Accord de traitement des données

---

Mise à jour le 11 octobre 2023

PARTIES ET CONTEXTE

(A) Le Client (“Client”) a conclu un accord avec Klaviyo, Inc. (“Klaviyo”) (désignés individuellement par une “Partie” et collectivement par les “Parties”) en vertu duquel Klaviyo s’est engagé à fournir les Services aux termes de cet accord (l’“Accord”). Cet accord de traitement des données (l’“ATD”) est intégré à l’Accord, en fait partie intégrante et entre en vigueur à la date d’entrée en vigueur de l’Accord, sauf pour les Client ayant conclu un Accord avant la date de mise à jour de l’ATD indiquée ci-dessus, l’ADT entre en vigueur le 11 octobre 2023 et remplace toutes les conditions de traitement des données et de sécurité convenues précédemment.

(B) Dans la mesure où Klaviyo traite des Données à caractère personnel du Client (telles que définies ci-dessous) pour le compte du Client (ou, le cas échéant, de la Filiale du Client) dans le cadre de la fourniture des Services, les Parties ont convenu que ce traitement sera soumis aux termes de cet ATD.

1. DÉFINITIONS

1.1 Les termes débutant par une majuscule utilisés mais non définis dans cet ATD ont la signification qui leur est donnée dans l’Accord. Les termes débutant par une majuscule suivants employés dans cet ATD sont définis comme suit:

“Informations sur le compte” désigne les informations du client, y compris les données personnelles du client et des utilisateurs de l’affilié du client, fournies pour la création, l’accès, l’administration et la maintenance du compte, et peut inclure les noms, les noms d’utilisateur, les identifiants de connexion, les numéros de téléphone, les adresses électroniques et les informations de facturation associées à un compte Klaviyo;

“Filiale” désigne une entité qui, directement ou indirectement, détient ou contrôle, est détenue ou contrôlée par, ou est sous le contrôle commun ou fait partie du même groupe qu’une Partie et est bénéficiaire de l’Accord;

“Lois applicables en matière de protection des données” désigne l’ensemble des lois, règles, réglementations et exigences des pouvoirs publics applicables en matière de respect de la vie privée, de confidentialité ou de sécurité des Données à caractère personnel, telles qu’elles peuvent être modifiées ou mises à jour le cas échéant;

“Addendum approuvé” désigne le modèle d’Addendum, version B.1.0, publié par le UK Information Commissioner vertu de l’article 119A(1) de la Loi de 2018 sur la protection des données (Data Protection Act 2018) et déposé devant le Parlement britannique le 2 février 2022, tel qu’il peut être révisé conformément à l’article 18 des Clauses obligatoires;

“Données à caractère personnel du Client” désigne les Données à caractère personnel traitées par Klaviyo pour le compte du Client ou de la Filiale du Client dans le cadre de la fourniture des Services, qui, toutefois, exclut spécifiquement les données à caractère personnel contenues dans les informations relatives au compte;

 “CPD” ou “Cadre de protection des données” : le cadre UE-États-Unis de protection des données ou, le cas échéant, l’extension britannique du cadre UE-États-Unis de protection des données et le cadre Suisse-États-Unis de protection des données;

“EEE” désigne l’Espace économique européen;

“Date d’entrée en vigueur” désigne la date à laquelle l’ATD prend effet, comme indiqué à la clause (A) ci-dessus;

“RGPD” désigne le Règlement (UE) 2016/679 (le “RGPD de l’UE”) ou, le cas échéant, le “RGPD du RU” tel que défini à l’article 3 de la Loi de 2018 sur la protection des données (Data Protection Act 2018);

“Clauses obligatoires” désigne la “Partie 2 : Clauses obligatoires” de l’Addendum approuvé;

“État membre” désigne un État membre de l’EEE, c’est-à-dire un État membre de l’Union européenne, l’Islande, la Norvège ou le Liechtenstein;

“Données à caractère personnel” désigne toute information relative à une personne ou à un dispositif identifié(e) ou identifiable, ou autrement des “données à caractère personnel,” “données personnelles,” “informations personnelles”, “informations personnellement identifiables”  et les termes similaires, et ces termes ont la même signification que celle définie par les lois applicables en matière de protection des données;

“Incident de sécurité” désigne une violation de la sécurité entraînant la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé, de manière accidentelle ou illicite, aux Données à caractère personnel du Client;

“Clauses contractuelles types” ou “CCT” désigne le Module deux (transfert de responsable de traitement à sous-traitant) et/ou le Module trois (transfert de sous-traitant à sous-traitant) des Clauses contractuelles types annexées à la Décision d’exécution (UE) 2021/914 de la Commission;

“Sous-traitant ultérieur” désigne les Filiales de Klaviyo et les sous-traitants tiers désignés par Klaviyo pour traiter les Données à caractère personnel du Client;

“RU” désigne le Royaume-Uni de Grande-Bretagne et d’Irlande du Nord; et

“Lois américaines sur la protection des données” désigne, dans la mesure où elles sont applicables, les lois fédérales et les lois des États relatives à la protection des données, au traitement des Données à caractère personnel, au respect de la vie privée et/ou à la protection des données en vigueur le cas échéant aux États-Unis.

1.2 Les termes “responsable du traitement des données”, “sous-traitant”, “personne concernée”, “traiter”, “autorité de contrôle” “vendre” et “prestataire de services” ont la même signification que dans les Lois applicables en matière de protection des données.

2. INTERACTION AVEC L’ACCORD

2.1 Cet ATD complète et (en cas de contradictions) remplace l’Accord concernant tout traitement des Données à caractère personnel du Client.

2.2 En ce qui concerne les Filiales du Client, en concluant l’Accord, le Client garantit qu’il est dûment autorisé à conclure l’ATD pour le compte et au nom des Filiales du Client et, sous réserve de la clause 2.3, chaque Filiale du Client est liée par les stipulations de cet ATD comme si elle était le Client.

2.3 Le Client garantit qu’il est dûment mandaté par une Filiale du Client au nom duquel Klaviyo traite les Données à caractère personnel du Client conformément à cet ADT pour (a) faire appliquer les stipulations de cet ATD au nom des Filiales du Client, et pour agir au nom des Filiales du Client dans le cadre de la gestion et de la conduite de toute réclamation liée à cet ATD; et (b) recevoir et répondre à toute notification ou communication en vertu de cet ATD au nom des Filiales du Client.

2.4 Les parties conviennent que toute notification ou communication envoyée par Klaviyo au Client remplira toute obligation d’envoyer cette notification ou communication à une Filiale du Client.

3. RÔLE DES PARTIES

3.1 Les Parties reconnaissent et conviennent que:

　(a) pour les besoins du RGPD, Klaviyo agit en tant que “sous-traitant” ou “sous-traitant ultérieur.” La fonction de Klaviyo en qualité de sous-traitant ou de sous-traitant ultérieur sera déterminée par la fonction du Client:

　　(i) En général, le Client agit en tant que responsable du traitement, tandis que Klaviyo agit en tant que sous-traitant.

　　(ii) Dans certains cas, le Client agit en tant que sous-traitant pour le compte des clients du Client lorsque le Client et le client du Client ont conclu un accord de traitement des données en lien avec le traitement des Données à caractère personnel des clients du Client et 

　(b) pour les besoins des Lois américaines sur la protection des données, Klaviyo agira en qualité de “prestataire de services” ou de “sous-traitant” dans le cadre de l’exécution de ses obligations aux termes de l’Accord.

　(c) Les informations relatives au compte ne sont pas régies par le présent DPA et sont soumises à l’avis de confidentialité de Klaviyo.

4. DÉTAILS DU TRAITEMENT DES DONNÉES

4.1 Les détails du traitement des données (tels que l’objet, la nature et la finalité du traitement, les catégories de Données à caractère personnel et les personnes concernées) sont indiqués dans l’Accord et à l’Annexe 1.

4.2 Les Données à caractère personnel du Client ne seront traitées que pour le compte et selon les instructions du Client et conformément aux Lois applicables en matière de protection des données. L’Accord et cet ATD constituent les instructions du Client pour le traitement des Données à caractère personnel du Client. Le Client peut donner d’autres instructions par écrit conformément à cet ATD. 

4.3 Si les instructions du Client conduisent Klaviyo à traiter les Données à caractère personnel du Client en violation des Lois applicables en matière de protection des données ou en dehors du champ d’application de l’Accord ou de l’ATD, Klaviyo en informera rapidement le Client, sauf si les Lois applicables en matière de protection des données l’interdisent (sans préjudice des CCT).

4.4 Klaviyo est  susceptible de stocker et traiter les Données à caractère personnel du Client partout où Klaviyo ou ses Sous-traitants ultérieurs disposent d’installations, sous réserve de la clause 5 de cet ATD.

5. SOUS-TRAITANTS ULTÉRIEURS

5.1 Le Client accorde à Klaviyo l’autorisation générale de faire appel à des Sous-traitants ultérieurs, sous réserve de la clause 5.2, à partir d’une liste convenue, ainsi que les Sous-traitants ultérieurs actuels de Klaviyo énumérés à cette adresse https://www.klaviyo.com/fr/legal/subprocessors à la Date d’entrée en vigueur.

5.2 Klaviyo (i) conclura un accord écrit avec chaque Sous-traitant ultérieur imposant des obligations en matière de protection des données tout aussi protectrices des Données à caractère personnel du Client que les obligations de Klaviyo en vertu de cet ATD dans la mesure applicable à la nature des services fournis par ce Sous-traitant ultérieur; et (ii) demeurera responsable du respect par chaque Sous-traitant ultérieur des obligations en vertu de cet ATD.

5.3 Klaviyo adressera au Client un préavis de quinze (15) jours au minimum avant toute proposition de changement de Sous-traitants ultérieurs auxquels il fait appel pour traiter les Données à caractère personnel du Client (notamment tout ajout ou remplacement de Sous-traitants ultérieurs). Le Client peut raisonnablement s’opposer au recours par Klaviyo à un nouveau Sous-traitant ultérieur (notamment lorsqu’il exerce son droit d’opposition en vertu de la clause 9(a) des CCT) en notifiant par écrit son opposition à Klaviyo dans un délai de dix (10) jours à compter de la notification par Klaviyo au Client de la proposition de modification (une “Opposition”). Dans le cas où le Client s’opposerait au recours par Klaviyo à un nouveau Sous-traitant ultérieur, le Client et Klaviyo coopéreront de bonne foi pour trouver une solution mutuellement acceptable afin de régler cette Opposition. Si les Parties ne parviennent pas à trouver une solution mutuellement acceptable dans un délai raisonnable, l’une des Parties peut, comme seul et unique recours, résilier l’Accord en adressant une notification écrite à l’autre Partie. Pendant ladite période d’Opposition, Klaviyo peut suspendre la partie concernée des Services.

6. DEMANDES RELATIVES AUX DROITS DES PERSONNES CONCERNÉES

6.1 Entre les Parties, la réponse aux droits revendiqués par toute personne en lien avec les Données à caractère personnel du Client (“Demande de la personne concernée”) est à l’entière discrétion du Client et sous sa seule responsabilité.

6.2 Klaviyo transmettra au Client, sans retard excessif, toute Demande de la personne concernée reçue par Klaviyo ou tout Sous-traitant ultérieur en lien avec les Données à caractère personnel du Client et pourra indiquer à cette personne de soumettre sa demande directement au Client.

6.3 Klaviyo (en tenant compte de la nature du traitement des Données à caractère personnel du Client) fournira au Client des fonctionnalités en libre-service par le biais des Services ou toute autre assistance raisonnable nécessaire pour que le Client remplisse son obligation en vertu des Lois applicables en matière de protection des données de répondre aux Demandes des personnes concernées. Klaviyo peut facturer le Client, et le Client doit rembourser Klaviyo, en cas d’assistance au-delà de la fourniture de fonctionnalités en libre-service incluses dans le cadre des Services.

7. SÉCURITÉ ET AUDITS

7.1 Klaviyo mettra en œuvre et maintiendra en vigueur des mesures techniques et organisationnelles adéquates de protection des données et de sécurité visant à assurer la sécurité des Données à caractère personnel du Client, y compris, sans caractère limitatif, la protection contre le traitement non autorisé ou illicite (y compris, sans caractère limitatif, la divulgation non autorisée ou illicite des Données à caractère personnel du Client, l’accès à celles-ci et/ou leur altération) et contre la perte, la destruction ou l’endommagement de ces données de manière accidentelle.

7.2 Klaviyo mettra en œuvre et maintiendra en vigueur comme norme minimale les mesures énoncées à l’Annexe 2. Klaviyo peut mettre à jour ou modifier les mesures de sécurité énoncées à l’Annexe  2 le cas échéant, notamment (le cas échéant) à la suite de l’examen de ces mesures entrepris par Klaviyo conformément à la clause 8.6 des CCT, à condition que ces mises à jour et/ou modifications ne réduisent pas le niveau de protection global accordé aux Données à caractère personnel du Client par Klaviyo en vertu de cet ATD.

7.3 Le Client ou son auditeur tiers indépendant que Klaviyo considère raisonnablement comme acceptable de façon raisonnable (à l’exclusion de tout auditeur qui ne serait pas suffisamment qualifié ou indépendant ou qui serait un concurrent de Klaviyo) peut vérifier le respect par Klaviyo de ses obligations en vertu de cet ATD dans la limite d’une fois par an, ou plus fréquemment dans le cas où un Incident de sécurité se serait produit ou dans la mesure exigée  par les lois applicables en matière de protection des données, notamment lorsque cela est exigé par l’autorité de réglementation ou publique de laquelle dépend le Client.

7.4 Pour demander un audit, le Client doit soumettre une proposition de plan d’audit détaillée à Klaviyo au moins deux semaines avant la date d’audit proposée. Klaviyo examinera le plan d’audit proposé et coopérera avec le Client pour convenir d’un plan d’audit final. Tous ces audits doivent être menés pendant les heures de travail normales, sous réserve du plan d’audit final convenu et des politiques de Klaviyo en matière de santé et de sécurité ou d’autres politiques pertinentes, et ne doivent pas interférer de manière déraisonnable avec les activités commerciales de Klaviyo. Rien dans cette clause 7.4 n’oblige Klaviyo à enfreindre ses obligations de confidentialité.

7.5 Si la portée de l’audit demandé fait l’objet d’une certification ISO 27001, d’un rapport SOC 2 de type 2 ou d’un rapport d’audit similaire réalisé par un auditeur tiers qualifié au cours des douze (12);mois précédant la demande d’audit du Client et que Klaviyo confirme qu’il n’y a pas de changements majeurs connus dans les contrôles audités, le Client acceptera ces conclusions au lieu de demander un audit des contrôles visés par ledit rapport.

7.6 Le Client notifiera sans délai à Klaviyo toute non-conformité constatée au cours d’un audit et fournira à Klaviyo tous les rapports d’audit générés dans le cadre d’un audit, sauf si le droit applicable l’interdit ou si une autorité de réglementation ou ou publique le demande. Le Client peut utiliser les rapports d’audit uniquement dans le but de répondre à ses exigences en matière d’audit réglementaire et/ou de confirmer la conformité aux exigences de cet ATD.

7.7 Les frais d’audit sont à la charge du Client. Le Client indemnisera Klaviyo au titre du temps consacré par Klaviyo ou ses Sous-traitants ultérieurs dans le cadre de ces audits.

7.8 Klaviyo soumettra régulièrement ses Sous-traitants ultérieurs à un audit et confirmera, à la demande du Client, leur conformité avec la loi sur la protection des données et les obligations imposées aux Sous-traitants ultérieurs en vertu de l’accord de traitement des données conclu avec eux. Le Client peut demander à Klaviyo de mener d’autres audits uniquement dans le cas où cela est raisonnablement justifié, et dans ce cas, Klaviyo réalisera d’autres audits dans la mesure où cela est possible.

7.9 Le Client reconnaît et accepte que, compte tenu de l’état de la technique, des frais de mise en œuvre, de la nature, de la portée, du contexte et des finalités du traitement, ainsi que du caractère variable du risque en termes de probabilité et de gravité pour les droits et les libertés des personnes physiques, les mesures de sécurité énoncées à l’Annexe 2 sont appropriées pour assurer la sécurité des Données à caractère personnel du Client. 

8. INCIDENTS DE SÉCURITÉ

Klaviyo notifiera rapidement le Client par écrit en cas de violation de cet ATD, des Lois applicables en matière de protection des données ou de toute instruction du Client en lien avec le traitement des Données à caractère personnel du Client en vertu de cet ATD. Sans limiter la portée générale de ce qui précède, Klaviyo notifiera le Client par écrit, sans retard excessif, après avoir pris connaissance d’un Incident de sécurité, et coopérera de façon raisonnable à l’enquête sur ledit Incident de sécurité et sur toute obligation du Client, en vertu des Lois applicables en matière de protection des données visant à adresser des notifications aux particuliers, aux autorités de contrôle, publiques ou autres autorités de réglementation, ou au public, en ce qui concerne un ledit Incident de sécurité. Klaviyo prendra des mesures raisonnables pour maîtriser, enquêter et atténuer tout Incident de sécurité, et transmettra au Client, sans retard excessif, des informations sur l’Incident de sécurité, y compris, mais sans caractère limitatif, la nature de l’Incident de sécurité, les mesures prises pour l’atténuer ou le maîtriser, et l’état d’avancement de l’enquête. La notification ou la réponse de Klaviyo à un Incident de sécurité en vertu de cette clause 8 ne sera pas interprétée comme une reconnaissance par Klaviyo de toute faute ou responsabilité quant à l’Incident de sécurité.

9. SUPPRESSION ET RESTITUTION

Klaviyo doit (a) si le Client le demande avant la date de résiliation ou d’expiration de l’Accord, restituer une copie de toutes les Données à caractère personnel du Client ou fournir une fonctionnalité en libre-service permettant au Client de faire de même; et (b) dans les 90 jours suivant la résiliation ou l’expiration de l’Accord, supprimer et déployer tous les efforts raisonnables pour obtenir la suppression de toutes les autres copies des Données à caractère personnel du Client traitées par Klaviyo ou par un Sous-traitant ultérieur.

10. DURÉE DU CONTRAT

Cet ATD prendra effet à la Date d’entrée en vigueur et, sans préjudice de toute résiliation de l’Accord, demeurera en vigueur jusqu’à la suppression par Klaviyo de toutes les Données à caractère personnel du Client, comme décrit dans cet ATD, et expirera automatiquement à cette date.

11. TRANSFERTS TRANSFRONTALIERS DE DONNÉES

11.1 Clauses contractuelles types

Les Parties conviennent que les stipulations des Clauses contractuelles types, le Module deux (transfert de Responsable du traitement à Sous-traitant) et le Module trois (transfert de Sous-traitant à Sous-traitant), telles que précisées à l’Annexe 3 de cet ATD, sont par les présentes incorporées par référence et seront réputées avoir été signées par les Parties et s’appliquent à tout transfert de Données à caractère personnel du Client entrant dans le champ d’application du RGPD du Client (en tant qu’exportateur de données) dans la mesure et aussi longtemps que Klaviyo ne peut pas se prévaloir du CPD conformément à la clause 11.2.

11.2 Cadre de protection des données

Klaviyo est auto-certifié en vertu du CPD et se conforme aux principes de protection des données qui en découlent. Dans la mesure et aussi longtemps que le CPD est reconnu comme un mécanisme de transfert valide dans le pays/la région concerné(e), les Données à caractère personnel provenant de l’EEE, du Royaume-Uni ou de la Suisse, ou qui sont autrement soumises au RGPD, seront transférées sur la base du CPD;

11.3 Assistance dans le cadre des transferts transfrontaliers de données

Klaviyo fournira au Client une assistance raisonnable pour lui permettre d’observer les exigences imposées au transfert de données à caractère personnel vers des pays tiers en ce qui concerne les personnes concernées situées dans l’EEE, en Suisse et au Royaume-Uni. Klaviyo fournira au Client, à sa demande, les informations raisonnablement nécessaires à la réalisation d’une Analyse d’impact du transfert (“TIA”). Klaviyo s’engage en outre à mettre en œuvre les mesures supplémentaires convenues et énoncées à l’Annexe 4 de cet ATD afin de permettre au Client de se conformer aux exigences imposées concernant le transfert de données à caractère personnel vers des pays tiers. Klaviyo peut facturer au Client, et le Client doit indemniser Klaviyo, au titre de toute assistance fournie par Klaviyo en ce qui concerne les “TIA”, les analyses d’impact sur la protection des données ou la consultation de toute autorité de contrôle du Client.

12. DONNÉES À CARACTÈRE PERSONNEL DU CLIENT SOUMISES AUX LOIS BRITANNIQUES ET SUISSES SUR LA PROTECTION DES DONNÉES

Dans la mesure où le traitement des Données à caractère personnel du Client est soumis aux lois britanniques ou suisses sur la protection des données, l’Addendum britannique et/ou l’Addendum suisse (selon le cas) figurant à l’Annexe 5 s’appliquent.

13. DONNÉES À CARACTÈRE PERSONNEL DU CLIENT SOUMISES AUX LOIS AMÉRICAINES SUR LA CONFIDENTIALITÉ DES DONNÉES

Dans la mesure où le traitement des Données à caractère personnel du Client est soumis aux Lois américaines sur la confidentialité des données, l’Addendum américain figurant à l’Annexe 6 s’applique.

14. GÉNÉRALITÉS

14.1 Les Parties attestent par les présentes qu’elles comprennent les exigences de cet ATD et qu’elles les observeront.

14.2 Cet ATD et l’Accord constituent l’intégralité de l’accord entre les Parties en ce qui concerne l’objet de cet ATD. 

─────────────────

Annexe 1
DÉTAILS DU TRAITEMENT

Partie 1
LISTE DES PARTIES

1. Exportateur de données

Le Client et/ou les Filiales du Client opérant dans les pays qui composent l’Espace économique européen, le Royaume-Uni  et/ou la Suisse et/ou – dans la mesure convenue par les Parties – le Client et/ou les Filiales du Client dans tout autre pays dans la mesure où le RGPD ou la loi suisse correspondante s’applique.

La fonction et les coordonnées de l’interlocuteur du Client et de la Filiale du Client, ainsi que (le cas échéant) les coordonnées du délégué à la protection des données et (s’il y a lieu) du représentant, seront notifiés à Klaviyo avant le traitement des données à caractère personnel par courriel à privacy@klaviyo.com ou un formulaire mis à disposition, fourni par Klaviyo dans le compte du Client dans la rubrique Services.

Les activités pertinentes pour le transfert de données en vertu de ces Clauses sont définies par l’Accord et l’exportateur de données qui décide de l’étendue du traitement des données à caractère personnel dans le cadre des Services décrits plus en détail dans cette Annexe 1 et dans l’Accord.

2. Importateur de données

Klaviyo, Inc.,
125 Summer Street, Floor 6,
Boston, MA, 02110,
United States [États-Unis],

L’interlocuteur de l’importateur de données peut être contacté à cette adresse privacy@klaviyo.com.

Les activités de l’importateur de données relatives au transfert de données en vertu de ces Clauses sont les suivantes : l’importateur de données traite les données à caractère personnel fournies par l’exportateur de données pour le compte de ce dernier dans le cadre de la fourniture des Services à l’exportateur de données, comme il est précisé à cette Annexe 1 et dans l’Accord.

Partie 2
DESCRIPTION DU TRANSFERT

1. Catégories de personnes concernées

Les catégories de personnes concernées dont les données à caractère personnel sont transférées: 

Les abonnés du Client et des Filiales du Client qui sont bénéficiaires des communications de marketing et d’autres personnes faisant l’objet d’autres activités de marketing du Client et/ou des Filiales du Client ou de leurs clients.

2. Catégories de données à caractère personnel

Les catégories de données à caractère personnel transférées sont sont déterminées par la configuration des Services par le Client, et peuvent inclure le nom, le numéro de téléphone, l’adresse e-mail, les coordonnées, l’adresse IP, les identifiants de l’appareil, les données d’utilisation (telles que les interactions entre un utilisateur et le système en ligne de Klaviyo, le site web ou e-mail, le navigateur utilisé, le système d’exploitation utilisé, l’URL de renvoi).

De plus, le Client et la Filiale du Client peuvent inclure d’autres données à caractère personnel des personnes concernées comme indiqué ci-dessus (en particulier sous une forme non structurée) dans le cadre de leur utilisation des Services conformément à l’Accord.

3. Catégories spéciales de données à caractère personnel (le cas échéant)

Les données à caractère personnel transférées comprennent les catégories spéciales de données suivantes: Sans objet – La politique d’utilisation acceptable de Klaviyo interdit au Client d’utiliser les Services pour solliciter, afficher, stocker, traiter, envoyer ou transmettre des catégories spéciales de données.

Les restrictions ou les garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, par exemple la limitation stricte de la finalité, les restrictions d’accès (dont l’accès réservé au personnel ayant suivi une formation spécialisée), la tenue d’un registre d’accès aux données, les restrictions pour les transferts ultérieurs ou les mesures de sécurité supplémentaires sont : sans objet

4. Fréquence du transfert

La fréquence du transfert est la suivante: le transfert est effectué de manière continue et déterminé par la configuration des Services par le Client.

5. Objet et nature du traitement

L’objet du traitement est le suivant : fournir au Client une plateforme d’analyse de données et d’automatisation du marketing.

6. Finalité(s) du transfert et du traitement ultérieur des données

La ou les finalité du transfert et du traitement ultérieur des données sont les suivantes : fournir les Services au Client conformément à l’Accord, afin que le Client puisse analyser les informations sur les clients, améliorer ses relations avec les clients et envoyer des communications marketing et autres à ses clients.

7. Durée

La durée de conservation des données à caractère personnel ou, si cela s’avère impossible, les critères utilisés pour déterminer cette durée : la durée est définie à la clause 10 de l’ATD.

8. Sous-traitant ultérieur (le cas échéant)

Pour les transferts aux Sous-traitants ultérieurs, préciser l’objet, la nature et la durée du traitement : comme indiqué à la clause 5.1 de l’ATD. Les Sous-traitants ultérieurs peuvent avoir accès aux Données à caractère personnel pendant la durée de cet ATD ou jusqu’à ce que le contrat de service avec le Sous-traitant ultérieur concerné soit résilié ou que l’accès par le Sous-traitant ultérieur ait été exclu comme convenu entre Klaviyo et le Client.

Partie 3
AUTORITÉ DE CONTRÔLE COMPÉTENTE

Identifier l’autorité ou les autorités de contrôle compétentes conformément à la clause 13 des CCT

Lorsque l’exportateur de données est établi dans un État membre de l’UE : l’autorité de contrôle du pays dans lequel l’exportateur de données est établi est l’autorité compétente.

Lorsque l’exportateur de données n’est pas implanté dans un État membre de l’UE, mais relève du champ d’application territorial du RGPD conformément à son article 3(2), et a désigné un représentant conformément à l’article 27(1) du RGPD : l’autorité de contrôle compétente est alors celle de l’État membre dans lequel le représentant est établi.

Lorsque l’exportateur de données n’est pas établi dans un État membre de l’UE, mais relève du champ d’application territorial du RGPD conformément à son article 3(2), sans toutefois devoir désigner un représentant conformément à l’article 27(2) du RGPD : l’autorité de contrôle compétente est l’autorité de contrôle en Irlande, à savoir la Commission de la protection des données (https://www.dataprotection.ie/).

─────────────────

Annexe 2
MESURES TECHNIQUES ET ORGANISATIONNELLES

Klaviyo met en œuvre les mesures techniques et organisationnelles suivantes (notamment les éventuelles certifications pertinentes) pour assurer un niveau de sécurité approprié, compte tenu de la nature, de la portée, du contexte et de la finalité du traitement, ainsi que des risques pour les droits et les libertés des personnes physiques:

1. Gestion organisationnelle et le personnel dédié, chargé de l’élaboration, de la mise en œuvre et du maintien en vigueur du programme de sécurité informatique de Klaviyo.

2. Procédures d’audit et d’évaluation des risques aux fins d’examen et d’évaluation périodiques des risques pour l’entreprise de Klaviyo, de la surveillance et de maintien en vigueur de la conformité aux politiques et procédures de Klaviyo, et de l’établissement de rapports sur l’état de la sécurité de ses systèmes d’information et de la conformité à destination de sa direction.

3. Utilisation de technologies de chiffrement disponibles dans le commerce et en conformité avec les normes reconnues de l’industrie pour les Données à caractère personnel du Client qui sont:

　(a) transmises par Klaviyo sur des réseaux publics (c.à.d. l’internet) ou transmises sans fil; ou

　(b) au repos ou stockées sur un support durable ou amovibles (c.à.d. ordinateurs portables, CD/DVD, lecteurs USB, bandes magnétiques de sauvegarde).

4. Contrôles de sécurité des données qui comprennent au minimum, mais sans caractère limitatif, la séparation logique des données, des contrôles d’accès logiques mis en place pour gérer l’accès électronique aux données et aux fonctionnalités du système en fonction des niveaux d’autorisation et des fonctions exercées (par ex., octroi de l’accès sur la base du besoin et des privilèges minimum, utilisation d’identifiants et de mots de passe uniques pour tous les utilisateurs, examen périodique et révocation / modification rapide de l’accès en cas de cessation d’emploi ou de changement des fonctions exercées).

5. Contrôles des mots de passe mis en place pour gérer et contrôler la robustesse, l’expiration et l’utilisation des mots de passe, notamment en interdisant aux utilisateurs de partager leurs mots de passe et en exigeant que les mots de passe attribués aux employés de Klaviyo: (i)  comportent au moins huit (8) caractères, (ii)  ne soient pas stockés dans un format lisible sur les systèmes informatiques de Klaviyo; (iii)  doivent avoir une complexité définie ; (iv)  doivent avoir un seuil d’historique pour empêcher la réutilisation des mots de passe récents; et (v)  les mots de passe nouvellement doivent être modifiés après la première utilisation.

6. Audit du système ou journalisation des événements et procédures de contrôles associées pour enregistrer de façon proactive l’accès des utilisateurs et l’activité du système à des fins d’examen de routine.

7. Sécurité physique et environnementale du data center, salles de serveurs et autres zones abritant des Données à caractère personnel, mise en place pour : (i); protéger l’actif d’information contre un accès physique non autorisé, (ii); gérer, surveiller et enregistrer les mouvements des personnes qui entrent et sortent des installations de Klaviyo, et (iii); se prémunir contre les risques environnementaux tels que la chaleur, les incendies et les dégâts des eaux.

8. Procédures et contrôles opérationnels pour assurer la configuration, la surveillance et la maintenance de la technologie et des systèmes informatiques conformément aux normes internes prescrites et aux normes de l’industrie, notamment l’élimination en sécurisée des systèmes et des supports afin de rendre indéchiffrables ou irrécupérables toutes les informations ou données qu’ils contiennent avant leur élimination définitive ou mise hors de la possession de Klaviyo.

9. Procédures de gestion des changements et mécanismes de suivi mises en place pour tester, approuver et contrôler tous les changements apportés aux systèmes d’information et à la technologie de Klaviyo.

10. Procédures de gestion des incidents / problèmes mises en place pour permettre à Klaviyo de d’enquêter, de répondre, d’atténuer et de notifier les événements liés aux systèmes d’informations et à la technologie Klaviyo.

11. Contrôles de sécurité du réseau qui prévoient l’utilisation de systèmes de pare-feu, de détection d’intrusion et d’autres procédures de corrélation du trafic et d’événements visant à protéger les systèmes contre les intrusions et à limiter la portée de toute attaque réussie.

12. Technologies d’évaluation des vulnérabilités, de gestion des correctifs et de protection contre les menaces, ainsi que les procédures de contrôle planifiées visant à identifier, évaluer, atténuer et protéger contre les menaces pour la sécurité, les virus et autres codes malveillants identifiés.

13. Procédures de résilience / continuité des activités et de reprise après sinistre dans le but de maintenir le service et/ou de reprise des activités après des situations d’urgence ou des sinistres prévisibles.

─────────────────

Annexe 3
CLAUSES CONTRACTUELLES TYPES

Aux fins des Clauses contractuelles types:

1. Le Module deux s’applique en cas de traitement en vertu de l’article 3.1(a)(i) de l’ATD et le Module trois s’applique en cas de traitement en vertu de l’article 3.1(a)(ii) de l’ATD.

2. L’article 7 des Clauses contractuelles types (Clause d’adhésion) ne s’applique pas.

3. L’article 9a) Option 2 (Autorisation écrite générale) est sélectionnée et la période à préciser est déterminée à l’article 5.3 de l’ATD.

4. L’option de l’article 11(a) des Clauses contractuelles types (Organisme indépendant de règlement des litiges) ne s’applique pas.

5. En ce qui concerne l’article 17 des Clauses contractuelles types (Droit applicable), les Parties conviennent que l’option 1 s’applique. Les Parties conviennent que le droit applicable est celui de la République d’Irlande.

6. A l’article 18 des Clauses contractuelles types (Choix du for judiciaire et de la juridiction compétente), les Parties se soumettent à la compétence des tribunaux de la République d’Irlande.

7. Aux fins de l’Annexe;I des Clauses contractuelles types, l’Annexe;1 énonce les spécifications concernant les parties, à la description du transfert et à l’autorité de contrôle compétente.

8. Aux fins de l’Annexe II des Clauses contractuelles types, l’Annexe 2 énonce les mesures techniques et organisationnelles.

9. Les spécifications de l’Annexe III des Clauses contractuelles types sont déterminées par l’article 5.1 de l’ATD. Le nom, la fonction et les coordonnées de l’interlocuteur du Sous-traitant ultérieur seront fournis par Klaviyo sur demande.

─────────────────

Annexe 4
MESURES COMPLÉMENTAIRES

Klaviyo s’engage en outre à mettre en œuvre des mesures complémentaires basées sur les orientations fournies par les autorités de contrôle de l’UE afin de renforcer la protection des Données à caractère personnel du Client en lien avec le traitement dans un pays tiers, tel que décrit à cette Annexe 4.

1. Mesures techniques complémentaires (chiffrement)

1.1 Les données à caractère personnel sont transmises (entre les Parties et par Klaviyo entre les centres de données ainsi qu’à un Sous-traitant ultérieur et vice-versa) en utilisant un chiffrement renforcé.

1.2 Les données à caractère personnel au repos sont stockées par Klaviyo à l’aide d’un chiffrement renforcé

2. Mesures organisationnelles complémentaires

2.1 Politiques internes pour la gouvernance des transferts, en particulier avec les groupes d’entreprises

　(a) Adoption de politiques internes adéquates prévoyant une répartition claire des responsabilités en matière de transferts de données, de canaux de reporting et de procédures opérationnelles normalisées pour les cas de demandes formelles ou informelles d’accès aux données de la part des autorités publiques.

　(b) Élaboration de procédures de formation spécifiques pour le personnel chargé de la gestion des demandes d’accès aux données à caractère personnel émanant des autorités publiques, qui devraient être régulièrement mises à jour pour tenir compte des nouvelles évolutions législatives et jurisprudentielles dans le pays tiers et dans l’EEE.

2.2 Mesures de transparence et de responsabilisation

Publication régulière de rapports sur la transparence ou de synthèses concernant les demandes des autorités publiques d’accès aux données et le type de réponse fournie, dans la mesure où la publication est autorisée par la législation locale.

2.3 Méthodes organisationnelles et mesures de minimisation des données

Élaboration et mise en œuvre de pratiques d’excellence par les deux Parties afin d’impliquer de appropriée et fournir un accès aux informations pertinentes, de manière appropriée et en temps utile à leurs délégués à la protection des données respectifs, s’ils existent, ainsi que leurs services juridiques et d’audit interne, en ce qui concerne les questions liées aux transferts internationaux de données à caractère personnel.

2.4 Autres

Adoption et examen régulier par Klaviyo des politiques internes visant à évaluer l’adéquation des mesures complémentaires mises en œuvre, à identifier et à mettre en œuvre des mesures complémentaires ou alternatives si nécessaire, afin de garantir le maintien d’un niveau de protection essentiellement équivalent à celui garanti au sein de l’EEE pour les données à caractère personnel transférées.

3. Mesures contractuelles complémentaires

3.1 Obligations en matière de transparence

　(a) Klaviyo déclare que (1);il n’a pas délibérément créé des portes dérobées ou des processus opérationnels ou des programmes similaires qui pourraient être utilisés pour accéder au système et/ou aux données à caractère personnel, (2) ;il n’a pas délibérément créé ou modifié ses processus opérationnels de manière à faciliter l’accès aux données à caractère personnel ou aux systèmes, et (3);la législation nationale ou la politique gouvernementale n’impose pas à Klaviyo de créer ou de maintenir des portes dérobées ou de faciliter l’accès aux données à caractère personnel ou aux systèmes, ou que Klaviyo soit en possession de la clef de chiffrement ou qu’elle la remette.

　(b) Klaviyo vérifiera régulièrement la validité des informations fournies pour le questionnaire TIA et informera sans délai le Client en cas de changement. L’article 14(e) des CCT reste inchangé.

3.2 Obligations de prendre des mesures spécifiques

En cas d’injonction de divulguer les données à caractère personnel ou d’y donner accès, Klaviyo s’engage à informer l’autorité publique requérante de l’incompatibilité de l’injonction avec les garanties énoncées dans l’outil de transfert de l’Article ;46 du RGPD et du conflit d’obligations qui en résulte pour Klaviyo.

3.3 Permettre aux personnes concernées d’exercer leurs droits

　(a) Klaviyo s’engage à indemniser de façon équitable la personne concernée en cas de préjudice matériel et moral subi du fait de la divulgation de ses données à caractère personnel transférées dans le cadre de l’outil de transfert choisi en violation des engagements qu’il énonce.

　(b) Sans préjudice de ce qui précède, Klaviyo n’est pas tenu d’indemniser la personne concernée dans la mesure où la personne concernée a déjà été indemnisée au titre du même préjudice.

　(c) L’indemnisation est limitée aux préjudices matériels et moraux prévus par le RGPD et exclut les dommages indirects et tous les autres préjudices ne résultant pas de la violation par Klaviyo du RGPD.

4. Obligations complémentaires en cas de demandes ou d’accès des autorités publiques

4.1 Klaviyo informera rapidement le Client:

　(a) de toute demande juridiquement contraignante émanant d’une autorité chargée de faire appliquer la loi ou de toute autre instance autorité publique (“Autorité publique”) de divulguer les données à caractère personnel communiquées par le Client (“Données à caractère personnel transférées”) ; ladite notification comprend des informations sur les données à caractère personnel demandées, l’autorité requérante, le fondement juridique de la demande et la réponse fournie. Cette notification doit avoir lieu avant la divulgation de toute donnée à caractère personnel en réponse à ces demandes.

　(b) Si Klaviyo a connaissance d’un accès direct des autorités publiques aux données à caractère personnel transférées conformément à la législation du pays de destination, cette notification comprendra toutes les informations dont dispose Klaviyo.

　(c) S’il est interdit à Klaviyo d’en informer le Client et/ou la personne concernée, Klaviyo s’engage à faire tout son possible pour obtenir une dérogation à l’interdiction, en vue de communiquer le plus d’informations possible et dans les meilleurs délais. Klaviyo s’engage à consigner par écrit tous ses efforts afin de pouvoir les démontrer à la demande de l’exportateur de données.

4.2 Klaviyo s’engage à examiner, au regard des lois du pays de destination, la légalité de la demande émanant de l’autorité publique, notamment si elle reste dans les limites des prérogatives conférées à l’autorité publique requérante, et à épuiser tous les recours disponibles pour contester la demande si, après un examen minutieux, Klaviyo conclut qu’il existe des motifs de le faire au regard des lois du pays de destination. Cela inclut les demandes en vertu de l’article;702 du Tribunal de surveillance des renseignements à l’étranger des États-Unis (United States Foreign Intelligence Surveillance Court) ou du Décret Présidentiel 1233 (Executive Order 12333). Lorsqu’il conteste une demande, Klaviyo demandera des mesures provisoires en vue de suspendre les effets de la demande jusqu’à ce que le tribunal ait statué sur le fond. Klaviyo ne divulguera pas les données à caractère personnel demandées et n’y donnera pas accès tant qu’il n’y sera pas contraint par les règles de procédure applicables et, à ce moment-là, ne fournira que le minimum d’informations nécessaires pour répondre à la demande, sur la base d’une interprétation raisonnable de la demande.

4.3 Klaviyo s’engage à conserver les informations requises pour se conformer à cette Annexe 4 pendant toute la durée de l’Accord et, sauf si le droit applicable l’interdit, à les mettre à la disposition de l’autorité de contrôle compétente sur demande et lorsque le droit applicable l’exige.

─────────────────

Annexe 5
ADDENDA BRITANNIQUE ET SUISSE

1. AVENANT BRITANNIQUE

En ce qui concerne tout transfert de Données à caractère personnel du Client relevant du champ d’application du RGPD du RU du Client (en tant qu’exportateur de données) à Klaviyo (en tant qu’importateur de données):

1.1 L’Addendum approuvé, tel que précisé dans cette Annexe;5, fait partie intégrante de cet ATD, et les Clauses contractuelles types doivent être lues et interprétées à la lumière des dispositions de l’ Addendum t approuvé, dans la mesure où cela s’avère nécessaire conformément à l’article 12 des Clauses obligatoires.

1.2 Par dérogation au Tableau 1 de l’Addendum approuvé et conformément à l’article 17 des Clauses obligatoires, les parties sont davantage précisées à l’Annexe;1, Partie;1 de cet ATD.

1.3 Les Modules et les Articles sélectionnés conformément au Tableau;2 de l’ Addendum approuvé sont précisés à l’Annexe;3 de cet ATD, telle que modifiée par les Clauses obligatoires.

1.4 Les Annexes;1 A et B du Tableau 3 de l’ Addendum approuvé sont précisées par l’Annexe;1 de cet ATD, l’Annexe;II de l’Addendum approuvé est précisée par l’Annexe;2 de cet ATD, et l’Annexe;III de l’Addendum approuvé est précisée par l’article B.10 de l’Annexe;1 de cet ATD.

1.5 Klaviyo (en tant qu’importateur de données) peut mettre fin à cet ATD, dans la mesure où l’Addendum approuvé s’applique, conformément à l’article 19 des Clauses obligatoires.

1.6 L’article 16 des Clauses obligatoires ne s’applique pas.

2. ADDENDUM SUISSE

Comme le stipule l’article 13 de l’ATD, cet Addendum suisse s’applique à tout traitement des Données à caractère personnel du Client soumis à la Législation suisse sur la protection des données ou à la fois à la Législation suisse sur la protection des données et au RGPD.

2.1 Interprétation de cet Addendum

　(a) Lorsque cet Addendum emploie des termes définis dans les Clauses contractuelles types, comme précisé plus en détail à l’Annexe;3 de cet ATD, ces termes ont la même signification que dans les Clauses contractuelles types. De plus, les termes ci-après ont la signification suivante:

　　(i) “Cet Addendum” désigne Cet Addendum aux Clauses.

　　(ii) “Clauses” désigne les Clauses contractuelles types telles que précisées à l’Annexe 3 de cet ATD.

　　(iii) “Législation suisse sur la protection des données” désigne la Loi fédérale suisse sur la protection des données du 19 juin 1992 et l’Ordonnance suisse relative à la loi fédérale suisse sur la protection des données du 14 juin 1993, ainsi que toute version nouvelle ou révisée de ces lois qui pourrait entrer en vigueur le cas échéant.

　(b) Cet Addendum doit être lu et interprété à la lumière des dispositions de la Législation suisse sur la protection des données, et de manière à ce qu’il satisfasse à l’objectif de fournir les garanties appropriées requises par l’Article 46 du RGPD et/ou l’Article 6(2)(a), de la Législation suisse sur la protection des données, selon le cas.

　(c) Cet Addendum ne doit pas être interprété d’une manière contraire aux droits et obligations prévus par la Législation suisse sur la protection des données.

　(d) Toute référence à la législation (ou à des dispositions spécifiques de la législation) désigne cette législation (ou disposition spécifique) telle qu’elle peut être modifiée au fil du temps. Il en va de même lorsque cette législation (ou disposition spécifique) a été consolidée, repromulguée et/ou remplacée après la conclusion de Cet Addendum.

2.2 Hiérarchie

En cas de conflit ou d’incohérence entre cet Addendum et les stipulations des Clauses ou d’autres accords connexes entre les Parties, existant au moment où cet Addendum est convenu ou conclu par la suite, les dispositions qui assurent la plus grande protection aux personnes concernées prévaudront.

2.3 Intégration des Clauses

　(a) En ce qui concerne tout traitement de données à caractère personnel soumis à la Législation suisse sur la protection des données ou à la fois à la Législation suisse sur la protection des données et au RGPD, cet Addendum modifie l’ATD, notamment comme précisé à l’Annexe;3 de cet ATD, dans la mesure nécessaire à leur fonctionnement:

　　(i) pour les transferts effectués par l’exportateur de données à l’importateur de données, dans la mesure où la Législation suisse sur la protection des données ou la Législation suisse sur la protection des données et le RGPD s’appliquent au traitement effectué par l’exportateur de données lors de ce transfert ; et

　　(ii) pour fournir des garanties appropriées pour les transferts conformément à l’Article 46 du RGPD et/ou à l’Article 6(2)(a) de la Législation suisse sur la protection des données, selon le cas.

　(b) Dans la mesure où tout traitement de données à caractère personnel est exclusivement soumis à la Législation suisse sur la protection des données, les modifications de l’ATD, notamment les CCT, comme précisé à l’Annexe 3 de cet ATD et comme l’exige la clause 2.1 de cet Addendum pour la Suisse, y compris (sans limitation):

　　(i) les références aux “Clauses” ou aux “CCT” signifient cet Addendum pour la Suisse tel qu’il modifie les CCT et

　　(ii) La clause 6 Description du ou des transferts est remplacée par:

“Les détails du ou des transferts, et en particulier les catégories de données à caractère personnel qui sont transférées et la ou les finalités de leur transfert, sont ceux qui sont précisés à l’Annexe 1 de cet ATD lorsque la Législation suisse sur la protection des données s’applique au traitement de l’exportateur de données lors de ce transfert.”

　　(iii) Les références au “Règlement (UE)  2016/679” ou à “ce Règlement” ou au “RGPD” sont remplacées par la “Législation suisse sur la protection des données” et les références à un ou à des Articles spécifiques du “Règlement (UE)  2016/679” ou au “RGPD” sont remplacées par l’Article ou la partie équivalent de la Législation suisse sur la protection des données, dans la mesure où ils sont applicable.

　　(iv) Les références au Règlement (UE)  2018/1725 sont supprimées.

　　(v) Les références aux termes “Union européenne”, l’“Union”, l’“UE” et à un “État membre de l’UE” sont toutes par la “Suisse”.

　　(vi) La Clause 13(a) et la Partie C de l’Annexe I ne sont pas utilisées ; l’“autorité de contrôle compétente” est le Préposé fédéral à la protection des données et à la transparence (le “PFPDT”) dans la mesure où les transferts sont régis par la Législation suisse sur la protection des données;

　　(vii) La Clause 17 est remplacée comme suit:

“Ces Clauses sont régies par le droit suisse dans la mesure où les transferts sont régis par la Législation suisse sur la protection des données.”

　　(viii) La Clause 18 est remplacée comme suit:

“Tout litige découlant de ces Clauses relatives à la Législation suisse sur la protection des données sera tranché par les tribunaux suisses. Une personne concernée peut également intenter une action en justice à l’encontre de l’exportateur et/ou de l’importateur de données devant les juridictions suisses compétentes là où elle a sa résidence habituelle. Les Parties conviennent de se soumettre à la compétence de ces tribunaux.”

Jusqu’à l’entrée en vigueur de la Législation suisse révisée sur la protection des données, les Clauses protègeront également les données à caractère personnel des personnes morales et les personnes morales bénéficieront de la même protection en vertu des Clauses que les personnes physiques.

2.4 Dans la mesure où un traitement de données à caractère personnel est soumis à la fois à la Législation suisse sur la protection des données et au RGPD, l’ATD, notamment les Clauses précisées à l’Annexe;3 de cet ATD, s’appliquera (i); tel quel et (ii);en outre, dans la mesure où un transfert est soumis à la Législation suisse sur la protection des données, telles que modifiées par les clauses; 2.1 et 2.3 de cet Addendum suisse, à la seule exception que la clause;17 des CCT ne sera pas remplacée comme prévu à la clause;2.3(b)(vii) de cet Addendum suisse.

2.5 Le Client garantit que lui-même et/ou les Filiales du Client ont effectué toutes les notifications au PFPDT requises en vertu de la Législation suisse sur la protection des données.

─────────────────

Annexe 6
ADDENDUM AMÉRICAIN

Comme prévu à la clause 14 de l’ATD, cet Addendum américain s’applique à tout traitement des Données à caractère personnel du Client soumis aux Lois américaines sur la protection des données;

Dans la mesure requise par les Lois américaines sur la protection des données il est interdit à Klaviyo de;

(a) vendre les Données à caractère personnel du Client ou les mettre à la disposition d’un tiers moyennant une somme d’argent ou autre rétribution;

(b) partager les Données à caractère personnel du Client avec des tiers à des fins de publicité comportementale croisée;

(c) conserver, utiliser ou divulguer les Données à caractère personnel du Client à toute fin autre que les finalités commerciales précisées dans l’Accord ou autrement autorisés par les Lois américaines sur la protection des données;

(d) conserver, utiliser ou divulguer les Données à caractère personnel du Client en dehors de la relation commerciale directe entre les Parties; et 

(e) sauf si les Lois américaines sur la protection des données l’autorisent, combiner les Données à caractère personnel du Client avec les Données à caractère personnel que Klaviyo reçoit de ou au nom d’une ou de plusieurs autres personnes, ou que Klaviyo recueille dans le cadre de sa propre interaction avec la personne concernée.