Dans le cadre de la réalisation du Contrat, la présente Annexe a pour objet de définir les conditions dans lesquelles les Parties traiteront les données personnelles qui leur seraient rendues accessibles au titre du Contrat.
ANNA ALBERTA et le PARTENAIRE (ci-après « les Parties ») s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier :
- La loi Informatique et Liberté du 6 janvier 1978,
- Le Règlement Européen sur les Données Personnelles (RGPD.) du 23 mai 2018
- La loi de transposition du Règlement Européen sur la Protection des Données Personnelles (RGPD) du 20 juin 2018.
Les termes utilisés dans cette Annexe ont le sens qui leur sont conférés par le RGPD ou sont définis dans le Contrat qui lie les parties et auquel cette Annexe est jointe. En cas de contradiction entre l’Annexe et le Contrat, l’Annexe prévaut.
Article 1 – Définitions
Dans le cadre de la présente Annexe, les termes ci-dessous ont la signification qui leur est attribuée au sens du RGPD (Article 4) :
- Consentement : « de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement » ;
- Responsable du traitement : « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre » ;
- Sous-traitant : « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement » ;
- Traitement : « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction » ;
- Violation de données à caractère personnel : « une violation de la sécurité entrainant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ».
Article 2 – Traitement des données personnelles des Parties
2.1 Nature des données à caractère personnel
Chaque Partie agit en qualité de responsable de traitement des données de l’autre Partie. Aux fins de la fourniture des Prestations objets du Contrat, des données à caractère personnel doivent obligatoirement être traitées par les Parties.
Données traitées par ANNA ALBERTA:
- Le nom, prénom, adresse électronique de la personne référente au sein de l’entreprise du Partenaire : ces données permettent d’assurer un suivi du Contrat, d’exécuter les Prestations et d’assurer la facturation.
- Photo, nom, prénom et coordonnées du Partenaire publié sur le Profil du Partenaire sur la Plateforme.
Données traitées par le Partenaire :
- Le nom, prénom, adresse électronique de la personne référente au sein de l’entreprise ANNA ALBERTA : ces données permettent d’assurer un suivi du Contrat et de gérer tout éventuel litige.
2.2 Finalités des traitements
Les données sont utilisées uniquement aux fins de (i) signer le Contrat entre les Parties (ii) assurer un suivi du Contrat entre les Parties (iii) gérer la facturation (iv) assurer un suivi après-vente (v) effectuer les Prestations objets du Contrat.
La base légale est l’Exécution d’un Contrat.
2.3 Durée de conservation des données
Chaque Partie ne dépasse pas les délais légaux de conservation des données et les données de l’autre Partie sont conservées uniquement pour la durée nécessaire aux traitements des finalités pour lesquelles elles ont été collectées.
Les durées de conservation sont les suivantes :
- Données relatives aux Parties : elles sont supprimées cinq (5) ans après la fin de la relation commerciale avec l’autre Partie, sauf si cette dernière a exercé auparavant un droit (en application du RGPD) ayant entraîné la suppression de ses données ;
- Profil du Partenaire sur la Plateforme : il est supprimé dans un délai maximal d’un (1) mois après la résiliation ou la fin du Contrat avec le Partenaire.
Dans l’établissement de sa politique de traitement des données, chaque Partie a établi une grille de référence pour la durée de conservation des données, élaborée grâce aux recommandations de la CNIL. En outre, chaque Partie est susceptible de conserver certaines données personnelles afin de remplir ses obligations légales ou réglementaires, de permettre l’exercice des droits des personnes, ou à des fins statistiques. A l’expiration de la durée de conservation des données personnelles, celles-ci seront supprimées ou anonymisées.
Article 3 – Traitement des données personnelles des Acheteurs
Les Parties conviennent d’agir toutes deux en qualité de co-responsables de traitement des données des Acheteurs via la Plateforme www.casa-alberta.com.
3.1 Sujet des données
Les données personnelles collectées par les Parties concernent les données suivantes : les données des Acheteurs. Les Acheteurs sont entendus comme toute personne ayant un compte sur CASA ALBERTA) et ayant passé commande des Produits du Partenaire.
Les données suivantes sont rendues accessibles aux Parties :
Données accessibles à ANNA ALBERTA |
Données accessibles au Partenaire |
Identifiants de connexion des Acheteurs Données de connexion des Acheteurs (traceurs, cookies) Adresse de facturation Courriel Nom, prénom de l’Acheteur |
Nom et prénom de l’Acheteur Adresse de facturation et de livraison Mail et n° de téléphone le cas échéant. |
Il est expressément entendu entre les Parties que toute autre donnée fournie par l’Acheteur au Partenaire en dehors de la Plateforme n’est pas accessible à ANNA ALBERTA et le Partenaire agira en qualité d’unique responsable de traitement de ces données.
3.2 Nature des traitements
Ces données sont collectées et traitées en vue de la bonne exécution des Services objets du Contrat tel que détaillés au Contrat et sur la base des instructions des Parties.
Finalités de traitement par ANNA ALBERTA |
Finalités de traitement par le Partenaire |
Gérer le compte de l’Acheteur sur la Plateforme Adresser la facturation Encaisser le prix des Produits Analyser les informations de navigation Gérer les litiges |
Traiter les commandes Expédier les commandes Adresser la facturation Remettre les produits de la Commande |
Tout autre finalité engagée par une Partie dégagera la responsabilité de l’autre Partie.
3.3 Recueil du consentement et obligation d’information des Utilisateurs
ANNA ALBERTA déclare être informé qu’il lui appartient de fournir aux Acheteurs concernés par les opérations de traitement, et au moment de la collecte des données, les informations auxquelles ceux-ci ont droit. Il s’engage à avoir informé les Acheteurs, via la Politique de confidentialité de ANNA ALBERTA :
- De l’existence des traitements ci-dessus mentionnés ;
- De l’utilisation de leurs données par le Partenaire aux finalités de traitement ci-dessus mentionnées ;
- Le cas échéant, à avoir recueilli leur consentement.
ANNA ALBERTA garantit au Partenaire qu’il satisfait à cette obligation de sorte que la responsabilité du Partenaire le cadre de ses opérations de traitement, ne puisse être recherchée. ANNA ALBERTA s’engage à fournir aux Acheteurs, au moment de leur inscription sur la Plateforme, une copie de sa Politique de traitement des données personnelles et à garantir un respect de cette dernière, notamment en matière de respect des droits des Acheteurs.
3.4 Obligations des Parties
Chaque Partie s’engage à :
- Traiter les données uniquement pour la ou les seule(s) finalité(s) ayant fait l’objet de la présente annexe ;
- Traiter les données conformément aux instructions fournies par la présente annexe et dans la stricte exécution des Services objets du Contrat ;
- Veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent Contrat s’engagent a) à respecter la confidentialité applicable et b) aient reçu la formation nécessaire en matière de protection des données personnelles.
Article 4 – Sous-traitance
4.1 Dispositions générales
Les Parties déclarent et s’engagent à ne faire appel qu’à des sous-traitants localisés au sein de l’Union Européenne ou dans un pays présentant un niveau de protection adéquat des données personnelles tel qu’entendu par la Commission Européenne.
4.2 Sous-traitance déclarée
Nom du sous-traitant |
Finalité |
Localisation |
Réglementation applicable |
JENGO AGENCY |
Hébergement et maintenance de la Plateforme |
France |
Loi Informatiques et Libertés et Règlement Général de Protection des Données. |
Crédit Agricole |
Paiement des commandes |
France |
Loi Informatiques et Libertés et Règlement Général de Protection des Données. |
Chaque Partie informe l’autre Partie de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants.
Il appartient à chaque Partie de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière que le traitement réponde aux exigences du règlement européen sur la protection des données. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, la Partie demeure pleinement responsable devant l’autre Partie de l’exécution par l’autre sous-traitant de ses obligations.
Les données peuvent également être transmises par une Partie à des tiers et autorités compétentes pour répondre à des obligations légales, judiciaires, fiscales ou règlementaires.
Article 5 – Exercice du droit des personnes
5.1 Données des Parties
Au regard des dispositions légales de la Loi Informatiques et Libertés du 6 janvier 1978 et du Règlement Européen sur la Protection des Données (« RGPD »), chaque Partie dispose des Droits suivants :
-
- droit d’accès (article 15 RGPD) et de rectification (article 16 RGPD), de mise à jour, de complétude des données des Parties, droit de verrouillage ou d’effacement des données des Parties à caractère personnel (article 17 du RGPD), lorsqu’elles sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdit
- droit de retirer à tout moment un consentement (article 13-2c RGPD)
- droit à la limitation du traitement des données des Parties (article 18 RGPD)
- droit d’opposition au traitement des données des Parties (article 21 RGPD)
- droit à la portabilité des données que les Parties auront fournies, lorsque ces données font l’objet de traitements automatisés fondés sur leur consentement ou sur un contrat (article 20 RGPD)
- droit de définir le sort des données des Parties après leur mort et de choisir à qui l’autre Partie devra communiquer (ou non) ses données à un tiers qu’il aura préalablement désigné.
Pour exercer l’un des droits, il suffit d’écrire un courrier à l’adresse du Siège social de chaque Partie en contactant le Responsable de traitement.
- Responsable de traitement de ANNA ALBERTA : Mme SONIA DI BENEDETTO, Société ANNA ALBERTA, [email protected].
- Responsable de traitement du Partenaire : (nom, prénom, société, mail).
Les demandes seront traitées dans un délai d’un mois, sauf motif impérieux avancé et justifié par la Partie réceptrice justifiant un rallongement du délai. Si une Partie ne satisfait pas la demande de l’autre Partie, cette dernière sera en droit de saisir la CNIL (Commission Nationale de l’Informatique et des Libertés, https://www.cnil.fr) afin de faire prévaloir ses droits.
5.2 Données des Acheteurs
Chaque Partie s’engage à respecter les dispositions légales et règlementaires applicables en matière de collecte du consentement et de respect de droit des personnes et s’engage à informer les sujets des données de leurs droits d’accès, de rectification, de suppression, de limitation du traitement, de rectification, d’opposition, de portabilité de leurs données personnelles. Chaque Partie sera responsable de l’application desdits droits au sein de son entité et traitera toutes les demandes d’exercice des droits qui lui seront adressées.
Dans la mesure du possible, chaque Partie s’engage à assister l’autre Partie par des mesures techniques et organisationnelles appropriées à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes. Le –
Article 6 – Sécurité des données personnelles
Les Parties déclarent et s’engagent à mettre tout en œuvre pour proposer des mesures de sécurité et de confidentialité des données personnelles conformes aux dispositions légales applicables. Ces mesures sont prises selon les règles de l’art – et adaptées aux capacités financières et matérielles de chacune des Parties – et devront assurer un niveau adéquat de sécurité des données personnelles.
Les Parties s’engagent notamment à mettre en place :
- Des mesures organisationnelles et techniques de sécurité et de confidentialité ;
- Des procédures spécifiques en cas de violation des données.
Chacune des Parties devra assurer la sécurité des traitements effectués par elle. En cas de manquement de l’une des Parties à son obligation de sécurité ayant entraîné une violation de données personnelles, la partie défaillante sera tenue pour seule responsable des conséquences de cette violation auprès des personnes concernées, après une enquête ayant déterminé et attesté de sa responsabilité, des autorités de contrôle et de tout tiers.
Les parties garantissent également que tous les individus ayant accès aux données personnelles (incluant, sans limitation, le personnel de la partie et/ou ses sous-traitants) se sont engagés à respecter les obligations de confidentialité indiquées aux présentes ou sont soumises à des obligations similaires de confidentialité et de protection des données personnelles.
La Partie ayant identifié une violation de données personnelles devra notifier à l’autre Partie ladite violation dans un délai maximal de quarante-huit (48) heures à compter de la découverte de la violation.
Cette notification s’accompagnera de :
- La nature de la violation de données personnelles ;
- Les coordonnées du délégué à la protection des données ;
- Les catégories et le nombre approximatif de personnes concernées par la violation ;
- Les conséquences probables de la violation de données personnelles ;
- Toute la documentation pertinente relative à la violation et permettant aux parties de prendre les mesures appropriées en vue d’avertir les sujets des données et de remédier aux conséquences éventuelles.
En cas de violation des données, les Parties procèderont à une enquête contradictoire en vue de déterminer la responsabilité de ladite violation. La partie responsable garantira l’autre partie contre toute action, réclamation, pertes et dommages subies par l’autre partie ou par un tiers relatif à cette violation de données.