Avenant Traitement des données à caractère personnel
Novembre 2022
Cet Avenant Traitement des données à caractère personnel complète le Contrat d’Abonnement au Service Sidetrade et/ou les Conditions Générales Mandat de gestion et/ou le Bon de Commande de Services Professionnels et/ou les Conditions Générales de formation en ligne (Offres Capsule) (le “Contrat » ) et définit les stipulations additionnelles qui s’appliquent lorsque Sidetrade assure le traitement de données à caractère personnel dans le cadre du Contrat et des services réalisés au titre du Contrat (ci-après le ou les « Service(s) »). L’objet de cet Avenant Traitement des données à caractère personnel est d’assurer que de telles opérations de traitement sont conduites en accord avec les lois applicables, en ce compris le Règlement 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (« Règlement Général sur la Protection des Données » ou RGPD).
Dans cet avenant, les termes « traitement », « responsable de traitement », « sous-traitant », « personne concernée », « données à caractère personnel » et « violation de données à caractère personnel » ont le sens qui leur est donné par le RGPD.
I – DONNEES A CARACTERE PERSONNEL TRAITEES PAR SIDETRADE POUR LE COMPTE DU CLIENT
- TRAITEMENT DES DONNEES A CARACTERE PERSONNEL DU CLIENT
1.1 Rôle des Parties – les Parties reconnaissent et admettent qu’en ce qui concerne le traitement des données à caractère personnel, le Client est le responsable de traitement et désigne Sidetrade en qualité de sous-traitant aux fins de traiter des données à caractère personnel pour le compte du Client.
1.2 Durée du traitement – Sidetrade traitera les données à caractère personnel en application de cet Avenant Traitement des données à caractère personnel jusqu’à la date la plus précoce entre (i) l’expiration du Contrat ou (ii) la date à laquelle le Client informe Sidetrade que le traitement n’est plus nécessaire au regard de ses finalités définies par le Client (un tel évènement ne pouvant avoir d’effet à l’égard d’autres obligations contractuelles du Client, notamment au titre de ses obligations financières).
1.3 Nature et finalités du traitement – Sidetrade traitera les données à caractère personnel aux fins nécessaires à la fourniture du Service conformément au Contrat et aux instructions additionnelles du Client, pour autant qu’elles soient compatibles avec les termes du Contrat d’Abonnement. Sidetrade n’agira que sur les instructions du Client et se conformera à ses instructions reçues de temps à autre.
1.4 Type de données à caractère personnel – Le Client est susceptible de fournir des données à caractère personnel pour l’exécution du Service, dont la portée est déterminée et contrôlée par le Client et qui peuvent inclure, mais ne sont pas limitées aux types suivants de données à caractère personnel : nom et prénom, titre/poste, employeur, information de contact (société, courriel, téléphone, adresse professionnelle, adresse de réseau social).
1.5 Catégories de personnes concernées – Le Client est susceptible de fournir des données à caractère personnel pour l’exécution du Service, dont la portée est déterminée et contrôlée par le Client et qui peuvent inclure, mais ne sont pas limitées aux catégories suivantes de personnes concernées : clients, salariés, prospects, partenaires.
1.6 Registre des activités de traitement – Sous réserve de l’applicabilité des conditions de l’article 30 du RGPD, Sidetrade conservera un registre de ses activités de traitement par sous-traitance.
- PERSONNEL DE SIDETRADE
2.1 Confidentialité – Sidetrade devra s’assurer que son personnel prenant part au traitement de données à caractère personnel est informé de la nature confidentielle de ces données et a reçu une formation appropriée sur sa responsabilité à ce titre.
2.2 Fiabilité – Sidetrade prendra les mesures raisonnablement nécessaires pour s’assurer de la fiabilité de son personnel prenant part au traitement des données à caractère personnel du Client et pour limiter l’accès à ces données aux personnes qui doivent les connaître ou y avoir accès pour assurer la fourniture du Service.
- Exigences issues du California Consumer Privacy Act, de 2018 Cal. Civ. Code §§ 1798.100 et suivants (CCPA);
Sidetrade s’engage à utiliser et divulguer les données à caractère personnel du Client uniquement selon les finalités pour lesquelles ces données à caractère personnel lui ont été fournies, conformément au Contrat et au présent avenant.
Sidetrade s’engage à ne pas « vendre » tel que défini dans le CCPA, les données à caractère personnel traitées au titre des présentes, sans l’accord écrit préalable du Client.
- SECURITE
4.1 Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, Sidetrade mettra en œuvre des mesures techniques et organisationnelles appropriées aux risques et visant à protéger les données à caractère personnel de la destruction accidentelle ou illicite, de la perte, de l’altération, de la divulgation, de l’accès ou de l’utilisation non autorisés, en accord avec les standards de sécurité de Sidetrade.
- VIOLATION DE DONNEES A CARACTERE PERSONNEL
5.1 Après avoir pris connaissance d’une violation de données à caractère personnel, Sidetrade devra le notifier au Client dans les meilleurs délais. Sidetrade fournira au Client toute information qu’il pourrait raisonnablement solliciter aux fins de permettre au Client de remplir ses propres obligations en matière de violation de données à caractère personnel en application de la législation applicable dans l’Union Européenne.
5.2 Sidetrade fera ses efforts raisonnables pour identifier la cause d’une telle violation de données à caractère personnel et pour prendre les mesures qu’elle jugera nécessaires et raisonnables pour remédier à la cause d’un tel incident, dès lors que de telles mesures sont raisonnablement sous son contrôle. Ses obligations ne seront pas applicables dès lors que les violations sont causées par le Client ou ses Utilisateurs.
- DROITS DES PERSONNES CONCERNEES
6.1 En tenant compte de la nature du traitement, Sidetrade assistera le Client en mettant dans la mesure du possible en œuvre des mesures techniques et organisationnelles visant à permettre au Client de respecter ses obligations de réponse aux requêtes des personnes concernées exerçant leurs droits.
6.2 Si le Client n’est pas en mesure de répondre à une requête présentée par une personne concernée, Sidetrade pourra être amenée, à la demande du Client, à lui fournir une assistance raisonnable, dans la mesure du possible, aux frais du Client dans la mesure autorisée par la loi.
- COOPERATION
7.1 Sidetrade fournira au Client une assistance raisonnable en relation avec les investigations et enquêtes faites par l’autorité de contrôle au sujet des obligations du Client au regard de la législation sur les données à caractère personnel.
7.2 Sidetrade devra fournir au Client une assistant raisonnable en relation avec les obligations du Client liées au respect de l’article 28 du RGPD.
- SOUS-TRAITANCE
8.1 Le Client accepte que Sidetrade engage des tiers sous-traitants pour la fourniture du Service. Sidetrade met à la disposition du Client la liste actuelle de ses sous-traitants pour le Service. Sidetrade s’engage à imposer à ces sous-traitants des stipulations qui protègent les données à caractère personnel selon les mêmes standards que ceux de Sidetrade.
8.2 Le Client trouvera la documentation relative à la sous-traitance sur la page suivante : https://www.sidetrade.fr/liste-des-sous-traitants-sidetrade/, ainsi qu’un mécanisme lui permettant de recevoir des notifications en cas de nouveaux sous-traitants. Le Client pourra s’opposer au choix d’un nouveau sous-traitant effectué par Sidetrade en le notifiant à cette dernière par lettre recommandée avec accusé de réception dans les quinze (15) jours de la réception de la notification correspondante, en détaillant les raisons de cette opposition. Dans un tel cas, Sidetrade fera ses efforts raisonnables pour proposer au Client une modification rationnelle de sa configuration ou de son usage du Service.
- AUDIT
9.1 Sans préjudice de l’application des obligations de confidentialité du Contrat et au maximum une fois par an, Sidetrade autorise le Client ou un auditeur contractuellement mandaté par le Client à conduire des audits ou des inspections sur place, pendant les heures normales de bureau, moyennant le respect d’un préavis de quinze (15) jours, pour vérifier la conformité des prestations de Sidetrade à la législation sur les données à caractère personnel.
9.2 Avant le début d’un tel audit, le Client et Sidetrade devront s’entendre mutuellement sur le périmètre, les dates et la durée de l’audit qui ne pourra, en tout état de cause, excéder un (1) jour ouvré. Si l’identité de l’auditeur est de nature à faire craindre un conflit d’intérêt ou un trouble concurrentiel, Sidetrade aura le droit de solliciter du Client qu’il nomme un autre auditeur parfaitement neutre.
9.3 Le Client prendra toutes les précautions nécessaires pour que l’audit ne cause aucun dommage quel qu’il soit aux équipements, données, activités, personnel et locaux de Sidetrade. Le Client aura uniquement accès aux informations strictement et exclusivement relatives aux Services Sidetrade délivrés au Client. Il ne pourra utiliser ces informations que dans le cadre de l’audit.
- SUPPRESSION OU RENVOI AU CLIENT DES DONNEES A CARACTERE PERSONNEL
10.1 Hormis en cas d’obligation légale pour Sidetrade de conserver certaines données, au terme ou à l’expiration du Contrat et du Bon de Commande correspondant, Sidetrade devra supprimer les données pertinentes du Client à caractère personnel, dans les quarante-cinq (45) jours de ce terme ou de cette expiration.
10.2 Durant cette période de quarante-cinq (45) jours, le Client pourra, par le biais d’une notification écrite adressée à Sidetrade, solliciter spécifiquement un renvoi d’une copie complète de toutes les données à caractère personnel pertinentes, dans un format raisonnable. Sidetrade pourra, à sa seule discrétion, accepter de procéder à un tel renvoi, dans des conditions qui feront l’objet d’un accord mutuel des Parties.
- TRANSFERTS
11.1 Le Client reconnaît et accepte que la fourniture du Service puisse nécessiter le traitement de données à caractère personnel par des sous-traitants situés hors de l’Espace Economique Européen.
11.2 Dans l’hypothèse où un traitement de données à caractère personnel avait lieu dans un pays extérieur à l’Espace Economique Européen (et hors d’un “pays de protection adequate”), les Parties conviennent que les clauses contractuelles types de la Commission Européenne pour le transfert de données à caractère personnel énoncées dans la Décision d’Exécution (UE) 2021/914 de la Commission Européenne du 4 juin 2021 ainsi que toutes autres clauses contractuelles types approuvées périodiquement par la Commission Européenne, l’Information Commissioner’s Office du Royaume-Uni ( ICO) ou toute autre autorité compétente en matière de protection des données à caractère personnel s’appliqueront audit traitement entre Sidetrade et le sous-traitants. Dans ce cas, Sidetrade sera autorisée à signer ces clauses contractuelles au nom et pour le compte du Client.
- OBLIGATIONS DU CLIENT
12.1 Le Client devra assurer la prise en charge de toute requête formulée par une personne concernée liée à son droit d’accès, de rectification, d’effacement, d’opposition, de portabilité ou tout autre droit lié à ces données à caractère personnel.
12.2 Le Client devra fournir à Sidetrade toute information raisonnablement nécessaire au traitement des données à caractère personnel et, dans l’hypothèse où le Client modifierait les finalités et les moyens de traitement, il devra informer Sidetrade en conséquence afin que les opérations de traitement puissent continuer de tenir compte de la nature, du périmètre, du contexte et des finalités de traitement. En particulier, le Client ne devra pas opérer des traitements de catégories particulières de données au sens de l’article 9 du RGPD ou de données présentant un degré de probabilité et de gravité pour les droits et libertés des personnes physiques sans procéder à tout avertissement utile de Sidetrade par écrit et à l’avance. Dans la mesure autorisée par la loi, le Client sera responsable de tous éventuels coûts engagés en pareille hypothèse.
- DONNEES DE CONTACTS PROFESSIONNELS.
Sidetrade traite des Données à caractère personnel, en tant que responsable du traitement, aux fins de gérer ses relations contractuelles et administratives avec ses clients (facturation, processes contractuels et d’avant-vente). Les données recueillies sont indispensables au traitement et sont destinées aux services concernés de Sidetrade et, le cas échéant, à ses sous-traitants et fournisseurs. Les données recueillies peuvent être transférées à toute société affiliée à Sidetrade ou à des sociétés tierces établies dans des pays n’assurant pas un niveau de protection suffisant. Des accords de transfert des données ont été mis en place afin de gérer ces flux transfrontaliers et de garantir un niveau de protection suffisant. Conformément au RGPD, les collaborateurs du Client ont le droit de se renseigner sur toutes leurs données, d’y avoir accès et de les rectifier ainsi que de s’opposer à leur traitement pour des motifs légitimes. Les collaborateurs du Client peuvent exercer ces droits en envoyant un courrier électronique à l’adresse privacy@sidetarde.com, accompagné d’une copie d’une pièce d’identité.
- DIVERS
14.1 Hors modification prévue en application de cet Avenant Traitement des données à caractère personnel, le Contrat demeurera pleinement applicable entre les Parties.
14.2 En cas de contradiction expresse entre une stipulation du Contrat d’Abonnement et une stipulation de cet Avenant Traitement des données à caractère personnel, les stipulations de cet Avenant Traitement des données à caractère personnel prévaudront.
II – DONNEES A CARACTERE PERSONNEL FOURNIES AU CLIENT PAR SIDETRADE
- Pour les activités de fourniture de données à caractère personnel par Sidetrade au Client, à partir de ses propres bases de données, Sidetrade accordera au Client un droit d’accès non-exclusif, non licenciable, non cessible, non transférable pour la durée convenue, pour l’Union européenne et pour les seuls besoins du Client en matière de marketing direct B2B (business to business) pour ses propres produits et services.
- En faisant usage des données à caractère personnel fournies par Sidetrade, le Client agit en qualité de responsable de traitement. En conséquence, il doit prendre toutes mesures nécessaires pour s’assurer que son utilisation desdites données est conforme aux lois Européennes applicables en matière de protection des données à caractère personnel, en particulier au titre des principes applicables aux traitements, à l’information des personnes concernées et aux modalités d’exercice des droits des personnes concernées. En particulier, le Client :
a) ne rendra pas les données à caractère personnel disponibles auprès de tout tiers non autorisé, ni ne donnera en licence, ne vendra, ne louera, ne transfèrera, ne publiera, ne distribuera ou ne divulguera ces données de quelque manière que ce soit qui ne serait pas permise par Sidetrade ;
b) garantit qu’il utilise des processus opérationnels et techniques appropriés, conformément aux meilleures pratiques du commerce, pour protéger les données à caractère personnel contre tout accès non-autorisé, perte, destruction, vol, utilisation illicite ou divulgation frauduleuse ou abusive ;
c) n’utilisera pas les données à caractère personnel de manière ou à des fins illégales ou inappropriées, en particulier en envoyant directement ou indirectement des messages indésirables (« spams ») ;
d) se conformera à toute législation applicable en matière de marketing direct, en particulier l’article 95 du RGPD et la Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (indication claire de son identité complète dans tout message de marketing direct, existence d’un lien direct avec les activités professionnelles du récipiendaire, information du récipiendaire de son droit d’opposition, exerçable sans charge et par un mécanisme aisé à utiliser, …) et toute éventuelle législation subséquente ;
e) cessera immédiatement de faire usage des données à caractère personnel de personnes concernées ayant fait valoir leur droit d’opposition et informera Sidetrade de toute opposition.
- Sidetrade pourra mettre à jour les données à caractère personnel, notamment pour tenir compte de droits d’opposition, de la disponibilité de sources de données ou de son obligation de se conformer à une demande, injonction ou requête administrative ou judiciaire.
- Le Client reconnaît que Sidetrade n’a pas de contrôle sur l’usage effectif que le Client fait, sous son entière responsabilité, des données à caractère personnel.
- Sidetrade ne donne pas de garantie sur le fait que les données à caractère personnel sont complètes ou qu’elles rempliront les attentes ou demandes du Client. Sidetrade ne saurait encourir aucune responsabilité pour toute réclamation relative à une mauvaise utilisation ou à une utilisation non autorisée des données à caractère personnel, spamming compris. Le Client est responsable à l’égard de Sidetrade de tout dommage (direct, indirect, matériel ou immatériel) causé à Sidetrade ou à un tiers résultant du non-respect, par le Client, de ses obligations légales et contractuelles en matière de marketing direct B2B.