Transferts internationaux de données

Finalité

Smartsheet Inc. (collectivement, avec ses sociétés affiliées, « Smartsheet ») s’engage à répondre aux préoccupations et aux exigences de ses clients en matière de confidentialité et de sécurité des données personnelles. La présente page décrit en détail la position de Smartsheet concernant les transferts internationaux de données personnelles et fournit des garanties quant aux pratiques de traitement des données de Smartsheet dans le cadre de ses services et applications en ligne, y compris l’ensemble des logiciels téléchargeables connexes (« Offres »), des sites Web, y compris www.smartsheet.com (« Sites »), et des opérations générales de l’entreprise.

La présente page ne fournit pas de conseils juridiques. Smartsheet vous recommande de faire appel à un conseiller juridique pour vous familiariser avec les lois et réglementations qui régissent votre situation spécifique. 

Rôles des données de Smartsheet

À l’instar de nombreuses applications de type logiciel en tant que service, Smartsheet agit en deux qualités concernant les données personnelles : en tant que responsable du traitement et en tant que sous-traitant.

En tant que responsable du traitement, Smartsheet collecte des données techniques, statistiques, d’apprentissage ou autres données d’utilisation ainsi que des informations de paiement, de facturation, de profil ou autres informations de compte liées à l’achat et à l’utilisation des Offres et des Sites. La Déclaration de confidentialité de Smartsheet informe les individus de la manière spécifique dont elle collecte, puis utilise, partage et traite ces données personnelles à des fins commerciales légitimes.

Dans le cas des données, images, fichiers ou autres contenus que vous chargez ou envoyez dans le cadre des Offres de Smartsheet (« Contenu client »), cette dernière agit en tant que sous-traitant. Les clients qui requièrent des conditions expresses pour le traitement des données personnelles contenues dans le Contenu client peuvent choisir de signer un Data Processing Addendum (Avenant au traitement des données, « DPA ») avec Smartsheet. Conformément à l’accord régissant l’utilisation des Offres par un client et la loi applicable, le DPA limite la manière dont Smartsheet peut traiter le Contenu client et constitue la matérialisation écrite des instructions de traitement d’un client fournies à Smartsheet.
 

Principales activités de traitement

Bien que Smartsheet se soit implantée dans d’autres pays et qu’elle envisage de poursuivre son expansion internationale, elle maintient ses activités principalement aux États-Unis, où se trouve son siège social. En conséquence, en tant que responsable du traitement, Smartsheet peut transférer les données d’utilisation et les informations de compte collectées vers des systèmes et des membres du personnel aux États-Unis dans le cadre de ses opérations commerciales générales. En outre, en tant que sous-traitant, Smartsheet peut accéder au Contenu client hébergé dans n’importe quelle Région Smartsheet depuis les États-Unis pour soutenir et maintenir vos Offres. 

Les principales activités de traitement menées par Smartsheet aux États-Unis comprennent ce qui suit :

  • en tant que responsable du traitement, aux fins d’opérations commerciales générales et d’autres objectifs commerciaux légitimes tel que décrit ici, pour les données collectées lorsque vous interagissez avec Smartsheet ou les sites, et ici, pour les données collectées dans le cadre de votre utilisation des Offres ; et
  • en tant que sous-traitant, à des fins d’hébergement du service, d’assistance technique, de prestation de services professionnels et d’ingénierie, et uniquement dans la mesure autorisée en vertu de votre accord avec Smartsheet régissant vos Offres. 
Illustration of a lock on top of a world map

Qu’est-ce qu’un transfert international de données personnelles ? 

Il y a transfert international de données personnelles (« Transfert international ») lorsque ces données sont mises à disposition en dehors de l’Espace économique européen (« EEE »). Ce Transfert international peut inclure le stockage de données personnelles dans un pays situé en dehors de l’EEE, mais aussi l’accès à des données personnelles stockées au sein de l’UE par des sous-traitants ultérieurs situés en dehors de l’EEE (à des fins de prestation de services d’assistance, par exemple). 

Que sont les Clauses contractuelles types de la Commission européenne ?

Les Clauses contractuelles types (« CCT ») de la Commission européenne constituent des contrats juridiques conclus entre des parties qui transfèrent des données personnelles depuis l’UE vers des pays qui ne disposent pas d’une protection des données adéquate ou équivalente. Les premières Clauses contractuelles types pour les transferts de responsable du traitement à sous-traitant ont été rédigées et approuvées par la Commission européenne en 2010. À la suite de l’arrêt Schrems II, la Commission européenne a rédigé de nouvelles Clauses contractuelles types afin d’intégrer les exigences du RGPD et de l’arrêt Schrems II.  Les nouvelles CCT ont été soumises à consultation jusqu’au 10 décembre 2020, et leur version finale a été publiée le 7 juin 2021.  La Commission européenne accorde aux entreprises une période transitoire de 18 mois pour intégrer les nouvelles CCT dans leurs contrats existants.  Le DPA actualisé de Smartsheet intègre les nouvelles CCT récemment adoptées.

Dans le cas des clients ayant des contrats plus anciens qui ne font pas référence aux CCT ou qui incluent leur version précédente, nous vous invitons à consulter le DPA actualisé. Si vous pensez avoir besoin d’un DPA actualisé avec Smartsheet, vous pouvez envoyer un formulaire acceptant les conditions du DPA ici.  À la suite de l’envoi du formulaire, une copie du DPA sera envoyée via DocuSign au signataire autorisé indiqué dans le formulaire. Une fois signé, une copie sera également envoyée à la personne qui a envoyé le formulaire afin qu’elle en conserve une copie.

Map with multiple locations highlighted

Quel mécanisme Smartsheet utilise-t-elle pour transférer les données personnelles ?

En tant que responsable du traitement. Comme indiqué dans la Déclaration de confidentialité, Smartsheet agit en tant que responsable du traitement des données personnelles qu’elle collecte.  Conformément au RGPD et à notre obligation en tant que responsable du traitement, nous avons mis en place des accords contractuels interentreprises appropriés qui incluent les Clauses contractuelles types (« CCT ») aux fins du transfert légal des données entre les organisations.

En tant que sous-traitant. À la suite de l’arrêt Schrems II, Smartsheet a actualisé son DPA afin d’intégrer les CCT en tant que mécanisme de transfert légal. Comme indiqué ci-dessus, Smartsheet a récemment actualisé son DPA afin d’y intégrer la dernière version des CCT. Si vous pensez avoir besoin d’un DPA avec Smartsheet, vous pouvez envoyer un formulaire acceptant les conditions du DPA ici.  À la suite de l’envoi du formulaire, une copie du DPA sera envoyée via DocuSign au signataire autorisé indiqué dans le formulaire. Une fois signé, une copie sera également envoyée à la personne qui a envoyé le formulaire afin qu’elle en conserve une copie. 

Où sont hébergées les Offres ? 

Les clients peuvent choisir l’endroit où le Contenu client est hébergé. Veuillez accéder à notre Trust Center ou à la page sur les différences régionales pour en savoir plus. Smartsheet continue d’étudier d’autres possibilités d’hébergement des données. N’hésitez pas à envoyer une demande d’amélioration de produit Smartsheet si vous souhaitez qu’une région ou un pays spécifiques soient proposés à l’avenir. 

Partage des données personnelles – Dans la mesure exigée par la loi

Comme indiqué dans la Déclaration de confidentialité de Smartsheet, Smartsheet peut partager des données personnelles si la loi l’exige conformément à une procédure légale valide, telle qu’une assignation à comparaître ou une procédure de faillite.

En cas de demande d’accès ou de conservation de données personnelles, y compris une demande relative à la sécurité nationale ou visant à faire appliquer la loi, Smartsheet s’y opposera dans la mesure autorisée par la loi et en informera le client auquel les données se rapportent. Cependant, dans certains cas, Smartsheet peut être légalement tenue de partager ces données personnelles face à une ordonnance juridique valide et sans en informer les clients. En tout état de cause, nous agirons conformément à nos obligations de confidentialité contenues dans l’accord régissant l’utilisation des Offres par un client (autrement dit, les « Required Disclosures » [Divulgations obligatoires] prévues dans l’User Agreement [Accord d’utilisation]). 

 

Partage de données personnelles – Avec des fournisseurs de services et d’infrastructures tiers 

Comme indiqué dans la Déclaration de confidentialité de Smartsheet, Smartsheet peut partager des données personnelles avec nos fournisseurs de services et d’infrastructures. Smartsheet n’a recours qu’à des fournisseurs tiers qui font preuve du même niveau d’engagement qu’elle envers la protection des données personnelles de nos clients, notamment en appliquant, voire en dépassant nos attentes en matière de confidentialité et de traitement des données par les fournisseurs (Vendor Privacy and Data Handling Expectations). En outre, pour les fournisseurs agissant en qualité de « sous-traitants ultérieurs » en vertu du RGPD, Smartsheet a veillé à la mise en place de garanties appropriées et d’obligations contractuelles pour protéger les données personnelles et respecter ses obligations en vertu de la loi. La liste des sous-traitants ultérieurs actuels de Smartsheet est disponible ici.

Dans tous les cas, Smartsheet partage des données personnelles avec un fournisseur tiers uniquement dans le cadre d’un contrat valide qui inclut des obligations appropriées en matière de protection des données, ainsi que les CCT en cas de transfert de données en dehors de l’EEE. 

 

Accès des administrations publiques – En cas d’obligation légale uniquement

Il peut arriver que Smartsheet reçoive une demande d’une administration publique ou d’une autorité en charge de l’application de la loi souhaitant accéder au contenu appartenant à un client. Dans cette situation, notre objectif est de protéger nos clients tout en nous conformant aux lois applicables. Nous informerons le client concerné, à moins que la loi ne nous l’interdise expressément. Dans la mesure du possible, nous invitons l’administration publique à l’origine de la demande à échanger directement avec le client. Smartsheet n’agit pas en tant que responsable du traitement du Contenu client et est fermement convaincue que toute administration publique cherchant à accéder à ce contenu doit adresser sa demande directement au client, dans la mesure du possible.

Nous ne fournissons aucun accès direct au Contenu client et ne le divulguons pas à des administrations publiques, sauf en cas d’obligation légale, et nous contestons les demandes illégales. Nous étudions chaque demande émanant d’une administration publique au cas par cas et n’y répondons que si et dans la mesure où nous la jugeons légale. Lorsque nous étudions la légitimité d’une demande émanant d’une administration publique, nous tenons compte de l’ensemble des lois applicables, y compris les lois d’autres juridictions, le cas échéant. Nous demandons aux administrations publiques de suivre la procédure légale requise en vertu des lois applicables, en soumettant leur demande via une assignation à comparaître, une ordonnance du tribunal ou un mandat de perquisition. Si nous pensons qu’une demande émanant d’une administration publique concernant le Contenu client est non valide ou illégale, nous mettons tout en œuvre pour la contester.

Dans le cas des administrations publiques américaines, les CCT exigent que Smartsheet (en tant qu’importatrice de données) informe rapidement l’exportateur de données de toute demande juridiquement contraignante de divulgation de données personnelles par une autorité en charge de l’application de la loi, sauf interdiction contraire. Jusqu’à présent, Smartsheet n’a jamais reçu de mandat FISA ou de demande similaire concernant des données traitées par Smartsheet qui constitueraient une violation de ses obligations en vertu des CCT. 

Sociétés affiliées de Smartsheet

Afin de faciliter les opérations mondiales de Smartsheet, Smartsheet Inc. peut transférer des données personnelles à l’international et autoriser l’accès à ces données personnelles depuis les bureaux de sociétés affiliées situés dans des juridictions internationales. Lors du partage des données personnelles avec les sociétés affiliées de Smartsheet, Smartsheet Inc. exécute les CCT pour préserver ces données et garantir que les obligations appropriées en matière de protection des données sont en place entre les sociétés affiliées de Smartsheet. Pour en savoir plus sur les sociétés affiliées de Smartsheet, cliquez ici.

Informations et ressources supplémentaires

Commencez dès aujourd’hui.

Contactez votre représentant pour en savoir plus.

Nous contacter