Articles dans cette section

Transfert de données personnelles aux États-Unis

Chez ClassDojo, nous prenons au sérieux notre engagement envers la confidentialité et la protection de vos données, c'est pourquoi chaque produit ClassDojo est conçu en tenant compte en premier lieu de la confidentialité et de la sécurité. Nous pensons que vous devriez avoir un contrôle significatif sur vos données et savoir exactement comment elles sont utilisées. En tant qu'entreprise basée aux États-Unis, les données des utilisateurs sont stockées aux États-Unis. As such, certain jurisdictions require specific legal requirements are met in order to transfer this personal data from your location to the United States. Lorsque des données personnelles sont transférées en dehors de l'Espace économique européen (« EEE »), du Royaume-Uni (« RU ») ou de la Suisse, le Règlement général sur la protection des données, y compris tel qu'il est mis en œuvre ou adopté en vertu des lois du Royaume-Uni (« RGPD »), exige que des conditions spécifiques soient remplies pour garantir un niveau de protection équivalent pour ces données.

Comment les données à caractère personnel de l’EEE, du Royaume-Uni ou de la Suisse peuvent-elles être transférées légalement vers les États-Unis ?

Le transfert international de données personnelles est réglementé par le RGPD afin de garantir la protection continue des données personnelles en dehors de l'EEE, de la Suisse ou du Royaume-Uni. Pour ce faire, le RGPD définit des scénarios où les transferts internationaux sont autorisés pour l’EEE et le Royaume-Uni. La Suisse adopte une approche similaire. Voici les scénarios possibles :

  • Lorsque qu'une décision d'adéquation a été adoptée.  Dans l'EEE, les décisions d'adéquation sont adoptées par la Commission européenne, qui décide si le pays destinataire assure un niveau de protection adéquat des données à caractère personnel. Une liste des décisions d'adéquation est disponible ici. Au Royaume-Uni, le gouvernement adopte de la même manière des réglementations d’adéquation. Cela inclut le EU-U.S. Data Privacy Framework  (« EU-U.S. DPF"), l’extension britannique au EU-U.S. et le cadre de protection des données (« CPD Suisse–États-Unis ») DPF) (ensemble, les « Programmes DPF ») sont chacun des exemples de décisions d'adéquation ; ou
  • Si un mécanisme de dérogation ou de transfert est disponible :
    • Dérogations de l’article 49 (telles que le consentement); ou
    • Garanties appropriées (c.-à-d. mécanisme de transfert) qui peuvent être précisées dans un instrument juridiquement contraignant, tel qu’un contrat entre deux parties. À la suite de la décision de la Cour de justice de l'Union européenne (CJUE) du 16 juillet 2020 (« Décision Schrems II »), qui a invalidé le Bouclier de protection de la vie privée UE - États-Unis, le mécanisme suivant a été par la suite considéré comme un mécanisme de transfert valable dans le cadre de cette approche :
      • Les Clauses Contractuelles Types (« SCC ») de la Commission européenne.
      • L’accord international sur le transfert des données de l’Information Commissioner’s Office du RU ou l’addendum britannique aux clauses contractuelles types (« addendum du Royaume-Uni »)

Quel mécanisme sous le RGPD ClassDojo utilise-t-elle pour transférer des données à caractère personnel vers les États-Unis ? 

ClassDojo s'appuie sur les Programmes DPF pour le transfert de données, que ce soit en tant que sous-traitant ou responsable du traitement (tel que défini par le RGPD).

Règlement général sur la protection des données (RGPD)

En savoir plus sur la conformité de ClassDojo au RGPD ici. Pour effectuer une demande d'accès, de rectification, de suppression ou de téléchargement de données liée au RGPD, utilisez ce formulaire. 

Data Privacy Framework

ClassDojo est conforme au EU-U.S. DPF, l’extension britannique et le Swiss-U.S. DPF tel que défini par le Département du commerce américain (ensemble, les « Programmes DPF »). Département du commerce (ensemble, les « Programmes DPF »). ClassDojo a certifié auprès du Département du commerce américain son adhésion au EU-U.S. Département du commerce qu’il respecte les principes du EU-U.S. Principes du Data Privacy Framework (EU-U.S. Principes DPF) concernant le traitement des données personnelles reçues de l’Union européenne dans le cadre du EU-U.S. DPF et du Royaume-Uni (et Gibraltar) dans le cadre de l’extension britannique.  ClassDojo a certifié auprès du Département du commerce américain son adhésion au EU-U.S. Département du commerce qu’il respecte les principes du Swiss-U.S. Principes du Data Privacy Framework (Swiss-U.S. Principes DPF) concernant le traitement des données personnelles reçues de la Suisse dans le cadre du Swiss-U.S. DPF.  Pour en savoir plus sur les Programmes DPF et consulter notre certification, veuillez visiter https://www.dataprivacyframework.gov/.

ClassDojo est responsable du traitement des données personnelles reçues dans le cadre des Programmes DPF, et transférées ensuite à des tiers agissant comme agents pour son compte. ClassDojo respecte les principes DPF pour tous les transferts ultérieurs d’informations personnelles depuis l’UE, le Royaume-Uni et la Suisse, y compris les dispositions concernant la responsabilité en cas de transfert ultérieur.

En ce qui concerne les données personnelles reçues ou transférées en vertu des Programmes DPF, ClassDojo est soumis à la compétence et aux pouvoirs d’exécution réglementaire des autorités américaines. Federal Trade Commission et autres organismes statutaires compétents. Dans certaines situations, ClassDojo peut être amené à divulguer des données personnelles en réponse à des demandes légales des autorités publiques, notamment pour répondre à des exigences en matière de sécurité nationale ou de respect de la loi.

ClassDojo s’engage à répondre aux plaintes liées aux principes DPF concernant la collecte et l’utilisation de vos données personnelles.  Les personnes résidant dans l'UE, au Royaume-Uni et en Suisse ayant des questions ou des plaintes concernant notre traitement des données à caractère personnel reçues dans le cadre des Programmes DPF doivent nous contacter à privacy@clasdojo.com ou en utilisant le formulaire ici. Conformément au cadre EU-U.S. DPF, l’extension britannique et le Swiss-U.S. DPF, ClassDojo s’engage à renvoyer les plaintes non résolues concernant la gestion de vos données personnelles reçues au titre des Programmes DPF à Truste, un prestataire alternatif de résolution des litiges basé aux États-Unis.  Si vous ne recevez pas d’accusé de réception rapide de votre plainte liée aux principes DPF de notre part, ou si nous n’avons pas traité votre plainte liée aux principes DPF à votre satisfaction, veuillez consulter ici pour obtenir plus d’informations ou déposer une réclamation.  Les services de Truste sont fournis sans frais pour vous.

Dans certaines conditions, décrites plus en détail sur le site web des Programmes DPF, vous pouvez saisir un arbitrage contraignant lorsque les autres procédures de résolution des litiges ont été épuisées.

Clauses contractuelles types :

Les SCC de la Commission européenne sont des contrats juridiques conclus entre des parties transférant des données personnelles en dehors de l’EEE vers les États-Unis.  Les SCC peuvent également être utilisées pour les transferts de données personnelles en dehors de la Suisse.

Les premières SCC ont été rédigées et approuvées par la Commission européenne en 2010.  À la suite de la décision Schrems II, la Commission européenne a publié une nouvelle version des SCC pour intégrer les exigences du RGPD et la décision Schrems II, avec la version finale publiée le 4 juin 2021 (les « nouvelles SCC »). ClassDojo utilise les Programmes DPF comme mécanisme de transfert et ne s’appuiera plus sur les nouvelles SCC.

 Contrats existants :

  • Établissements au Royaume-Uni : Après le 21 mars 2024, toute utilisation antérieure des SCC n'est plus autorisée comme mécanisme de transfert valide. Cependant, l’Annexe sur le traitement international des données que vous aviez précédemment acceptée afin de fournir les protections requises par le RGPD et de remplir les exigences du RGPD (distinctes du mécanisme de transfert) reste toujours valable. En outre, nous nous appuyons désormais sur l’extension britannique comme mécanisme de transfert.  Vous pouvez également choisir de signer une nouvelle Annexe sur le traitement international des données pour mettre à jour vos contrats avec ClassDojo.  Veuillez consulter la section « Nouveaux contrats » ci-dessous pour connaître la procédure à suivre.
  • Établissements basés dans l’EEE ou en Suisse :  Pour les établissements de l’EEE, après le 27 décembre 2022, toute utilisation antérieure des SCC n'est plus autorisée comme mécanisme de transfert valide. Cependant, l’Annexe sur le traitement international des données que vous aviez précédemment acceptée afin de fournir les protections requises par le RGPD et de remplir les exigences du RGPD (distinctes du mécanisme de transfert) reste toujours valable. En outre, nous nous appuyons désormais sur le EU-U.S. en guise de mécanisme de transfert.  Pour tout établissement basé en Suisse, après le 15 septembre 2024, toute utilisation antérieure des SCC n'est plus autorisée comme mécanisme de transfert valide. En outre, nous nous appuyons désormais sur le Swiss-U.S. DPF comme mécanisme de transfert.  Par ailleurs, pour tout établissement basé dans l’EEE ou en Suisse, vous pouvez également choisir de signer une nouvelle Annexe sur le traitement international des données pour mettre à jour vos contrats avec ClassDojo.  Veuillez consulter la section « Nouveaux contrats » ci-dessous pour connaître la procédure à suivre.

Nouveaux contrats :

  • Établissements au Royaume-Uni : ClassDojo propose notre Annexe sur le traitement international des données, s'appuie sur l’extension britannique comme mécanisme de transfert et ne s’appuiera plus sur l’Annexe britannique comme mécanisme de transfert.  Si vous souhaitez conclure l’Annexe sur le traitement international des données de ClassDojo, veuillez envoyer un courriel à privacy@classdojo.com.
  • Établissements basés dans l’EEE : ClassDojo propose notre Annexe sur le traitement international des données et s’appuie sur le EU-U.S. DPF comme mécanisme de transfert et ne s'appuiera plus sur les nouvelles SCC comme mécanisme de transfert. Si vous souhaitez reconclure l’Annexe sur le traitement international des données de ClassDojo, veuillez envoyer un courriel à privacy@classdojo.com.
  • Établissements basés en Suisse : ClassDojo propose notre Annexe sur le traitement international des données et s’appuie sur le Swiss-U.S. DPF comme mécanisme de transfert et ne s'appuiera plus sur les nouvelles SCC comme mécanisme de transfert. Si vous souhaitez conclure l’Annexe sur le traitement international des données de ClassDojo, veuillez envoyer un courriel à privacy@classdojo.com.

Ressources supplémentaires :