Accord de sous-traitance

1. Objet

Le présent accord de sous-traitance de données à caractère personnel (l’ « Accord ») a pour objet de définir les conditions dans lesquelles Alma (le « Sous-Traitant ») s’engage à effectuer pour le compte du Vendeur (le « Responsable de Traitement ») les opérations de traitement de données à caractère personnel des Clients définies ci-après.

Les Parties s’engagent mutuellement à respecter le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (« RGPD ») ainsi que la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés dans sa dernière version en vigueur (« LIL »).

2. Description des traitements faisant l’objet de la sous-traitance

Le Sous-Traitant est autorisé à traiter les données à caractère personnel des Clients, transmises par le Responsable de Traitement, lorsque le traitement est nécessaire pour lui permettre de proposer un service de paiement en plusieurs fois, grâce à la solution technologique commercialisée par Alma. La nature des opérations réalisées sur les données consiste notamment en la collecte, le stockage, le traitement automatisé notamment par un algorithme de scoring et le traitement manuel par des opérateurs spécialisés dans la lutte contre la fraude bancaire.

Les finalités des traitements sont (i) l’identification des Clients, (ii) l’exécution d’opérations de paiement, (iii) l’évaluation du risque financier porté par Alma, notamment en cas de défaut de paiement du Client, (iv) les traitements permettant d’empêcher la fraude bancaire et toutes escroqueries financières, et notamment, mais pas seulement l’utilisation de cartes bancaires volées, (v) le recouvrement financier, notamment en cas de défaut de paiement du Client et (vi) l’amélioration continue des outils d’Alma.

Les types de données à caractère personnel traitées sont (i) les données d’identification des Clients (ex : nom et prénom, adresse email, numéro de téléphone), (ii) les données de livraison (ex : adresse de livraison et mode de livraison), (iii) les données de paiement éventuels (ex : IBAN) et/ou (iv) les données liées à l’achat du Client (ex : contenu du panier d’achat du Client et historique des achats du Client auprès du Responsable de Traitement).

Les catégories de personnes concernées sont les Clients.

3. Durée de l’Accord

L’Accord entre en vigueur à compter de la conclusion du Contrat et pour la durée de celui-ci.

4. Obligations du Sous-Traitant vis-à-vis du Responsable de Traitement

4.1 Traiter les données à caractère personnel uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance ;

4.2 Traiter les données à caractère personnel conformément aux instructions documentées du Responsable de Traitement. Si le Sous-Traitant considère qu’une instruction constitue une violation du RGPD, de toute autre disposition du droit de l’Union européenne ou de la LIL, il en informe immédiatement le Responsable de Traitement ;

4.3 Mettre en œuvre les mesures juridiques adaptées pour encadrer tout transfert de données à caractère personnel en dehors de l’Union européenne, sauf si le pays est reconnu comme étant d’un niveau de protection adéquat ;

4.4 Garantir la confidentialité des données à caractère personnel traitées dans le cadre de l’Accord ;

4.5 Veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu de l’Accord s’engagent à respecter la confidentialité de ces données et reçoivent la formation nécessaire en matière de protection des données à caractère personnel ;

4.6 Prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut ;

4.7 Sous-traitance ultérieure : le Responsable de Traitement accorde une autorisation générale au Sous-Traitant pour faire appel à d’autres sous-traitants (le(s) « Sous-Traitant(s) Ultérieur(s) ») pour mener des activités de traitement spécifiques. Le Sous-Traitant s’assure que le Sous-Traitant Ultérieur présente des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD. Si le Sous-Traitant Ultérieur ne remplit pas ses obligations en matière de protection des données, le Sous-Traitant demeure pleinement responsable devant le Responsable de Traitement de l’exécution par le Sous-Traitant Ultérieur de ses obligations ;

4.8 Information : il appartient au Responsable de Traitement de fournir toutes les informations requises par l’article 13 du RGPD aux Clients au moment de la collecte des données à caractère personnel, en particulier le fait que le Sous-Traitant est destinataire des données à caractère personnel ;

4.9 exercice des droits : le Sous-Traitant et le Responsable de Traitement doivent s’acquitter de leur obligation de donner suite aux demandes d’exercice des droits des Clients ;

4.10 Notification de violation de données à caractère personnel : le Sous-Traitant notifie, par tout moyen, au Responsable de Traitement toute violation de données à caractère personnel dans un délai maximum de 72 heures après en avoir pris connaissance. Cette notification est accompagnée de toute documentation utile afin de permettre au Responsable de Traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente ;

4.11 Aide du Sous-Traitant dans le cadre du respect par le Responsable de Traitement de ses obligations : le Sous-Traitant aide le Responsable de Traitement pour la réalisation d’analyses d’impact relative à la protection des données à caractère personnel et pour la réalisation de la consultation préalable de l’autorité de contrôle ;

4.12 Mesures de sécurité : le Sous-Traitant s’engage à prendre toutes les mesures de sécurité physiques, logiques et organisationnelles pour garantir un niveau de sécurité élevé de la protection des données à caractère personnel et notamment afin d’empêcher que ces dernières soient déformées, endommagées ou communiquées à des personnes non autorisées. En cas de modification des moyens visant à assurer la sécurité, le Sous-Traitant s’engage à ne pas réduire le niveau de sécurité ;

4.13 Sort des données à caractère personnel : au terme de l’Accord, le Sous-Traitant s’engage à détruire les données à caractère personnel des Clients qui lui ont été confiées, sous réserve d’un délai de 5 ans afin de permettre au Sous-Traitant de se conformer à ses obligations légales, notamment en considération des règles de prescription civiles et commerciales ;

4.14 Délégué à la protection des données : le délégué à la protection des données du Sous-Traitant peut être contacté à l’adresse suivante : dpo@getalma.eu ;

4.15 Documentation : le Sous-Traitant met à la disposition du Responsable de Traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d'audits, y compris des inspections, par le Responsable de Traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits.

5. Obligations du Responsable de Traitement vis-à-vis du Sous-Traitant

Le Responsable de Traitement s’engage à :

5.1 Fournir au Sous-Traitant les données visées au 2 de l’Accord ;

5.2 Documenter par écrit toute instruction concernant les traitements des données à caractère personnel par le Sous-Traitant ;

5.3 Respecter le RGPD et la LIL.