Chez ClassDojo, nous prenons au sérieux notre engagement envers la confidentialité et la protection de vos données, c'est pourquoi chaque produit ClassDojo est conçu en tenant compte en premier lieu de la confidentialité et de la sécurité. Nous pensons que vous devriez avoir un contrôle significatif sur vos données et savoir exactement comment elles sont utilisées. En tant qu'entreprise basée aux États-Unis, les données des utilisateurs sont stockées aux États-Unis. As such, certain jurisdictions require specific legal requirements are met in order to transfer this personal data from your location to the United States. Lorsque des données personnelles sont transférées en dehors de l'Espace économique européen (« EEE »), du Royaume-Uni (« RU ») ou de la Suisse, le Règlement général sur la protection des données, y compris tel qu'il est mis en œuvre ou adopté en vertu des lois du Royaume-Uni (« RGPD »), exige que des conditions spécifiques soient remplies pour garantir un niveau de protection équivalent pour ces données.
Comment les données personnelles provenant de l'EEE ou du Royaume-Uni peuvent-elles être légalement transférées aux États-Unis ?
Le transfert international de données personnelles est réglementé par le RGPD afin de garantir la protection continue des données personnelles en dehors de l'EEE, de la Suisse ou du Royaume-Uni. Pour ce faire, le RGPD définit des scénarios où les transferts internationaux sont autorisés pour l’EEE et le Royaume-Uni. La Suisse adopte une approche similaire. Voici les scénarios possibles :
- Si une décision d’adéquation a été adoptée : Adequacy decision delivered by the EU Commission where the EU Commission decided the recipient country ensures an adequate level of protection for personal data, list of countries available here; This includes the EU-U.S. Vous trouverez une liste de décisions d’adéquation ici. Au Royaume-Uni, le gouvernement adopte de la même manière des réglementations d’adéquation. Cela inclut le cadre de protection des données entre l’Union européenne et les États-Unis (« CPD UE–États-Unis »), l’extension britannique du CPD UE–États-Unis (« extension britannique ») et le cadre de protection des données entre la Suisse et les États-Unis (« CPD Suisse–États-Unis »). DPF) (collectively, the “DPF Programs”):
ou
-
Si un mécanisme de dérogation ou de transfert est disponible :
- Dérogations prévues à l'Article 49 (telles que le consentement) ; ou
-
Des garanties appropriées (c'est-à-dire un mécanisme de transfert) qui peuvent être décrites dans un instrument juridiquement contraignant, tel qu'un contrat entre les parties. À la suite de la décision de la Cour de justice de l'Union européenne (CJUE) du 16 juillet 2020 (« Décision Schrems II »), qui a invalidé le Bouclier de protection de la vie privée UE - États-Unis, le mécanisme suivant a été par la suite considéré comme un mécanisme de transfert valable dans le cadre de cette approche :
- Les Clauses Contractuelles Types (« SCC ») de la Commission européenne.
- L’accord international sur le transfert des données de l’Information Commissioner’s Office du RU ou l’addendum britannique aux clauses contractuelles types (« addendum du Royaume-Uni »)
Quel mécanisme ClassDojo utilise-t-il pour transférer des données personnelles aux États-Unis dans le cadre du RGPD ?
ClassDojo s’appuie sur les programmes CPD lors du transfert de données en tant que sous-traitant ou contrôleur (tel que ce terme est défini dans le RGPD). Notez cependant que jusqu’à ce que le CPD Suisse–États-Unis soit formellement approuvé, les CCT feront foi lorsque ClassDojo agira en tant que processeur auprès d’établissements scolaires situés en Suisse. Demandez à votre dirigeant d'établissement de nous envoyer un courriel à privacy@classdojo.com afin de recevoir les SCC pour satisfaire aux exigences légales du RGPD concernant le transfert de données à caractère personnel vers les États-Unis. Veuillez lire cette section ci-dessous concernant les SCC avant de nous contacter. Une fois que le nouveau Cadre de protection de la vie privée sera pleinement opérationnel, ClassDojo s'appuiera sur ce cadre en tant que mécanisme de transfert.
Règlement général sur la protection des données (RGPD)
Vous pouvez en savoir plus sur la conformité de ClassDojo avec le RGPD ici. Pour toute demande d'accès, de correction, de suppression ou de téléchargement de données en vertu du RGPD, remplissez ce formulaire ou envoyez un courriel à privacy@classdojo.com.
Cadre de protection des données
ClassDojo est conforme aux normes du Data Privacy Framework (“EU-U.S. de l’extension britannique du CPD UE–États-Unis (« extension britannique ») et du cadre de protection des données entre la Suisse et les États-Unis (« CPD Suisse–États-Unis ») tel qu’énoncé par le Département du Commerce des États-Unis (collectivement les « programmes CPD »). ClassDojo a certifié auprès du Département américain du Commerce adhérer aux principes du cadre de confidentialité des données entre l’Union européenne et les États-Unis (« principes du CPD UE–États-Unis ») en ce qui concerne le traitement des données personnelles. ClassDojo s’appuie sur le CPD UE–États-Unis pour les données reçues de l’Union européenne et sur l’extension britannique du CPD UE–États-Unis pour les données Pour ce faire, ClassDojo s’appuie sur le CPD Suisse–États-Unis. ClassDojo a certifié auprès du Département du Commerce des États-Unis adhérer aux principes du cadre de protection des données entre la Suisse et les États-Unis (« principes du CPD Suisse–États-Unis ») en ce qui concerne le traitement des données personnelles reçues de Suisse. Pour ce faire, ClassDojo s’appuie sur le CPD Suisse–États-Unis. Pour en savoir plus sur les programmes CPD et consulter notre certification, visitez le site https://www.dataprivacyframework.gov/.
ClassDojo est responsable du traitement des données personnelles reçues dans le cadre des programmes CPD, et les transfère à des tiers qui agissent en son nom. ClassDojo se conforme aux principes CPD pour tous les transferts ultérieurs d’informations personnelles depuis l’Union européenne, le Royaume-Uni et la Suisse, y compris les dispositions relatives à la responsabilité des transferts ultérieurs.
En ce qui concerne les données personnelles reçues ou transférées dans le cadre des programmes CPD, l’entreprise ClassDojo est soumise à la juridiction et au pouvoir réglementaire de la Federal Trade Commission des États-Unis et d’autres autorités statutaires. Dans certains cas, ClassDojo peut être tenue de divulguer des informations personnelles à des autorités publiques, notamment à des fins de sécurité nationale et de respect de la loi en vigueur.
ClassDojo s’engage à résoudre les conflits liés aux principes CPD concernant la collecte et l’utilisation de vos données personnelles. Les personnes résidant dans l’Union européenne, au Royaume-Uni et en Suisse ayant des questions ou des réclamations concernant notre traitement des données personnelles reçues dans le cadre des programmes CPD sont invitées à nous contacter à l’adresse privacy@clasdojo.com ou par le biais du formulaire disponible ici. Conformément au CPD UE–États-Unis, à l’extension britannique et au CPD Suisse–États-Unis, ClassDojo s’engage à transmettre les conflits non résolus sur notre traitement des données personnelles conformément aux programmes CPD à Truste, un fournisseur alternatif de règlement des litiges basé aux États-Unis. Si vous ne recevez pas d’accusé de réception dans le temps imparti pour votre réclamation relative aux principes CPD, ou si nous n’avons pas traité convenablement ladite réclamation, cliquez sur le lien suivant pour en savoir plus ou pour déposer une réclamation. Les services de Truste sont gratuits.
Sous certaines conditions décrites plus en détail sur le site web des programmes CPD, vous pouvez invoquer un arbitrage exécutoire si les autres voies de résolution du litige ont été épuisées.
Clauses contractuelles types (SCC) :
Les SCC de la Commission européenne sont des contrats juridiques conclus entre les parties qui transfèrent des données personnelles en dehors de l'EEE, de la Suisse et du Royaume-Uni vers les États-Unis. Les CCT peuvent aussi être utilisées pour des transferts de données personnelles en dehors de la Suisse.
Les premières SCC ont été rédigées et approuvées par la Commission européenne en 2010. À la suite de la décision Schrems II, la Commission européenne a publié un nouveau brouillon des SCC afin d'inclure les exigences du RGPD et la décision Schrems II, dont la version finale a été publiée le 4 juin 2021 (les « nouvelles SCC »). ClassDojo utilise les programmes CPD en guise de mécanisme de transfert, et non plus les CCT, sauf indication contraire ci-dessous.
Au Royaume-Uni, l’Information Commissioner continue de reconnaître comme valides les CCT conclues au plus tard le 21 septembre 2022 (voir ci-dessous pour plus de détails), et ce jusqu’au 21 mars 2024. The ICO has specified that any contracts entered into prior to September 21, 2022, and using the SCCs (e.g. Vous pouvez en savoir plus ci-dessous :
Contrats existants :
- Établissements au Royaume-Uni : si vous avez adhéré à notre addendum sur le traitement international des données d’élèves du Royaume-Uni (« DPA du Royaume-Uni antérieure ») avant le 21 septembre 2022, vous dépendez de CCT auprès de ClassDojo. Pour tout établissement du Royaume-Uni ayant déjà passé un contrat avec ClassDojo avec les premières SCC, ces contrats resteront valables jusqu'au 21 mars 2024.
- Établissements situés dans l'EEE ou en Suisse : Après le 27 décembre 2022, toute utilisation des SCC antérieures ne sera plus autorisée en tant que mécanisme de transfert valide ; néanmoins, l'Annexe internationale au traitement des données des élèves que vous avez conclue précédemment pour protéger les données en vertu du RGPD et répondre aux exigences du RGPD (indépendamment du mécanisme de transfert) restera valide. Cependant, l’addendum sur le traitement international des données d’élèves que vous avez précédemment conclu pour fournir les protections requises par le RGPD et répondre aux exigences de ce dernier (distinctement du mécanisme de transfert) reste valable. De plus, nous utilisons désormais le CPD UE–États-Unis en guise de mécanisme de transfert. Pour tout établissement situé en Suisse qui souhaite mettre à jour ses contrats avant l’entrée en vigueur du CPD Suisse–États-Unis, veuillez consulter la section « Nouveaux contrats » ci-dessous.
Nouveaux contrats :
- Établissements au Royaume-Uni : ClassDojo propose actuellement un DPA international et utilise l’extension britannique en guise de mécanisme de transfert, et non plus l’addendum britannique. Si vous concluez un contrat après le 21 septembre 2022, contactez-nous à l’adresse privacy@classdojo.com pour savoir comment exécuter un addendum sur le traitement international des données.
- UK schools: ClassDojo previously incorporated the SCCs into our International Student Data Processing Addendum (“Prior UK DPA”). en guise de mécanisme de transfert, à défaut des nouvelles CCT. Si vous souhaitez consulter ou participer à l’addendum international sur la protection des données d’élèves de ClassDojo, veuillez envoyer un e-mail à l’adresse privacy@classdojo.com.
- Établissements en Suisse : ClassDojo fournit une annexe internationale au traitement des données des élèves avec les nouvelles SCC. Par ailleurs, ClassDojo attend que la Suisse adopte officiellement le CPD Suisse–États-Unis pour l’utiliser en guise de mécanisme de transfert, à défaut des nouvelles CCT. Pour consulter ou adhérer à l'annexe internationale au traitement des données des élèves, veuillez envoyer un courriel à privacy@classdojo.com.
Ressources additionnelles :
- Centre de confiance de ClassDojo
- Politique de confidentialité de ClassDojo
- Page sur la transparence des informations de ClassDojo
- Établissements situés dans l'EEE ou en Suisse : ClassDojo intègrera les SCCs Lite dans l'Annexe internationale au traitement des données des élèves une fois qu'elles auront été développées et adoptées et que nous aurons reçu plus d'informations de la part de la Commission européenne et de l'EDPB.