PRÉAMBULE


Le présent accord sur le traitement des données ("Accord sur le traitement des données") fait partie du Contrat Entreprise Newzik ("Contrat") conclu entre

 

L'organisation qui accepte les termes du Contrat,

 

 (le "Client")

 

et

 

SYNCSING - NEWZIK, société par actions simplifiée au capital de 1.404,70€, immatriculée sous le numéro 525 205 514, dont le siège social est situé 7 avenue Ingres, 75016 Paris, France, agissant par l'intermédiaire de son représentant légal,

 

(le "NEWZIK") (ensemble comme les "Parties")

CONSIDÉRANT QUE

(A) Le Client agit en tant que Responsable de traitement.

(B) Le Client souhaite sous-traiter à NEWZIK le Service qui impliquent le traitement de Données à caractère personnel.

(C) Le Contrat et le présent Accord sur le traitement des données constituent les instructions du Client à NEWZIK pour le traitement des Données à caractère personnel du Client. NEWZIK utilisera et traitera les Données à caractère personnel du Client selon les instructions du Client afin de fournir le Service et de remplir les obligations de NEWZIK en vertu du Contrat et de cet Accord sur le traitement des données. NEWZIK informera le Client de toute exigence légale qui l'empêche de se conformer aux instructions du Client, à moins que la loi applicable ou des raisons importantes d'intérêt public ne l'interdisent.

(D) Les Parties cherchent à mettre en œuvre un accord de traitement des données qui respecte les exigences du cadre juridique actuel en matière de traitement des données et du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des Données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données RGPD).

(E) Les Parties souhaitent définir leurs droits et obligations.

Définition et interprétation

Sauf définition contraire, les termes et expressions en majuscules utilisés dans le présent Accord sur le traitement des données ont la même signification que dans le RGPD, et leurs termes apparentés sont interprétés en conséquence.

Traitement des Données à caractère personnel du Client

NEWZIK doit: 

  • se conformer à toutes les lois applicables en matière de protection des données lors du traitement des Données à caractère personnel du Client ; et

  • ne pas traiter les Données à caractère personnel du Client autrement que selon les instructions documentées du Client concerné.

Le Client demande à NEWZIK de traiter les Données à caractère personnel du Client.


Personnel de NEWZIK

NEWZIK prendra des mesures raisonnables pour garantir la fiabilité de tout employé, agent ou Sous-traitant de tout Sous-traitant qui pourrait avoir accès aux Données à caractère personnel du Client, en s'assurant dans chaque cas que l'accès est strictement limité aux personnes qui ont besoin de connaître/accéder aux Données à caractère personnel du Client, comme cela est strictement nécessaire aux fins du Contrat, et pour se conformer aux lois applicables dans le cadre des obligations de cette personne envers le Sous-traitant, en s'assurant que toutes ces personnes sont soumises à des engagements de confidentialité ou à des obligations professionnelles ou légales de confidentialité.


Sécurité

En tenant compte de l'état de l'art, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des objectifs du Traitement ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques, NEWZIK met en œuvre, en ce qui concerne les Données à caractère personnel du Client, les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté à ce risque, y compris, le cas échéant, les mesures visées à l'article 32, paragraphe 1, du RGPD.

En évaluant le niveau de sécurité approprié, NEWZIK tient compte en particulier des risques présentés par le Traitement.

Sous-traitance

NEWZIK pourra nommer (ou divulguer les Données à caractère personnel du Client) à un Sous-traitant à condition d’en informer le Client. Le Client pourra alors s’y opposer dans un délai de 15 jours. Lorsqu'un Sous-traitant secondaire traite des Données à caractère personnel au sein de l’Union Européenne (l’UE) ou des Données à caractère personnel des Personnes concernées qui se trouvent sur le territoire de l’UE (les Données à caractère personnel de l'UE), NEWZIK s'assurera que le Sous-traitant secondaire est soumis à des obligations contractuelles concernant les Données à caractère personnel de l'UE qui satisfont aux exigences des Lois de l'UE sur la protection des données.


Le Client autorise NEWZIK à utiliser les Sous-traitants figurant en annexe 1 du présent Accord sur le traitement des données.


Droit de la Personne concernée


Compte tenu de la nature du Traitement, NEWZIK assiste le Client en mettant en œuvre les mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour l'exécution des obligations du Client, telles qu'elles sont raisonnablement comprises par le Client, pour répondre aux demandes d'exercice des droits de la Personne concernée en vertu des Lois sur la protection des données.

NEWZIK doit :

  • informer rapidement le Client s'il reçoit une demande d'une Personne concernée en vertu de toute Loi sur la protection des données concernant les Données à caractère personnel du Client ; et

  • s'assurer qu'il ne répond pas à cette demande, sauf sur instructions documentées du Client ou selon les exigences des lois applicables auxquelles le NEWZIK est soumis, auquel cas NEWZIK doit, dans la mesure permise par les lois applicables, informer le client de cette exigence légale avant que le Sous-traitant contractuel ne réponde à la demande.


Données à caractère personnel relatives à un enfant 

Le traitement des Données à caractère personnel relatives à un enfant est licite lorsque l'enfant est âgé d'au moins 15 ans. Conformément à l’article 8 du RGPD, lorsque l'enfant est âgé de moins de 15 ans, ce traitement n'est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant. Lorsque les Données à caractère personnel du Client traitées par NEWZIK concernent des enfants de moins de 15 ans, le Client doit s’assurer que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant. NEWZIK s'efforce raisonnablement de vérifier, en pareil cas, que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant, compte tenu des moyens technologiques disponibles.


Violation de Données à caractère personnel

NEWZIK informera le Client sans délai excessif dès qu'elle aura connaissance d'une Violation de Données à caractère personnel affectant les Données à caractère personnel du Client, en lui fournissant suffisamment d'informations pour lui permettre de remplir ses obligations de signaler ou d'informer les Personnes concernées de la Violation de Données à caractère personnel conformément aux Lois sur la protection des données.

NEWZIK coopérera avec le Client et prendra des mesures commerciales raisonnables selon les instructions du Client pour aider à l'investigation, l'atténuation et la réparation de chacune de ces Violations de Données à caractère personnel.


Analyse d'impact sur la Protection des données et consultation préalable

NEWZIK fournira une assistance raisonnable au Client pour toute évaluation d'impact sur la Protection des données, et des consultations préalables avec les Autorités de contrôle ou autres autorités compétentes en matière de protection des données, que le Client considère raisonnablement comme étant requises par l'article 35 ou 36 de la RGPD ou des dispositions équivalentes de toute autre Loi sur la protection des données, dans chaque cas uniquement en ce qui concerne le Traitement des Données à caractère personnel du Client par, et en tenant compte de la nature du Traitement et des informations disponibles, les Sous-traitants contractuels.


Suppression ou restitution des Données à caractère personnel du Client


Sous réserve du présent article 11, NEWZIK s'engage à supprimer rapidement et, en tout état de cause, dans les 10 jours ouvrables suivant la date de cessation de tout Service impliquant le Traitement des Données à caractère personnel du Client (la "Date de cessation"), et à faire supprimer toutes les copies de ces Données à caractère personnel du Client.

NEWZIK fournira sur demande une certification écrite au Client attestant qu'il s'est pleinement conformé au présent article 11.


Droits d’audit


Sous réserve du présent article 12, NEWZIK met à la disposition du Client, sur demande, toutes les informations nécessaires pour démontrer la conformité avec le présent Accord sur le traitement des données. Dans le cas où l’audit documentaire s’avérait insuffisant, le Client pourra réaliser des inspections, par le Client ou un auditeur mandaté par le Client en relation avec le Traitement des Données à caractère personnel du Client par les Sous-traitants contractuels. La réalisation d’audit sur place est limitée à un audit par an, sous réserve d’un préavis d’un mois et à la charge exclusive du Client. 

Les droits d'information et d'audit du client ne découlent de l'article 12 que dans la mesure où l’Accord sur le traitement des données ne leur donne pas par ailleurs des droits d'information et d'audit répondant aux exigences pertinentes de la Loi sur la protection des données.

Transfert de Données

Le Client autorise NEWZIK à transférer les Données à caractère personnel traitées dans le cadre de cet Accord sur le traitement des données vers un pays hors de l'EEE à condition que les garanties suffisantes soient mises en place. Si des Données à caractère personnel traitées dans le cadre de cet Accord sur le traitement des données sont transférées d'un pays de l'EEE vers un pays hors de l'EEE, les parties s'assureront que les Données à caractère personnel sont protégées de manière adéquate. Pour ce faire, les Parties s'appuieront, sauf accord contraire, sur les clauses contractuelles types approuvées par l'UE pour le transfert de Données à caractère personnel.


Conditions générales

Confidentialité. Chaque partie doit garder confidentiels le présent Accord sur le traitement des données et les informations qu'elle reçoit sur l'autre Partie et ses activités en rapport avec le présent Accord sur le traitement des données et ne doit pas utiliser ou divulguer ces informations confidentielles sans le consentement écrit préalable de l'autre partie, sauf dans la mesure où :

  • la divulgation est requise par la loi ;

  • l'information pertinente est déjà dans le domaine public.

Avis. Toutes les notifications et communications données dans le cadre de présent Accord sur le traitement des données doivent être faites par écrit et seront remises en mains propres, envoyées par courrier ou envoyées par courrier électronique à l'adresse ou à l'adresse électronique indiquée dans le formulaire de commande à toute autre adresse notifiée de temps en temps par les parties qui changent d'adresse.


Droit applicable et juridiction


Sauf disposition contraire, le présent Accord sur le traitement des données est régi par le droit français. En cas de litige concernant leur mise en œuvre, leur exécution ou leur interprétation, et à défaut de règlement amiable, les tribunaux compétents sont les tribunaux français.




Annexe 1

 Détails du Traitement


  1. Objet du Traitement des Données à caractère personnel : la fourniture du Service par NEWZIK au Client.

  2. Durée du Traitement des Données à caractère personnel : la Durée telle que définie dans le Contrat, et toute période après la Durée avant la suppression des Données à caractère personnel du Client par NEWZIK.

  3. Objectif et nature du Traitement des Données à caractère personnel :

NEWZIK utilise les Données pour : 

  1. fournir et donner accès au Service conformément au Contrat, y compris toute mise à jour et information sur le Service ;

  2. traiter et gérer les abonnements et tenir les Utilisateurs informés;

  3. analyser l’utilisation afin d'améliorer l’expérience du Service et des autres produits et services fournis par NEWZIK ;

  4. héberger les Données et protéger et assurer le bon fonctionnement du Service ;

  5. se conformer à l'obligation légale de NEWZIK, rendre les droits effectifs et faire valoir les nôtres devant les tribunaux.

Les Données du Client sont traitées car elles sont nécessaires : (i) à la fourniture du service par NEWZIK, conformément au Contrat, (ii) selon l’intérêt légitime de NEWZIK à informer ses clients, à assurer la sécurité du Service et à réaliser des analyses pour améliorer le Service (iii) au respect d’une obligation légale à laquelle NEWZIK est partie.

  1. Catégories de Données à caractère personnel : NEWZIK ne traite que les données strictement nécessaires à ses objectifs. Dans la mesure où les Données du Client contiennent des Données à caractère personnel, elles peuvent comprendre des informations d'identification des Utilisateurs y compris les coordonnées, l’adresse électronique et les données d'utilisation (en ligne et hors ligne) sous forme électronique stockés ou transmis par la Client ou les Utilisateurs via le Service.

  2. Personne concernée : dans la mesure où les Données du Client contiennent des Données à caractère personnel, elles peuvent concerner les Utilisateurs du Client, ou toute autre personne dont les informations sont stockées par le Client dans les Données stockées.

  3. Sous-traitants autorisés : Afin de fournir au Client et aux Utilisateurs le Service, NEWZIK utilise les sous-traitants suivants :


Sous-traitant

Service

Utilisation

Localisation

Amazon Web Services Inc.

IaaS Prestataire

Stockage de Données

UE

FreshWorks Inc.

SaaS prestataire

Support service 

Etats-Unis

HubSpot Inc. 

SaaS Prestataire

Plateforme CRM

UE

The Rocket Science Group LLC (Mailchimp) 

SaaS Prestataire

Communication avec les Utilisateurs

Etats-Unis

Google LLC

SaaS Prestataire

Outils internes, analyses et rapports d'accidents (Firebase)

Etats-Unis/UE

Microsoft

SaaS Prestataire

Rapports d'erreurs et suivi des performances

UE

Apple Inc.

Prestataire d'authentification

Fournisseur d'identité tiers

Etats-Unis/UE

Facebook

SaaS Prestataire et Prestataire d'authentification

Fournisseur d'identité tiers et analyses

Etats-Unis/UE

Stripe, Inc.

Prestataire de services de paiement

Paiement en ligne

Etats-Unis/UE