GoDaddy - Avis sur le cadre de protection de la confidentialité des données

GoDaddy Operating Company, LLC a elle-même certifié sa conformité avec le cadre de protection des données UE–États-Unis (« le CPD UE-États-Unis »), l’extension britannique du CPD UE-États-Unis (« l’extension britannique ») et le cadre de protection des données Suisse-États-Unis (« le CPD Suisse-États-Unis »), dénommés collectivement (le « CPD »).

Plusieurs autres sociétés affiliées de GoDaddy Operating Company, LLC ont également certifié leur conformité aux Principes du CPD, notamment :

GoDaddy.com, LLC, GoDaddy Media Temple, Inc. d/b/a Sucuri, Lantirn, Inc. d/b/a re:Amaze, GoDaddy Corporate Domains LLC, GoDaddy Sellbrite, Inc., Starfield Technologies, LLC, Domains by Proxy, LLC, Poynt LLC, Pagely LLC, CallCatchers, Inc. d/b/a Freedom Voice, GoDaddy Payments, LLC et Blue Razor Domains, LLC (collectivement avec la société GoDaddy Operating Company, LLC, « GoDaddy »).

Le présent Avis relatif au CPD décrit la conformité de GoDaddy aux exigences particulières du CPD. Pour obtenir un relevé complet de nos pratiques de confidentialité, consultez notre Avis global de confidentialité.

Nous nous conformons au DPF EU-U.S., à l’extension pour le Royaume-Uni et au DPF Suisse-U.S. définis par le Department of Commerce des États-Unis. Nous avons certifié au Department of Commerce des États-Unis que nous adhérons aux Principes du cadre de protection de la confidentialité des données entre l’UE et les États-Unis (« Principes DPF UE-U.S. ») en ce qui concerne le traitement des données personnelles reçues, d’une part, de l’Union européenne en se fondant sur le DPF EU-U.S. et, d’autre part, du Royaume-Uni (et de Gibraltar) en se fondant sur l’extension pour le Royaume-Uni. Nous avons certifié au Department of Commerce des États-Unis que nous adhérons aux Principes du cadre de protection de la confidentialité des données entre la Suisse et les États-Unis (« Principes DPF Suisse-U.S. ») en ce qui concerne le traitement des données personnelles reçues de la Suisse en se fondant sur le DPF Suisse-U.S. En cas de conflit entre les conditions de cet avis et les Principes DPF UE-U.S. et/ou les Principes DPF Suisse-U.S., les Principes applicables prévaudront. Pour en savoir plus sur le programme DPF, rendez-vous sur la page www.dataprivacyframework.gov.

Pour consulter notre certification, rendez-vous sur la page https://www.dataprivacyframework.gov/list.

Le présent Avis DPF s’applique au traitement que nous réservons aux données personnelles transférées aux États-Unis depuis l’Union européenne/l’Espace économique européen (« UE/EEE »), la Suisse et le Royaume-Uni (« UK ») en vertu du DPF. En cas de conflit entre cet Avis et les Principes DPF, les Principes prévaudront.

En ce qui concerne le traitement des données personnelles, nous agissons en tant que responsable du traitement (qui détermine l’objectif et les moyens du traitement) ou que sous-traitant (qui agit conformément aux instructions écrites du responsable du traitement).

Nos pratiques en matière de confidentialité lorsque nous agissons en tant que responsable du traitement des données sont définies dans notre Avis global de confidentialité, notamment :

• les types de données personnelles collectées,
• les objectifs pour lesquels nous collectons des données personnelles,
• le type de tiers auquel nous divulguons des données personnelles,
• nos pratiques concernant la collecte et l’utilisation des données personnelles,
• le droit des personnes à accéder à leurs données personnelles et
• les choix et moyens que nous offrons pour limiter l’utilisation et la divulgation de données personnelles.

Lorsque nous agissons en tant que sous-traitant des données, le responsable détermine les types de données personnelles collectées et les pratiques relatives à la collecte et à l’utilisation des données personnelles collectées.

Nos droits et obligations en tant que sous-traitant sont définis par un Addenda relatif au traitement des données (« DPA » pour « Data Processing Addendum ») écrit, conclu entre nous et le responsable. En règle générale, nous traitons les données personnelles conformément à la législation applicable et aux instructions fournies par le responsable des données. Le responsable des données chargé de l’assurer :

• dispose d’une base légale pour la collecte des données personnelles qui nous sont fournies,
• a fourni les avis et divulgations appropriés aux personnes concernées, tel que requis par la législation applicable,
• a le droit d’autoriser le transfert des données personnelles vers les États-Unis,
• s’est par ailleurs conformé à toutes les lois applicables relatives à la collecte et au traitement des données personnelles,
• fournit des réponses aux demandes de particuliers d’accéder à leurs données personnelles et
• offre des choix et des moyens appropriés aux particuliers pour limiter l’utilisation et la divulgation de leurs données personnelles.

Lorsque nous agissons en tant que sous-traitant, nous divulguons des données personnelles :

• à nos affiliés et sous-traitants à des fins d’exploitation de notre entreprise et/ou d’offre de nos services,
• à des tiers à la demande du responsable,
• à la demande pour procéder à des divulgations conformément à la loi ou en réponse à des demandes légales émanant des autorités gouvernementales, notamment en réponse à des demandes de sécurité, d’intérêt gouvernemental ou d’application de la loi.

Lors du transfert de données personnelles à un sous-traitant (« Transfert ultérieur »), nous :

• exigeons que le sous-traitant marque son accord par écrit avec un DPA,
• exigeons que le sous-traitant traite les données personnelles uniquement aux fins spécifiques et limitées définie dans l’accord,
• prenons des mesures raisonnables et appropriées pour garantir que toutes les données personnelles sont traitées conformément aux Principes DPF,
• exigeons que le sous-traitant nous avertisse s’il détermine qu’il n’est plus en mesure de respecter ses obligations conformément aux Principes DPF,
• prenons des mesures raisonnables et appropriées pour arrêter et corriger tout traitement non autorisé et
• fournirons à la demande du Department of Commerce un résumé ou un exemplaire représentatif des protections pertinentes en matière de confidentialité prévues dans nos accords avec nos sous-traitants.

Nous demeurons responsable en vertu des Principes DPF si notre sous-traitant ou toute autre personne ou entité à laquelle notre sous-traitant transfère des données personnelles traite des données personnelles d’une manière non conforme aux Principes DPF, sauf si nous démontrons que nous ne sommes pas responsable du traitement non autorisé.

Nous divulguons également des données personnelles (a) à des fins d’exploitation de notre entreprise et d’offre de nos Services tel que décrit dans notre Avis global de confidentialité et nos politiques de confidentialité associées, (b) à des tiers à la demande du responsable, (c) en cas d’exigence de divulgation conformément à la législation ou (d) en réponse à des demandes légales émanant des autorités gouvernementales, notamment en réponse à des demandes de sécurité, d’intérêt gouvernemental ou d’application de la loi.

Les ressortissants de l’Union européenne, du Royaume-Uni (et de Gibraltar) ainsi que de la Suisse ont généralement le droit d’accéder à leurs données personnelles, de les corriger, modifier ou supprimer. Lorsque GoDaddy agit en tant que responsable du traitement, pour consulter, corriger, modifier ou supprimer toute information générale que vous nous avez fournie en tant que client, vous pouvez le faire vous-même en vous connectant à votre compte ou en envoyant une demande à l’adresse email privacy@godaddy.com. Lorsque GoDaddy agit en tant que sous-traitant dans le cadre du traitement des données personnelles pour le compte de ses clients lors de la fourniture de nos services, GoDaddy ne possède ni ne contrôle ces données et n’a aucune relation directe avec les utilisateurs dont les données personnelles peuvent être traitées dans le cadre de la fourniture du service. Étant donné que chaque client contrôle les informations, y compris les données personnelles, qu’il collecte auprès de ses utilisateurs, ainsi que la façon dont ces informations sont utilisées et divulguées et la manière dont ces informations peuvent être modifiées, les utilisateurs de nos services doivent contacter l’administrateur du client concerné pour toute demande concernant la façon de pouvoir consulter, corriger, modifier ou supprimer les données personnelles contenues dans les données du client. Dans la mesure où un utilisateur introduit une demande d’accès, de correction, de modification ou de suppression à GoDaddy, nous transmettrons la demande au client GoDaddy approprié et nous aiderons au besoin ce client à répondre à toute demande.

Si les données personnelles couvertes par le présent Avis sur le cadre de protection de la confidentialité des données doivent être utilisées pour une nouvelle finalité sensiblement différente de celle pour laquelle les données personnelles ont été initialement collectées ou autorisées par la suite, ou si elles doivent être divulguées à un tiers qui n’est pas un agent d’une manière qui n’a pas été spécifiée dans la présente politique, GoDaddy vous donnera l’occasion de consentir ou non à l’utilisation ou à la divulgation de vos données personnelles. Les demandes de retrait de consentement à de telles utilisations ou divulgations de données personnelles doivent être envoyées à l’adresse email suivante : privacy@godaddy.com.

Certaines données personnelles, telles que les informations relatives aux affections médicales ou à l’état de santé, à l’origine raciale ou ethnique, aux opinions politiques, aux convictions religieuses ou philosophiques, sont considérées comme des « informations sensibles ». GoDaddy n’utilisera pas les informations sensibles à d’autres que celles pour lesquelles elles ont été collectées à l’origine ou autorisées par la suite par l’utilisateur, à moins que GoDaddy n’ait reçu votre approbation et consentement explicite.

Nous transférons les données des ressources humaines conformément au DPF. Une copie de notre politique de confidentialité destinée aux employés régissant le traitement des données personnelles des employés est mise à la disposition des employés sur notre réseau interne ou dès la réception d’un email à l’adresse privacy@godaddy.com. Les candidats à un poste sont invités à consulter notre Politique de confidentialité du demandeur.

Notre Avis global de confidentialité contient une description des mesures que nous employons pour protéger la confidentialité, l’intégrité et la disponibilité des données personnelles que nous traitons.

Nous avons établi des mécanismes internes pour vérifier que nous respectons en permanence les Principes du CPD et les autres exigences décrites dans cet avis ainsi que dans notre Avis global de confidentialité. Nous sommes également soumis aux pouvoirs d’enquête et d’exécution de la Federal Trade Commission (« FTC ») des États-Unis.

Nous nous sommes engagés à résoudre les plaintes relatives aux Principes du CPD concernant la façon dont nous collectons et utilisons les données personnelles. Les personnes ayant des demandes ou des plaintes à formuler concernant la façon dont nous traitons les données personnelles reçues en vertu du CPD doivent d’abord nous contacter à l’adresse privacy@godaddy.com ou à l’adresse ci-dessous :

Office of the Data Privacy Officer
GoDaddy Operating Company, LLC
100 S. Mill Ave
Suite 1600
Tempe, AZ 85281 USA (États-Unis)

Nous répondons aux demandes de renseignements et aux plaintes dans un délai de 45 jours.

Conformément au cadre de protection des données (CPD) UE-États-Unis, à l’extension britannique du CPD UE-États-Unis et au CPD Suisse-États-Unis, GoDaddy s’engage à coopérer et à se conformer respectivement aux conseils du panel établi par les autorités européennes chargées de la protection des données (APD), le Commissariat à l’information (Information Commissioner’s Office - ICO) du Royaume-Uni et le Préposé fédéral suisse à la protection des données et à la transparence (PFPDT) au sujet des plaintes non résolues concernant la façon dont nous traitons les données personnelles reçues en vertu du CPD UE-États-Unis. de l’extension britannique du CPD UE-États-Unis et du CPD Suisse-États-Unis.

Si nous n’avons pas été en mesure de résoudre une plainte par l’intermédiaire du jury indépendant en charge du règlement des conflits compétent pour votre cas, vous pouvez invoquer un arbitrage exécutoire pour certaines réclamations résiduelles qui n’ont pas été réglées autrement par d’autres mécanismes de recours. Ce mécanisme d’arbitrage exécutoire est administré par l’ICDR-AAA (International Centre for Dispute Resolution-American Arbitration Association). Pour plus d’informations sur l’arbitrage exécutoire, consultez l’Annexe du CPD relative à l’arbitrage.

Nous pouvons être amenés à réviser le présent Avis sur le cadre de confidentialité des données en publiant une déclaration révisée au même endroit que le présent avis ou à un autre endroit sur notre site web, ou en vous en informant directement. Toute modification de cet avis s’appliquera aux données personnelles collectées avant l’adoption de la nouvelle déclaration uniquement dans la mesure où la nouvelle déclaration ne réduit pas les droits des personnes concernées affectées. Tant que nous continuons à participer au programme DPF, nous ne modifierons pas notre déclaration de manière incohérente avec nos obligations dans le cadre du programme DPF ou des Principes DPF.