Conditions Générales de Service
Addendum sur le traitement des données
Politique de Confidentialité
Liste des sous-traitants
Accord de Niveau de Service
Politique d'assistance
Politique d'Utilisation Acceptable
Avis sur les Cookies
Avis CCPA
PDPL Notice
Avis PIPL
Évaluation de l'Impact du Transfert de Données
Conditions d'utilisation du site web
Politique d'éthique commerciale
Politique de Verrouillage de Compte
Demande d'Accès aux Données
Accord de divulgation des vulnérabilités
Déclaration de Travail
Conditions d'Auto-Gestion

Évaluation de l'Impact du Transfert de Données pour les États-Unis

À la lumière de l'arrêt « Schrems II » de la Cour de justice de l'Union européenne et des recommandations du Comité européen de la protection des données, Ideanote réalise des évaluations d'impact pour les transferts de données qui font partie du Service Ideanote.

Cette Évaluation de l'Impact du Transfert de Données (« EITD ») identifie et décrit les risques ainsi que les garanties qu'Ideanote a mises en place en relation avec les transferts de données personnelles des clients depuis l'Espace économique européen, le Royaume-Uni ou la Suisse (« Europe ») vers les États-Unis et la capacité d'Ideanote à se conformer à ses obligations en tant qu'« exportateur de données ».

Dans sa décision Schrems II, la Cour de justice de l'UE a clarifié que l'utilisation de clauses contractuelles types (« CCT ») exige des contrôleurs de données qu'ils procèdent à une évaluation au cas par cas du niveau de protection des données que les CCT peuvent fournir, en tenant compte de la nature des transferts de données personnelles et du pays de destination.

Veuillez consulter l'Addendum de protection des données Ideanote (« APD ») pour une description de la nature du traitement des données. Ideanote a mis en place des mesures supplémentaires pour protéger les données personnelles lors des transferts vers des tiers aux États-Unis. Pour savoir où nous transférons des données à nos fournisseurs en dehors de l'emplacement du serveur, consultez notre liste de sous-traitants.

Évaluation du Pays de Destination

Les lois américaines suivantes relatives au transfert de données UE-États-Unis ont été identifiées par la Cour de justice de l'Union européenne dans l'arrêt Schrems II comme des obstacles potentiels à la garantie d'une protection essentiellement équivalente des données personnelles aux États-Unis :

  • FISA 702
  • Décret 12333
  • Cloud Act

Comme les États-Unis n'offrent pas aux données personnelles un niveau de protection essentiellement équivalent à celui prévu par le RGPD, des mesures techniques, organisationnelles ou contractuelles supplémentaires sont nécessaires.

Objet du Transfert et de Tout Traitement Ultérieur :

Ideanote utilise plusieurs sous-traitants qui stockent des données aux États-Unis et dont les employés peuvent accéder aux données personnelles aux États-Unis. Veuillez consulter notre liste de sous-traitants pour des informations spécifiques et les flux de données.

Fréquence

Ideanote transfère des données de manière continue, au fur et à mesure de l'utilisation du Service.

Catégories de Données Personnelles

  • Adresses e-mail des utilisateurs finaux
  • Noms des utilisateurs finaux
  • Adresses IP des utilisateurs finaux
  • Détails de carte de crédit des clients
  • Adresses IP des contacts clients
  • Adresse des clients
  • Détails de carte de crédit des clients
  • Nom du contact client
  • E-mail du contact client

Veuillez consulter notre liste de sous-traitants pour des informations spécifiques sur le sous-traitant des catégories de données personnelles envoyées ou traitées aux États-Unis.

Données Sensibles

Nous ne transférons intentionnellement aucune donnée sensible aux États-Unis. Lorsque les clients utilisent le paiement par carte de crédit, ils effectuent une transaction avec notre processeur de paiement (Stripe Inc.) qui gère les détails sensibles de carte de crédit aux États-Unis, mais nous ne sommes pas impliqués dans ce transfert.

Demandes des Autorités Judiciaires

Chaque sous-traitant Ideanote dispose d'une politique en matière de demandes des autorités judiciaires et notifiera Ideanote, lorsque la loi le permet, avant de divulguer des informations en réponse à une demande.

Durée de la Chaîne de Traitement

Les données sont transférées en externe à nos sous-traitants.

Mécanisme de Transfert Applicable

Lorsque des données personnelles de clients originaires d'Europe sont transférées par Ideanote à des sous-traitants tiers aux États-Unis, Ideanote a conclu des APD avec des CCT avec ces parties.

Mesures Supplémentaires des Fournisseurs

Chaque sous-traitant Ideanote a accepté des mesures contractuelles au moins aussi restrictives que celles qu'Ideanote a acceptées avec les clients. Veuillez consulter notre liste de sous-traitants pour des informations spécifiques sur les certifications et la conformité, les mesures de sécurité techniques et organisationnelles de chaque sous-traitant.

Mesures Supplémentaires

Restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus :

  • Chaque sous-traitant Ideanote traitant des données personnelles aux États-Unis dispose d'une politique en matière de demandes des autorités judiciaires et notifiera Ideanote, lorsque la loi le permet, avant de divulguer des informations en réponse à une demande. 
  • Chaque sous-traitant Ideanote traitant des données personnelles aux États-Unis est certifié conforme à des normes égales ou supérieures à celles d'Ideanote, par exemple SOC2 Type 2.
  • Chaque sous-traitant Ideanote traitant des données personnelles aux États-Unis a une période de conservation limitée pour ces données.
  • Les catégories de données personnelles sont séparées et toutes ne sont pas accessibles au même sous-traitant. Certains traitent les adresses e-mail des utilisateurs finaux mais pas les adresses IP. Un second traite les adresses IP. Un troisième traite les détails de carte de crédit des clients.
  • Dans la mesure du possible, les données sont chiffrées et anonymisées et les périodes de conservation sont minimisées.
  • Ideanote dispense une formation sur la protection des données à tout le personnel d'Ideanote.

Veuillez consulter notre liste de sous-traitants pour des informations spécifiques sur les mesures des fournisseurs et les mesures supplémentaires pour les données envoyées aux États-Unis.

Bien que des lois comme la « FISA 702 » puissent être utilisées pour obtenir des informations auprès de citoyens non américains, les données personnelles envoyées aux États-Unis sont minimes et ne sont pas liées à d'autres points de données. Un nom peut être identifié avec une adresse e-mail mais pas une adresse IP ni aucune information comportementale ou contenu.

Ideanote (en tant qu'« exportateur de données ») considère que les risques pour les droits des personnes liés au transfert et au traitement de l'ensemble limité de catégories de données personnelles européennes aux/vers les États-Unis sont faibles.

Compte tenu de la nature du transfert de données personnelles décrite dans ce document et des mesures supplémentaires prises par Ideanote et les fournisseurs tiers, Ideanote ne voit pas la nécessité de mesures supplémentaires à l'heure actuelle.

Réévaluation

Ideanote examinera et, si nécessaire, reconsidérera les risques associés à ses sous-traitants ainsi que les mesures mises en œuvre par elle-même et par des tiers à intervalles réguliers, au moins une fois par an.