Données personnelles
Chaque Partie s’engage à traiter les données à caractère personnel conformément aux lois et règlementations applicables, et en particulier, conformément à la Loi n°78-17 du 6 janvier 1978 modifiée et le Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 (ci-après la « Réglementation »). Dans ce cadre, les Parties agissent chacune en qualité de responsable de traitement et garantissent qu’elles respectent toutes les obligations issues de la Réglementation (notamment concernant l’obligation d’information, d’obtention du consentement des personnes concernées).
Chaque Partie garantit que les données collectées et traitées dans le cadre du Contrat, notamment des données d’identité, telles que civilité, nom, prénom, adresse email, numéro de téléphone des représentants et/ou préposés des Parties (les « Données ») le sont dans le respect de la Réglementation. La collecte et le traitement des Données par les Parties le sont pour les besoins de l’exécution du Contrat. Ainsi, la base légale du traitement est l’exécution du Contrat et l’intérêt légitime des Parties. La collecte des Données est obligatoire : à défaut de fournir ces données, le Contrat est susceptible de ne plus pouvoir être exécuté par les Parties.
Les Données recueillies par les Parties pourront être communiquées (a) afin de permettre la bonne gestion des relations contractuelles, à l'ensemble des services du groupe auquel les Parties appartiennent et des entreprises tierces en lien avec l’exécution des relations contractuelles (notamment les tiers hébergeurs) et (b) afin de satisfaire, le cas échéant, aux obligations légales et réglementaires ou à la demande d’une administration ou d’une autorité judiciaire. Par ailleurs, chaque personne concernée peut, pour l’ensemble des Données communiquées entre les Parties, la concernant, exercer directement ses droits auprès de son employeur.
Accord de traitement
Dans le cadre du Contrat, ALL MOL TECHNOLOGY peut être amenée à traiter des données personnelles pour le compte du Client en qualité de sous-traitant. Ces traitements sont réalisés en conformité avec le Règlement 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (le « RGPD ») et encadré par le présent accord (l’ « Accord »).
IL A ÉTÉ CONVENU CE QUI SUIT :
1. Définitions
Les termes utilisés dans l’Accord commençant par une majuscule et qui ne sont pas spécifiquement définis aux présentes ont la signification qui leur est donnée dans le Contrat.
Les termes « données à caractère personnel », « traitement », « responsable du traitement », « sous-traitant », « destinataire », « tiers », « consentement », « violation de données à caractère personnel » et « autorité de contrôle » ont la signification qui leur est donnée à l’article 4 du RGPD.
2. Objet
L’Accord a pour objet de définir les termes et conditions dans lesquels ALL MOL TECHNOLOGY effectue des opérations de traitement de données à caractère personnel pour le compte du Client, dans le cadre et pour les besoins du Contrat, ainsi que les engagements respectifs des Parties concernant la protection des données à caractère personnel traitées et les droits des personnes concernées.
3. Données à caractère personnel
Le Client transmet à ALL MOL TECHNOLOGY, le cas échéant, des données à caractère personnel qu’il a lui-même collectées et qui font l’objet d’un traitement à travers les Services.
Les Parties conviennent et acceptent que le Client a la qualité de responsable du traitement et ALL MOL TECHNOLOGY la qualité de sous-traitant.
Chacune des Parties s’engage à respecter l’ensemble des obligations qui lui incombent au titre du RGPD et de toute autre législation ou règlementation applicable relative à la protection de la vie privée et des données à caractère personnel, y compris dans les communications électroniques, notamment la loi n°78-17 « Informatique et Libertés » telle qu’amendée ou remplacée le cas échéant (collectivement la « Législation Applicable »).
3.1. Description du Traitement
|
Objet du Traitement : |
Hébergement de la Boutique en ligne. |
|
Durée du Traitement : |
Durée du Contrat. |
|
Nature et finalités du Traitement : |
ALL MOL TECHNOLOGY assure également l’hébergement des Données Personnelles sur ses serveurs. |
|
Type de données traitées : |
a) Données transmises par le Client à ALL MOL TECHNOLOGY : - Nom, Prénom, Email, Adresses de livraisons et coordonnées téléphoniques des utilisateurs de la Boutique en ligne - Contenus des commandes des utilisateurs de la Boutique en ligne b) Données transmises par les partenaires du Client à ALL MOL TECHNOLOGY : - Nom, Prénom, Email, Adresses de livraisons et coordonnées téléphoniques utilisateurs de la Boutique en ligne commandant via les partenaires - |
|
Catégories de personnes concernées : |
- utilisateurs de la Boutique en ligne, - clients et prospects du Client pour la vente de produits ou services du Clients, online et offline,
|
|
Durée de conservation des données |
Les données transmises par le Client seront conservées : - Pour ce qui concerne les prospects du Client : pendant trois (3) ans à compter de la collecte des données ou du dernier contact avec la personne concernée ; et - Pour ce qui concerne les clients du Client : pendant la durée de la relation commerciale entre le Client et la personne concernée, étant précisé que les données seront ensuite archivées en base intermédiaire à des fins justificatives et probatoires pendant les durées de prescription. Les données collectées par les cookies et/ou autres traceurs par l’intermédiaire des Services seront conservées pendant une durée maximum de 13 mois. |
Les données à caractère personnel concernées par le Traitement sont ci-après désignées les « Données Personnelles ».
3.2. Obligations générales du Client
En sa qualité de responsable du traitement, le Client détermine la base juridique du Traitement conformément à la Législation Applicable et notamment à l’article 6 du RGPD, ainsi que les finalités et les moyens du Traitement. Le Client s’engage, dans le cadre de son utilisation des Services, à traiter les Données Personnelles dans le respect de la Législation Applicable.
En particulier, en sa qualité de responsable du traitement, le Client, notamment :
a) s’engage à transmettre à ALL MOL TECHNOLOGY des instructions documentées, conformes à la Législation Applicable ;
b) déclare et garantit qu’il détient l’ensemble des droits et autorisations nécessaires, dans le respect de la Législation Applicable, pour collecter et transmettre les Données Personnelles à ALL MOL TECHNOLOGY et/ou permettre leur collecte et leur traitement par ALL MOL TECHNOLOGY via les Services, dans les conditions et pour les finalités du Contrat et telles que décrites à l’Accord ;
c) est seul responsable de la fourniture aux personnes concernées des informations relatives au Traitement, telles que notamment, mais sans s’y limiter, celles visées aux articles 13 et 14 du RGPD ;
d) doit s’assurer, dans la mesure requise par la Législation Applicable, que le consentement des personnes concernées à ce que leurs Données Personnelles fassent l’objet du Traitement a été recueilli dans des conditions conformes à la Législation Applicable et qu’il est en mesure de démontrer ce consentement. Dans l’hypothèse où une personne concernée retirerait son consentement au Traitement, le Client s’engage à en informer ALL MOL TECHNOLOGY sans délai et à lui communiquer ses instructions.
En cas de contrôle d’ALL MOL TECHNOLOGY par une autorité de contrôle concernant tout ou partie du Traitement, le Client s’engage à coopérer activement avec ALL MOL TECHNOLOGY et, si nécessaire l’autorité de contrôle, y compris en fournissant les informations ou documents utiles à sa disposition.
3.3. Obligations générales d’ALL MOL TECHNOLOGY
En sa qualité de sous-traitant, ALL MOL TECHNOLOGY s’engage à :
a) traiter les Données Personnelles pour les seules finalités décrites au Contrat et conformément aux instructions documentées transmises par le Client ;
b) informer le Client si elle considère qu’une de ses instructions constitue une violation de la Législation Applicable ;
c) informer le Client si elle fait l’objet ou est informée d’une plainte émise par une personne concernée ou d’une demande ou d’un contrôle de la part d’une autorité de contrôle concernant le Traitement des Données Personnelles ;
d) mettre à la disposition du Client, à sa demande écrite et dans un délai raisonnable, toutes les informations nécessaires pour démontrer le respect de ses obligations au titre de l’Accord ;
e) tenir un registre des activités de traitement effectuées pour le compte du Client, conformément à la Législation Applicable, et notamment aux dispositions de l’article 30 du RGPD ;
f) le cas échéant à la demande du Client, compte tenu de la nature du Traitement et des informations à sa disposition, aider le Client à conduire une analyse d’impact relative à la protection des données et participer aux consultations préalables auprès de l’autorité de contrôle.
3.4. Confidentialité
ALL MOL TECHNOLOGY s’engage à assurer la confidentialité des Données Personnelles et à ne pas les transmettre ou les communiquer à des tiers sans l’accord préalable et écrit du Client. ALL MOL TECHNOLOGY doit s’assurer que ses employés, agents et éventuels sous-traitants ultérieurs impliqués dans le Traitement sont informés du caractère confidentiel des Données Personnelles et qu’ils s’engagent à respecter leur confidentialité.
3.5. Sécurité
a) Mesures de sécurité
En considération de l’état des connaissances, des ressources qui leur sont disponibles, des coûts de mise en œuvre, et de la nature, de la portée, du contexte et des finalités du Traitement, ainsi que des risques pour les droits et libertés des personnes physiques concernées par le Traitement, ALL MOL TECHNOLOGY et le Client mettent en œuvre les mesures techniques et opérationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, en tenant compte notamment des risques liés à la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé aux Données Personnelles Traitement.
ALL MOL TECHNOLOGY et le Client prennent notamment les mesures destinées à garantir que toute personne physique agissant sous leur autorité qui a accès aux Données Personnelles ne les traite que sur et conformément aux instructions du Client.
Les mesures de sécurité mises en œuvre par ALL MOL TECHNOLOGY pour les besoins du Traitement sont :
- la sécurité du matériel informatique d’ALL MOL TECHNOLOGY est composée des standards élevés de l'industrie incluant une haute disponibilité et une haute sécurité.
- Localisation des Datacenters : Londres
b) Notification de violation de données à caractère personnel
ALL MOL TECHNOLOGY s’engage à notifier au Client toute violation de données à caractère personnel impactant les Données Personnelles dans les meilleurs délais après en avoir pris connaissance, dès lors que la cause de cette violation de données à caractère personnel se situe dans sa sphère de contrôle ou celle de ses éventuels sous-traitants. Cette notification est accompagnée de toute documentation utile afin de permettre au Client, le cas échéant, de se soumettre à ses propres obligations de notification, le Client demeurant seul responsable de toute notification à l’autorité de contrôle et/ou aux personnes concernées.
3.6. Transferts hors UE
Au jour de la signature de l’Accord, ALL MOL TECHNOLOGY héberge les Données Personnelles sur des serveurs propriétaires situés au sein de de l’Espace Économique Européen et ne transfère pas les Données Personnelles vers des pays situés en dehors de l’Espace Économique Européen.
Si, à l’avenir, ALL MOL TECHNOLOGY envisage de transférer les Données Personnelles vers un pays situé en dehors de l’Espace Économique Européen, elle s’engage à notifier le Client préalablement audit transfert et à se rapprocher du Client afin d’encadrer ce transfert. Le Client disposera d’un délai de deux (2) semaines pour s’y opposer. Toute opposition du Client devra être légitime et dûment motivée. A défaut de notification de son opposition passé ce délai, le Client sera réputé avoir accepté le transfert précité. En tout état de cause, tout transfert des Données Personnelles vers un pays tiers devra répondre aux exigences de la Législation Applicable, notamment pour ce qui concerne la mise en place de garanties appropriées, la préservation et l’exercice des droits des personnes concernées ainsi que l’exercice des voies de recours des personnes concernées.
3.7. Sous-traitance ultérieure
Le Client autorise expressément ALL MOL TECHNOLOGY à recourir à des sous-traitants ultérieurs. Préalablement au recrutement d’un sous-traitant ultérieur, ALL MOL TECHNOLOGY en informera le Client qui disposera d’un délai de deux (2) semaines pour s’y opposer. Toute opposition du Client devra être légitime et dûment motivée. A défaut de notification de son opposition passé ce délai, le Client sera réputé avoir accepté le recours au sous-traitant ultérieur concerné. Il appartient à ALL MOL TECHNOLOGY de s’assurer que tout sous-traitant ultérieur présente les garanties suffisantes quant à la mise en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le Traitement réponde aux exigences de la Législation Applicable. ALL MOL TECHNOLOGY demeure en tout état de cause pleinement responsable vis-à-vis du Client du respect de ses obligations par tout sous-traitant ultérieur.
Si un sous-traitant ultérieur est situé en dehors de l’Espace Économique Européen, les stipulations de l’article 3.6 ci-dessus s‘appliqueront.
3.8. Droits et relations avec les personnes concernées
Il appartient au Client, en sa qualité de responsable du traitement, de fournir aux personnes concernées l’ensemble des informations prévues par la Législation Applicable concernant notamment la nature et les caractéristiques du Traitement et les droits dont elles bénéficient. Si besoin et à la demande écrite du Client, ALL MOL TECHNOLOGY fournira au Client les informations à sa disposition permettant au Client de remplir ses obligations à ce titre.
Dans toute la mesure du possible et en tenant compte de la nature du Traitement, ALL MOL TECHNOLOGY aidera le Client à s’acquitter de son obligation de donner suite aux demandes d’exercice de leurs droits formulées par les personnes concernées, par des mesures techniques et organisationnelles appropriées.
3.9. Audit
Le Client pourra réaliser, ou faire réaliser par un tiers indépendant dûment qualifié, un audit afin de s’assurer que le Traitement des Données Personnelles effectué par ALL MOL TECHNOLOGY pour le compte du Client aux termes de l’Accord.
La réalisation d’un tel audit est soumise aux conditions suivantes :
- le Client informera ALL MOL TECHNOLOGY avec un préavis minimum de deux (2) semaines, sauf si des circonstances exceptionnelles imposent un préavis plus court,
- toute personne impliquée dans l’audit, qu’il s’agisse d’un salarié du Client ou d’un tiers indépendant, devra être soumise à un accord de confidentialité concernant l’ensemble des informations auxquelles elle aura accès à l’occasion et dans le cadre de cet audit,
- l’audit devra être réalisé pendant les heures ouvrées ALL MOL TECHNOLOGY et de manière à perturber le moins possible l’activité ALL MOL TECHNOLOGY,
- dans la mesure du possible, les Parties conviendront à l’avance du périmètre de l’audit,
- un seul audit par an pourra être réalisé, sauf si des circonstances exceptionnelles justifient un ou plusieurs autres audits, notamment en cas de violation de données à caractère personnel.
3.10. Responsabilités respectives des Parties
En sa qualité de sous-traitant, ALL MOL TECHNOLOGY ne sera responsable d’un dommage causé par le Traitement qu’en cas de non-respect des obligations qui lui incombent spécifiquement ou si elle a agi en dehors des instructions licites du Client ou contrairement à celles-ci, en dehors de tout cas de force majeure ou d’évènement en dehors de son contrôle raisonnable incluant, de manière non limitative, les cyber-attaques.
En outre, la responsabilité ALL MOL TECHNOLOGY à l’égard du Client au titre du présent article, à quelque titre que ce soit, demeure soumise aux limitations de responsabilité convenues au Contrat.
3.11. Sort des Données Personnelles
Lors de l’expiration ou de la résiliation du Contrat, pour quelque cause que ce soit, ALL MOL TECHNOLOGY s’engage, au choix du Client, à détruire définitivement ou à renvoyer au Client (ou tout tiers autorisé désigné par ce dernier) les Données Personnelles qui demeurent hébergées sur ses serveurs et qui n’ont pas déjà fait l’objet d’une suppression au terme de la durée de conservation.
Le Client devra notifier son choix à ALL MOL TECHNOLOGY dans un délai maximum de trois (3) mois à compter de la date effective d’expiration ou de résiliation du Contrat, à défaut de quoi ALL MOL TECHNOLOGY procèdera à la destruction des Données Personnelles.
