Annexe de sous-traitance des données personnelles

1. Objet de l’Annexe

La présente annexe définit les conditions dans lesquelles Hostchilipepper peut traiter des données personnelles pour le compte du client lorsque celui-ci utilise les services host.nc pour héberger, stocker, transmettre ou traiter des données personnelles.

Elle précise notamment les rôles respectifs du client et de Hostchilipepper, les instructions applicables au traitement, les catégories de données concernées, les mesures de sécurité, les conditions de recours à des sous-traitants ultérieurs, l’assistance au client, la gestion des violations de données et les conditions de restitution ou suppression des données en fin de contrat.

2. Rôles des parties

Lorsque le client utilise les services host.nc pour héberger son propre site, ses fichiers, bases de données, formulaires, applications, boutiques en ligne, espaces membres ou outils de communication, il détermine généralement les finalités et les moyens des traitements réalisés via ses propres services.

Dans ce cas, le client agit comme responsable du traitement des données personnelles qu’il collecte ou traite via ses propres sites, applications ou services.

Hostchilipepper agit comme sous-traitant technique du client pour les opérations nécessaires à la fourniture des services d’hébergement, de stockage, de support, de sécurité, de maintenance technique et de continuité du service.

Le client reste seul responsable de la conformité de ses propres traitements de données personnelles.

Informations légales

Les informations relatives à l’éditeur, au titulaire administratif du domaine host.nc, au partenaire & assistance HOST.NC et au gestionnaire .NC référencé sont disponibles dans les mentions légales.

4. Description des traitements

Les traitements réalisés par Hostchilipepper pour le compte du client peuvent comprendre notamment l’hébergement de fichiers, l’hébergement de bases de données, le stockage de contenus, la transmission de données, les sauvegardes techniques, la restauration éventuelle, la gestion technique de l’infrastructure, la supervision de la sécurité, le traitement de logs techniques, la maintenance, le support technique, le diagnostic d’incidents, la prévention des abus et la suspension ou intervention en cas de risque technique ou de sécurité.

Les traitements sont réalisés uniquement dans le cadre de la fourniture des services commandés par le client.

5. Finalités du traitement

Hostchilipepper traite les données personnelles pour le compte du client uniquement afin de fournir les services d’hébergement, assurer le fonctionnement technique, maintenir la disponibilité et la sécurité de l’infrastructure, permettre l’accès aux sites, applications, fichiers ou bases de données du client, assurer le support technique, traiter les incidents, prévenir les abus, attaques, spams, malwares ou usages illicites, réaliser lorsque cela est possible des opérations de sauvegarde ou de restauration, et respecter les obligations légales ou demandes d’autorités compétentes lorsqu’elles s’appliquent.

Hostchilipepper ne traite pas les données hébergées par le client pour ses propres finalités commerciales, sauf accord spécifique ou obligation légale.

6. Catégories de données personnelles concernées

Les données personnelles traitées dépendent de l’utilisation faite par le client des services host.nc. Elles peuvent notamment inclure des données d’identification, noms et prénoms, adresses e-mail, adresses postales, identifiants de connexion, données de compte utilisateur, données de formulaire, données de commande, données de facturation collectées par les sites du client, données de paiement si le client exploite une boutique en ligne, adresses IP, logs techniques, messages, contenus transmis ou stockés, données présentes dans les bases de données du client, fichiers et documents hébergés par le client, et toute autre donnée personnelle que le client choisit d’héberger via les services.

Hostchilipepper n’a pas vocation à déterminer ou contrôler le contenu exact des données que le client choisit d’héberger.

7. Catégories de personnes concernées

Les personnes concernées peuvent notamment être les clients du client, prospects, visiteurs du site du client, utilisateurs du site ou de l’application du client, membres d’un espace privé, abonnés à une newsletter, collaborateurs, prestataires, contacts commerciaux ou toute personne dont les données sont collectées ou hébergées par le client via les services host.nc.

8. Données sensibles

Les services host.nc ne sont pas spécifiquement conçus pour héberger des données sensibles au sens de la réglementation applicable.

Le client s’engage à ne pas héberger de données sensibles, données médicales, données relatives à des infractions, données biométriques, données bancaires complètes ou données à haut risque sans avoir vérifié que l’offre souscrite, les mesures de sécurité et le cadre juridique sont adaptés.

Si le client choisit néanmoins d’héberger ce type de données, il en assume la responsabilité et doit mettre en place les garanties appropriées. Hostchilipepper se réserve le droit de refuser ou suspendre un usage présentant un risque excessif, non conforme à l’offre souscrite ou incompatible avec la sécurité de l’infrastructure.

9. Instructions du client

Hostchilipepper traite les données personnelles uniquement sur instruction documentée du client. Les instructions du client sont constituées par la commande du service, les conditions générales de vente et d’utilisation, la présente annexe, les paramètres configurés dans l’espace client, les demandes transmises au support et les documents contractuels spécifiques éventuellement conclus entre les parties.

Toute instruction supplémentaire du client doit être transmise par écrit. Hostchilipepper peut refuser une instruction illicite, techniquement impossible, contraire aux règles de sécurité, aux CGV/CGU, à la charte d’utilisation acceptable ou susceptible de porter atteinte à l’infrastructure, aux autres clients ou aux tiers.

10. Obligations du client

Le client s’engage à traiter les données personnelles conformément à la réglementation applicable, informer les personnes concernées de ses propres traitements, recueillir les consentements nécessaires lorsque cela est requis, définir des durées de conservation adaptées, sécuriser ses sites, applications, formulaires, bases de données et accès, limiter les données collectées à ce qui est nécessaire, répondre aux demandes d’exercice de droits, documenter ses traitements lorsque cela est nécessaire, ne pas utiliser les services pour des traitements illicites, abusifs ou dangereux, ne pas transmettre à Hostchilipepper des données non nécessaires au support, effectuer ses propres sauvegardes et maintenir ses CMS, plugins, thèmes, scripts et mots de passe à jour.

Le client garantit disposer de toutes les autorisations nécessaires pour confier les données personnelles à Hostchilipepper.

11. Obligations de Hostchilipepper LLC

Hostchilipepper s’engage à traiter les données uniquement pour les finalités prévues par le contrat, ne traiter les données que sur instruction documentée du client, mettre en œuvre des mesures techniques et organisationnelles raisonnables, limiter l’accès aux données aux personnes ou prestataires ayant besoin d’en connaître, veiller à la confidentialité des personnes autorisées à traiter les données, informer le client en cas de violation de données dans les conditions prévues par la présente annexe, aider raisonnablement le client à respecter certaines obligations lorsque cela est possible et proportionné, supprimer ou restituer les données en fin de contrat selon les conditions applicables et tenir à disposition certaines informations nécessaires à la démonstration du respect de ses obligations, dans des conditions raisonnables.

12. Confidentialité

Hostchilipepper veille à ce que les personnes autorisées à traiter les données personnelles soient soumises à une obligation de confidentialité appropriée.

L’accès aux données est limité aux personnes ou prestataires dont l’intervention est nécessaire pour la fourniture des services, le support, la sécurité, la maintenance, la facturation, la prévention des abus ou la conformité légale.

13. Mesures de sécurité

Hostchilipepper met en œuvre des mesures techniques et organisationnelles raisonnables destinées à protéger les données personnelles contre la perte, la destruction, l’altération, l’accès non autorisé ou la divulgation non autorisée.

Ces mesures peuvent comprendre le contrôle des accès, l’authentification des comptes, la restriction des accès techniques, la journalisation technique, la supervision de l’infrastructure, la protection contre certains abus, les mesures anti-spam, anti-phishing ou anti-malware, le cloisonnement logique lorsque cela est applicable, les sauvegardes techniques selon les offres et politiques applicables, la sécurisation des connexions lorsque cela est disponible, les mises à jour techniques de l’infrastructure, les procédures internes de gestion des incidents et la limitation des accès aux besoins strictement nécessaires.

Le client reconnaît que la sécurité dépend également de ses propres pratiques, notamment mots de passe, mises à jour, plugins, scripts, permissions, sauvegardes et configuration de ses sites.

14. Limites de sécurité

Aucune infrastructure informatique ne peut garantir une sécurité absolue. Hostchilipepper ne peut être tenue responsable des incidents résultant notamment d’un mot de passe faible ou compromis, d’un CMS non mis à jour, d’un plugin vulnérable, d’un thème compromis, d’un script dangereux installé par le client, d’un accès accordé par le client à un tiers, d’une mauvaise configuration, d’une faille applicative du site du client, d’une absence de sauvegarde indépendante, d’une action malveillante extérieure non imputable à Hostchilipepper ou d’un prestataire tiers utilisé par le client.

15. Sous-traitants ultérieurs

Le client autorise Hostchilipepper à recourir à des sous-traitants ultérieurs lorsque cela est nécessaire à la fourniture des services. Ces sous-traitants peuvent notamment intervenir pour l’infrastructure serveur, l’hébergement technique, les noms de domaine, les certificats SSL, la messagerie, les paiements, la sécurité, le support, les sauvegardes, les outils d’administration, la communication client et la maintenance technique.

Hostchilipepper veille à ce que ses sous-traitants ultérieurs soient soumis à des obligations compatibles avec la présente annexe. Le client peut demander la liste des principales catégories de sous-traitants utilisés via la rubrique données personnelles.

16. Opposition à un sous-traitant ultérieur

Lorsque Hostchilipepper ajoute ou remplace un sous-traitant ultérieur susceptible d’avoir un impact significatif sur les traitements confiés, elle peut en informer le client par tout moyen approprié, notamment par e-mail, notification dans l’espace client ou mise à jour de la documentation applicable.

Le client peut formuler une objection motivée dans un délai raisonnable. Si l’objection rend impossible la fourniture du service, les parties pourront résilier le service concerné dans les conditions prévues aux CGV/CGU.

17. Transferts internationaux de données

Hostchilipepper étant une société immatriculée aux États-Unis, certaines données peuvent être transférées, stockées ou accessibles depuis des pays situés en dehors de la Nouvelle-Calédonie, de l’Union européenne ou de l’Espace économique européen.

Des transferts peuvent également intervenir lorsque des prestataires techniques, d’hébergement, de paiement, de support, de sécurité ou de noms de domaine sont situés dans des pays tiers.

Lorsque cela est nécessaire, Hostchilipepper veille à ce que les transferts de données personnelles soient encadrés par des garanties appropriées, pouvant inclure une décision d’adéquation applicable, une certification à un cadre reconnu lorsque le prestataire y est éligible, des clauses contractuelles types, des mesures contractuelles, organisationnelles ou techniques complémentaires, ou la nécessité du transfert pour l’exécution du contrat demandé par le client.

Le client reconnaît que certains transferts peuvent être nécessaires à la fourniture des services, notamment lorsque le prestataire contractuel principal ou certains prestataires techniques sont situés hors de l’Union européenne ou de l’Espace économique européen.

18. Assistance au client

Dans la mesure du possible et compte tenu de la nature des services, Hostchilipepper peut assister raisonnablement le client pour répondre à une demande d’exercice de droits, rechercher certaines données hébergées, fournir des informations techniques utiles, traiter une demande de suppression ou de restitution, comprendre un incident de sécurité, documenter certains éléments liés à l’hébergement ou restaurer certaines données lorsque cela est possible et prévu par l’offre.

Cette assistance peut être limitée par la nature mutualisée du service, les droits d’accès disponibles, les contraintes techniques, les obligations de sécurité, la confidentialité des autres clients, l’absence de sauvegarde exploitable ou le périmètre de l’offre souscrite.

Certaines demandes d’assistance complexes, répétées ou nécessitant une intervention spécifique peuvent faire l’objet d’une facturation complémentaire après information préalable du client.

19. Demandes des personnes concernées

Lorsque Hostchilipepper reçoit directement une demande d’exercice de droits concernant des données hébergées par le client, elle peut, lorsque cela est possible, transmettre la demande au client ou inviter la personne concernée à contacter directement le responsable du traitement.

Le client reste responsable du traitement des demandes d’accès, de rectification, d’effacement, d’opposition, de limitation, de portabilité ou de retrait du consentement concernant les données qu’il collecte ou héberge via ses propres services.

Hostchilipepper ne répond directement à ces demandes que lorsqu’elle est légalement tenue de le faire ou lorsqu’elle agit pour son propre compte.

20. Violation de données personnelles

En cas de violation de données personnelles affectant les données traitées pour le compte du client et dont Hostchilipepper a connaissance, Hostchilipepper informe le client dans les meilleurs délais raisonnables.

L’information peut comprendre, dans la mesure où ces éléments sont connus, la nature de l’incident, les services concernés, les catégories de données potentiellement concernées, les conséquences probables, les mesures prises ou proposées et les recommandations éventuelles pour limiter les effets de l’incident.

Le client reste responsable de déterminer si l’incident doit être notifié à une autorité compétente ou communiqué aux personnes concernées, sauf lorsque Hostchilipepper agit comme responsable du traitement pour ses propres données.

21. Incidents liés au client

Lorsque l’incident résulte d’un site compromis, d’un CMS non mis à jour, d’un plugin vulnérable, d’un mot de passe compromis, d’un accès tiers ou d’une mauvaise configuration du client, le client reste responsable des actions correctives et des éventuelles obligations de notification.

Hostchilipepper peut suspendre ou limiter temporairement le service concerné afin de protéger l’infrastructure, les autres clients ou les tiers.

22. Audit et informations

Hostchilipepper met à disposition du client, sur demande raisonnable, les informations nécessaires pour démontrer le respect de la présente annexe, dans la limite de ce qui est compatible avec la sécurité de l’infrastructure, la confidentialité des autres clients, les secrets d’affaires, les obligations contractuelles envers les prestataires, les contraintes techniques et la protection des systèmes.

Tout audit demandé par le client doit être raisonnable, proportionné, annoncé à l’avance et ne pas perturber le fonctionnement des services. Hostchilipepper peut refuser un audit physique ou technique présentant un risque pour la sécurité, la confidentialité, la disponibilité ou les autres clients, et proposer à la place des informations documentaires ou réponses écrites. Les coûts liés à un audit spécifique peuvent être à la charge du client.

23. Restitution ou suppression des données

À la fin du contrat ou du service concerné, le client doit récupérer ses données avant la résiliation, l’expiration ou la suppression effective du service.

Après la fin du service, Hostchilipepper peut supprimer les données associées dans les délais techniques ou contractuels applicables. Lorsque cela est possible, Hostchilipepper peut permettre au client d’exporter ou récupérer certaines données avant suppression.

Hostchilipepper peut conserver certaines données lorsque cela est nécessaire pour respecter une obligation légale, gérer une facture, conserver une preuve contractuelle, traiter un litige, prévenir la fraude, assurer la sécurité ou respecter les délais techniques de sauvegarde ou d’archivage. Les sauvegardes résiduelles peuvent subsister temporairement jusqu’à leur suppression ou rotation automatique selon les cycles de sauvegarde applicables.

24. Sauvegardes

Certaines données peuvent être incluses dans des sauvegardes techniques. Les conditions de sauvegarde, de restauration, de conservation et de suppression sont précisées dans la politique de sauvegarde et de restauration de host.nc.

Sauf engagement spécifique écrit, les sauvegardes ne constituent pas une garantie de restauration complète ou permanente. Le client reste responsable de conserver ses propres sauvegardes indépendantes.

25. Registre et documentation

Le client est responsable de la tenue de son propre registre des traitements lorsque cela est requis. Hostchilipepper peut tenir une documentation interne relative aux traitements réalisés pour ses clients, aux catégories de services fournis, aux sous-traitants utilisés et aux mesures de sécurité mises en œuvre.

26. Données de compte client

Les données collectées directement par Hostchilipepper pour gérer la relation commerciale avec le client, notamment compte client, facturation, commandes, tickets support et paiements, sont traitées par Hostchilipepper en qualité de responsable du traitement.

Ces traitements sont décrits dans la politique de confidentialité de host.nc.

La présente annexe concerne principalement les données personnelles traitées par Hostchilipepper pour le compte du client dans le cadre des services d’hébergement ou services techniques associés.

27. Services tiers utilisés par le client

Lorsque le client installe, connecte ou utilise des services tiers sur son site, tels que modules de paiement, outils d’analyse, plugins marketing, CRM, services d’e-mailing, formulaires externes, scripts publicitaires ou intégrations API, il reste responsable de vérifier leur conformité.

Hostchilipepper n’est pas responsable des traitements réalisés par les services tiers choisis, installés ou configurés par le client.

28. Durée de l’Annexe

La présente annexe s’applique pendant toute la durée des services concernés.

Elle cesse de s’appliquer lorsque Hostchilipepper ne traite plus de données personnelles pour le compte du client, sous réserve des obligations de conservation, suppression, archivage ou preuve prévues par les documents contractuels ou la réglementation applicable.

29. Ordre de priorité

En cas de contradiction entre la présente annexe et les conditions générales de vente et d’utilisation, la présente annexe prévaut uniquement pour les questions relatives à la sous-traitance des données personnelles.

Pour les autres sujets, les conditions générales de vente et d’utilisation demeurent applicables.

30. Modification de l’Annexe

Hostchilipepper se réserve le droit de modifier la présente annexe afin de l’adapter à l’évolution des services, de l’infrastructure, des prestataires, des mesures de sécurité ou de la réglementation applicable.

La version applicable est celle publiée sur host.nc ou acceptée dans le cadre du contrat en vigueur. En cas de modification importante, le client peut être informé par e-mail, notification dans l’espace client ou publication sur le site.

31. Contact

Pour toute question relative à la présente annexe ou au traitement des données personnelles, le client peut contacter :

Les informations légales complémentaires sont disponibles dans les mentions légales.