Annexe de Traitement des Données

Le site Web G2 utilise l'API Crowdin Translation. G2 a déployé des efforts raisonnables pour fournir des traductions précises. Cependant, aucune traduction automatisée ou informatisée n'est parfaite et n'est pas destinée ou attendue à remplacer les méthodes de traduction humaines ou traditionnelles. Le texte officiel est la version anglaise du site G2. Cette traduction dans une autre langue que l'anglais est fournie pour votre commodité uniquement et ne doit pas être invoquée à des fins juridiques. Les divergences ou différences créées dans la traduction ne sont pas contraignantes et n’ont aucun effet juridique à des fins de conformité ou d’application. Si des questions se posent concernant l'exactitude des informations présentées par la version traduite du site Web, veuillez vous référer à la version anglaise du site Web, qui est la version officielle.

Cette Annexe de Traitement des Données (« ATD ») est conclue entre G2.com, Inc. (« G2 ») et l'entité identifiée dans le Bon de Commande de Services (« Client ») et est intégrée dans le Contrat de Service Principal (« Contrat »), ou un accord similaire concernant les Services, entre les parties. Les termes en majuscules non définis ici ont les significations attribuées dans le Contrat.

Ce DPA s'applique uniquement lorsque les données personnelles sont transférées par le client (contrôleur) à G2 (processeur) aux fins suivantes :

But	Sujet de Données	Données Personnelles Transférées du Client à G2
Campagne d'Évaluation	Clients du Client	Prénom + Email
Invitation à mon.G2	Employés du client	Prénom + Nom + Email

1. Portée.

Cette ATD énonce comment G2 traitera les Données Personnelles (ou un terme similaire tel que défini par les Lois sur la Protection de la Vie Privée applicables) fournies par le Client dans le cadre du Contrat. Les parties conviennent de respecter les lois applicables en matière de protection des données (« Lois sur la Protection de la Vie Privée »). Les détails du traitement sont disponibles à l'Appendice A. « Traiter » (et ses dérivés) est défini conformément aux Lois sur la Protection de la Vie Privée applicables.

2. Obligations du Client.

Le Client est seul responsable de (a) notifier ou obtenir le consentement d'une personne à laquelle les Données Personnelles se rapportent (« Sujet de Données ») comme requis par les Lois sur la Protection de la Vie Privée ; (b) fournir uniquement les Données Personnelles minimales nécessaires pour que G2 puisse remplir ses obligations ; (c) garantir l'exactitude et l'intégralité des Données Personnelles et effectuer des mises à jour, y compris la gestion des demandes de suppression de Données Personnelles ; (d) tout Traitement non autorisé en dehors du contrôle de G2 ou d'un Sous-traitant ; (e) garantir que les Données Personnelles ne contiennent pas de Catégories Spéciales ou de Données Personnelles Sensibles (telles que définies par les Lois sur la Protection de la Vie Privée) ; (f) gérer les communications avec des contrôleurs tiers ; et (g) examiner les informations de sécurité des données de G2 pour répondre aux obligations légales. Le Client ne doit pas demander à G2 de Traiter en violation des Lois sur la Protection de la Vie Privée. Si G2 estime qu'une instruction viole les Lois sur la Protection de la Vie Privée, G2 peut refuser de Traiter sans aucune pénalité. Pour toute exigence légale non couverte par cette ATD, le Client doit notifier G2 à legal@g2.com. G2 n'est pas responsable de l'initiation de ce processus et peut refuser, sans encourir de pénalités, de Traiter les Données Personnelles si les exigences dépassent cette ATD.

3. Utilisation des Données Personnelles.

Le Client demande à G2 de Traiter les Données Personnelles (a) pour exécuter ses obligations en vertu du Contrat et conformément à l'Appendice A, (b) tel qu'exigé par la loi et en conformité avec les Lois sur la Protection de la Vie Privée, ou (c) pour tout autre but permis par écrit par le Client. G2 ne « partagera » ni ne « vendra » les Données Personnelles (telles que définies par le CCPA).

4. Vie Privée et Sécurité.

G2 mettra en œuvre des mesures de sécurité raisonnables pour protéger les Données Personnelles, comme décrit dans l'Appendice B. Les certifications et audits de tiers sont disponibles sur demande écrite du Client à security@g2.com (« Garanties »). G2 peut mettre à jour les Garanties sans préavis ou approbation du Client, mais ne réduira pas matériellement les normes actuelles.

5. Sous-traitants.

Le Client autorise G2 à engager des tiers ou des sous-traitants pour Traiter les Données Personnelles pour son compte (« Sous-traitants »). G2 veillera à ce que les Sous-traitants acceptent des obligations similaires de protection des données comme énoncé dans cette ATD. Sauf indication contraire dans le Contrat ou cette ATD, la responsabilité de G2 envers les Sous-traitants est limitée dans la mesure où G2 fournirait les services directement, et ne dépassera pas le montant effectivement récupéré par G2 auprès de ce Sous-traitant. Le Client fournit à G2 une autorisation générale pour engager des Sous-traitants.

G2 maintient une liste de ses Sous-traitants sur https://legal.g2.com/subprocessors, où le Client doit s'abonner aux notifications de nouveaux Sous-traitants (« Notification de Sous-traitant »). . Si le Client s'oppose à un nouveau Sous-traitant, le Client doit notifier G2 par écrit à privacy@G2.com dans les 10 jours ouvrables suivant l'envoi par G2 d'une Notification de Sous-traitant. Si une objection est faite à temps, G2 s'efforcera raisonnablement d'éviter d'utiliser le Sous-traitant contesté, mais si aucune solution n'est trouvée dans un délai de 30 jours ouvrables, le Client peut résilier le Contrat et l'ATD conformément aux dispositions de résiliation du Contrat.

6. Coopération et Audits.

G2 fournira une assistance raisonnable pour aider le Client à se conformer aux Lois sur la Protection de la Vie Privée concernant (a) cette ATD ; (b) les évaluations d'impact sur la vie privée ou (c) sous réserve des termes de cette Section 6, les audits de G2 comme requis par les Lois sur la Protection de la Vie Privée (collectivement, « Obligations d'Audit G2 ») ; le Client peut auditer G2 une fois dans n'importe quelle période de 12 mois glissants, sauf si les Lois sur la Protection de la Vie Privée l'exigent autrement.

En ce qui concerne les Obligations d'Audit G2, sous réserve des obligations de confidentialité énoncées dans le Contrat et à la demande écrite du Client, G2 fournira au Client ou, si exigé par les Lois sur la Protection de la Vie Privée, à l'autorité réglementaire compétente du Client, (a) un résumé des audits récents de tiers ou des certifications, (b) des rapports similaires des Sous-traitants à G2, ou (c) toute autre information requise par les Lois sur la Protection de la Vie Privée.

Si les Lois sur la Protection de la Vie Privée exigent un audit sur site (« Audits Sur Site »), le Client et G2 conviendront de la portée, du calendrier et de la durée au moins 30 jours à l'avance de tout tel audit. Les Audits Sur Site seront limités aux installations de G2 uniquement, le Client couvrira tous les coûts, les participants doivent se conformer aux exigences de confidentialité et autres exigences, uniquement déterminées par G2, et doivent se dérouler pendant les heures ouvrables normales de G2. Sauf si les Lois sur la Protection de la Vie Privée l'exigent autrement, le Client doit soumettre sa demande d'Audit Sur Site à G2 à privacy@g2.com avec un préavis écrit d'au moins 30 jours. G2 n'est pas tenu de violer les Lois sur la Protection de la Vie Privée ou d'autres obligations légales ou contractuelles qu'il a envers ses clients ou ses utilisateurs. Le Client doit informer G2 de tout problème de conformité trouvé lors de l'Audit Sur Site dans les 10 jours ouvrables. G2 peut adapter la portée d'un Audit Sur Site pour éviter les risques par rapport à ses obligations légales et contractuelles envers d'autres clients et utilisateurs de G2.

Les audits dans le cadre des Clauses Contractuelles Types de l'UE et du Royaume-Uni (« SCCs ») suivront cette Section 6.

7. Transferts de Données Transfrontaliers.

G2 traite les Données Personnelles aux États-Unis. Les transferts de Données Personnelles de l'UE ou du Royaume-Uni vers une juridiction qui n'est pas reconnue par l'UE ou le Royaume-Uni comme offrant une protection adéquate des données, ou lorsque les transferts de données envisagés par cette ATD ne sont pas autrement restreints par les Lois sur la Protection de la Vie Privée, les SCCs de l'UE et l'Accord International sur le Transfert de Données du Royaume-Uni (« Accord du Royaume-Uni ») s'appliquent, tels qu'incorporés à l'Appendice C. En signant le Bon de Commande de Services, les deux parties acceptent les SCCs de l'UE et l'Accord du Royaume-Uni.

Pour les transferts de Données Personnelles de l'UE (« Données Personnelles de l'UE ») vers les États-Unis, G2 participe au Programme de Cadre de Confidentialité des Données de l'UE-États-Unis. Programme de Cadre de Confidentialité des Données (« DPF ») et accepte de se conformer au DPF dans la mesure où le Client participe également au DPF.

8. Violation de Données Personnelles.

Si G2 est négligent et compromet ou provoque matériellement la destruction accidentelle ou illicite, la perte, l'altération, la divulgation non autorisée ou l'accès aux Données Personnelles du Client ou tout autre événement ayant un impact sur les Données Personnelles du Client qui déclenche une obligation pour G2 de notifier le Client en vertu des Lois sur la Protection de la Vie Privée liées à la notification d'une violation de sécurité (collectivement, une « Violation de Données Personnelles »), G2 notifiera le Client sans délai de la confirmation par G2 de cette Violation de Données Personnelles à l'Email de Sécurité indiqué dans le Bon de Commande de Services. G2 partagera les informations suivantes lorsqu'elles deviendront disponibles pour G2 : (a) une brève description de la Violation de Données Personnelles, y compris sa date, (b) les détails des Données Personnelles impactées, (c) les actions que G2 prend pour enquêter et atténuer, (d) les coordonnées pour de plus amples informations, et (e) toute autre information requise par les Lois sur la Protection de la Vie Privée.

Si les Lois sur la Protection de la Vie Privée exigent la notification de tiers, G2 remboursera au Client les coûts raisonnables directement liés à la notification et à toute surveillance de crédit requise (« Coûts de Notification »), à l'exclusion des frais d'avocat ou des coûts connexes encourus par le Client.

G2 coopérera avec l'enquête raisonnable du Client, comme requis par les Lois sur la Protection de la Vie Privée. Si les Lois sur la Protection de la Vie Privée exigent la notification de tiers, G2 remboursera au Client les coûts raisonnables directement encourus par le Client pour cette notification légalement requise et toute surveillance de crédit légalement requise (« Coûts de Notification »). Les Coûts de Notification n'incluront pas les frais d'avocat ou les coûts connexes encourus par le Client.

9. Gestion de l'information.

Après avoir terminé les Services, G2 retournera ou supprimera toutes les copies des Données Personnelles, sauf si la conservation est requise par la loi ou autrement impossible, auquel cas G2 conservera les Données Personnelles uniquement si nécessaire et pourra les traiter uniquement dans le but de prévenir le retour ou la suppression.

10. Indemnisation.

Conformément à la Section 12 du Contrat, le Client accepte de rembourser, d'indemniser et de tenir G2 à l'écart de tous les coûts engagés en réponse ou en atténuation de toute perte subie par G2, y compris, mais sans s'y limiter, toute perte liée à une réclamation de tiers contre G2 concernant le Traitement des Données Personnelles lorsque ce Traitement est conforme aux instructions de Traitement du Client, au Contrat et/ou à cette ATD.

11. Limitation de Responsabilité.

Sauf indication contraire explicite dans cette ATD, la seule responsabilité de G2 et le seul recours du Client pour la violation par G2 de cette ATD ne dépasseront pas les frais payés par le Client à G2 en vertu du Bon de Commande de Services donnant lieu à la revendication dans les 12 mois précédant la réclamation. En aucun cas, G2 ne sera responsable de tout dommage spécial, indirect, accessoire, consécutif ou punitif, y compris les pertes de profits subies par le Client.

12. Interprétation et Mises à jour.

G2 mettra périodiquement à jour cette ATD, sans préavis au Client, en conformité matérielle avec les Lois sur la Protection de la Vie Privée et sans réduire matériellement les protections énoncées ici. L'ordre de priorité suivant s'applique en cas de conflit concernant le Traitement des Données Personnelles : (a) l'Accord International sur le Transfert de Données, (b) cette ATD, (c) le Contrat, et (d) les Lois sur la Protection de la Vie Privée.

13. Durée.

Cette ATD commence à la date d'entrée en vigueur et reste en vigueur jusqu'à la résiliation du Contrat ou jusqu'à ce que G2 cesse de Traiter les Données Personnelles au nom du Client.

ANNEXE A

Description du Traitement

Parties	Exportateur & Contrôleur : Client Les informations du Client sont indiquées dans le Bon de Commande de Services.
Parties	Importateur & Sous-traitant : G2.com, Inc. 100 South Wacker Drive, Suite 600, Chicago, IL 60606
Catégories de Sujets de Données Dont les Données Personnelles sont Transférées & Catégories de Données Personnelles Transférées	Campagne d'Évaluation (le cas échéant) Sujet de Données : Clients du Client Données Personnelles : Prénom et email
Données Sensibles Transférées	Le Client ne transférera pas de Données Sensibles à G2.
Fréquence du Transfert	Continu.
Nature du Traitement	Pour fournir les Services.
But du Traitement, Transfert de Données et Traitement Supplémentaire	Pour fournir les Services.
Durée du Traitement	Comme indiqué à la Section 13.
Transferts de Sous-traitant	Comme indiqué à la Section 5.

ANNEXE B

Mesures Techniques et Organisationnelles

G2 a mis en œuvre les mesures techniques et organisationnelles suivantes pour la protection de la sécurité, de la confidentialité et de l'intégrité des Données Personnelles :

Contrôle d'accès : Prévention de l'Accès Non Autorisé au Produit	Traitement externalisé : G2 héberge ses Services chez des prestataires d'infrastructure cloud externalisés. G2 maintient des relations contractuelles avec les fournisseurs afin de fournir les Services conformément à son ATD. G2 s'appuie sur des accords contractuels, des politiques de confidentialité et des programmes de conformité des fournisseurs pour protéger les données traitées ou stockées par ces fournisseurs.
	Sécurité physique et environnementale : G2 héberge son infrastructure produit chez des fournisseurs d'infrastructure externalisée multi-locataires. Les contrôles de sécurité physique et environnementale sont audités pour la conformité SOC 2 Type I et ISO 27001, 27017, 17018, parmi d'autres certifications.
	Authentification : G2 a mis en œuvre une politique de mot de passe uniforme pour ses produits clients. Les clients qui interagissent avec les produits via l'interface utilisateur doivent s'authentifier avant d'accéder aux données clients non publiques.
	Autorisation : Les données des clients sont stockées dans des systèmes de stockage multi-locataires accessibles aux clients via uniquement les interfaces utilisateur d'application et les interfaces de programmation d'application. Les clients ne sont pas autorisés à accéder directement à l'infrastructure d'application sous-jacente. Le modèle d'autorisation dans chacun des produits de G2 est conçu pour garantir que seules les personnes correctement assignées peuvent accéder aux fonctionnalités, vues et options de personnalisation pertinentes. L'autorisation aux ensembles de données est effectuée en validant les permissions de l'utilisateur par rapport aux attributs associés à chaque ensemble de données.
	Accès aux API (Application Programming Interface) : Les API produit publiques peuvent être accessibles via une API.
Contrôle d'accès : Prévention de l'Utilisation Non Autorisée du Produit	G2 met en œuvre des contrôles d'accès et des capacités de détection standard de l'industrie pour les réseaux internes qui supportent ses produits.
	Contrôles d'accès : Les mécanismes de contrôle d'accès réseau sont conçus pour empêcher le trafic réseau utilisant des protocoles non autorisés d'atteindre l'infrastructure produit. Les mesures techniques mises en œuvre diffèrent entre les fournisseurs d'infrastructure et incluent des implémentations de Cloud Privé Virtuel (VPC), l'affectation de groupes de sécurité et les règles de pare-feu traditionnelles.
	Détection et prévention des intrusions : G2 a implémenté une solution de pare-feu d'application Web (WAF) pour protéger les sites web clients hébergés et d'autres applications accessibles sur internet. Le WAF est conçu pour identifier et prévenir les attaques contre les services réseau publics disponibles. L'analyse de code statique : Des revues de sécurité du code stocké dans les dépôts de code source de G2 sont effectuées. Vérification des pratiques de codage recommandées et des failles logicielles identifiables.
	Tests de pénétration : G2 entretient des relations avec des fournisseurs de services de tests de pénétration reconnus dans l'industrie pour un test annuel de pénétration. L'intention des tests de pénétration est d'identifier et de résoudre les vecteurs d'attaque prévisibles et les scénarios potentiels d'abus.
	Contrôle d'accès : Limitations de Privilège & Exigences d'Autorisation	Accès au Produit : Un sous-ensemble d'employés de G2 a accès aux produits et aux données clients via des interfaces contrôlées. L'objectif de fournir un accès à un sous-ensemble d'employés est de fournir un support client efficace, de résoudre des problèmes potentiels, de détecter et de répondre à des incidents de sécurité, et de mettre en œuvre la sécurité des données. Toutes ces demandes sont enregistrées. Les employés se voient attribuer des accès par rôle, et des examens réguliers des autorisations à haut risque sont initiés. Les rôles des employés sont revus au moins une fois tous les 6 mois.
Vérifications des antécédents : Tous les employés de G2 subissent une vérification des antécédents par un tiers avant de se voir proposer une offre d'emploi, conformément aux lois applicables et dans la mesure où elles le permettent. L'implémentation HTTPS de G2 utilise des algorithmes et des certificats conformes aux normes de l'industrie.
Au repos : G2 stocke les mots de passe des utilisateurs selon des politiques qui suivent les pratiques de sécurité standard de l'industrie. G2 a mis en œuvre des technologies pour garantir que les données stockées sont chiffrées au repos. Contrôle d'entrée
Contrôle d'entrée	Détection : G2 a conçu son infrastructure pour enregistrer de nombreuses informations sur le comportement du système, le trafic reçu, l'authentification du système et d'autres demandes d'application. Les incidents de sécurité suspectés et confirmés sont enquêtés par le personnel de sécurité, des opérations ou de support ; et des étapes de résolution appropriées sont identifiées et documentées. Pour tout incident confirmé, G2 prendra les mesures appropriées pour minimiser les dégâts au produit et au Client ou la divulgation non autorisée.
	Communication : Si G2 prend connaissance d'un accès illégal à des données non-G2 stockées dans ses services, G2 : 1) informera les clients concernés de l'incident ; 2) fournira une description des mesures que G2 prend pour résoudre l'incident ; et 3) fournira des mises à jour de statut au contact Client, selon les besoins jugés nécessaires par G2. Les notification(s) d'incidents, le cas échéant, seront envoyées à un ou plusieurs des contacts du Client sous une forme choisie par G2, pouvant inclure l'email ou le téléphone.
	Contrôle de disponibilité	Disponibilité de l'infrastructure: Les fournisseurs maintiennent un minimum de redondance N+1 pour les services d'alimentation, de réseau et de CVC.
Tolérance aux pannes: Les stratégies de sauvegarde et de réplication sont conçues pour garantir la redondance et les protections de basculement en cas de défaillance de traitement importante. Les données des clients sont sauvegardées dans plusieurs magasins de données durables.
Répliques et sauvegardes en ligne : Là où c'est possible, les bases de données de production sont conçues pour répliquer les données entre pas moins de 1 base de données principale et 1 base de données secondaire. Toutes les bases de données sont sauvegardées et maintenues en utilisant au moins les méthodes standards de l'industrie.
Les produits de G2 sont conçus pour garantir une redondance et un basculement transparent. Les instances serveur qui soutiennent les produits sont également conçues pour prévenir les points de défaillance uniques. Cette conception aide les opérations de G2 à maintenir et mettre à jour les applications de produit et le backend tout en limitant les temps d'arrêt.

ANNEXE C

EU & UK RGPD

Section 1 - UE : Pour les transferts de données depuis l'UE, les CCT de l'UE sont intégrées dans ce DPA comme suit :

Terme CCT UE	Amendement/Option sélectionnée
Module	Module 2 (Contrôleur à sous-traitant).
Clause 7 (Clause d'intégration)	L'option n'est pas incluse.
Clause 9 (Utilisation de sous-traitants)	L'Option 2 s'appliquera. Tel que défini dans l'Annexe.
Clause 11 (Recours)	L'option n'est pas incluse.
Clause 13 (Supervision)	Les options sont incluses, si applicable.
Clause 17 (Loi applicable)	Irlande.
Clause 18 (Choix du tribunal et juridiction)	Irlande.
Annexe I.A (Liste des parties)	Tel que défini dans l'Annexe A.
Annexe I.B (Description du transfert)	Tel que défini dans l'Annexe A.
Annexe I.C (Autorité de surveillance compétente)	Tel que défini dans l'Annexe A.
Annexe II (Mesures techniques et organisationnelles)	Tel que défini dans l'Annexe B.

Section 2 - Royaume-Uni : Pour les transferts de données depuis le Royaume-Uni, l'addendum britannique est intégré à ce DPA comme suit :

Terme d'addendum britannique	Amendement/Option sélectionnée
Tableau 1 : Date de début	Tel que défini dans la Section 13.
Tableau 1 : Parties	Tel que défini dans l'Annexe A.
Tableau 2 : Addendum EU SCC	Tel que défini dans la Section 1 de cette Annexe C.
Tableau 3 : Informations sur l'annexe	Tel que défini dans la Section 1 de cette Annexe C.
Tableau 4 : Fin de cet addendum	Importateur.
Clauses obligatoires	Les clauses obligatoires sont intégrées à cette Annexe C. Les ‘clauses obligatoires alternatives de la partie 2 » ne sont pas sélectionnées.