Contact sales
Pour les clients de Superhuman Labs LLC qui ont accepté le DPA avant le 29 octobre 2025, veuillez consulter le DPA ici, sauf s'il a été remplacé par la suite.

Addendum relatif à la confidentialité des données Superhuman

Cette traduction a été générée par intelligence artificielle et peut contenir des erreurs. Elle est fournie uniquement pour votre commodité. La version anglaise est la version officielle et fera foi en cas de divergence.

Date d'entrée en vigueur : 29 octobre 2025.

Le présent avenant relatif à la protection des données (« Avenant ») est intégré aux termes et conditions de la version en vigueur de tout accord (« Accord ») conclu entre vous (« Client ») et Superhuman Platform Inc. (« Superhuman ») (chacune étant une « Partie » et collectivement les « Parties ») régissant l'utilisation des Services par le Client.

Tous les termes en majuscules non définis dans le présent Avenant ont la signification qui leur est attribuée dans l'Accord. Le présent Avenant reflète l'accord des Parties concernant les conditions régissant le traitement par Superhuman des données personnelles contenues dans les Données du Client (« Données Personnelles du Client ») et protégées par les lois applicables en matière de protection des données. 

En cas de conflit ou d'incohérence entre les termes de l'Accord principal et le présent Avenant, les termes du présent Avenant prévaudront sur l'Accord et tout autre document contractuel associé conclu entre les Parties, dans la mesure de ce conflit. Les Parties conviennent de ce qui suit :

1. Définitions.

Aux fins du présent addendum : 

a. « Législation applicable en matière de protection des données » désigne toute loi ou réglementation nationale, fédérale, étatique, provinciale ou autre relative à la protection de la vie privée, à la sécurité des données et à la protection des données applicable au traitement des données personnelles des clients, y compris, sans limitation et le cas échéant : (i) la législation américaine en matière de protection des données et (ii) la législation européenne en matière de protection des données, dans leur version modifiée ou remplacée. 

b. « Cadre de protection des données » désigne le cadre de protection des données UE-États-Unis, le cadre de protection des données Suisse-États-Unis et l’extension britannique des programmes d’autocertification du cadre de protection des données UE-États-Unis (le cas échéant), tels qu’ils sont gérés par le département du Commerce des États-Unis, et tels qu’ils peuvent être modifiés, remplacés ou remplacés. « Principes du cadre de protection des données » désigne les principes et les principes supplémentaires contenus dans le cadre de protection des données pertinent. 

c. « Législation européenne en matière de protection des données » désigne, le cas échéant, le règlement général sur la protection des données (UE) 2016/679 (« RGPD ») applicable au traitement des données personnelles des clients. (ii) le RGPD tel que transposé en droit britannique en vertu de l’article 3 de la loi britannique de 2018 relative au retrait de l’Union européenne (« Législation britannique sur la protection des données ») ; et (iii) en ce qui concerne la Suisse, la loi fédérale sur la protection des données du 19 juin 1992 et ses ordonnances (la « Loi suisse sur la protection des données »). 

d. Aux fins du présent addendum, le terme « Europe » désigne l’Union européenne, l’Islande, le Liechtenstein, la Norvège, la Suisse et le Royaume-Uni.

e. Les « clauses contractuelles types de l’UE » désignent les clauses contractuelles types relatives au transfert de données à caractère personnel vers des pays tiers conformément au RGPD entre (i) les responsables du traitement et les sous-traitants ou (selon les circonstances) (ii) les sous-traitants entre eux, telles qu’approuvées par la décision d’exécution (UE) 2021/914 de la Commission européenne du 4 juin 2021 et à l’exclusion des clauses facultatives. 

f. « Incident de sécurité des données » désigne toute violation de la sécurité de Superhuman entraînant l’acquisition, la destruction, la perte, l’altération ou la divulgation non autorisée, accidentelle ou illicite, de données personnelles du client transmises, stockées ou traitées par Superhuman dans le cadre de la fourniture du Service. Les tentatives infructueuses ou les activités ne compromettant pas la sécurité des données personnelles du client, telles que les tentatives de connexion infructueuses, les requêtes ping, les analyses de ports, les attaques par déni de service et autres attaques réseau ciblant les pare-feu ou les systèmes en réseau, ne sont pas considérées comme des « Incidents de sécurité des données ». 

g. « Clauses contractuelles types » désigne, selon le cas, les CCT de l’UE ou les CCT du Royaume-Uni. 

h. « Sous-traitant »désigne un sous-traitant mandaté par Superhuman ou ses sociétés affiliées pour l’aider à fournir les Services conformément au Contrat ou au présent Addendum. Les sous-traitants peuvent inclure des tiers ou des sociétés affiliées à Superhuman, mais excluent tout employé, prestataire ou consultant de Superhuman. 

i. « Lois américaines sur la protection des données » désigne la California Consumer Privacy Act, la Colorado Privacy Act, la Connecticut Act Concerning Personal Data Privacy and Online Monitoring, la Utah Consumer Privacy Act et la Virginia Consumer Data Protection Act, ainsi que toute autre loi sur la protection de la vie privée promulguée par un État américain, dans chaque cas telle que modifiée et avec les réglementations d’application applicables, qui assurent une protection générale de la vie privée des consommateurs et établissent une distinction entre responsables du traitement et sous-traitants.

j. « Conditions générales contractuelles du Royaume-Uni » désigne les clauses générales contractuelles de l’UE ainsi que l’Addendum relatif au transfert international de données (version B1.0) approuvé par le Commissaire à l’information du Royaume-Uni. 

k. Les termes « responsable du traitement » , « personne concernée » , « données à caractère personnel », « traitement » et « sous - traitant » ont la signification qui leur est attribuée par la législation applicable en matière de protection des données et incluent les termes « entreprise » , « consommateur »« informations personnelles » et « prestataire de services » . Les termes « finalité professionnelle » , « finalité commerciale » , « vendre » et « partager » ont la signification qui leur est attribuée par la législation américaine en matière de protection des données.

2. Portée et finalités du traitement.

a. Le présent avenant s'applique dans la mesure où Superhuman traite, en sa qualité de sous-traitant ou de prestataire de services (selon le cas), des données personnelles du Client protégées par les lois applicables en matière de protection des données. Superhuman ne traitera les données personnelles du Client que conformément aux dispositions du présent avenant et aux lois applicables en matière de protection des données. 

b. Les parties reconnaissent et conviennent que le Client est responsable du traitement ou sous-traitant en ce qui concerne le traitement des données personnelles du Client, et que Superhuman ne traitera ces données qu'en sa qualité de sous-traitant pour le compte du Client, comme décrit plus en détail à l'annexe A (Description du traitement des données) du présent avenant. Si le Client agit en sa qualité de sous-traitant, il devra (i) respecter les obligations de Superhuman envers ses responsables du traitement en vertu du présent avenant, y compris, le cas échéant, les clauses contractuelles types, et (ii) s'assurer que tout traitement de données effectué en application du présent avenant est conforme aux instructions documentées émises par le responsable final du traitement de ces données.

c. Le Client mandate Superhuman pour traiter ses Données Personnelles conformément au Contrat (y compris le présent Addendum) et uniquement aux fins suivantes : 

(i) fournir , sécuriser et surveiller le(s) Service(s) conformément au Contrat ; 
(ii) exécuter les Traitements initiés par le Client dans le cadre de son utilisation du Service (notamment via une console d’administration) ; et 
(iii) se conformer à toute autre instruction raisonnable du Client compatible avec les termes du Contrat et du présent Addendum. 
En conséquence, le traitement effectué par Superhuman est réalisé à des fins commerciales, notamment pour la prestation de services au Client, la garantie de la sécurité et de l’intégrité des données, le débogage et la correction des erreurs.   

d. Sans préjudice de l’article 3 (Responsabilités du Client), Superhuman informera immédiatement le Client par écrit, sauf si la loi applicable l’en empêche, s’il constate ou soupçonne que des instructions de Traitement du Client enfreignent la législation européenne et britannique relative à la protection des données.

3. Responsabilités du client.

a. Le Client est seul responsable de l'exactitude, de la qualité et de la légalité des Données Personnelles du Client et des moyens par lesquels il les a acquises. 

b. Le Client déclare et garantit qu'il respectera ses obligations relatives au traitement des Données Personnelles du Client en vertu des lois applicables en matière de protection des données, notamment : (i) il a fourni, et continuera de fournir, toutes les notifications et a obtenu, et continuera d'obtenir, tous les consentements, autorisations et droits nécessaires en vertu des lois applicables, y compris les lois applicables en matière de protection des données, pour que Superhuman puisse traiter licitement les Données Personnelles du Client aux fins prévues par le Contrat (y compris le présent Addendum) ; (ii) il s'est conformé à toutes les lois applicables, y compris les lois applicables en matière de protection des données, lors de la collecte et de la communication à Superhuman de ces Données Personnelles du Client ; et (iii) il veillera à ce que ses instructions de traitement soient conformes aux lois applicables (y compris les lois applicables en matière de protection des données) et que le traitement des Données Personnelles du Client par Superhuman conformément aux instructions du Client n'entraîne pas de violation par Superhuman des lois applicables en matière de protection des données. 

c. Si le Client a des raisons de croire que Superhuman se livre à un traitement non autorisé des données personnelles du Client, le Client en informera immédiatement Superhuman et les Parties collaboreront de bonne foi pour remédier aux activités de traitement prétendument illicites, le cas échéant.

4. Responsabilités Superhuman.

a. Superhuman s'engage à : 

i. Ne pas vendre ni partager les données personnelles du client. 

ii. Ne pas traiter les données personnelles du client à d'autres fins que celles spécifiquement énoncées dans les présentes. Il est entendu que Superhuman ne traitera pas les données personnelles du client en dehors de la relation commerciale directe entre le client et Superhuman. 

iii. Ne pas combiner les données personnelles du client avec des informations reçues d'une autre source ou pour son compte, ou collectées lors des interactions du sous-traitant avec une personne concernée, sauf dans la mesure où une telle combinaison est autorisée par la législation applicable en matière de protection des données. 

iv. En ce qui concerne le traitement des données personnelles du client, Superhuman se conforme à la législation applicable en matière de protection des données et, lorsque cela est requis des sous-traitants en vertu de cette législation, assure le même niveau de protection des données que celui exigé du client. 

v. Informer le client si, de l'avis de Superhuman, cette dernière est dans l'incapacité de respecter ses obligations en vertu de la législation applicable en matière de protection des données.

5. Droits et coopération des personnes concernées.

a. Superhuman informera sans délai le Client : (i) de toute demande formulée par un tiers ou une personne physique (par exemple, pour le compte du Client) ; ou (ii) de toute demande d’accès ou d’information relative au traitement des données personnelles du Client par Superhuman pour le compte de ce dernier (ci-après dénommée « Communication »), émanant d’un gouvernement ou d’une personne concernée (ci-après dénommée « Communication »), sauf interdiction prévue par la législation applicable en matière de protection des données. Si Superhuman reçoit une telle Communication directement, elle n’y répondra pas, sauf si cela est approprié (par exemple, pour inviter la personne concernée à contacter le Client) ou si la loi l’exige, et ce, sans l’autorisation préalable du Client. Il incombera au Client de répondre à toute demande de ce type, y compris, le cas échéant, en utilisant les fonctionnalités des Services. 

b. Superhuman fournira au Client l’assistance et la coopération raisonnables et requises par la loi afin de lui permettre de remplir ses obligations en vertu de la législation applicable en matière de protection des données. Sur demande écrite du Client, cette assistance et cette coopération comprendront, dans la mesure où le Client n’est pas en mesure de répondre à une Communication en utilisant les fonctionnalités des Services, une coopération raisonnable pour l’aider à répondre aux Communications, en tenant compte de la nature du traitement. 

c. Dans la mesure requise par la législation applicable en matière de protection des données, et compte tenu de la nature du traitement et des informations dont dispose Superhuman, cette dernière apportera au Client une assistance raisonnable pour la réalisation d'une analyse d'impact relative à la protection des données ou d'une consultation préalable auprès des autorités de contrôle, conformément à la législation applicable. Superhuman s'acquittera de cette obligation en : (i) se conformant à l'article 10 (Audits) ; (ii) fournissant les informations contenues dans le contrat, y compris le présent avenant ; et (iii) si les points (i) et (ii) précédents s'avèrent insuffisants pour permettre au Client de satisfaire à ces obligations, en lui fournissant, sur demande, une assistance supplémentaire raisonnable (aux frais du Client).

6. Sécurité des données.

a. Superhuman s'engage à : (i) mettre en œuvre, conformément à l'Annexe B, des mesures administratives, techniques, physiques et organisationnelles appropriées et raisonnables visant à protéger les Données Personnelles du Client contre les Incidents de Sécurité et à préserver leur sécurité et leur confidentialité (« Mesures de Sécurité ») ; et (ii) s'assurer que les employés, sous-traitants et autres prestataires autorisés à traiter les Données Personnelles du Client sont soumis à une obligation de confidentialité appropriée (légale ou contractuelle). 

b. Il incombe au Client d'examiner les informations fournies par Superhuman concernant la sécurité des données et de déterminer de manière indépendante si les Mesures de Sécurité applicables au Service satisfont à ses exigences et obligations légales en vertu des lois applicables en matière de protection des données. Le Client reconnaît que les Mesures de Sécurité sont susceptibles d'évoluer et que Superhuman peut les mettre à jour ou les modifier périodiquement, à condition que ces mises à jour et modifications n'entraînent pas une dégradation de la sécurité globale du Service fourni au Client. 

c. Nonobstant ce qui précède, le Client convient que, sauf disposition contraire du présent avenant, il est responsable de son utilisation sécurisée du Service, notamment de la sécurisation de ses identifiants d'authentification de compte, de la protection de la sécurité des Données Client lors de leur transit vers et depuis le Service, et de la prise de toutes les mesures appropriées pour chiffrer ou sauvegarder en toute sécurité les Données Client téléchargées sur le Service.

7. Incident de sécurité des données.

a. Dès qu'elle a connaissance d'un incident de sécurité des données, Superhuman s'engage à : (i) en informer le Client sans délai ; (ii) fournir en temps opportun les informations relatives à cet incident, dès qu'elles sont connues ou à la demande raisonnable du Client ; et (iii) prendre sans délai les mesures raisonnables pour contenir et enquêter sur tout incident de sécurité des données. 

b. La notification ou la réponse de Superhuman à un incident de sécurité des données en vertu du présent article 7 ne saurait être interprétée comme une reconnaissance de faute ou de responsabilité de sa part. Superhuman n'est pas tenue d'évaluer les données du Client afin d'identifier les informations susceptibles d'être soumises à des obligations légales spécifiques. 

c. Le Client reconnaît que : (i) les incidents de sécurité des données et les engagements de Superhuman stipulés dans le présent avenant ne s'étendent pas aux intégrations ou services tiers que le Client ou ses utilisateurs finaux acquièrent via la plateforme Superhuman ; et (ii) il lui incombe de consulter la documentation et les accords de sécurité et de confidentialité fournis par ces tiers.

8. Sous-processeurs.

a. Le Client reconnaît et accepte que Superhuman puisse faire appel à des Sous-traitants pour le traitement des Données Personnelles du Client conformément aux dispositions du présent Addendum et aux lois applicables en matière de protection des données. La liste des Sous-traitants de Superhuman est disponible à l'adresse https://superhuman.com/legal/subprocessors ( « Page Sous-traitants » ) et le Client autorise expressément Superhuman à faire appel à ces Sous-traitants. De plus, le Client autorise de manière générale Superhuman à faire appel à d'autres tiers en tant que Sous-traitants, conformément à l'article 8(c) ci-dessous. 

b. Superhuman s'engage à : (i) conclure avec chaque Sous-traitant un accord écrit contenant des obligations de protection des données garantissant un niveau de protection des Données Personnelles du Client au moins équivalent à celui prévu par le présent Addendum, dans la mesure où cela est applicable à la nature du service fourni par ledit Sous-traitant ; et (ii) demeurer responsable du respect par ledit Sous-traitant des obligations du présent Addendum et de tout acte ou omission dudit Sous-traitant qui entraînerait un manquement de Superhuman à l'une quelconque de ses obligations au titre du présent Addendum. 

c. Superhuman informera le Client de l'ajout de sous-traitants au moins 30 jours avant toute modification, si le Client a consenti à recevoir ces notifications via le formulaire dédié mentionné sur la page « Sous-traitants ». Le Client peut s'opposer par écrit à la nomination d'un nouveau sous-traitant par Superhuman avant sa nomination, pour des motifs raisonnables liés à la protection des données (par exemple, si la mise à disposition de données personnelles du Client au sous-traitant risque d'enfreindre la législation applicable en matière de protection des données ou d'affaiblir la protection de ces données). Dans ce cas, les Parties discuteront de ces préoccupations de bonne foi afin de parvenir à une solution commercialement raisonnable. À défaut de solution, Superhuman pourra, à sa seule discrétion, soit ne pas nommer le sous-traitant, soit autoriser le Client à résilier ou suspendre le Service concerné conformément aux dispositions de résiliation du Contrat, sans engager la responsabilité de l'une ou l'autre des Parties (sous réserve du paiement des frais engagés par le Client avant la suspension ou la résiliation).

9. Transferts de données.

a. Le Client reconnaît que Superhuman peut traiter ses Données Personnelles aux États-Unis et dans tout autre lieu où Superhuman et ses Sous-traitants effectuent des opérations de traitement de données pour la prestation du Service. Superhuman ne transférera pas (directement ou par l'intermédiaire d'un tiers) les Données Personnelles du Client originaires d'Europe vers un pays hors d'Europe, sauf si elle prend préalablement les mesures nécessaires pour que ce transfert soit conforme à la législation européenne applicable en matière de protection des données. 

b. Superhuman participe au Cadre de Protection des Données et certifie sa conformité à celui-ci, tel que décrit dans la Certification du Cadre de Protection des Données de Superhuman, Inc. Lorsque et dans la mesure où le Cadre de Protection des Données s'applique, il sera utilisé pour recevoir légalement les Données Personnelles du Client aux États-Unis, et Superhuman s'assurera de fournir à ces données au moins le même niveau de protection que celui exigé par les Principes du Cadre de Protection des Données. Superhuman informera le Client si elle constate qu'elle n'est plus en mesure de respecter ses obligations au titre du Cadre de Protection des Données. 

c. Si la législation européenne sur la protection des données exige la mise en place de garanties appropriées (par exemple, si le cadre de protection des données ne couvre pas le transfert ou est invalidé), les clauses contractuelles types applicables seront intégralement incorporées par référence et feront partie intégrante du présent avenant, comme suit (les annexes et/ou appendices aux clauses contractuelles types applicables étant ceux figurant à l'annexe A du présent avenant) : 

i. Dans la mesure où Superhuman traite des données personnelles du Client protégées par la législation européenne sur la protection des données, Superhuman s'engage à être lié par les clauses contractuelles types de l'UE et à traiter ces données conformément à celles-ci. Aux fins des descriptions figurant dans les clauses contractuelles types de l'UE, Superhuman se considère comme un « importateur de données » et le Client comme un « exportateur de données » (même si le Client est une entité située dans un pays tiers). Aux fins de l'article 9 des clauses contractuelles types de l'UE, une autorisation générale de recours à des sous-traitants est prévue à la section 8.c du présent avenant. Aux fins de l’article 17 des clauses contractuelles types de l’UE (CCT), le droit applicable est le droit irlandais et, aux fins de l’article 18, les tribunaux irlandais sont compétents.

ii. Dans la mesure où Superhuman traite des données personnelles de clients protégées par la législation britannique sur la protection des données, les CCT britanniques s’appliquent. 

iii. Dans la mesure où Superhuman traite des données personnelles de clients protégées par la loi suisse sur la protection des données, les CCT de l’UE s’appliquent, sous réserve des modifications suivantes : 

A. toute référence dans les CCT de l’UE à la « Directive 95/46/CE » ou au « Règlement (UE) 2016/679 » est interprétée comme une référence à la loi suisse sur la protection des données ; 
B. les références à « UE », « Union », « État membre » et « droit d’un État membre » sont interprétées comme des références à la Suisse et au droit suisse, selon le cas. 
C. Les références à l’« autorité de surveillance compétente » et aux « tribunaux compétents » s’entendent comme des références à la FDIPC et aux tribunaux compétents en Suisse. 

iv. En cas de conflit entre les clauses contractuelles types de l’UE ou du Royaume-Uni et le présent addendum, les clauses contractuelles types de l’UE ou du Royaume-Uni (selon le cas) prévaudront. 

10. Audits.

a. À la demande du Client, Superhuman mettra à sa disposition les informations raisonnablement nécessaires pour démontrer la conformité au présent avenant. Le Client reconnaît et accepte d'exercer ses droits d'audit en vertu du présent avenant (y compris la présente section 10(a) et, le cas échéant, les clauses contractuelles types), ainsi que tout droit d'audit accordé par la législation applicable en matière de protection des données, en demandant à Superhuman de se conformer aux mesures d'audit décrites à la section 10(b) ci-dessous. 

b. Sur demande écrite, Superhuman fournira au Client, à titre confidentiel, un résumé de son ou ses rapports d'audit les plus récents (« Rapport d'audit »), établis par des professionnels de la sécurité tiers choisis et pris en charge par Superhuman.

11. Retour ou destruction des données personnelles du client.

a. À la résiliation ou à l'expiration du Contrat, Superhuman, à la demande écrite du Client, mettra à sa disposition et/ou détruira de manière sécurisée toutes les Données Personnelles du Client en sa possession ou sous son contrôle, conformément au Contrat. Toutefois, cette exigence ne s'appliquera pas dans la mesure où Superhuman est tenue par la loi applicable de conserver tout ou partie des Données Personnelles du Client, ni aux Données Personnelles du Client archivées sur des systèmes de sauvegarde, lesquelles données seront isolées et protégées de manière sécurisée contre tout traitement ultérieur et supprimées conformément à ses pratiques de suppression. 

12. Données dépersonnalisées des résidents des États-Unis.

a. Les Parties reconnaissent que les données « dépersonnalisées » ou « anonymisées » conformément à la législation américaine sur la protection des données ( « Données anonymisées » ) ne constituent pas des Données personnelles. 

b. Sauf autorisation contraire de la législation applicable en matière de protection des données, Superhuman peut anonymiser les Données personnelles du Client et traiter les Données anonymisées uniquement si elle : 

i. prend des mesures raisonnables pour garantir que les Données anonymisées ne peuvent être associées à une personne physique ; 
ii. s’engage publiquement à conserver et à utiliser les Données anonymisées uniquement de manière anonymisée et à ne pas tenter de les réidentifier ; et 
iii. oblige contractuellement tout destinataire des Données anonymisées à se conformer à des exigences sensiblement similaires à celles énoncées dans la présente Section 12 (Données anonymisées) de l’Addendum.

13. Limitation de responsabilité.

a. La responsabilité de Superhuman découlant du présent avenant ou s'y rapportant est soumise aux limitations et exclusions de responsabilité énoncées dans le contrat.

14. Terme.

a. La date d'entrée en vigueur du présent avenant est la date de la dernière signature d'une partie ou, si une telle date n'existe pas, la date d'entrée en vigueur de l'accord.

15. Survie.

a. Les dispositions du présent avenant restent en vigueur après la résiliation ou l'expiration du contrat tant que Superhuman ou ses sous-traitants traitent des données personnelles du client.

Annexe A : Description du traitement des données

1. Liste des parties :

Exportateur(s) de données : 
Nom : L’entité identifiée comme « Client » dans l’avenant. 
Adresse : L’adresse du Client spécifiée dans l’avenant ou le contrat. 
Coordonnées : Les coordonnées associées au compte du Client, ou telles que spécifiées dans l’avenant ou le contrat. 
Activités relatives aux données transférées : Voir la section 2 ci-dessous. 
Rôle : Lorsque le Client agit en tant que responsable du traitement, Responsable du traitement. Lorsque le Client agit en tant que sous-traitant, Sous-traitant. 

Importateur(s) de données : 
Nom : « Superhuman », tel qu’identifié dans l’avenant. 
Adresse : L’adresse de Superhuman telle que spécifiée dans le contrat. 
Coordonnées : Les coordonnées de Superhuman telles que spécifiées dans l’avenant ou le contrat. 
Activités relatives aux données transférées : Voir la section 2 ci-dessous. 
Rôle : Sous-traitant

2. Description du traitement

a. Objet, nature et finalité du traitement : Superhuman traitera les Données Personnelles du Client exclusivement aux fins énoncées à la section 2(c) du présent avenant. 

b. Durée prévue du traitement : Pendant toute la durée du Contrat, plus la période comprise entre l’expiration ou la résiliation du Contrat et la suppression de toutes les Données Personnelles du Client par Superhuman, conformément au Contrat. 

c. Catégories typiques de personnes concernées : Les personnes concernées sont les personnes physiques dont les données sont fournies à Superhuman par le biais du Service par le Client ou ses Utilisateurs (ou à leur demande). 

d. Catégories de Données Personnelles du Client généralement soumises au traitement en vertu du Contrat : Les catégories de Données Personnelles du Client sont déterminées par le Client à sa seule discrétion et comprennent les données relatives aux personnes physiques fournies à Superhuman par le biais du Service, par le Client ou ses Utilisateurs (ou à leur demande). 
e. Catégories particulières de Données Personnelles : Superhuman ne collecte ni ne traite intentionnellement aucune catégorie particulière de Données Personnelles.

Annexe B : Mesures techniques et organisationnelles, y compris les mesures techniques et organisationnelles visant à assurer la sécurité des données

Les Services fournis en vertu du présent avenant comprennent plusieurs offres de produits distinctes, notamment, sans s'y limiter, Grammarly, Superhuman Mail et Coda (collectivement, les « Services »). Chaque Service met en œuvre des mesures de sécurité techniques et organisationnelles adaptées à sa conception et à ses fonctionnalités afin de protéger les Données personnelles du Client et de prévenir, détecter et atténuer les Incidents de sécurité des données. Compte tenu des architectures et des exigences opérationnelles différentes des Services respectifs, les Mesures de sécurité applicables à chaque Service sont décrites séparément ci-dessous. Il est précisé que les mesures de sécurité techniques et organisationnelles décrites ici sont spécifiques au Service concerné et ne sauraient être interprétées comme s'appliquant à un autre Service. Ces Mesures de sécurité s'appliquent uniquement dans la mesure où le Client a acquis le Service concerné, tel qu'identifié dans le document de commande ou la page de confirmation d'achat en ligne applicable et accepté par le Client.

Mesures de sécurité applicables aux offres Grammarly

Grammarly met en œuvre des procédures administratives, contractuelles et techniques rigoureuses afin de protéger les informations transférées vers, depuis et sur ses serveurs pour la fourniture de ses services. 

L’ensemble de l’infrastructure serveur de Grammarly est hébergé sur Amazon Web Services (AWS) aux États-Unis. Les serveurs et le réseau de Grammarly minimisent la surface d’attaque, en plaçant tous les systèmes de notre réseau privé au sein de notre plateforme cloud sécurisée et en exposant les services externes uniquement via des équilibreurs de charge et un pare-feu applicatif web. Grammarly bénéficie du support AWS Enterprise, le niveau de support le plus élevé proposé par AWS. 

Grammarly chiffre tous les transferts de données entre ses services et les exportateurs de données à l’aide de protocoles de chiffrement à jour, notamment TLS 1.2 au minimum. Les données client sont chiffrées au repos à l’aide d’AES-256. Grammarly utilise les services de gestion de clés AWS pour le chiffrement des bases de données et la gestion des clés. L’accès aux clés cryptographiques est réservé au personnel autorisé. Les services internes de Grammarly sont accessibles via son réseau privé virtuel (VPN), à l’exception des services nécessitant un accès à Internet pour la mise à disposition des produits Grammarly aux clients. 

L'accès au stockage des données personnelles est effectué selon le principe du moindre privilège ; une authentification multifacteurs est requise. La sécurité surveille en permanence l'accès à toutes les informations et établit des limites de sécurité claires entre les environnements de production, de préproduction, de développement, etc. 

Les équipes de conformité de Grammarly définissent et contrôlent la collecte, le traitement et le stockage des données personnelles des clients. À cette fin, Grammarly utilise des cartographies des flux de données, un inventaire des services, des listes de contrôle pour le lancement de nouveaux services et d'autres processus afin de suivre tous les transferts de données internes et externes. Grammarly vérifie toutes les modifications de code par le biais d'examens, de contrôles automatisés et réalise des tests d'intrusion annuels avec une entreprise externe. Tous les ordinateurs portables, serveurs et conteneurs sont configurés pour se mettre à jour vers les dernières versions dès leur disponibilité. 

Des informations détaillées sur les mesures techniques et organisationnelles mises en œuvre par Grammarly pour garantir la sécurité des données sont disponibles sur les pages d'attestation de conformité réglementaire et de niveau entreprise, accessibles à l'adresse https://www.grammarly.com/security et https://www.grammarly.com/trust

Mesures de sécurité applicables aux offres de Superhuman Mail :

Le programme de sécurité des informations de Superhuman Mail comprend des mesures de protection administratives, techniques et physiques conçues pour protéger les renseignements personnels que nous traitons contre les menaces ou les risques anticipés pour leur sécurité, leur confidentialité ou leur intégrité (tels que l'accès, la collecte, l'utilisation, la copie, la modification, la destruction ou la divulgation non autorisés, la perte, la destruction, l'acquisition, les dommages non autorisés, illégaux ou accidentels, ou toute autre forme de traitement non autorisé).

Le programme de sécurité de Superhuman repose sur les principes de sécurité clés suivants :
  • Le principe du moindre privilège : les services et les utilisateurs se voient accorder l’ensemble minimal d’autorisations nécessaires à leur fonctionnement.
  • Chiffrement au repos et en transit : toutes les données sont chiffrées au repos et en transit, les données particulièrement sensibles étant chiffrées en plus au niveau de l’application.
  • Surface d'attaque réduite au minimum : nous n'exposons aucun serveur interne à Internet, utilisons des conteneurs sans distribution et fonctionnons entièrement sur une infrastructure gérée par Google.
  • Mises à jour automatiques : les ordinateurs portables, les serveurs et les conteneurs sont configurés pour se mettre à jour automatiquement vers les dernières versions dès leur disponibilité.
  • Des limites de sécurité clairement définies : les environnements de production, de préproduction, de développement, etc., sont distincts, et le passage d’une limite de sécurité à une autre nécessite une authentification via Google Identity and Access Management (IAM). Toute authentification requiert deux facteurs.
  • Vérification des hypothèses : tout le code ajouté à Superhuman est examiné du point de vue de la sécurité, et nous effectuons des audits de sécurité annuels avec une entreprise externe afin d’identifier les erreurs.

Vous trouverez ci-dessous quelques exemples illustratifs des mesures de sécurité mises en place :
1. Mesures de chiffrement des données personnelles
  • Superhuman est entièrement hébergé sur Google Cloud. Nous utilisons leur infrastructure de sécurité existante pour chiffrer les données au repos et, le cas échéant, une couche supplémentaire de chiffrement au niveau applicatif afin de réduire les risques de fuite de données.
  • Superhuman chiffre tout le trafic réseau sur l'Internet public en utilisant au moins TLS 1.2, et utilise Google Cloud ATLS pour protéger le trafic au sein de notre environnement.
2. Mesures visant à protéger la confidentialité, l'intégrité, la disponibilité et la résilience continues des systèmes et services de traitement
  • Superhuman maintient l'ensemble de ses systèmes et services à jour, en utilisant des mécanismes automatisés lorsque cela est possible, ou en répondant à des alertes proactives. Nous nous appuyons fortement sur une infrastructure immuable, régulièrement recréée dans un état fonctionnel connu.
  • Les autorisations sont attribuées selon le principe du moindre privilège : chaque employé n'a accès qu'aux parties nécessaires de l'infrastructure requises pour exercer ses fonctions.
  • Superhuman anticipe l'évolution de nos habitudes d'utilisation et investit massivement pour garantir la résilience de nos systèmes face à la charge prévue. Toute modification apportée aux systèmes est approuvée par un ingénieur indépendant et testée avant sa mise en production.
3. Mesures visant à rétablir la disponibilité et l'accès aux renseignements personnels dans les meilleurs délais en cas d'incident physique ou technique
  • Superhuman surveille en permanence la disponibilité de ses systèmes et assure une couverture 24h/24 et 7j/7 en cas d'incidents affectant la disponibilité du service.
  • Les services essentiels de Superhuman sont répartis sur plusieurs zones afin de réduire la probabilité qu'un événement catastrophique affecte notre disponibilité.
  • Superhuman sauvegarde toutes les données, et ces sauvegardes sont réparties sur plusieurs régions, de sorte que si notre environnement de production en direct est totalement indisponible, nous pourrons toujours rétablir l'accès aux données.
4. Processus de test, d'évaluation et d'appréciation réguliers de l'efficacité des mesures techniques et organisationnelles afin de garantir la sécurité du traitement
  • Superhuman réalise des audits de sécurité annuels par l'intermédiaire d'une entreprise tierce afin d'identifier les zones de cyber-risques.
  • Superhuman réalise chaque année un audit SOC 2 afin d'évaluer l'efficacité de ses contrôles.
  • Superhuman effectue des simulations trimestrielles d'incidents de maintenance, y compris la restauration des sauvegardes de production.
5. Mesures d'identification et d'autorisation des utilisateurs
  • L'identification de l'utilisateur est entièrement déléguée à votre fournisseur de messagerie (Google ou Microsoft), et nous utilisons fortement OAuth2 pour l'autorisation.
  • Les employés de Superhuman sont tenus d'utiliser l'authentification multifacteurs.
  • Toutes les connexions sont enregistrées dans un système d'information indépendant.
6. Mesures de sécurité physique des lieux où sont traités les renseignements personnels
  • Superhuman traite les informations personnelles au sein de Google Cloud, qui assure une sécurité physique conforme à la documentation Google : https://cloud.google.com/security
7. Mesures visant à garantir la configuration du système, y compris la configuration par défaut
  • Superhuman utilise Google Cloud Kubernetes Engine pour garantir une configuration cohérente sur toutes nos machines de production.
  • Superhuman utilise Google Cloud Security Scanner pour identifier toute modification non sécurisée de la configuration de nos ressources Google Cloud.
  • Superhuman utilise la solution MDM pour imposer une configuration système sécurisée à tous les ordinateurs portables appartenant à l'entreprise.
8. Mesures de gouvernance et de gestion internes des systèmes d'information et de la sécurité informatique
  • L'infrastructure de Superhuman est couverte par la certification ISO 27001 et les attestations SOC 2 de Google, puisqu'elle est entièrement hébergée sur le cloud de Google.
  • Superhuman dispose d'une politique de sécurité de l'information écrite, accompagnée de documentation à l'appui.
  • Superhuman a également mis en place les politiques de sécurité écrites suivantes :
    • Niveaux d'accès aux données
    • Reprise après sinistre et continuité des activités
    • politique de gestion des infrastructures
    • Enregistrements des activités de traitement
    • politique de gestion des risques
    • politique de conservation des données
9. Mesures visant à garantir la responsabilisation
  • Superhuman exige que tous les employés signalent toute violation potentielle du règlement intérieur et la transmettent soit à un responsable, soit via notre formulaire de réclamation anonyme.

Mesures de sécurité applicables aux offres Coda

Veuillez consulter les informations disponibles sur ce site (susceptibles d’être mises à jour régulièrement) : https://coda.io/trust/securityannex