Transferts ultérieurs de données personnelles

Afin de vous fournir nos services de manière efficace, les données personnelles que vous confiez à l’entité Shopify avec laquelle vous traitez sont transférées aux destinataires suivants :

• certaines autres entités Shopify et
• des sous-traitants ultérieurs soigneusement sélectionnés et de confiance

Cette section contient des informations sur la manière dont les transferts ultérieurs sont régis.

Transferts ultérieurs de données personnelles depuis l’Espace économique européen (EEE) et le Royaume-Uni (UK)

Shopify International Limited, entité enregistrée en Irlande, est la principale entité contractante de Shopify pour les marchands de la zone EMEA (Europe, Moyen-Orient et Afrique) et de la zone LATAM (Amérique latine). Shopify International Limited agit également comme principal établissement de Shopify pour ce qui concerne le Règlement général sur la protection des données (RGPD).

Le RGPD et son équivalent britannique exigent que, lorsque des données personnelles sont partagées avec une entité située en dehors de l’EEE et du Royaume-Uni, un niveau de protection équivalent soit appliqué dans le pays de destination. C’est pourquoi il est impératif que de tels transferts internationaux soient protégés par des mécanismes juridiques forts.

Procédure suivie par Shopify pour répondre aux exigences du RGPD pour les transferts de données internationaux

Pour répondre à cette exigence, Shopify s’appuie sur la décision d’adéquation de la Commission européenne pour le Canada lorsque Shopify International Limited transfère des données personnelles à sa société mère, Shopify Inc., dont le siège social est au Canada. En savoir plus sur les décisions d’adéquation.

Par ailleurs, Shopify utilise également des accords de transfert et de traitement de données (ATD) complets, qui contiennent la version la plus récente des clauses contractuelles types (CCT) approuvées par la Commission européenne pour administrer :

• tous les transferts effectués au sein du groupe Shopify
• les transferts ultérieurs vers nos sous-traitants ultérieurs

Nous évaluons soigneusement nos sous-traitants ultérieurs afin de vérifier qu’ils disposent des mesures techniques et organisationnelles adéquates pour protéger les données personnelles et effectuer les analyses d’impact sur les transferts qu’il convient. En savoir plus sur les CCT

La décision d’adéquation et les CCT sont considérées comme des mécanismes de transfert juridiquement valides et suffisants par les autorités de protection des données de l’EEE et du Royaume-Uni.

À titre de mesure supplémentaire, Shopify a également émis une demande de règles d’entreprise contraignantes pour renforcer le contrôle des transferts au sein du groupe Shopify. Cette demande a été déposée auprès de l’autorité supérieure de supervision de Shopify en ce qui a trait au RGPD, l’Irish Data Protection Commission. Il s’agit d’un mécanisme de transfert juridique supplémentaire visant à sécuriser les transferts au sein de notre groupe d’entreprises. Nous en sommes aux dernières étapes de cette demande et nous nous attendons à ce qu’elle soit approuvée prochainement.

Transferts ultérieurs de données personnelles à partir de toutes les autres régions

Certaines lois relatives à la confidentialité dans les juridictions autres que l’EEE et le Royaume-Uni exigent également des protections spécifiques en ce qui concerne les transferts internationaux de données personnelles. Pour répondre à ces exigences, les ATD de Shopify régissant les transferts au sein du groupe Shopify, et ses ATD régissant les transferts ultérieurs vers nos sous-traitants incluent les protections appropriées mises en place pour garantir la conformité des transferts avec les lois relatives à la confidentialité au Canada, aux États-Unis et à Singapour, le cas échéant. De même, nous mettons à jour et maintenons ces ATD, si nécessaire.

Lieux d’hébergement des données

Shopify rééquilibre de façon dynamique le stockage entre de nombreuses régions de Google Cloud Platform afin que nous puissions proposer une infrastructure fiable et évolutive pouvant supporter des volumes imprévisibles à travers notre base entière de marchands. Nous devons pouvoir déplacer géographiquement des données afin de faire fonctionner nos services, et nous avons des mécanismes en place pour le faire conformément aux lois et réglementations en vigueur, y compris le RGPD.

Shopify stocke désormais certaines données personnelles de marchands et de clients en Europe (à savoir l’EEE, le Royaume-Uni et/ou la Suisse), comme suit :

• Les nouveaux marchands en Europe profitent automatiquement de cette nouvelle infrastructure et stockent maintenant par défaut les données de leur boutique, celles de leurs commandes et les données personnelles de leurs clients au repos en Europe.
• Toutes les fonctionnalités Shopify existantes continueront de fonctionner.
• Même lorsque les données personnelles des clients de marchands sont stockées en Europe, nous dépendons des transferts de données internationaux pour le traitement de ces données personnelles.

Méthode suivie par Shopify pour choisir ses sous-traitants ultérieurs

Conformément au RGPD et à d’autres lois en vigueur sur la protection des données, Shopify adopte une série de mesures conformes aux bonnes pratiques lorsqu’elle intègre des sous-traitants ultérieurs :

• Nous choisissons soigneusement les entreprises avec lesquelles nous travaillons.
• Nous n’utilisons qu’un nombre limité de fournisseurs externes de services.
• Nous insistons pour que les sous-traitants ultérieurs signent un ATD complet qui incorpore des CCT, en plus des protections appropriées requises pour garantir leur conformité avec les lois relatives à la confidentialité appliquées au Canada, aux États-Unis et à Singapour.
• Le recours à nos sous-traitants ultérieurs se limite à des services techniques : hébergement cloud, journaux d’erreurs, équilibrage de charges, livraison de contenu, mappage, analyse de données et connexion interne (fichiers de journaux).
• Le transfert s’effectue de manière continue et sécurisée.
• Aucune catégorie sensible ou spéciale de données personnelles n’est traitée intentionnellement, sauf indication contraire de la part du responsable du traitement des données.
• Nous examinons attentivement les programmes de confidentialité et de sécurité de nos sous-traitants ultérieurs.

En savoir plus sur les principaux sous-traitants ultérieurs de Shopify.