Addenda sur la confidentialité à la loi d’État aux États-Unis

L’Addenda sur la confidentialité à la loi d’État aux États-Unis (« Addenda ») complète les conditions de votre Accord-cadre d’abonnement, les Conditions Générales du Service ou les Conditions Générales du Service du revendeur client (le « Contrat » selon le cas), et énonce certains droits et obligations en matière de confidentialité des données dans le cadre de certaines lois d’État aux États-Unis. Les termes en majuscules utilisés dans le présent document sans être autrement définis ont la signification qui leur est attribuée dans le Contrat.

Section A – Dispositions générales. Cette Section A de l’Addenda s’applique à la fourniture des Services par Zoom et à leur utilisation par le Client dans la mesure où le Client est une Entreprise ou un Contrôleur et où Zoom traite les Informations personnelles ou les Données personnelles du Client conformément au CCPA ou à d’autres Lois d’État sur la protection des données en vigueur.

1. Définitions. Dans le présent Addenda, le terme « Client » désigne une Entreprise ou un Contrôleur qui s’abonne aux Services Zoom. Les termes en majuscules utilisés dans la présente Section A sans être autrement définis ont la signification qui leur est attribuée dans les Sections B(1) et C(1), ci-dessous.
2. Audits et évaluations.
   1. Zoom réalisera des audits tiers pour attester de la conformité aux cadres ISO 27001 et SOC 2 Type II, comme suit :
      1. Zoom procèdera annuellement à une vérification des critères de sécurité, de disponibilité et de confidentialité lors de l’audit SOC-2.
      2. Les audits seront réalisés conformément aux normes et règles de l’organisme de réglementation ou d’accréditation pour la norme ou le cadre de contrôle applicable.
      3. Ils seront effectués par des auditeurs de sécurité tiers qualifiés et indépendants, choisis et payés par Zoom.
      4. Chaque audit donnera lieu à la production d’un rapport d’audit destiné au client (« Rapport d’audit Zoom »), que Zoom mettra à la disposition du client sur demande, chaque année. Le rapport d’audit Zoom sera considéré comme une Information confidentielle de Zoom.
3. Restrictions relatives à la réception d’informations. Le présent Addenda n’oblige en rien Zoom à divulguer : (a) toute donnée ou information d’un autre client de Zoom, ou d’un tiers ; (b) toute information comptable ou financière interne ; (c) tout secret commercial de Zoom ; ou (d) toute information qui, de l’avis raisonnable de Zoom, pourrait : (i) compromettre la sécurité des réseaux, des systèmes ou des locaux de Zoom ; (ii) amener Zoom à se soustraire à ses obligations en matière de sécurité ou de confidentialité envers un tiers ; ou (iii) toute information recherchée pour toute autre raison que celles mentionnées dans le présent Addenda. Zoom peut exiger du Client l’acceptation de ses conditions raisonnables (ou celles de son auditeur ou évaluateur tiers) avant de lui fournir le Rapport d’audit Zoom.
4. Suppression des données. Zoom, (a) comme l’exigent les Lois d’État sur la protection des données en vigueur applicables au Client et selon les instructions du Client, supprimera ou retournera toutes les Données personnelles au Client à la fin de la fourniture des Services ou, (b) comme l’exige le CCPA, ne conservera, n’utilisera ni ne divulguera les Données personnelles à la fin ou à l’expiration de la relation entre le Client et Zoom. La présente Section A(4) (Suppression des données) n’obligera en rien Zoom à (i) supprimer ou renvoyer les données devant être conservées conformément aux Lois applicables ou (ii) retourner au lieu de détruire les Données personnelles lorsqu’un retour est techniquement impossible, ou si le renvoi impose à Zoom d’importants frais et/ou charges.

Section B – Californie.  La présente Section B de l’Addenda s’applique à la fourniture des Services par Zoom et à leur utilisation par le Client dans la mesure où le Client est une Entreprise et où Zoom traite les Informations personnelles pour le compte du Client conformément au CCPA.

1. Définitions. Tels qu’utilisés dans la présente Section B de l’Addenda : (a) l’acronyme « CCPA » désigne le California Consumer Privacy Act de 2018, modifié par le California Consumer Privacy Act de 2020, et toute réglementation promulguée en vertu de celui-ci ; (b) « Entreprise », « Objectif professionnel » « Objectif commercial », « Consommateur », « Traitement », « Vente », « Fournisseur de services » et « Partage » ont les significations respectives données dans le CCPA ; et (c) l’expression « Informations personnelles » désigne les informations personnelles telles que définies dans le CCPA, mais uniquement dans la mesure où ces informations personnelles sont recueillies, consultées, obtenues, reçues, utilisées, divulguées ou traitées de quelque autre manière par Zoom dans le cadre de la fourniture de Services par Zoom au Client en sa qualité d’Entreprise en vertu du Contrat.
2. Reconnaissance et obligations. Zoom (a) reconnaît que les Informations personnelles ne sont divulguées par le Client qu’aux fins limitées et spécifiées de fournir les Services décrits dans un Formulaire de commande et aux fins décrites dans le Contrat ; (b) doit respecter les obligations applicables aux Fournisseurs de services conformément au CCPA et fournir le même niveau de protection en matière de confidentialité des Informations personnelles que celui exigé par le CCPA, notamment une protection identique à celle que les Entreprises doivent fournir ; (c) accepte que le Client prenne des mesures raisonnables et appropriées, conformément à la Section A(2) du présent document, afin de s’assurer que l’utilisation des Informations personnelles par Zoom est conforme aux obligations du Client en vertu du CCPA ; (d) informera rapidement le Client de toute décision déterminant que Zoom ne peut plus respecter ses obligations en vertu du CCPA ; et (e) accepte que le Client puisse, avec préavis, prendre des mesures raisonnables et appropriées pour mettre fin et remédier à l’utilisation non autorisée des Informations personnelles, conformément aux réglementations applicables, en demandant à Zoom une documentation raisonnable qui vérifie que Zoom ne conserve ou n’utilise plus les Informations personnelles faisant l’objet d’une demande de suppression valide.
3. Restrictions. Zoom ne doit pas (a) vendre ou partager des Informations personnelles ; (b) conserver, utiliser ou divulguer des Informations personnelles à d’autres fins que celles décrites dans la Section B(2)(a), ci-dessus, ou tel que permis par le CCPA, y compris la conservation, l’utilisation ou la divulgation d’Informations personnelles dans un Objectif commercial autre que ces fins ou pour desservir une Entreprise différente ; (c) conserver, utiliser ou divulguer des Informations personnelles en dehors de la relation commerciale directe entre Zoom et le Client, sauf dans la mesure permise par le CCPA ; ou (d) combiner les Informations personnelles reçues conformément au Contrat avec des Informations personnelles reçues d’une autre partie, ou les propres interactions de Zoom avec le Consommateur auquel les Informations personnelles se rapportent, sauf dans la mesure où un Fournisseur de services est autorisé à le faire en vertu du CCPA. Zoom certifie par le présent document comprendre ses obligations en vertu de cet addenda et s’y conformer.
4. Audits, examens et évaluations. Le Client, sous réserve d’exigences raisonnables et d’accords écrits requis par Zoom et conformes au CCPA, et à ses seuls coûts et frais, peut auditer, examiner ou évaluer Zoom au plus une fois tous les 12 mois, conformément à la Section A(2) (Audits et évaluations), ci-dessus.
5. Demandes du Consommateur. Le Client informera rapidement Zoom et lui fournira toutes les informations nécessaires après avoir reçu et vérifié la demande du Consommateur, et Zoom prendra rapidement les mesures et fournira les informations que le Client peut raisonnablement demander concernant les Informations personnelles d’un Consommateur afin d’aider le Client à répondre aux demandes des personnes qui souhaitent exercer leurs droits en vertu du CCPA, y compris, sans s’y limiter, les demandes de consultation, de correction, de suppression ou d’exclusion de la Vente ou du Partage des Informations personnelles les concernant, ou les demandes de renseignements à ce sujet. Si Zoom reçoit une demande directement du ou des Consommateurs du Client, Zoom peut soit (i) conseiller au Consommateur de contacter directement le Client concernant cette demande, soit (ii) demander au Client de répondre directement au Consommateur.

Section C – Virginie, Colorado, Utah et autres États. Cette section C de l’Addenda s’applique à la fourniture des Services par Zoom et à leur utilisation par le Client dans la mesure où le Client est un Contrôleur de données personnelles et où Zoom traite les Données personnelles du Client conformément aux Lois d’État sur la protection des données en vigueur.

1. Définitions. Tels qu’utilisés dans la Section C du présent Addenda : (a) les « Lois d’État sur la protection des données en vigueur » désignent (i) le Colorado Privacy Act de 2021, le Virginia Consumer Data Protection Act de 2021 ou l’Utah Consumer Privacy Act de 2022, tels que modifiés, ou (ii) toute autre Loi applicable au niveau de l’État aux États-Unis promulguée dans le but de protéger les Données personnelles, le Client étant le Contrôleur et Zoom le Gestionnaire, et les conditions générales du présent Addenda répondant aux exigences de ces Lois d’État ; (b) « Contrôleur », « Données personnelles », « Traitement » et « Gestionnaire » ont les significations respectives qui leur sont données dans les Lois d’État sur la protection des données en vigueur ; et (c) « Instructions » a la signification donnée ci-dessous.
2. Traitement des Données personnelles : rôles, portée et responsabilité.
   1. Les parties reconnaissent et acceptent ce qui suit : le Client est le Contrôleur des Données personnelles du Client. Zoom est le Gestionnaire des Données personnelles du Client.
   2. Dans une mesure nécessaire et proportionnée, le Client, en tant que Contrôleur, donne à Zoom des instructions pour effectuer les activités suivantes en tant que Gestionnaire pour le compte du Client (collectivement, les « Instructions ») :
      1. fournir et mettre à jour les Services tels que licenciés, configurés et utilisés par le Client et ses utilisateurs, y compris par l’utilisation par le Client des paramètres Zoom, des contrôles de l’administrateur ou d’autres fonctionnalités des Services ;
      2. sécuriser et surveiller en temps réel les Services ;
      3. résoudre les problèmes et corriger les bogues et les erreurs ;
      4. fournir au Client l’assistance demandée, y compris en appliquant les connaissances acquises à partir des demandes d’assistance de clients individuels pour bénéficier à tous les Clients de Zoom, mais uniquement dans la mesure où lesdites connaissances sont anonymisées ; et
      5. traiter les Données personnelles du Client comme indiqué dans le Contrat (y compris le présent Addenda et l’Annexe A incluse), ainsi que toute autre instruction documentée fournie par le Client et reconnue par Zoom comme constituant des instructions.
   3. Dans la mesure où Zoom agit en tant que Gestionnaire des Données personnelles du Client, Zoom doit exclusivement traiter les Données personnelles du Client conformément aux Instructions du Client. Le Client doit s’assurer que les Instructions qu’il donne à Zoom sont conformes à toutes les Lois, règles et réglementations applicables aux Données personnelles du Client, et que le Traitement des Données personnelles du Client selon les Instructions du Client n’entraînera pas une violation par Zoom des Lois d’État sur la protection des données en vigueur. Le Client est seul responsable de l’exactitude, de la qualité et de la légalité (i) des Données personnelles du Client fournies à Zoom par le Client ou en son nom ; (ii) de la manière dont le Client a acquis ces Données personnelles du Client ; et (iii) des Instructions qu’il fournit à Zoom concernant le Traitement des Données personnelles du Client. Le Client ne doit pas fournir à Zoom ou mettre à la disposition de Zoom des Données personnelles du Client en violation du Contrat ou du présent Addenda.
   4. Le Client autorise Zoom à réaliser des analyses et des rapports à partir des Données personnelles dans des circonstances limitées (par exemple, pour détecter et signaler du contenu caractérisant des abus sexuels commis sur des enfants, pour se conformer à d’autres Lois applicables ou pour garantir le respect des Directives d’utilisation acceptable de Zoom).
3. Personnes autorisées. Zoom doit veiller à ce que toutes les personnes autorisées à traiter les Données personnelles du Client soient informées de la nature confidentielle des Données personnelles du Client et soient soumises à un devoir de confidentialité à l’égard de ces données.
4. Sous-traitants. Dans la mesure où Zoom est le Gestionnaire, le Client autorise généralement Zoom à engager des sous-traitants conformément à la présente Section C(4).
   1. Le Client accepte que Zoom ait recours aux fournisseurs répertoriés sur la page https://explore.zoom.us/fr/subprocessors/ pour traiter les Données personnelles du Client.
   2. Zoom peut supprimer, remplacer ou nommer des fournisseurs supplémentaires. Sous réserve que le client s’abonne aux mises à jour de la page https://explore.zoom.us/fr/subprocessors/, Zoom doit informer le client de toute modification des engagements de ces fournisseurs. Lorsque les Lois d’État sur la protection des données en vigueur l’exigent, Zoom doit également donner au Client la possibilité de s’opposer à l’engagement conformément aux sections C(4)(d) et C(4)(e) du présent document.
   3. En cas d’urgence concernant la disponibilité ou la sécurité des Services, Zoom n’est pas tenu de notifier préalablement au Client la suppression, le remplacement ou la nomination de sous-traitants, mais doit le faire dans les sept (7) jours ouvrables suivant le changement de sous-traitant.
   4. Dans les deux cas, le Client peut s’opposer à l’engagement d’un tel sous-traitant par écrit dans les quinze (15) jours ouvrables suivant la réception de l’avis susmentionné de Zoom.
   5. Si le Client s’oppose à l’engagement d’un nouveau sous-traitant, Zoom a le droit de remédier à cette objection par l’une des options suivantes (choix à la seule discrétion de Zoom) :
      1. Zoom peut annuler son projet de recourir au sous-traitant pour le traitement des Données personnelles du Client.
      2. Zoom peut prendre les mesures correctives demandées par le Client dans son objection (qui lèvent l’objection du Client) et recourir au sous-traitant pour le traitement des Données personnelles du Client.
      3. Zoom peut cesser de fournir, ou le Client peut accepter de ne pas utiliser (temporairement ou définitivement), l’aspect particulier du Service qui impliquerait l’utilisation de ce sous-traitant pour le traitement des Données personnelles du Client. Zoom fournira au Client une description écrite de la ou des alternatives commercialement raisonnables, le cas échéant, à cet engagement, y compris, sans s’y limiter, la modification des Services. Si Zoom, à sa seule discrétion, ne peut pas fournir cette ou ces alternatives, ou si le Client les refuse dans le cas où elles seraient fournies, Zoom et le Client peuvent résilier le Contrat, y compris le présent Addenda, avec un préavis écrit de soixante (60) jours. La résiliation n’annule pas les frais ou charges que le Client doit à Zoom pour les Services fournis jusqu’à la date effective de la résiliation en vertu du Contrat.
      4. Si le Client ne s’oppose pas à l’engagement d’un nouveau sous-traitant dans les 15 jours ouvrables suivant l’envoi d’un avis par Zoom, ce nouveau sous-traitant sera considéré comme accepté.
   6. Zoom ne doit engager un sous-traitant pour le Traitement des Données personnelles du Client qu’en vertu d’un contrat écrit et doit exiger du sous-traitant qu’il respecte toutes les obligations de Zoom qui sont sous-traitées en ce qui concerne ces Données personnelles. Zoom reste responsable envers le Client, en cas de manquement de ce sous-traitant à ses obligations en matière de protection des données dans la même mesure que Zoom serait responsable en vertu du présent Addenda pour de tels faits ou manquements.
5. Sécurité des informations. En tenant compte du contexte du Traitement, Zoom doit maintenir des mesures techniques et organisationnelles appropriées en ce qui concerne les Données personnelles du Client afin d’assurer un niveau de sécurité adapté au risque, conformément au présent Addenda et aux éléments expressément indiqués dans le Contrat.
6. Informations sur la conformité. Sur demande raisonnable du Client, Zoom doit mettre à la disposition du Client les informations raisonnables, conformes aux Lois applicables, en possession de Zoom et nécessaires pour démontrer la conformité de Zoom à ses propres obligations décrites dans le présent Addenda.