Trustpilot

                                  ANNEXE 1 - ACCORD RELATIF AU TRAITEMENT DES DONNÉES

                                                                                           (Version 2.0, février 2018)

                                                                                                       (l'« ATD »)

                                                                                                        le Client

                                                                                                             et

                                                                                                       Trustpilot

                                                                                (conjointement avec le Client, les « Parties »)

1  Portée de l'ATD

1.1  Le présent ATD fait partie intégrante du contrat qui lie le Client à Trustpilot et reflète l'accord entre les Parties concernant le traitement de données à caractère personnel.

1.2  Trustpilot agit en tant que sous-traitant du Client, étant donné qu'il traite des données à caractère personnel pour le compte du Client, tel que stipulé dans l'Annexe 1.

1.3  Les données à caractère personnel traitées par Trustpilot portent sur les catégories de données, les catégories de personnes concernées et les finalités de traitement énoncées dans l'Annexe 1.

1.4  « Données à caractère personnel » désigne toute information se rapportant à une personne physique identifiée ou identifiable, voir article 4(1) du Règlement (UE) 2016/679 du 27 avril 2016 (Règlement général sur la protection des données, « RGPD »).

2  Traitement des données à caractère personnel

2.1  Instructions : Trustpilot est autorisé à traiter les données à caractère personnel uniquement aux fins de fournir les Services, tel qu'énoncé dans l'Annexe 1. Trustpilot n'a pas le droit de traiter ou d'utiliser les données à caractère personnel du Client à des fins autres que celles stipulées dans les instructions, y compris le transfert desdites données vers des pays tiers ou vers toute organisation internationale, sauf si la législation européenne ou celle d'un pays membre l'y oblige. Le cas échéant, Trustpilot est tenu d’aviser le Client par écrit de cette exigence légale avant de traiter les données, à moins que la législation en question le lui interdise pour des motifs importants liés à la sauvegarde de l'intérêt public.

2.2  Si c’est indiqué dans les instructions du client dans l'Annexe 1 ou autrement, si le client a autorisé un transfert de données à caractère personnel vers un pays tiers ou vers des organisations internationales, Trustpilot doit s'assurer qu'il existe une base juridique pour effectuer ce transfert, p. ex., les Clauses contractuelles types de la Commission européenne en matière de transfert de données à caractère personnel vers des pays tiers.

2.3  Si Trustpilot estime qu'une instruction du Client constitue une violation du Règlement général sur la protection des données ou d’autres dispositions relatives à la protection des données de l'Union européenne ou d'un État membre, il doit en informer le Client par écrit sans délai.

2.4  Si Trustpilot est soumis à la législation d'un pays tiers, il déclare ne pas être au courant de la législation susmentionnée l'empêchant d'exécuter l'ATD, et s'engage à aviser le Client par écrit sans retard injustifié s'il venait à prendre connaissance de l'existence ou de l'éventualité d'un tel obstacle.

3  Obligations générales de Trustpilot

3.1  Trustpilot doit s'assurer que les personnes habilitées à traiter les données à caractère personnel sont astreintes à la confidentialité ou sont soumises à une obligation légale de confidentialité appropriée.

3.2  Trustpilot doit mettre en œuvre des mesures techniques et organisationnelles appropriées afin d'empêcher que les données à caractère personnel traitées ne soient

(i)  accidentellement ou illégalement détruites, perdues ou altérées,

(ii)  divulguées ou rendues publiques sans autorisation, ou

(iii)  autrement traitées en violation des lois applicables aux Services, notamment le Règlement général sur la protection des données.

3.3  Trustpilot doit également se conformer à tous les autres impératifs de protection de données auxquels il est directement soumis, notamment les impératifs de protection de données en vigueur dans le pays d'établissement de Trustpilot ou dans le pays où le traitement des données aura lieu.

3.4  Les mesures de sécurité techniques et organisationnelles appropriées doivent dûment prendre en compte

(i)  l'état actuel des connaissances,

(ii)  les coûts de la mise en œuvre, et

(iii)  la nature, la portée, le contexte et la finalité du traitement, ainsi que le risque lié aux différents degrés de probabilité et de gravité de violation des droits et libertés des personnes physiques.

3.5  Trustpilot doit, sur demande, fournir au Client des informations suffisantes pour permettre à ce dernier de vérifier que Trustpilot exécute ses obligations en vertu de l'ATD, notamment pour s'assurer que les mesures de sécurité techniques et organisationnelles sont en place.

3.6  Le Client est autorisé, à ses frais, à désigner un expert indépendant qui aura accès aux locaux de Trustpilot et pourra recueillir les informations nécessaires pour vérifier que Trustpilot exécute ses obligations en vertu de l'ATD, notamment pour s'assurer que les mesures de sécurité techniques et organisationnelles sont en place. Le Client doit adresser un préavis écrit de 14 jours à Trustpilot et est tenu de s'assurer que l'expert signe un accord de confidentialité usuel et traite toutes les informations obtenues ou reçues de Trustpilot en toute confidentialité et ne les partage qu'avec le Client. Toute conclusion ou tout rapport produit sur la base d'une telle vérification doit être partagé avec Trustpilot et doit être considéré comme information confidentielle.

3.7  Trustpilot est tenu de mettre à la disposition des autorités ou des conseillers externes du Client, notamment les auditeurs, les informations relatives à la fourniture des Services, si cela et nécessaire pour l'exécution de ses obligations conformément à la législation de l'Union européenne ou d'un État membre.

3.8  Trustpilot est tenu d'accorder aux autorités habilitées en vertu de la législation de l'Union européenne ou d'un État membre à pénétrer dans les locaux du Client ou du fournisseur de ce dernier, ou aux représentants de ces autorités, l'accès aux installations physiques de Trustpilot sur présentation d'une preuve d'identité appropriée.

3.9  Après en avoir été informé, Trustpilot doit, sans retard injustifié, notifié par écrit au Client :

(i)  toute demande de divulgation de données à caractère personnel traitées en vertu de l'ATD formulée par les autorités, sauf interdiction expresse aux termes de la législation européenne ou d'un État membre,

(ii)  tout soupçon ou découverte (a) d'une violation de la sécurité entraînant de manière accidentelle ou illicite la destruction, la perte, l'altération, la divulgation ou la consultation non autorisée des données à caractère personnel transmises, stockées ou traitées autrement par Trustpilot dans le cadre des Services, ou (b) tout autre manquement par Trustpilot à ses obligations en vertu de la clause 3.2 et 3.3, ou

(iii)  toute demande d'accès aux données à caractère personnel émanant directement des personnes concernées ou de tiers relativement au traitement des données à caractère personnel pour le compte du Client.

3.10  Trustpilot doit promptement assister le Client dans la gestion des demandes faites par les personnes concernées en vertu du Chapitre III du Règlement général sur la protection des données, notamment toute demande d'accès, de rectification, de blocage ou de suppression, se rapportant au traitement des données à caractère personnel en lien avec les Services.

3.11  Trustpilot doit assister le Client dans l'exécution de toutes les autres obligations auxquelles il pourrait être soumis conformément à la législation européenne ou celle d'un État membre relativement au traitement des données lorsque l'assistance de Trustpilot est sous-entendue et lorsque le Client en a besoin pour s'acquitter de ses obligations. Cette assistance comprend, entre autres, le fait de fournir au Client, à la demande de celui-ci, toutes les informations pertinentes concernant tout incident visé à la clause 3.9 (ii) et toutes les informations nécessaires aux fins d'une analyse d'impact conformément aux articles 35 et 36 du Règlement général sur la protection des données.

3.12  Dans l'Annexe 1, Trustpilot mentionne les serveurs, les bureaux, etc. utilisés aux fins de fournir les Services. Le Client peut à tout moment demander des informations concernant les serveurs, les bureaux, etc. utilisés par Trustpilot en lien avec les Services et Trustpilot est tenu d'accéder à cette demande dans les 30 jours.

4  Sous-traitants ultérieurs

4.1  Trustpilot a le droit d'engager des sous-traitants ultérieurs. Au moment de la signature de l'ATD, Trustpilot travaille avec les sous-traitants ultérieurs mentionnés ici aux fins de fournir les Services. Trustpilot s'engage à informer le Client de toute intention de changement visant à engager ou remplacer un sous-traitant ultérieur en lui adressant un préavis écrit via son compte d'entreprise. Si le Client a des raisons objectives et valables de ne pas accepter les nouveaux sous-traitants ultérieurs, il peut s'opposer à leur recrutement. Si Trustpilot choisit de ne pas proposer d'autres sous-traitants ultérieurs ou si le Client a des raisons objectives et valables de s'opposer à tous les autres qui ont été proposés, le Client est en droit de résilier le contrat qui le lie à Trustpilot dans les 30 jours après réception de l'avis à cet effet. Trustpilot est tenu d'informer le Client par écrit de la cessation de l'engagement de tout sous-traitant ultérieur.

4.2  Avant d'engager un sous-traitant ultérieur, Trustpilot doit conclure un accord écrit avec le concerné aux termes duquel les obligations en matière de protection des données imposées au sous-traitant ultérieur seront au moins égales à celles stipulées dans l'ATD, y compris l'obligation de mettre en œuvre des mesures techniques et organisationnelles appropriées de sorte que le traitement des données soit conforme aux exigences du Règlement général sur la protection des données.

4.3  Le Client a droit à une copie de l'accord conclu entre Trustpilot et le sous-traitant ultérieur en ce qui concerne les dispositions relatives aux obligations en matière de protection des données. Trustpilot demeure entièrement responsable vis-à-vis du Client de l'exécution des obligations du sous-traitant ultérieur. Le fait que le Client autorise Trustpilot à recourir à des sous-traitants ultérieurs ne porte aucunement préjudice à l'obligation de ce dernier de se conformer à l'ATD.

5  Modifications

5.1  Les Parties peuvent à tout moment convenir de modifier le présent ATD. Les modifications doivent être apportées par écrit.

6  Durée et effets de la résiliation de l'ATD

6.1  L'ATD prend effet à compter du 25 mai 2018. La durée du présent ATD coïncide avec la durée du Contrat.

6.2  À la demande du Client, Trustpilot doit sans délai transférer ou supprimer (y compris rendre anonyme) les données à caractère personnel qu’il traite pour le compte du Client, sauf si la législation européenne ou celle d'un État membre exige la conservation de ces données.  

7  Hiérarchie des documents

7.1  En cas de conflit entre les dispositions de l'ATD et celles du Contrat, les dispositions de l'ATD prévaudront. Toutefois, les exigences énoncées à la clause 3 ne s'appliquent pas dans la mesure où les Parties auraient, dans le cadre d'un autre accord, imposé des obligations plus strictes à Trustpilot. Par ailleurs, l'ATD ne s'applique pas si et dans la mesure où les Clauses contractuelles types de la Commission européenne en matière de transfert des données à caractère personnel vers des pays tiers ont été signées et prévoient des obligations plus strictes à l'égard de Trustpilot et/ou des sous-traitants ultérieurs.

7.2  Le présent ATD ne fixe pas la rémunération que le Client doit verser à Trustpilot au titre des Services rendus conformément au contrat.

7.3  Responsable de la protection des données Trustpilot

Le Client peut contacter le Responsable de la protection des données de Trustpilot en envoyant un courriel à l'adresse : privacy@trustpilot.com

 

                                                                                          ANNEXE 1

La présente Annexe constitue les instructions que le Client a données à Trustpilot afin qu’il traite les données pour son compte, et fait partie intégrante du Contrat.

1.1  Traitement des données à caractère personnel

a) Finalité et nature des opérations de traitement

- Fournir au Client le Service d'invitation à laisser un avis.[1]

b) Catégories de personnes concernées

-  La clientèle du Client

c) Catégories de données à caractère personnel

-  Re b) I :    Nom

-  Re b) II :   Adresse e-mail

-  Re b) III :  Numéro de référence, p. ex, numéro de commande ou un numéro similaire.

d) Catégories de données particulières

-  Aucune

e) Localité(s), y compris le nom du/des pays de traitement

-  Irlande

-  États-Unis

-  Allemagne

-  Australie

-  Lituanie 

-  Royaume-Uni

 

[1] En fonction du service Trustpilot choisi par le Client, il peut s'agir respectivement du Service Mail Automatique, des Business Generated Links, de la solution Kickstart ou du Lien d'invitation API.