Accord de traitement des données

---

Mise à jour le 17 Decembre 2025

PARTIES ET CONTEXTE

(A) Le Client (« Client”) a conclu un accord avec Klaviyo, Inc. (« Klaviyo”) (désignés individuellement par une «Partie» et collectivement par les «Parties» ) en vertu duquel Klaviyo s’est engagé à fournir les Services aux termes de cet accord (l’«Accord»). Cet accord de traitement des données (l’«ATD ») est intégré à l’Accord, en fait partie intégrante et entre en vigueur à la date d’entrée en vigueur de l’Accord, sauf pour les Client ayant conclu un Accord avant la date de mise à jour de l’ATD indiquée ci-dessus, l’ADT entre en vigueur le à la date de « mise à jour » indiquée ci-dessus et remplace toutes les conditions de traitement des données et de sécurité convenues précédemment.

(B) Dans la mesure où Klaviyo traite des Données à caractère personnel du Client (telles que définies ci-dessous) pour le compte du Client (ou, le cas échéant, de la Filiale du Client) dans le cadre de la fourniture des Services, les Parties ont convenuqu’il le ferait conformément aux stipulations de cet ATD.

1. DÉFINITIONS

1.1 Les termes débutant par une majuscule qui sont employés mais non définis dans cet ATD ont la signification qui leur est donnée dans l’Accord. Les termes débutant par une majuscule suivants employés dans cet ATD sont définis comme suit:

«Informations sur le compte» désigne les informations du client, y compris les données personnelles du client et des utilisateurs de l’affilié du client, fournies pour la création, l’accès, l’administration et la maintenance du compte, et peut inclure les noms, les noms d’utilisateur, les identifiants de connexion, les numéros de téléphone, les adresses électroniques et les informations de facturation associées à un compte Klaviyo;

«Filiale» désigne une entité qui, directement ou indirectement, possède ou contrôle, est possédée ou contrôlée par, ou est sous le contrôle commun ou fait partie du même groupe qu’une Partie et est bénéficiaire de l’Accord;

«Lois applicables en matière de protection des données» désigne l’ensemble des lois, règles, réglementations et exigences des pouvoirs publics applicables en matière de respect de la vie privée, de confidentialité ou de sécurité des Données à caractère personnel, telles qu’elles peuvent être modifiées ou mises à jour le cas échéant;

«Avenant approuvé» désigne le modèle d’Avenant, version; B.1.0, publié par le Commissaire à l’information du Royaume-Uni en vertu de l’article 119A(1) de la Loi de 2018 sur la protection des données (Data Protection Act 2018) et déposé devant le Parlement britannique le 2 février 2022, tel qu’il peut être révisé conformément à l’article 18 des Clauses obligatoires;

«Données à caractère personnel du Client» désigne les Données à caractère personnel traitées par Klaviyo pour le compte du Client ou de la Filiale du Client dans le cadre de la fourniture des Services, qui, toutefois, exclut spécifiquement les données à caractère personnel contenues dans les informations relatives au compte;

 «CPD» ou «Cadre de protection des données» : le cadre UE-États-Unis de protection des données ou, le cas échéant, l’extension britannique du cadre UE-États-Unis de protection des données et le cadre Suisse-États-Unis de protection des données;

«EEE» désigne l’Espace économique européen;

«Date d’entrée en vigueur» désigne la date à laquelle l’ATD prend effet, comme indiqué à la clause (A) ci-dessus;

«RGPD» désigne le Règlement (UE) 2016/679 (le «RGPD de l’UE») ou, le cas échéant, le «RGPD du RU» tel que défini à l’article 3 de la Loi de 2018 sur la protection des données (Data Protection Act 2018);

«Clauses obligatoires» désigne la «Partie 2 : Clauses obligatoires» de l’Avenant approuvé;

«État membre» désigne un État membre de l’EEE, c’est-à-dire un État membre de l’Union européenne, l’Islande, la Norvège ou le Liechtenstein;

«Données à caractère personnel» désigne toute information relative à une personne ou à un dispositif identifié(e) ou identifiable, ou autrement des «données à caractère personnel,» «données personnelles,» «renseignements personnels»  et les termes similaires, et ces termes ont la même signification que celle définie par les lois applicables en matière de protection des données;

«Incident de sécurité» désigne une violation de la sécurité entraînant la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès prohibé, de manière accidentelle ou illicite, aux Données à caractère personnel du Client;

«Clauses contractuelles types» ou «CCT» désigne le Module deux (transfert du responsable de traitement au sous-traitant) et/ou le Module trois (transfert du sous-traitant au sous-traitant) des Clauses contractuelles types annexées à la Décision d’exécution (UE) 2021/914 de la Commission;

«Sous-traitant ultérieur» désigne les Filiales de Klaviyo et les sous-traitants tiers désignés par Klaviyo pour traiter les Données à caractère personnel du Client;

«RU» désigne le Royaume-Uni de Grande-Bretagne et d’Irlande du Nord; et

«Lois américaines sur la protection des données» désigne, dans la mesure où elles sont applicables, les lois fédérales et les lois des États relatives à la protection des données, au traitement des Données à caractère personnel, au respect de la vie privée et/ou à la protection des données en vigueur le cas échéant aux États-Unis.

1.2 Les termes «responsable du traitement des données», «sous-traitant», «personne concernée», «traiter», «autorité de contrôle» «vendre» et «prestataire de services» ont la même signification que dans les Lois applicables en matière de protection des données.

2. INTERACTION AVEC L’ACCORD

2.1 Cet ATD complète et (en cas de contradictions) remplace l’Accord concernant tout traitement des Données à caractère personnel du Client.

2.2 En ce qui concerne les Filiales du Client, en concluant l’Accord, le Client garantit qu’il est dûment autorisé à conclure l’ATD pour le compte et au nom des Filiales du Client et, sous réserve de la clause 2.3, chaque Filiale du Client est liée par les stipulations de cet ATD comme s’il était le Client.

2.3 Le Client garantit qu’il est dûment mandaté par une Filiale du Client au nom duquel Klaviyo traite les Données à caractère personnel du Client conformément à cet ADT pour (a);faire appliquer les stipulations de cet ATD au nom des Filiales du Client, et pour agir au nom des Filiales du Client dans le cadre de la gestion et de la conduite de toute réclamation liée à cet ATD; et (b);recevoir et répondre à toute notification ou communication en vertu de cet ATD au nom des Filiales du Client.

2.4 Les parties conviennent que toute notification ou communication envoyée par Klaviyo au Client remplira toute obligation d’envoyer cette notification ou communication à une Filiale du Client.

3. RÔLE DES PARTIES

3.1 Les Parties reconnaissent et conviennent que :

　(a) pour les besoins du RGPD, Klaviyo agit en tant que «sous-traitant» ou «sous-traitant ultérieur.» La fonction de Klaviyo en qualité de sous-traitant ou de sous-traitant ultérieur sera déterminée par la fonction du Client :

　　(i) En général, le Client agit en tant que responsable du traitement, tandis que Klaviyo agit en tant que sous-traitant.

　　(ii) Dans certains cas, le Client agit en tant que sous-traitant pour le compte des clients du Client lorsque le Client et le client du Client ont conclu un accord de traitement des données en lien avec le traitement des Données à caractère personnel des clients du Client et 

　(b) pour les besoins des Lois américaines sur la protection des données, Klaviyo agira en qualité de «prestataire de services» ou de «sous-traitant» dans le cadre de l’exécution de ses obligations aux termes de l’Accord.

　(c) Les informations relatives au compte ne sont pas régies par le présent DPA et sont soumises à l’avis de confidentialité de Klaviyo.

4. DÉTAILS DU TRAITEMENT DES DONNÉES

4.1 Les détails du traitement des données (tels que l’objet, la nature et la finalité du traitement, les catégories de Données à caractère personnel et les personnes concernées) sont indiqués dans l’Accord et à l’Annexe 1.

4.2 Les Données à caractère personnel du Client ne seront traitées que pour le compte et selon les instructions du Client et conformément aux Lois applicables en matière de protection des données. L’Accord et cet ATD constituent les instructions du Client pour le traitement des Données à caractère personnel du Client. Le Client peut donner d’autres instructions par écrit conformément à cet ATD. ;

4.3 Si les instructions du Client amènent Klaviyo à traiter les Données à caractère personnel du Client en violation des Lois applicables en matière de protection des données ou en dehors du champ d’application de l’Accord ou de l’ATD, Klaviyo en informera rapidement le Client, sauf si les Lois applicables en matière de protection des données l’interdisent (sans préjudice des CCT).

4.4 Klaviyo peut stocker et traiter les Données à caractère personnel du Client partout où Klaviyo ou ses Sous-traitants ultérieurs disposent d’installations, sous réserve de la clause 5 de cet ATD.

5. SOUS-TRAITANTS ULTÉRIEURS

5.1 Le Client accorde à Klaviyo l’autorisation générale de faire appel à des Sous-traitants ultérieurs, sous réserve de la clause;5.2, à partir d’une liste convenue, ainsi que les Sous-traitants ultérieurs actuels de Klaviyo énumérés à cette adresse https://www.klaviyo.com/fr/legal/subprocessors à la Date d’entrée en vigueur.

5.2 Klaviyo (i) conclura un accord écrit avec chaque Sous-traitant ultérieur imposant des obligations en matière de protection des données tout aussi protectrices des Données à caractère personnel du Client que les obligations de Klaviyo en vertu de cet ATD dans la mesure applicable à la nature des services fournis par ce Sous-traitant ultérieur; et (ii) demeurera responsable du respect par chaque Sous-traitant ultérieur des obligations en vertu de cet ATD.

5.3 Klaviyo adressera au Client un préavis de quinze (15);jours au minimum concernant toute proposition d’ajout ou de remplacement de Sous-traitants auxquels il fait appel pour traiter les Données à caractère personnel du Client. Le Client peut raisonnablement s’opposer au recours par Klaviyo à un nouveau Sous-traitant ultérieur (notamment lorsqu’il exerce son droit d’opposition en vertu de la clause;9(a) des CCT) en notifiant par écrit son opposition à Klaviyo dans un délai de dix (10);jours à compter de la notification par Klaviyo au Client de la proposition de modification (une «Opposition»). Dans le cas où le Client s’oppose au recours par Klaviyo à un nouveau Sous-traitant ultérieur, le Client et Klaviyo coopéreront de bonne foi pour trouver une solution mutuellement acceptable afin de régler cette Opposition. Si les parties ne parviennent pas à trouver une solution mutuellement acceptable dans un délai raisonnable, l’une des parties peut, comme seul et unique recours, résilier l’Accord en adressant une notification écrite à l’autre partie. Pendant une telle période d’Opposition, Klaviyo peut suspendre la partie concernée des Services.

6. DEMANDES RELATIVES AUX DROITS DES PERSONNES CONCERNÉES

6.1 Entre les Parties, le Client est seul juge et il lui incombe de répondre aux droits revendiqués par un particulier en lien avec les Données à caractère personnel du Client («Demande de la personne concernée»).

6.2 Klaviyo transmettra au Client, sans retard excessif, toute Demande de la personne concernée reçue par Klaviyo ou tout Sous-traitant ultérieur en lien avec les Données à caractère personnel du Client et pourra conseiller au particulier de soumettre sa demande directement au Client.

6.3 Klaviyo (en tenant compte du type de traitement des Données à caractère personnel du Client) fournira au Client des fonctionnalités en libre-service par le biais des Services ou toute autre assistance raisonnable nécessaire pour que le Client remplisse son obligation en vertu des Lois applicables en matière de protection des données de répondre aux Demandes des personnes concernées. Klaviyo peut facturer le Client, et le Client doit rembourser Klaviyo, en cas d’assistance au-delà de la fourniture de fonctionnalités en libre-service incluses dans le cadre des Services.

7. SÉCURITÉ ET AUDITS

7.1 Klaviyo mettra en œuvre et maintiendra en vigueur des mesures techniques et organisationnelles adéquates de protection des données et de sécurité visant à assurer la sécurité des Données à caractère personnel du Client, y compris, sans caractère limitatif, la protection contre le traitement non autorisé ou illicite (y compris, sans caractère limitatif, la divulgation non autorisée ou illicite des Données à caractère personnel du Client, l’accès à celles-ci et/ou leur altération) et contre la perte, la destruction ou l’endommagement de ces données de manière accidentelle.

7.2 Klaviyo mettra en œuvre et maintiendra en vigueur comme norme minimale les mesures énoncées à l’Annexe;2. Klaviyo peut mettre à jour ou modifier les mesures de sécurité énoncées à l’Annexe ;2 le cas échéant, notamment (le cas échéant) à la suite de l’examen de ces mesures entrepris par Klaviyo conformément à la clause;8.6 des CCT, à condition que ces mises à jour et/ou modifications ne réduisent pas le niveau de protection global accordé aux Données à caractère personnel du Client par Klaviyo en vertu de cet ATD.

7.3 Le Client ou son auditeur tiers indépendant que Klaviyo juge acceptable de façon raisonnable (à l’exclusion de tout auditeur qui ne serait pas suffisamment compétent ou indépendant ou qui serait un concurrent de Klaviyo) peut vérifier le respect par Klaviyo de ses obligations en vertu de cet ATD jusqu’à une fois par an, ou plus fréquemment en cas d’Incident de sécurité ou dans la mesure de ce qui requis par les lois applicables en matière de protection des données, notamment lorsque cela est exigé par l’autorité de réglementation ou gouvernementale du Client.

7.4  Pour demander un audit, le Client doit soumettre une proposition de plan d’audit exhaustif à Klaviyo au moins deux semaines avant la date d’audit proposée. Klaviyo examinera le plan d’audit proposé et coopérera avec le Client pour convenir d’un plan d’audit final. Tous ces audits doivent être menés pendant les heures de travail normales, sous réserve du plan d’audit final convenu et des politiques de Klaviyo en matière de santé et de sécurité ou d’autres politiques pertinentes, et ne doivent pas interférer de manière déraisonnable avec les activités commerciales de Klaviyo. Rien dans cette clause;7.4 n’oblige Klaviyo à enfreindre ses obligations de confidentialité.

7.5 Si l’étendue de l’audit demandé fait l’objet d’une certification ISO 27001, d’un rapport sur le contrôle de l’organisation de service (SOC 2) de type 2 ou d’un rapport d’audit similaire réalisé par un auditeur tiers compétent dans les douze (12);mois suivant la demande d’audit du Client et que Klaviyo confirme qu’aucun changement important connu n’est intervenu quant aux contrôles audités, le Client accepte ces conclusions au lieu de demander un audit des contrôles visés par le rapport.

7.6 Le Client notifiera sans délai à Klaviyo toute non-conformité constatée au cours d’un audit et fournira à Klaviyo tous les rapports d’audit générés dans le cadre d’un audit, sauf si le droit applicable l’interdit ou si une autorité de réglementation ou gouvernementale en donne l’instruction. Le Client peut utiliser les rapports d’audit uniquement dans le but de répondre à ses exigences en matière d’audit réglementaire et/ou de confirmer la conformité aux exigences de cet ATD.

7.7 Les frais d’audit sont à la charge du Client. Le Client indemnisera Klaviyo au titre du temps consacré par Klaviyo ou ses Sous-traitants ultérieurs à ces audits.

7.8 Klaviyo procèdera à un contrôle régulier de ses Sous-traitants ultérieurs et confirmera, à la demande du Client, leur conformité avec la loi sur la protection des données et les obligations imposées aux Sous-traitants ultérieurs en vertu de l’accord de traitement des données conclu avec eux. Le Client peut demander à Klaviyo de mener d’autres audits uniquement dans le cas où cela est raisonnablement justifié, et dans ce cas, Klaviyo réalisera d’autres audits dans la mesure où cela est possible.

7.9 Le Client reconnaît et accepte que, compte tenu de l’état de la technique, des frais de mise en œuvre, de la nature, de la portée, du contexte et des finalités du traitement, ainsi que du caractère variable du risque en termes de probabilité et de gravité pour les droits et les libertés des personnes physiques, les mesures de sécurité énoncées à l’Annexe 2 sont adéquates pour assurer la sécurité des Données à caractère personnel du Client.;

8. INCIDENTS DE SÉCURITÉ

Klaviyo notifiera sans délai le Client par écrit en cas de violation de cet ATD, des Lois applicables en matière de protection des données ou de toute instruction du Client en lien avec le traitement des Données à caractère personnel du Client en vertu de cet ATD. Sans limiter la portée générale de ce qui précède, Klaviyo notifiera le Client par écrit, sans retard excessif, après avoir pris connaissance d’un Incident de sécurité, et coopérera de façon raisonnable à l’enquête sur un tel Incident de sécurité et sur toute obligation du Client, en vertu des Lois applicables en matière de protection des données, de faire des notifications aux particuliers, autorités de contrôle, autorités gouvernementales ou autres autorités de réglementation, ou au grand public, en ce qui concerne un tel Incident de sécurité. Klaviyo prendra des mesures raisonnables pour maîtriser, enquêter et atténuer tout Incident de sécurité, et transmettra au Client, sans retard excessif, des informations sur l’Incident de sécurité, y compris, mais sans caractère limitatif, la nature de l’Incident de sécurité, les mesures prises pour l’atténuer ou le maîtriser, et l’état d’avancement de l’enquête. La notification ou la réponse de Klaviyo à un Incident de sécurité en vertu de cette clause;8 ne sera pas interprétée comme une reconnaissance par Klaviyo de toute faute ou responsabilité quant à l’Incident de sécurité.

9. SUPPRESSION ET RESTITUTION

Klaviyo doit (a);si le Client le demande avant la date de résiliation ou d’expiration de l’Accord, restituer une copie de toutes les Données à caractère personnel du Client ou fournir une fonctionnalité en libre-service permettant au Client de faire de même ; et (b);dans les 90 jours suivant la résiliation ou l’expiration de l’Accord, supprimer et déployer tous les efforts raisonnables pour obtenir la suppression de toutes les autres copies des Données à caractère personnel du Client traitées par Klaviyo ou par tout Sous-traitant ultérieur. Nonobstant toute stipulation contraire, Klaviyo peut conserver des copies des Données à caractère personnel du Client si et uniquement dans la mesure où Klaviyo estime, selon des critères raisonnables, qu’une telle conservation est (i) nécessaire pour se conformer aux Lois applicables, à une ordonnance d’un tribunal, à une assignation ou aux exigences réglementaires applicables à Klaviyo ou (ii) nécessaire à la constitution, l’exercice ou la défense des réclamations juridiques formulées par ou à l’encontre de Klaviyo. 

10. DURÉE DU CONTRAT

Cet ATD prendra effet à la Date d’entrée en vigueur et, sans préjudice de toute résiliation de l’Accord, demeurera en vigueur jusqu’à la suppression par Klaviyo de toutes les Données à caractère personnel du Client, comme le décrit cet ATD, et expirera automatiquement à cette date.

11. TRANSFERTS TRANSFRONTALIERS DE DONNÉES

11.1 Clauses contractuelles types

Les Parties conviennent que les stipulations des Clauses contractuelles types, le Module deux (transfert de Responsable du traitement à Sous-traitant) et le Module trois (transfert de Sous-traitant à Sous-traitant), tels que précisés à l’Annexe 3 de cet ATD, sont par les présentes incorporés par référence et seront réputés avoir été exécutés par les Parties et s’appliquent à tout transfert de Données à caractère personnel du Client entrant dans le champ d’application du RGPD du Client (en tant qu’exportateur de données) dans la mesure et aussi longtemps que Klaviyo ne peut pas se prévaloir du CPD conformément à la clause 11.2.

11.2 Cadre de protection des données

 Klaviyo est auto-certifié dans le cadre de cet ATD et se conforme aux principes de confidentialité des données qui en découlent. ; Dans la mesure et aussi longtemps que le CPD est reconnu comme un mécanisme de transfert valide dans le pays/la région concerné(e), les données personnelles provenant de l’EEE, du Royaume-Uni ou de la Suisse, ou qui sont autrement soumises au RGPD, seront transférées sur la base de l’accord de transfert de données.. ;

11.3 Assistance dans le cadre des transferts transfrontaliers de données

Klaviyo fournira au Client une assistance raisonnable pour lui permettre d’observer les exigences imposées au transfert de données à caractère personnel vers des pays tiers en ce qui concerne les personnes concernées situées dans l’EEE, en Suisse et au Royaume-Uni. Klaviyo fournira au Client, à sa demande, les informations raisonnablement nécessaires à la réalisation d’une évaluation de l’impact du transfert (« TIA »). Klaviyo s’engage en outre à mettre en œuvre les mesures supplémentaires convenues et énoncées à l’Annexe 4 de cet ATD afin de permettre au Client d’observer les exigences imposées au transfert de données à caractère personnel vers des pays tiers. Klaviyo peut facturer au Client, et le Client doit indemniser Klaviyo, au titre de toute assistance fournie par Klaviyo en ce qui concerne les « TIA », les évaluations de l’impact sur la protection des données ou la consultation de toute autorité de contrôle du Client.

12. DONNÉES À CARACTÈRE PERSONNEL DU CLIENT SOUMISES AUX LOIS BRITANNIQUES ET SUISSES SUR LA PROTECTION DES DONNÉES

Dans la mesure où le traitement des Données à caractère personnel du Client est soumis aux lois britanniques ou suisses sur la protection des données, l’Avenant britannique et/ou l’Avenant suisse (selon le cas) figurant à l’Annexe 5 s’appliquent.

13. DONNÉES À CARACTÈRE PERSONNEL DU CLIENT SOUMISES AUX LOIS AMÉRICAINES SUR LA CONFIDENTIALITÉ DES DONNÉES

Dans la mesure où le traitement des Données à caractère personnel du Client est soumis aux Lois américaines sur la confidentialité des données, l’Avenant américain figurant à l’Annexe 6 s’applique.

14. GÉNÉRALITÉS

14.1 Les Parties attestent par les présentes qu’elles comprennent les exigences de cet ATD et qu’elles les observeront.

14.2 Cet ATD et l’Accord constituent l’intégralité de l’accord entre les Parties en ce qui concerne l’objet de cet ATD.; 

─────────────────

Annexe 1
DÉTAILS DU TRAITEMENT

Partie 1
LISTE DES PARTIES

1. Exportateur de données

Le Client et/ou les Filiales du Client opérant dans les pays qui composent l’Espace économique européen, le Royaume-Uni ;et/ou la Suisse et/ou – dans la mesure convenue par les Parties – le Client et/ou les Filiales du Client dans tout autre pays dans la mesure où le RGPD ou la loi suisse correspondante s’applique.

La fonction et les coordonnées de l’interlocuteur du Client et de la Filiale du Client, ainsi que (le cas échéant) les coordonnées du délégué à la protection des données et (s’il y a lieu) du représentant, seront notifiés à Klaviyo avant le traitement des données à caractère personnel par courriel à privacy@klaviyo.com ou un formulaire mis à disposition, fourni par Klaviyo dans le compte du Client dans les Services.

Les activités pertinentes pour le transfert de données en vertu de ces Clauses sont définies par l’Accord et l’exportateur de données qui décide de l’étendue du traitement des données à caractère personnel dans le cadre des Services décrits plus en détail dans cette Annexe;1 et dans l’Accord.

2. Importateur de données

Klaviyo, Inc.,
125 Summer Street, Floor 6,
Boston, MA, 02110,
United States [États-Unis],

Tél. : +1 (800)338 1744

L’interlocuteur de l’importateur de données peut être contacté à cette adresse privacy@klaviyo.com.

Les activités de l’importateur de données relatives au transfert de données en vertu de ces Clauses sont les suivantes : l’importateur de données traite les données à caractère personnel fournies par l’exportateur de données pour le compte de ce dernier dans le cadre de la fourniture des Services à l’exportateur de données, comme il est précisé dans cette Annexe;1 et dans l’Accord.

Partie 2
DESCRIPTION DU TRANSFERT

1. Catégories de personnes concernées

Les catégories de personnes concernées dont les données à caractère personnel sont transférées:;

Les abonnés du client et de l’affilié du client qui sont bénéficiaires des communications de marketing et d’autres personnes faisant l’objet d’autres activités de marketing du Client et/ou des Filiales du Client ou de leurs clients.

2. Catégories de données à caractère personnel

Les catégories de données à caractère personnel transférées sont les suivantes : celles qui sont déterminées par la configuration des Services par le Client, et peuvent inclure le nom, le numéro de téléphone, l’adresse électronique, les coordonnées, l’adresse IP, les identifiants des appareils, les données d’utilisation (telles que les interactions entre un utilisateur et le système en ligne de Klaviyo, le site web ou le courriel, le navigateur utilisé, le système d’exploitation utilisé, l’URL de renvoi).

De plus, le Client et la Filiale du Client peuvent inclure d’autres données à caractère personnel des personnes concernées comme indiqué ci-dessus (en particulier sous une forme non structurée) dans le cadre de leur utilisation des Services conformément à l’Accord.

3. Catégories spéciales de données à caractère personnel (le cas échéant)

Les données à caractère personnel transférées comprennent les catégories particulières de données suivantes : Sans objet – La politique d’utilisation acceptable de Klaviyo interdit au Client d’utiliser les Services pour solliciter, afficher, stocker, traiter, envoyer ou transmettre des catégories particulières de données.

Les restrictions ou les garanties appliquées qui prennent pleinement en compte le type de données et les risques encourus, par exemple la limitation stricte de la finalité, les restrictions d’accès (notamment l’accès réservé uniquement au personnel ayant suivi une formation spécialisée), la tenue d’un registre d’accès aux données, les restrictions pour les transferts ultérieurs ou les mesures de sécurité supplémentaires sont : sans objet

4. Fréquence du transfert

La fréquence du transfert est comme suit : le transfert est effectué de manière continue et déterminé par la configuration des Services par le Client.

5. Objet et nature du traitement

Le traitement a pour objet de : fournir au Client une plateforme d’analyse de données et d’automatisation du marketing.

6. Finalité(s) du transfert et du traitement ultérieur des données

La finalité du transfert et du traitement ultérieur des données est la suivante : fournir les Services au Client conformément à l’Accord, afin que le Client puisse analyser les données du Client, améliorer ses relations avec les clients et envoyer des communications marketing et autres à ses clients.

7. Durée

La durée de conservation des données à caractère personnel ou, si cela s’avère impossible, les critères utilisés pour fixer cette durée : la durée est définie à la clause;10 de l’ATD.

8. Sous-traitant ultérieur (le cas échéant)

Pour les transferts aux sous-traitants ultérieurs, préciser l’objet, la nature et la durée du traitement : comme indiqué à la clause;5.1 de l’ATD. Les Sous-traitants ultérieurs peuvent avoir accès aux Données à caractère personnel pendant la durée de cet ATD ou jusqu’à ce que le contrat de service avec le Sous-traitant ultérieur respectif soit résilié ou que l’accès du Sous-traitant ultérieur ait été exclu comme convenu entre Klaviyo et le Client.

Partie 3
AUTORITÉ DE CONTRÔLE COMPÉTENTE

Identifier l’autorité ou les autorités de contrôle compétentes conformément à la clause;13 des CCT

Lorsque l’exportateur de données est implanté dans un État membre de l’UE : l’autorité de contrôle du pays dans lequel l’exportateur de données est implanté est l’autorité compétente.

Lorsque l’exportateur de données n’est pas implanté dans un État membre de l’UE, mais relève du champ d’application territorial du RGPD conformément à son article 3(2), et a désigné un représentant conformément à l’article;27(1) du RGPD : l’autorité de contrôle compétente est celle de l’État membre dans lequel le représentant est implanté.

Lorsque l’exportateur de données n’est pas implanté dans un État membre de l’UE, mais relève du champ d’application territorial du RGPD conformément à son article 3(2), sans toutefois devoir désigner un représentant conformément à l’article;27(2) du RGPD : l’autorité de contrôle compétente est l’autorité de contrôle en Irlande, à savoir la Commission de la protection des données https://www.dataprotection.ie/

─────────────────

Annexe 2
MESURES TECHNIQUES ET ORGANISATIONNELLES

Klaviyo a mis en œuvre les mesures techniques et organisationnelles suivantes (notamment toute certification pertinente) pour assurer un niveau de sécurité approprié, compte tenu de la nature, de l’étendue, du contexte et de la finalité du traitement, ainsi que des risques pour les droits et les libertés des personnes physiques :

1. La gestion organisationnelle et le personnel spécialisé en charge de l’élaboration, de la mise en œuvre et de la maintenance du programme de sécurité informatique de Klaviyo.

2. Procédures d’audit et d’évaluation des risques aux fins de l’examen et de l’évaluation réguliers des risques pour l’organisation de Klaviyo, de la surveillance et du maintien de la conformité avec les politiques et les procédures de Klaviyo, et de l’établissement de rapports sur l’état de la sécurité informatique et de la conformité à destination des dirigeants internes.

3. Utilisation de technologies de chiffrement disponibles dans le commerce et en conformité avec les normes reconnues de l’industrie pour les Données à caractère personnel du Client qui sont :

　(a)transmises par Klaviyo sur des réseaux publics (c.à.d. l’internet) ou transmises sans fil ; ou

　(b) au repos ou stockées sur des supports portables ou amovibles (c.à.d. ordinateurs portables, CD/DVD, lecteurs USB, bandes magnétiques de sauvegarde).

4. Les contrôles de sécurité des données comprennent au minimum, mais sans caractère limitatif, la séparation logique des données, les contrôles d’accès logiques mis en place pour gérer l’accès électronique aux données et aux fonctionnalités du système sur la base des niveaux d’autorisation et des fonctions exercées (par ex., octroi de l’accès selon le principe du besoin de savoir et des privilèges minimum, utilisation d’identifiants et de mots de passe uniques pour tous les utilisateurs, examen périodique et révocation / modification rapide de l’accès en cas de cessation d’emploi ou de changement des fonctions exercées).

5. Contrôles des mots de passe mis en place pour gérer et contrôler la force, l’expiration et l’utilisation des mots de passe, notamment en interdisant aux utilisateurs de partager leurs mots de passe et en exigeant que les mots de passe attribués aux employés de Klaviyo : (i); comportent au moins huit (8);caractères, (ii); ne soient pas stockés dans un format lisible sur les systèmes informatiques de Klaviyo ; (iii); doivent être d’une complexité définie ; (iv); doivent avoir un seuil d’historique pour empêcher la réutilisation des mots de passe récents ; et (v); les nouveaux mots de passe attribués doivent être modifiés après la première utilisation.

6. Audit du système ou journalisation des événements et procédures de surveillance connexes pour enregistrer de façon proactive l’accès des utilisateurs et l’activité du système à des fins d’examen de routine.

7. Sécurité physique et environnementale des centres de données, salles de serveurs et autres zones abritant des Données à caractère personnel, mises en place pour : (i); protéger l’actif d’information contre un accès physique non autorisé, (ii); gérer, surveiller et enregistrer les mouvements des personnes qui entrent et sortent des installations de Klaviyo, et (iii); se prémunir contre les risques environnementaux tels que la chaleur, l’incendie et le dégâts des eaux.

8. Procédures et contrôles opérationnels pour assurer la configuration, la surveillance et la maintenance des technologies et des systèmes informatiques conformément aux normes internes prescrites et aux normes de l’industrie adoptées, notamment l’élimination en toute sécurité des systèmes et des supports afin de rendre indéchiffrables ou irrécupérables toutes les informations ou données qu’ils contiennent avant leur élimination finale ou leur mise hors de la possession de Klaviyo.

9. Les procédures de gestion des changements et les mécanismes de suivi mis en place pour tester, approuver et contrôler tous les changements apportés à la technologie et à l’actif d’information de Klaviyo.

10. Les procédures de gestion des incidents et des problèmes mises en place pour permettre à Klaviyo de diligenter une enquête, de répondre, d’atténuer et de notifier les événements liés à la technologie et à l’actif d’information de Klaviyo.

11. Les contrôles de sécurité du réseau qui prévoient l’utilisation de systèmes de pare-feu, de détection d’intrusion et d’autres procédures de corrélation du trafic et des événements visant à protéger les systèmes contre les intrusions et à limiter l’ampleur de toute attaque réussie.

12. Les technologies d’évaluation de la vulnérabilité, de gestion des correctifs et de protection contre les menaces, ainsi que les procédures de contrôle programmé mises en place pour identifier, évaluer, atténuer et protéger contre les menaces identifiées pour la sécurité, les virus et autres codes malveillants.

13. Procédures de résilience / de continuité des activités et de reprise après sinistre dans le but de maintenir le service et/ou la reprise après des situations d’urgence ou des catastrophes prévisibles.

─────────────────

Annexe 3
CLAUSES CONTRACTUELLES TYPES

Aux fins des Clauses contractuelles types :

1. Le Module deux s’applique en cas de traitement en vertu de la clause;3.1(a)(i) de l’ATD et le Module trois s’applique en cas de traitement en vertu de la clause;3.1(a)(ii) de l’ATD.

2. La clause;7 des Clauses contractuelles types (Clause d’adhésion) ne s’applique pas.

3. La clause;9a) Option 2 (Autorisation écrite générale) est sélectionnée et la période à préciser est déterminée à la clause;5.3 de l’ATD.

4. L’option de la clause;11(a) des Clauses contractuelles types (Organisme indépendant de règlement des litiges) ne s’applique pas.

5. En ce qui concerne la clause;17 des Clauses contractuelles types (Droit applicable), les Parties conviennent que l’option 1 s’applique. Les Parties conviennent que le droit applicable est celui de la République d’Irlande.

6. Dans la clause;18 des Clauses contractuelles types (Choix du for judiciaire et de la juridiction compétente), les Parties se soumettent à la juridiction des tribunaux de la République d’Irlande.

7. Aux fins de l’Annexe;I des Clauses contractuelles types, l’Annexe;1 énonce les spécifications relatives aux parties, à la description du transfert et à l’autorité de contrôle compétente.

8. Aux fins de l’Annexe;II des Clauses contractuelles types, l’Annexe;2 énonce les mesures techniques et organisationnelles.

9. Les spécifications de l’Annexe;III des Clauses contractuelles types sont déterminées par la clause;5.1 de l’ATD. Le nom, la fonction et les coordonnées de l’interlocuteur du Sous-traitant ultérieur seront fournis par Klaviyo sur demande.

─────────────────

Annexe 4
MESURES COMPLÉMENTAIRES

Klaviyo s’engage en outre à mettre en œuvre des mesures complémentaires fondées sur les orientations fournies par les autorités de contrôle de l’UE afin de renforcer la protection des Données à caractère personnel du Client en ce qui concerne le traitement dans un pays tiers, tel que décrit dans cette Annexe 4.

1. Mesures techniques complémentaires (chiffrement)

1.1 Les données à caractère personnel sont transmises (entre les Parties et par Klaviyo entre les centres de données ainsi qu’à un Sous-traitant ultérieur et vice-versa) en utilisant un chiffrement renforcé.

1.2 Les données à caractère personnel au repos sont stockées par Klaviyo à l’aide d’un chiffrement renforcé

2. Mesures organisationnelles supplémentaires

2.1 Politiques internes pour la gouvernance des transferts, en particulier avec les groupes d’entreprises

　(a) Adoption de politiques internes adéquates prévoyant une répartition claire des responsabilités en matière de transferts de données, de canaux de reporting et de procédures opérationnelles normalisées en cas de demandes formelles ou informelles d’accès aux données de la part des pouvoirs publics.

　(b) Élaboration de procédures de formation spécifiques pour le personnel chargé de la gestion des demandes d’accès aux données à caractère personnel émanant des pouvoirs publics, qui devraient être régulièrement actualisées pour tenir compte des nouvelles évolutions législatives et jurisprudentielles dans le pays tiers et dans l’EEE.

2.2 Mesures de transparence et de responsabilisation

Publication régulière de rapports sur la transparence ou de synthèses concernant les demandes des pouvoirs publics d’accès aux données et le type de réponse fournie, dans la mesure où la publication est autorisée par la législation locale.

2.3 Méthodes organisationnelles et mesures de minimisation des données

Élaboration et mise en œuvre de pratiques d’excellence par les deux Parties afin d’impliquer de manière appropriée et en temps utile leurs délégués à la protection des données respectifs, s’ils existent, ainsi que leurs services juridiques et d’audit interne, et de leur donner accès aux informations sur les questions liées aux transferts internationaux de données à caractère personnel.

2.4 Autres

L’adoption et l’examen régulier par Klaviyo de politiques internes visant à évaluer l’adéquation des mesures complémentaires mises en œuvre, à identifier et à mettre en œuvre des solutions supplémentaires ou alternatives si nécessaire, afin de garantir le maintien d’un niveau de protection essentiellement équivalent à celui garanti au sein de l’EEE pour les données à caractère personnel transférées.

3. Mesures contractuelles supplémentaires

3.1 Obligations en matière de transparence

　(a) Klaviyo déclare que (1);il n’a pas créé de manière délibérée des portes dérobées ou des programmes similaires qui pourraient être utilisés pour accéder au système et/ou aux données à caractère personnel, (2) ;il n’a pas créé ou modifié de manière délibérée ses processus opérationnels de manière à faciliter l’accès aux données à caractère personnel ou aux systèmes, et (3);la législation nationale ou la politique gouvernementale n’impose pas à Klaviyo de créer ou de maintenir des portes dérobées ou de faciliter l’accès aux données à caractère personnel ou aux systèmes, ou que Klaviyo soit en possession de la clef de chiffrement ou la remette.

　(b) Klaviyo vérifiera régulièrement la validité des informations fournies pour le questionnaire TIA et informera sans délai le Client de tout changement. La clause ;14(e) des CCT n’est pas affectée.

3.2 Obligations de prendre des mesures spécifiques

En cas d’injonction de divulguer les données à caractère personnel ou d’y donner accès, Klaviyo s’engage à informer les pouvoirs publics requérants de l’incompatibilité de l’injonction avec les garanties énoncées dans l’outil de transfert de l’Article ;46 du RGPD et du conflit d’obligations qui en découle pour Klaviyo.

3.3 Permettre aux personnes concernées d’exercer leurs droits

　(a) Klaviyo s’engage à indemniser de façon équitable la personne concernée en cas de préjudice matériel et moral subis en raison de la divulgation de ses données à caractère personnel transférées dans le cadre de l’outil de transfert choisi en violation des engagements qu’il énonce.

　(b)  Nonobstant ce qui précède, Klaviyo n’est pas tenu d’indemniser la personne concernée dans la mesure où celle-ci a déjà été indemnisée au titre du même dommage..

　(c) L’indemnisation est limitée aux préjudices matériels et moraux prévus par le RGPD et exclut les dommages indirects et tous les autres dommages ne résultant pas de la violation du RGPD par Klaviyo.

4. Obligations supplémentaires en cas de demandes ou d’accès par les pouvoirs publics

4.1 Klaviyo informera sans délai le Client :

　(a) de toute demande juridiquement contraignante émanant d’une autorité chargée de faire appliquer la loi ou de toute autre instance gouvernementale («Pouvoirs publics») de divulguer les données à caractère personnel communiquées par le Client («Données à caractère personnel transférées») ; cette notification comprend des informations sur les données à caractère personnel demandées, l’autorité requérante, le fondement juridique de la demande et la réponse donnée. Cette notification a lieu avant la divulgation de toute donnée à caractère personnel en réponse à ces demandes.

　(b) Si Klaviyo a connaissance d’un accès direct des pouvoirs publics au transfert de données à caractère personnel conformément à la législation du pays de destination, cette notification comprendra toutes les informations dont dispose Klaviyo.

　(c) S’il est interdit à Klaviyo de notifier le Client et/ou la personne concernée, Klaviyo s’engage à faire de son mieux pour obtenir une dérogation à l’interdiction, en vue de communiquer le plus d’informations possible et dans les plus brefs délais. Klaviyo s’engage à consigner par écrit tous ses efforts afin de pouvoir les démontrer à la demande de l’exportateur de données.

4.2 Klaviyo s’engage à examiner, au regard des lois du pays de destination, la légalité de la demande des pouvoirs publics, notamment si elle reste dans les limites des prérogatives conférées aux pouvoirs publics requérants, et à épuiser toutes les voies de recours disponibles pour contester la demande si, après une évaluation minutieuse, Klaviyo conclut qu’il y a des raisons de le faire au regard des lois du pays de destination. Cela inclut les demandes en vertu de l’article;702 du Tribunal de surveillance des renseignements à l’étranger des États-Unis (United States Foreign Intelligence Surveillance Court) ou du Décret-loi (Executive Order) 12333. Lorsqu’il conteste une demande, Klaviyo prend des mesures provisoires en vue de suspendre les effets de la demande jusqu’à ce que le tribunal ait statué sur le fond. Klaviyo ne divulguera pas les données à caractère personnel demandées et n’y donnera pas accès tant qu’il n’y sera pas contraint par les règles de procédure applicables et, à ce moment-là, ne fournira que le minimum d’informations nécessaires pour répondre à la demande, sur la base d’une interprétation raisonnable de la demande.

4.3 Klaviyo s’engage à conserver les informations requises pour se conformer à cette Annexe;4 pendant toute la durée de l’Accord et, sauf si le droit applicable l’interdit, à les mettre à la disposition de l’autorité de contrôle compétente sur demande et lorsque le droit applicable l’exige.

─────────────────

Annexe 5
AVENANT BRITANNIQUE ET SUISSE

1. AVENANT;BRITANNIQUE

S’agissant de tout transfert de Données à caractère personnel du Client relevant du champ d’application du RGPD britannique du Client (en tant qu’exportateur de données) à Klaviyo (en tant qu’importateur de données) :

1.1 L’Avenant approuvé, tel que précisé dans cette Annexe;5, fait partie intégrante de cet ATD, et les Clauses contractuelles types sont lues et interprétées à la lumière des stipulations de l’Avenant approuvé, dans la mesure où cela s’avère nécessaire conformément à la clause;12 des Clauses obligatoires.

1.2 Par dérogation au Tableau 1 de l’Avenant approuvé et conformément à la clause;17 des Clauses obligatoires, les parties sont en outre précisées à l’Annexe;1, Partie;1 de cet ATD.

1.3 Les Modules et les Clauses sélectionnés conformément au Tableau;2 de l’Avenant approuvé sont précisés à l’Annexe;3 de cet ATD, telle que modifiée par les Clauses obligatoires.

1.4 Les Annexes;1 A et B du Tableau 3 de l’Avenant approuvé sont précisées par l’Annexe;1 de cet ATD, l’Annexe;II de l’Avenant approuvé est précisée par l’Annexe;2 de cet ATD, et l’Annexe;III de l’Avenant approuvé est précisée par la clause;B.10 de l’Annexe;1 de cet ATD.

1.5 Klaviyo (en tant qu’importateur de données) peut mettre fin à cet ATD, dans la mesure où l’Avenant approuvé s’applique, conformément à la clause;19 des Clauses obligatoires.

1.6 La clause;16 des Clauses obligatoires ne s’applique pas.

2. AVENANT SUISSE

Comme le stipule la clause;13 de l’ATD, cet Avenant suisse s’applique à tout traitement des Données à caractère personnel du Client soumis à la Législation suisse sur la protection des données ou à la fois à la Législation suisse sur la protection des données et au RGPD.

2.1 Interprétation de cet Avenant

　(a) Lorsque cet Avenant emploie des termes définis dans les Clauses contractuelles types, telles qu’elles sont précisées à l’Annexe;3 de cet ATD, ces termes ont la même signification que dans les Clauses contractuelles types. De plus, les termes ci-dessous ont la signification suivante :

　　(i) «Cet Avenant» désigne Cet Avenant aux Clauses.

　　(ii) «Clauses» désigne les Clauses contractuelles types telles que précisées à l’Annexe;3 de cet ATD

　　(iii) «Législation suisse sur la protection des données» désigne la Loi fédérale suisse sur la protection des données du 19;juin 1992 et l’Ordonnance suisse relative à la loi fédérale suisse sur la protection des données du 14;juin 1993, ainsi que toute version nouvelle ou révisée de ces lois qui pourrait entrer en vigueur le cas échéant.

　(b) Cet Avenant doit être lu et interprété à la lumière des dispositions de la Législation suisse sur la protection des données, et de manière à ce qu’il satisfasse à l’objectif de fournir les garanties appropriées requises par l’Article 46 du RGPD et/ou l’Article 6(2)(a), de la Législation suisse sur la protection des données, selon le cas.

　(c) Cet Avenant ne doit pas être interprété d’une manière contraire aux droits et obligations prévus par la Législation suisse sur la protection des données.

　(d) Toute référence à la législation (ou à des dispositions spécifiques de la législation) désigne cette législation (ou disposition spécifique) telle qu’elle peut être modifiée au fil du temps. Il en va de même lorsque cette législation (ou disposition spécifique) a été consolidée, repromulguée et/ou remplacée après l’entrée en vigueur de Cet Avenant.

2.2 Hiérarchie

En cas de conflit ou d’incohérence entre cet Avenant et les stipulations des Clauses ou d’autres accords connexes entre les Parties, existant au moment où cet Avenant est convenu ou conclu par la suite, les stipulations qui assurent la plus grande protection aux personnes concernées prévaudront.

2.3 Intégration des Clauses

　(a) En ce qui concerne tout traitement de données à caractère personnel soumis à la Législation suisse sur la protection des données ou à la fois à la Législation suisse sur la protection des données et au RGPD, cet Avenant modifie l’ATD, notamment comme cela est précisé à l’Annexe;3 de cet ATD, dans la mesure nécessaire pour qu’il fonctionne :

　　(i) pour les transferts effectués par l’exportateur de données à l’importateur de données, dans la mesure où la Législation suisse sur la protection des données ou la Législation suisse sur la protection des données et le RGPD s’appliquent au traitement de l’exportateur de données lors de ce transfert ; et

　　(ii) pour fournir des garanties adéquates pour les transferts conformément à l’Article;46 du RGPD et/ou à l’Article;6(2)(a) de la Législation suisse sur la protection des données, selon le cas.

　(b) Dans la mesure où tout traitement de données à caractère personnel est exclusivement soumis à la Législation suisse sur la protection des données, les modifications de l’ATD, notamment les CCT, comme précisé à l’Annexe;3 de cet ATD et comme l’exige la clause;2.1 de cet Avenant pour la Suisse, y compris (sans limitation) :

　　(i) les références aux «Clauses» ou aux «CCT» signifient cet Avenant pour la Suisse qui modifie les CCT et

　　(ii) La clause; 6 Description du ou des transferts est remplacée par :

« Les détails du ou des transferts, et en particulier les catégories de données à caractère personnel qui sont transférées et la ou les finalités de leur transfert, sont ceux qui sont précisés à l’Annexe;1 de cet ATD lorsque la Législation suisse sur la protection des données s’applique au traitement de l’exportateur de données lors de ce transfert. »

　　(iii) Les références au «Règlement;(UE) ;2016/679» ou à «ce Règlement» ou au «RGPD» sont remplacées par la «Législation suisse sur la protection des données» et les références à un ou à des Articles spécifiques du «Règlement;(UE) ;2016/679» ou au «RGPD» sont remplacées par l’Article ou le Paragraphe équivalent de la Législation suisse sur la protection des données, dans la mesure où ils sont applicables.

　　(iv) Les références au Règlement (UE) ;2018/1725 sont supprimées.

　　(v) Les références à l’«Union européenne», l’«Union», l’«UE» et à un «État membre de l’UE» sont remplacées par la «Suisse».

　　(vi) La Clause;13(a) et la Partie;C de l’Annexe;I ne sont pas utilisées ; l’«autorité de contrôle compétente» est le Préposé fédéral à la protection des données et à la transparence (le «PFPDT») dans la mesure où les transferts sont régis par la Législation suisse sur la protection des données ;

　　(vii) La Clause;17 est remplacée comme suit :

« Ces Clauses sont régies par le droit suisse dans la mesure où les transferts sont régis par la Législation suisse sur la protection des données. »

　　(viii) La Clause;18 est remplacée comme suit :

« Tout litige découlant de ces Clauses relatives à la Législation suisse sur la protection des données sera tranché par les tribunaux suisses. Une personne concernée peut également intenter une action en justice à l’encontre de l’exportateur et/ou de l’importateur de données devant les juridictions suisses dans lesquelles elle a sa résidence habituelle. Les Parties conviennent de se soumettre à la compétence de ces tribunaux. »

Jusqu’à l’entrée en vigueur de la Législation suisse révisée sur la protection des données, les Clauses protègent également les données à caractère personnel des personnes morales et les personnes morales bénéficient de la même protection en vertu des Clauses que les personnes physiques.

2.4 Dans la mesure où tout traitement de données à caractère personnel est soumis à la fois à la Législation suisse sur la protection des données et au RGPD, l’ATD, notamment les Clauses précisées à l’Annexe;3 de cet ATD, s’appliquera (i); tel quel et (ii);en outre, dans la mesure où un transfert est soumis à la Législation suisse sur la protection des données, telles que modifiées par les clauses; 2.1 et 2.3 de cet Avenant suisse, la seule exception étant que la clause;17 des CCT ne sera pas remplacée comme énoncé à la clause;2.3(b)(vii) de cet Avenant suisse.

2.5 Le Client garantit que lui-même et/ou les Filiales du Client ont effectué toutes les notifications au PFPDT requises en vertu de la Législation suisse sur la protection des données.

─────────────────

Annexe 6
AVENANT AMÉRICAIN

Comme le stipule la clause 14 de l’ATD, cet Avenant américain s’applique à tout traitement des Données à caractère personnel du Client soumis aux Lois américaines sur la protection des données;

Dans la mesure où les Lois américaines sur la protection des données l’exigent, Klaviyo n’a pas le droit de;

(a) vendre les Données à caractère personnel du Client ou les mettre à la disposition d’un tiers moyennant une somme d’argent ou autre rétribution ;

(b) partager les Données à caractère personnel du Client avec des tiers à des fins de publicité comportementale croisée ;

(c) conserver, utiliser ou divulguer les Données à caractère personnel du Client à des fins autres que les objectifs commerciaux précisés dans l’Accord ou autrement autorisés par les Lois américaines sur la protection des données ;

(d) conserver, utiliser ou divulguer les Données à caractère personnel du Client en dehors de la relation commerciale directe entre les Parties ; et;

(e) sauf si les Lois américaines sur la protection des données l’autorisent, associer les Données à caractère personnel du Client aux Données à caractère personnel que Klaviyo reçoit d’une ou de plusieurs autres personnes ou en leur nom, ou qu’il recueille dans le cadre de sa propre interaction avec la personne concernée. ;