Conditions Générales de Service
Addendum sur le traitement des données
Politique de Confidentialité
Liste des sous-traitants
Accord de Niveau de Service
Politique d'assistance
Politique d'Utilisation Acceptable
Avis sur les Cookies
Avis CCPA
PDPL Notice
Avis PIPL
Évaluation de l'Impact du Transfert de Données
Conditions d'utilisation du site web
Politique d'éthique commerciale
Politique de Verrouillage de Compte
Demande d'Accès aux Données
Accord de divulgation des vulnérabilités
Déclaration de Travail
Conditions d'Auto-Gestion

Évaluation de l'Impact du Transfert de Données pour les États-Unis

À la lumière de l'arrêt « Schrems II » de la Cour de justice de l'Union européenne et des recommandations du Comité européen de la protection des données, Ideanote réalise des évaluations d'impact pour les transferts de données qui font partie du Service Ideanote.

Cette Évaluation de l'Impact du Transfert de Données (« EITD ») identifie et décrit les risques ainsi que les garanties qu'Ideanote a mises en place en relation avec les transferts de données personnelles des clients depuis l'Espace économique européen, le Royaume-Uni ou la Suisse (« Europe ») vers les États-Unis et la capacité d'Ideanote à se conformer à ses obligations en tant qu'« exportateur de données ».

Dans sa décision Schrems II, la Cour de justice de l'UE a clarifié que l'utilisation de clauses contractuelles types (« CCT ») exige des responsables du traitement des données qu'ils effectuent une évaluation au cas par cas du niveau de protection des données que les CCT peuvent fournir, en tenant compte de la nature des transferts de données personnelles et du pays de destination.

Veuillez consulter l'Avenant sur la Protection des Données (« APD ») d'Ideanote pour une description de la nature du traitement des données. Ideanote a mis en place des mesures supplémentaires pour protéger les données personnelles lors des transferts vers des tiers aux États-Unis. Pour savoir où nous transférons les données à nos fournisseurs en dehors de l'emplacement du serveur, consultez notre liste des sous-traitants.

Évaluation du pays de destination

Les lois américaines suivantes pertinentes pour le transfert de données UE-États-Unis ont été identifiées par la Cour de justice de l'Union européenne dans l'arrêt Schrems II comme étant des obstacles potentiels à l'assurance d'une protection essentiellement équivalente des données personnelles aux États-Unis :

  • FISA 702
  • Décret présidentiel 12333
  • Cloud Act

Étant donné que les États-Unis n'offrent pas un niveau de protection des données personnelles essentiellement équivalent à celui que prévoit le RGPD, des mesures techniques, organisationnelles ou contractuelles supplémentaires sont nécessaires.

Objet du transfert et de tout traitement ultérieur :

Ideanote utilise plusieurs sous-traitants qui stockent des données aux États-Unis et dont les employés peuvent accéder aux données personnelles aux États-Unis. Veuillez consulter notre liste des sous-traitants pour des informations spécifiques et les flux de données.

Fréquence

Ideanote transfère des données de manière continue, au fur et à mesure de l'utilisation du Service.

Catégories de Données Personnelles

  • Adresses e-mail des utilisateurs finaux
  • Noms des utilisateurs finaux
  • Adresses IP des utilisateurs finaux
  • Détails des cartes de crédit des clients
  • Adresses IP des contacts clients
  • Adresses des clients
  • Détails des cartes de crédit des clients
  • Noms des contacts clients
  • E-mails des contacts clients

Veuillez consulter notre liste de sous-traitants pour des informations spécifiques concernant le processeur des catégories de données personnelles envoyées ou traitées aux États-Unis.

Données Sensibles

Nous ne transférons intentionnellement aucune donnée sensible aux États-Unis. Lorsque les clients effectuent un paiement par carte de crédit, ils traitent avec notre processeur de paiement (Stripe Inc.) qui gère les détails sensibles des cartes de crédit aux États-Unis, mais nous ne sommes pas impliqués dans ce transfert.

Demandes des forces de l'ordre

Chaque sous-traitant d'Ideanote a une politique de demande des forces de l'ordre en place et notifiera Ideanote, lorsque la loi le permet, avant de divulguer des informations en réponse à une demande.

Longueur de la chaîne de traitement

Les données sont transférées en externe à nos sous-traitants.

Mécanisme de Transfert Applicable

Lorsque des données personnelles de clients originaires d'Europe sont transférées par Ideanote à des sous-traitants tiers aux États-Unis, Ideanote a conclu des APD avec des CCT avec ces parties.

Mesures Supplémentaires des Fournisseurs

Chaque sous-traitant d'Ideanote a accepté des mesures contractuelles qui sont au moins aussi restrictives que celles qu'Ideanote a acceptées avec ses clients. Veuillez consulter notre liste de sous-traitants pour des informations spécifiques sur les certifications et la conformité, les mesures de sécurité techniques et organisationnelles du sous-traitant individuel.

Mesures Supplémentaires

Restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus :

  • Chaque sous-traitant d'Ideanote traitant des données personnelles aux États-Unis a une politique de demande des forces de l'ordre en place et notifiera Ideanote, lorsque la loi le permet, avant de divulguer des informations en réponse à une demande.
  • Chaque sous-traitant d'Ideanote traitant des données personnelles aux États-Unis est certifié conforme à des normes égales ou supérieures à celles d'Ideanote, par exemple SOC2 Type 2.
  • Chaque sous-traitant d'Ideanote traitant des données personnelles aux États-Unis a une période de rétention limitée pour ces données.
  • Les catégories de données personnelles sont séparées et toutes ne sont pas disponibles pour le même sous-traitant. Certains traitent les adresses e-mail des utilisateurs finaux mais pas les adresses IP. Un second traite les adresses IP. Un troisième traite les détails de la carte de crédit du client.
  • Dans la mesure du possible, les données sont chiffrées et anonymisées, et les périodes de rétention sont minimisées.
  • Ideanote dispense une formation sur la protection des données à tout le personnel d'Ideanote.

Veuillez consulter notre liste de sous-traitants pour des informations spécifiques sur les mesures du fournisseur et les mesures supplémentaires pour les données envoyées aux États-Unis.

Bien que des lois comme « FISA 702 » puissent être utilisées pour obtenir des informations de citoyens non-américains, les données personnelles envoyées aux États-Unis sont minimales et non liées à d'autres points de données. Un nom peut être identifié avec une adresse e-mail mais pas une adresse IP ni aucune information comportementale ou contenu.

Ideanote (en tant qu'« exportateur de données ») considère les risques pour les droits des individus liés au transfert et au traitement de l'ensemble limité de catégories de données personnelles européennes aux/vers les États-Unis comme faibles.

Compte tenu de la nature du transfert de données personnelles décrite dans ce document, Ideanote et les mesures supplémentaires prises par Ideanote et les fournisseurs tiers, Ideanote ne voit pas la nécessité de mesures supplémentaires additionnelles à ce stade.

Réévaluation

Ideanote examinera et, si nécessaire, reconsidérera les risques associés à ses sous-traitants ainsi que les mesures mises en œuvre par elle-même et par des tiers à intervalles réguliers, au moins annuellement.