Politique du cadre de protection des données ServiceNow®

L’objectif de la présente politique est de s’assurer que ServiceNow, Inc. (« ServiceNow ») se conforme au Cadre de protection des données UE‑États‑Unis (DPF UE‑États‑Unis), à l’extension britannique du DPF UE‑États‑Unis et au Cadre de protection des données Suisse‑États‑Unis (DPF Suisse‑États‑Unis) définis par le Département du Commerce des États‑Unis (DoC) concernant la collecte, l’utilisation et la conservation des Données personnelles transférées de l’Union européenne, du Royaume‑Uni (et de Gibraltar) et de la Suisse vers les États‑Unis, comme décrit plus en détail dans le présent document (collectivement, la « Politique DPF »). La présente Politique DPF résume notre adhésion aux Principes DPF (les « Principes ») et nos pratiques pour les mettre en œuvre.

ServiceNow se conforme au Cadre de protection des données UE‑États‑Unis (DPF UE‑États‑Unis), à l’extension britannique du DPF UE‑États‑Unis et au Cadre de protection des données Suisse‑États‑Unis (DPF Suisse‑États‑Unis) tels que définis par le DoC. ServiceNow a certifié au DoC adhérer aux Principes du Cadre de protection des données UE‑États‑Unis (Principes du DPF UE‑États‑Unis) en ce qui concerne le traitement des Données personnelles reçues de l’Union européenne en vertu du Cadre de protection des données UE‑États‑Unis et du Royaume‑Uni (et de Gibraltar) en s’appuyant sur l’extension britannique du DPF UE‑États‑Unis. ServiceNow a certifié au DoC adhérer aux Principes du Cadre de protection des données (Principes du DPF Suisse‑États‑Unis) en ce qui concerne le traitement des Données personnelles reçues de la Suisse en vertu du DPF Suisse‑États‑Unis. En cas de conflit entre les termes de la présente politique de protection des données et les Principes du DPF UE‑États‑Unis, l’extension britannique du DPF UE‑États‑Unis DPF et/ou les Principes du DPF Suisse‑États‑Unis, ce sont les Principes qui prévalent. Pour en savoir plus sur le programme DPF (Data Privacy Framework) du DoC et consulter la certification DPF de ServiceNow, rendez‑vous ici. La liste du Cadre de protection des données du DoC est disponible ici. ServiceNow respecte les Principes concernant les Données personnelles reçues de ses Clients ou de leurs Utilisateurs dans l’Union européenne, au Royaume‑Uni (et à Gibraltar) et en Suisse dans le cadre de l’utilisation (i) des applications téléchargées sur l’appareil mobile d’un Utilisateur (« Applications mobiles ») ; et (ii) des applications logicielles hébergées de ServiceNow (le « Service d’abonnement ») et des services d’assistance associés (les « Services d’assistance »), ainsi que des services d’experts (y compris les services professionnels, la formation et la certification) (les « Services d’experts ») que nous fournissons aux clients et aux utilisateurs. Dans cette Politique DFP, le Service d’abonnement, les Services d’assistance et les Services d’experts sont collectivement désignés par le terme « Service ».

ServiceNow héberge et traite les Données client, y compris toutes les Données personnelles qu’elles contiennent, en tant que Responsable du traitement à la demande des Clients de ServiceNow et conformément à leurs instructions.

ServiceNow recueille également plusieurs autres types d’informations auprès de ses Clients et peut traiter ces données en tant que Contrôleur, notamment : 

• les informations et correspondances que nos Clients et Utilisateurs nous soumettent, en lien avec des Services d’assistance et des Services d’experts, ou d’autres demandes liées à notre Service ;
• les informations que nous recevons directement de nos Clients ou de nos partenaires commerciaux en lien avec l’utilisation faite par nos Clients et Utilisateurs du Service ou avec des services proposés par nos partenaires commerciaux en leur nom, y compris la configuration du Service d’abonnement ;
• les informations sur l’utilisation par l’Utilisateur des Applications mobiles, dont des informations de localisation géographique et sur les Appareils de l’Utilisateur et l’identification du système d’exploitation, les identifications de connexion, la langue et le fuseau horaire ;
• les informations générales sur les clients, y compris le nom et l’adresse de l’entreprise du client, les informations relatives à la carte de crédit et les coordonnées du représentant du client à des fins de facturation, de marketing et de gestion des contrats (« Informations générales »).

ServiceNow peut utiliser les Données personnelles soumises par nos Clients et Utilisateurs pour fournir le Service et les Applications mobiles selon les besoins, y compris la mise à jour, l’amélioration, la sécurisation et le maintien du Service d’abonnement et des Applications mobiles, et pour remplir les obligations contractuelles de ServiceNow envers ses Clients. ServiceNow obtient également des Informations générales en lien avec la mise à disposition du Service et le maintien des relations de ServiceNow avec ses Clients. Les données seront conservées conformément à nos politiques internes sur la conservation des dossiers, sauf disposition contraire de la loi ou d’un accord contractuel.

Nous pouvons divulguer les Données personnelles que nos Clients et Utilisateurs fournissent pour notre Service et nos Applications mobiles : 

• à nos filiales et nos sociétés affiliées ;
• aux prestataires, partenaires commerciaux et fournisseurs de services qui soutiennent notre Service ;
• dans l’éventualité où ServiceNow vend ou transfère tout ou une partie de son activité ou de ses actifs (y compris dans le cas d’une fusion, acquisition, joint‑venture, restructuration, dissolution ou liquidation), les Données personnelles que nous détenons sur les Utilisateurs ou concernant les Clients pourraient faire partie des actifs transmis à l’acheteur ou acquéreur ;
• si la loi ou une procédure juridique l’exige ;
• en réponse à des demandes légales émanant des autorités publiques, y compris pour répondre aux exigences en matière de sécurité nationale, d’intérêt public ou d’application de la loi.
• L’Addendum sur le traitement des données et l’Addendum sur la sécurité des données de ServiceNow, disponibles ici, fournissent de plus amples informations concernant les exigences en matière de protection des données et de notification des violations dans le cadre de la prestation du Service d’abonnement.

De manière générale, les individus appartenant à l’Union européenne, au Royaume‑Uni (et Gibraltar) et à la Suisse peuvent accéder à leurs Données personnelles. En tant que Responsable du traitement des Données personnelles pour le compte de ses Clients dans le cadre de la prestation du Service d’abonnement, ServiceNow ne possède ni ne contrôle ces données et n’a pas de relation directe avec les Utilisateurs dont les Données personnelles peuvent être traitées dans le cadre de la prestation du Service d’abonnement. Attendu que chaque Client contrôle les informations, y compris les Données personnelles, qu’il recueille auprès de ses Utilisateurs, la manière dont ces informations sont utilisées, divulguées et dont elles peuvent être modifiées, les Utilisateurs du Service d’abonnement doivent s’adresser à l’administrateur compétent du Client pour toute demande portant sur les modalités de consultation et de rectification des Données personnelles contenues dans les Données client. Si un Utilisateur effectue une demande de consultation ou de rectification à ServiceNow, nous transférons la demande au Client de ServiceNow concerné et aidons si nécessaire ce Client à répondre à toute demande.

Pour accéder aux Informations générales fournies par le Client ou les corriger, ou à d’autres Données personnelles pour lesquelles ServiceNow agit en tant que Contrôleur, la personne concernée doit contacter directement son représentant de compte ServiceNow ou nous contacter à l’adresse suivante : privacy@servicenow.com.

Sous réserve du paragraphe ci‑dessous, et conformément aux Principes, ServiceNow offrira aux Clients et aux Utilisateurs la possibilité de demander à ServiceNow de limiter l’utilisation et la divulgation de leurs Données personnelles dans la mesure où ServiceNow : (i) divulgue leurs Données personnelles à des Contrôleurs tiers, ou (ii) utilise leurs Données personnelles à des fins qui sont sensiblement différentes des finalités pour lesquelles les Données personnelles ont été initialement recueillies ou ultérieurement autorisées par le Client ou l’Utilisateur. Dans la mesure exigée par les Principes et les lois applicables, ServiceNow obtiendra également un consentement s’il s’engage dans certaines utilisations ou divulgations des Données sensibles. Sauf si les lois applicables et les Principes l’autorisent, ServiceNow utilise les Données personnelles dans le même but que celui indiqué dans la présente Politique.

ServiceNow peut divulguer les Données personnelles des Clients et des Utilisateurs sans leur offrir la possibilité de s’y opposer, et peut être tenu de divulguer les Données personnelles, (i) aux Responsables du traitement tiers que ServiceNow a retenu pour fournir des services en son nom et conformément à ses instructions, (ii) si la loi ou une procédure juridique l’autorise ou l’exige, ou (iii) en réponse à des demandes légales émanant des autorités publiques, y compris pour répondre aux exigences en matière de sécurité nationale, d’intérêt public ou d’application de la loi. ServiceNow se réserve également le droit de transférer les Données personnelles dans le cadre d’un audit ou si la société vend ou transfère tout ou partie de son activité ou de ses actifs (y compris dans le cas d’une fusion, acquisition, joint‑venture, restructuration, dissolution ou liquidation).

ServiceNow respecte le Principe du DPF en ce qui concerne la responsabilité des transferts ultérieurs, comme le démontrent nos accords client et nos accords avec les sous‑traitants et les fournisseurs. ServiceNow demeure responsable en vertu des Principes si les destinataires des transferts ultérieurs traitent les Données personnelles d’une manière contraire aux Principes, sauf si ServiceNow prouve qu’il n’est pas responsable de l’événement qui a donné lieu au dommage.

Si ServiceNow conserve vos Données personnelles dans l’un des Services relevant de notre certification DPF, vous pouvez adresser toute demande ou réclamation concernant notre conformité au DPF à l’adresse privacy@servicenow.com. ServiceNow est tenu de vous répondre sous 45 jours.

Si votre réclamation ne peut pas être résolue via les processus internes de ServiceNow, ServiceNow coopérera avec l’International Centre for dispute Resolution‑American Arbitration Association (ICDR‑AAA) conformément aux procédures ICDR‑AAA applicables, disponibles sur le site Web de l’ICDR‑AAA ici. En conformité avec le DPF UE‑États‑Unis, et l’extension britannique du DPF UE‑États‑Unis et le DPF Suisse‑États‑Unis, ServiceNow s’engage à renvoyer les réclamations non résolues concernant le traitement des Données personnelles reçues en vertu du DPF UE‑États‑Unis, de l’extension britannique du DPF UE‑États‑Unis et du DPF Suisse‑États‑Unis à l’International Centre for Dispute Resolution‑American Arbitration Association (ICDR‑AAA), un prestataire de règlement extrajudiciaire des litiges basé aux États‑Unis. Si vous ne recevez pas d’accusé de réception en temps voulu de votre réclamation relative aux principes DPF de notre part, ou si nous n’avons pas traité votre réclamation relative aux Principes du DPF de manière satisfaisante, veuillez vous rendre ici pour obtenir de plus amples informations ou pour déposer une réclamation. Les services de l’ICDR‑AAA vous sont fournis gratuitement.

La procédure de règlement extrajudiciaire des litiges de l’ICDR‑AAA peut être engagée conformément aux règles et procédures pertinentes de l’ICDR‑AAA. Le tiers neutre de l’ICDR‑AAA peut proposer toute solution appropriée, comme la suppression des Données personnelles concernées, la publication des conclusions de non‑conformité, le paiement d’un dédommagement pour les dommages encourus en conséquence de la non‑conformité ou la cessation du traitement des Données personnelles du Client ou de l’Utilisateur qui a porté la réclamation. Le tiers neutre de l’ICDR‑AAA, ou le Client ou l’Utilisateur, peut également saisir la Federal Trade Commission (FTC) des États‑Unis. Comme la FTC a compétence sur la conformité de ServiceNow au Cadre de protection des données (DPF UE‑États‑Unis DPF), à l’extension britannique du DPF UE‑États‑Unis et au Cadre de protection des données Suisse‑États‑Unis (DPF Suisse‑États‑Unis), ServiceNow est soumis au pouvoir d’enquête et d’application de la FTC. Sous certaines conditions, les Clients et Utilisateurs peuvent demander un arbitrage exécutoire pour traiter une réclamation concernant la conformité de ServiceNow aux Principes. Pour en savoir plus sur le moment où un arbitrage exécutoire peut être invoqué dans le cadre du DPF, rendez‑vous ici.

En conformité avec le DPF UE‑États‑Unis, l’extension britannique du DPF UE‑États‑Unis et le DPF Suisse‑États‑Unis, ServiceNow s’engage à résoudre les réclamations liées aux Principes du DPF concernant la collecte et l’utilisation de vos Données personnelles. Toute personne résidant dans l’UE, au Royaume‑Uni et en Suisse ayant des questions (y compris concernant la mise à jour, la modification ou la suppression d’informations) ou des réclamations concernant notre traitement des Données personnelles reçues en vertu du DPF UE‑États‑Unis, de l’extension britannique du DPF UE‑États‑Unis et du DPF Suisse‑États‑Unis doivent d’abord contacter ServiceNow à l’adresse suivante : privacy@servicenow.com.

S’il ne vous est pas possible de contacter ServiceNow à l’adresse privacy@servicenow.com, vous pouvez nous contacter par courrier postal à l’adresse suivante :

ServiceNow, Inc.
Attn : Privacy
2225 Lawson Lane
Santa Clara, CA 95054

Le courrier peut être également adressé à notre filiale basée dans l’Union européenne, ServiceNow Nederland B.V., à l’adresse suivante : 

ServiceNow Nederland B.V.
Attn : Legal Department
Hoekenrode 3
1102 BR Amsterdam
Pays‑Bas

Tous les employés et sous‑traitants ServiceNow sont tenus de se conformer à toutes les politiques, procédures et normes ServiceNow établies et ponctuellement amendées. Le non‑respect de cette obligation sera considéré comme un motif valable de prise de mesures disciplinaires pouvant aller jusqu’au licenciement. ServiceNow et ses entités américaines et/ou filiales américaines répertoriées ci‑dessous adhèrent aux Principes :

ServiceNow Delaware LLC

La Société prévoit que toutes les Politiques ServiceNow seront conservées dans le système de gestion des politiques et que les Politiques ServiceNow actives seront mises à disposition sur le Portail employé, ainsi que sur les sites intranet et externes applicables. Certaines Politiques ServiceNow peuvent exiger que les parties auxquelles la politique s’applique suivent une formation ou reconnaissent avoir lu, compris et accepté de se conformer à la politique. Ces formations, attestations ou communications sont déterminées et gérées par le Propriétaire de la Politique et le Département propriétaire.

La présente politique fournit des conseils généraux concernant la conformité au Cadre de protection des données UE‑États‑Unis, à l’extension britannique du DPF UE‑États‑Unis et au Cadre de protection des données Suisse‑États‑Unis définis par le Département du Commerce des États‑Unis en ce qui concerne la collecte, l’utilisation et la conservation des Données personnelles transférées de l’Union européenne, du Royaume‑Uni (et de Gibraltar) et de la Suisse vers les États‑Unis. Vous trouverez des informations plus spécifiques sur le rôle et les responsabilités de ServiceNow en matière de transfert de données dans nos accords client. 

Les rôles, services et équipes ci‑dessous sont essentiels à la mise en œuvre de la présente politique et incluent les parties responsables de l’exécution des activités décrites dans ce document et/ou celles qui appliquent, distribuent ou doivent respecter cette politique.

Ce document utilise les termes suivants.

• Le terme Contrôleur désigne une personne ou une organisation qui, seule ou en partenariat avec d’autres, détermine les objectifs et moyens du traitement des Données personnelles.
• Le terme Client désigne toute entité qui achète le
• Le terme Données client désigne les données électroniques envoyées sur le Service d’abonnement par ou pour un Client ou ses Utilisateurs.
• Le terme Appareil désigne un appareil mobile.
• Le terme ICDR‑AAA désigne l’International Centre for Dispute Resolution de l’American Arbitration Association
• Le terme Données personnelles désigne toute information, y compris les Données sensibles, (i) qui concerne une personne identifiée ou identifiable et (ii) reçue par ServiceNow de l’Union européenne, du Royaume‑Uni et de la Suisse dans le cadre du Service.
• Le terme Responsable du traitement désigne toute personne physique ou morale, autorité publique, agence ou tout autre organisme qui traite les Données personnelles au nom d’un Contrôleur.
• Le terme Données sensibles désigne les Données personnelles indiquant l’état de santé ou la situation médicale, l’origine ethnique, les opinions politiques, les croyances religieuses ou philosophiques, l’appartenance à un syndicat, l’orientation sexuelle, la perpétration ou perpétration supposée d’un délit, toute procédure judiciaire en lien avec un délit commis ou supposément commis par l’individu, l’existence de cette procédure judiciaire, ou le verdict de toute cour de justice dans le cadre de cette procédure judiciaire.
• Le terme Utilisateur désigne tout individu autorisé par le Client à accéder à l’Abonnement et à l’utiliser.
• Le terme Politiquedésigne le document qui consigne les principes fondamentaux, l’intention de haut niveau et définit l’orientation générale de la gestion et les objectifs organisationnels. L’objectif est d’influencer et de guider la prise de décision actuelle et future, conformément à la philosophie, aux objectifs et aux plans stratégiques établis par les équipes de direction de l’entreprise (c’est‑à‑dire « pourquoi » les programmes ou processus sont en place).