions d'accès (y compris l'accès réservé au personnel ayant suivi une formation spécialisée), la tenue d'un enregistrement des activités de traitement afin de suivre qui accède aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires.
À sa seule discrétion, le Client détermine toutes les catégories et tous les types de données personnelles du Client qu'il peut soumettre et transférer à Asana par le biais du Service. Le Client est responsable de l'utilisation sécurisée et appropriée du Service afin d'assurer un niveau de sécurité adapté au risque en ce qui concerne les Données personnelles du Client et accepte que les mesures de conformité et de sécurité énoncées dans l'Accord et le présent DPA soient considérées comme des garanties suffisantes pour le traitement de toutes les données que le Client fournit au Service.
La fréquence du transfert (par exemple, si les données sont transférées de manière ponctuelle ou continue).
Poursuite de l'utilisation du Service.
Nature du traitement
La fourniture du Service au Client en vertu de l'Accord.
Finalité(s) du transfert de données et du traitement ultérieur
Fournir le Service au Client, tel que décrit dans l'Accord.
La période pendant laquelle les données personnelles seront conservées ou, à défaut, les critères retenus pour définir cette période
Autant de temps que nécessaire, afin de fournir le Service tel qu’énoncé dans l’Accord, tel que requis par la loi ou le contrat, ou à la réception de la demande écrite de suppression du Client.
Pour les transferts aux (sous-traitants) responsables du traitement, préciser également l'objet, la nature et la durée du traitement L'objet, la nature et la durée du traitement sont précisés ci-dessus et dans l'Accord.
C. AUTORITÉ DE CONTRÔLE COMPÉTENTE
MODULE DEUX : transfert de contrôleur des données à responsable du traitement
MODULE TROIS : transfert de responsable du traitement à responsable du traitement
Identifier l'ensemble des autorités de contrôle compétentes, conformément à la Clause 13
Le Client accepte que l'autorité de contrôle compétente soit la Commission de protection des données (CPD) d'Irlande.
Annexe II aux clauses contractuelles types
MESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS LES MESURES TECHNIQUES ET ORGANISATIONNELLES POUR ASSURER LA SÉCURITÉ DES DONNÉES
MODULE DEUX : transfert de contrôleur des données à responsable du traitement
MODULE TROIS : transfert de responsable du traitement à responsable du traitement
Description des mesures techniques et organisationnelles mises en œuvre par l'ensemble des importateurs de données (y compris toute certification pertinente) afin de garantir un niveau de sécurité approprié, compte tenu de la nature, de la portée, du contexte et de la finalité du traitement, ainsi que des risques pour les droits et libertés des personnes physiques.
Asana met l'accent sur les principes suivants en matière de conception et de mise en œuvre du programme et des pratiques de sécurité : (a) sécurité physique et environnementale pour protéger le Service contre tout accès, utilisation ou modification non autorisés ; (b) maintien de la disponibilité pour l'exploitation et l'utilisation du Service ; (c) confidentialité pour protéger les Données clients ; (d) intégrité pour maintenir l'exactitude et la cohérence des données tout au long du cycle d'utilisation.
La description des mesures de sécurité techniques et organisationnelles actuelles d’Asana se trouve dans les Normes de sécurité des données d’Asana.
Mesures spécifiques :
Mesure | Description |
|---|---|
Mesures de pseudonymisation et de chiffrement des données personnelles | Asana chiffrera les Données clients en transit et au repos à l'aide d'algorithmes de chiffrement standard adaptés au mécanisme de transfert (par exemple, TLS 1.2, AES-256). |
Mesures visant à assurer en continu la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes informatiques et services de traitement | Asana mettra en œuvre et maintiendra un programme de sécurité de l'information fondé sur les risques qui comprend des mesures de protection administratives, techniques et organisationnelles conçues pour protéger la confidentialité, l'intégrité et la disponibilité des Données clients. Asana effectue des évaluations périodiques pour surveiller son programme de sécurité de l'information afin d'identifier les risques et de s'assurer que les contrôles fonctionnent efficacement en effectuant des tests d'intrusion, audits internes et évaluations des risques. Asana maintient un programme de gestion des risques pour identifier, surveiller et gérer les risques qui peuvent avoir une incidence sur la confidentialité, l'intégrité et la disponibilité des Données clients. |
Mesures visant à garantir la capacité à restaurer la disponibilité et l'accès aux données personnelles en temps opportun en cas d'incident physique ou technique | Asana mettra en œuvre et maintiendra un ensemble de politiques et mesures de reprise après sinistre, documentées par écrit, à adopter pour assurer la reprise ou la continuité de ses infrastructures technologiques clés à la suite d'un sinistre. En outre, Asana effectuera des tests annuels de son plan de reprise après sinistre et mettra à la disposition de ses clients une synthèse des résultats. Asana effectuera régulièrement des sauvegardes des Données clients et s'assurera que les sauvegardes bénéficient du même niveau de protection que les bases de données de production. |
Processus en mesure de tester, d'évaluer et d'analyser régulièrement l'efficacité des mesures techniques et organisationnelles destinées à garantir la sécurité du traitement | Asana effectue des évaluations périodiques pour surveiller son programme de sécurité de l'information afin d'identifier les risques et de s'assurer que les contrôles fonctionnent efficacement en effectuant des tests d'intrusion, audits internes et évaluations des risques. Asana engagera des auditeurs externes qualifiés pour effectuer des évaluations de son programme de sécurité de l'information en fonction des critères de services en lien avec la sécurité, la disponibilité et la confidentialité SOC 2 de l'AICPA, et des normes suivantes : ISO/IEC 27001:2013, ISO/IEC 27017:2015, ISO/IEC 27018:2019, ISO/IEC 27701:2019. Les évaluations seront effectuées chaque année et donneront lieu à un rapport SOC 2 de type 2 et à des preuves des certifications ISO susmentionnées qui seront mises à la disposition du Client conformément à son Contrat respectif. |
Mesures d'identification et d'autorisation des utilisateurs | L'accès aux Données clients est limité au personnel autorisé d'Asana qui doit accéder aux Données clients pour exercer des fonctions dans le cadre de la prestation de services. L'accès aux Données clients doit se faire au moyen de noms d'utilisateur et mots de passe uniques, et l'authentification multifacteur doit être activée. L’accès est désactivé dans un délai d’un jour ouvrable après le licenciement d’un collaborateur |
Mesures de protection des données pendant la transmission | Asana chiffrera les Données clients en transit et au repos à l'aide d'algorithmes de chiffrement standard adaptés au mécanisme de transfert (par exemple, TLS 1.2, AES-256). |
Mesures de protection des données pendant le stockage | Les Données clients sont stockées dans différentes régions à l'aide d'AWS. Les sauvegardes de données sont cryptées. Les Données clients sont chiffrées en transit et au repos à l'aide d'algorithmes de chiffrement standard adaptés au mécanisme de transfert (par exemple, TLS 1.2, AES-256). |
Mesures visant à garantir la sécurité physique des lieux où les données personnelles sont traitées | Asana veillera à ce que tous les emplacements physiques qui traitent, stockent ou transmettent des Données clients soient situés dans des installations physiques sécurisées. Asana examinera les certifications de sécurité tierces (par exemple, SOC 2 Type 2) de ses fournisseurs d'hébergement cloud tiers au moins une fois par an pour s'assurer que des contrôles de sécurité physique appropriés sont mis en œuvre. |
Mesures visant à garantir la journalisation des événements | Tous les accès aux systèmes de gestion de la sécurité informatique d'Asana sont restreints, surveillés et consignés. Les entrées du journal incluent au minimum la date, l'horodatage, l'action effectuée et l'identifiant utilisateur ou l'identifiant de l'appareil de l'action effectuée. Le niveau de détail supplémentaire à enregistrer par chaque journal d'audit sera proportionnel à la quantité et à la sensibilité des informations stockées et/ou traitées sur ce système. Tous les journaux sont protégés contre les modifications. |
Mesures visant à garantir la configuration du système, y compris la configuration par défaut | Pour prévenir et minimiser les menaces potentielles pesant sur les systèmes d’Asana, des configurations de base sont requises avant la mise en œuvre de tout équipement utilisateur, réseau ou de production. Des configurations de base sont en place pour les paramètres de sécurité sans fil afin de garantir un chiffrement fort et de remplacer les paramètres par défaut du fournisseur dans le cadre de la mise en œuvre des périphériques réseau. Les systèmes sont gérés de manière centralisée et configurés pour détecter les activités suspectes et donner l'alerte. |
Mesures pour la gouvernance et la gestion internes de l'informatique et de la sécurité informatique | Les structures et processus de gouvernance et de gestion de la sécurité informatique sont conçus pour garantir le respect des principes de protection des données lors de leur mise en œuvre effective. Asana disposera d'une équipe de sécurité spécialisée chargée de mettre en œuvre, maintenir, contrôler et appliquer des mesures de sécurité conformes au système de gestion de la sécurité de l'information. |
Mesures de certification/assurance des processus et des produits | Le cadre de sécurité de l’information d’Asana sera fondé sur le système de gestion de la sécurité de l’information ISO 27001 et couvrira les domaines suivants : la gestion des risques en matière de sécurité, les politiques et procédures, la gestion des incidents de sécurité, les contrôles des accès, la gestion de la vulnérabilité, la sécurité physique, la sécurité opérationnelle, la sécurité de l’entreprise, la sécurité de l’infrastructure, la sécurité des produits, la continuité des activités et la reprise après sinistre, la sécurité du personnel, la conformité à la sécurité et la sécurité liée aux fournisseurs. Asana engagera des auditeurs externes qualifiés pour effectuer des évaluations de son programme de sécurité de l'information en fonction des critères de services en lien avec la sécurité, la disponibilité et la confidentialité SOC 2 de l'AICPA, et des normes suivantes : ISO/IEC 27001:2013, ISO/IEC 27017:2015, ISO/IEC 27018:2019, ISO/IEC 27701:2019. Les évaluations seront effectuées chaque année et donneront lieu à un rapport SOC 2 de type 2 et à des preuves des certifications ISO susmentionnées qui seront mises à la disposition du Client conformément à son Contrat respectif. |
Mesures visant à garantir la minimisation des données | Asana ne collecte que les informations nécessaires à la fourniture des services décrits dans ses conditions de service, sa déclaration de confidentialité et le contrat client. Nos collaborateurs ont pour consigne de n'accéder qu'aux informations qui leur sont strictement nécessaires pour accomplir la tâche concernée. |
Mesures visant à garantir la qualité des données | Asana conserve les détails des journaux du serveur Web et de l'application, qui incluent toute modification apportée aux paramètres de configuration et aux fichiers sensibles. Les entrées du journal incluent au minimum la date, l'horodatage, l'action effectuée et l'identifiant utilisateur ou l'identifiant de l'appareil de l'action effectuée. Les journaux sont protégés contre toute modification. Les utilisateurs qui souhaitent exercer leurs droits en vertu de la loi applicable pour mettre à jour les informations qui sont obsolètes ou incorrectes peuvent le faire à tout moment à l'aide de ce formulaire. Pour en savoir plus sur les droits des personnes concernées, consultez notre Déclaration de confidentialité. |
Mesures visant à garantir une conservation limitée des données | Asana conservera les informations pendant toute la durée nécessaire à l'accomplissement des objectifs décrits dans sa Déclaration de confidentialité, à moins qu'une période de conservation plus longue ne soit requise ou permise par la loi, ou lorsque le contrat client exige ou permet des périodes de conservation ou de suppression spécifiques. Le Client peut demander la suppression des données à tout moment et les données personnelles du Client sont supprimées ou anonymisées à la résiliation du Contrat. |
Mesures visant à assurer la responsabilisation | Asana a mis en place un programme détaillé de conformité RGPD et s'engage à coordonner ses efforts de mise en conformité avec ceux de ses clients et fournisseurs. Voici quelques-unes des mesures importantes prises par Asana pour faire correspondre ses pratiques aux exigences du RGPD : Voici quelques-unes des mesures importantes prises par Asana pour faire correspondre ses pratiques aux exigences du RGPD : Des révisions des politiques et contrats conclus avec ses partenaires, fournisseurs et utilisateurs ; Des améliorations des pratiques et procédures de sécurité d’Asana ; Une surveillance et un inventaire étroits des données recueillies, utilisées et partagées par Asana ; La création d’une documentation plus fiable concernant la politique de confidentialité et de sécurité d’Asana ; La formation des collaborateurs d’Asana aux exigences du RGPD, et plus généralement aux bonnes pratiques de confidentialité et de sécurité ; et après une analyse minutieuse, la création d’une politique concernant les droits des personnes sur les données, ainsi que du processus de réponse associé. Consultez la section ci-dessous pour en savoir plus sur les grands axes du programme de conformité au RGPD adopté par Asana et sur la façon dont les clients peuvent s’appuyer sur Asana pour leurs propres initiatives de conformité au RGPD. La nomination d'un responsable de la protection des données (« DPO ») que vous pouvez contacter à l'adresse dpo@asana.com. Asana offre à ses clients contrôlant des données personnelles européennes la possibilité de signer un addendum fiable sur le traitement des données (« DPA »), en vertu duquel Asana s'engage à traiter et assurer la sécurité des données personnelles conformément aux exigences du RGPD. À ce même titre, Asana a instauré des clauses contractuelles types actuelles et s’engage également à traiter les données personnelles suivant les instructions du contrôleur de données. |
Mesures visant à permettre la portabilité des données et à garantir leur effacement | Asana fournit un mécanisme permettant aux personnes d'exercer leurs droits en matière de confidentialité conformément à la législation applicable. Les personnes peuvent contacter Asana à tout moment à l'aide de ce formulaire. Pour en savoir plus, consultez notre déclaration de confidentialité. |
Pour les transferts aux (sous-traitants) responsables du traitement, décrire également les mesures techniques et organisationnelles spécifiques à prendre par le (sous-traitant) responsable du traitement pour pouvoir fournir une assistance au responsable du traitement et, pour les transferts d'un responsable du traitement à un sous-traitant, à l'exportateur de données
Comme décrit dans le DPA, Asana a mis en place des mesures pour fournir une assistance aux responsables du traitement si nécessaire. Ces mesures comprennent, mais sans s'y limiter, la possibilité de supprimer toutes les Personal Data du Client associées à un domaine et de mettre à disposition des API pour permettre aux responsables du traitement de mieux gérer et contrôler leurs données. En ce qui concerne les demandes des personnes concernées, dans le cas où le responsable du traitement n'est pas en mesure de répondre à une demande d'une personne concernée dans le cadre de son utilisation du Service, Asana, sur demande, déploiera des efforts commercialement raisonnables pour aider le responsable du traitement à répondre à cette demande de la personne concernée, dans la mesure où Asana est légalement autorisée à le faire et où la réponse à cette demande de la personne concernée est requise en vertu des Lois applicables. Les personnes concernées peuvent également exercer leurs droits en contactant Asana à tout moment à l'aide de ce formulaire.