Accord relatif au traitement des données
novembre 2019le Client et Trustpilot
(conjointement avec le Client, les « Parties »)
1. Portée de l'ATD
1.1 Le présent ATD fait partie intégrante du contrat d'abonnement au service (ci-après, le « Contrat ») établi entre le Client et Trustpilot. Il reflète l'accord entre les Parties concernant le traitement de données personnelles.
1.2 Trustpilot agit en tant que sous-traitante pour le Client, étant donné que Trustpilot traite des données personnelles pour le compte du Client, tel que stipulé dans l'Annexe 1.
1.3 Les données personnelles traitées par Trustpilot portent sur les catégories de données, les catégories de personnes concernées et les finalités de traitement énoncées dans l'Annexe 1.
1.4 « Données personnelles » désigne toute information se rapportant à une personne physique identifiée ou identifiable, voir article 4(1) du Règlement (UE) 2016/679 du 27 avril 2016 (Règlement général sur la protection des données, « RGPD »).
1.5 « Données sensibles » désigne (a) le numéro de sécurité sociale, le numéro de passeport, le numéro de permis de conduire, ou des éléments d’identification similaires (ou toute partie de ces éléments), (b) le numéro de carte de crédit ou de débit (autres que les numéros tronqués, par exemple les quatre derniers chiffres), (c) les données relatives à l’emploi, aux finances, à la génétique, à la biométrie ou à la santé ; (d) les données révélant l’origine ethnique, les opinions politiques, les croyances religieuses ou philosophiques ou l’affiliation à un syndicat ; (e) les informations sur la vie ou l’orientation sexuelle d’une personne physique ; (f) les mots de passe de compte ; (g) la date de naissance ; (h) les données relatives aux condamnations pénales et aux infractions ; (i) le nom de jeune fille de la mère ; et (j) toute autre information pouvant entrer dans la définition de « catégories spéciales de données » en vertu du RGPD ou de toute autre loi en vigueur relative à la protection de la vie privée et des données.
2. Traitement des données personnelles
2.1 Instructions : Trustpilot est autorisée à traiter les données personnelles uniquement aux fins de fournir les Services, tel qu'énoncé dans l'Annexe 1. Trustpilot n'a pas le droit de traiter ou d'utiliser les données personnelles du Client à des fins autres que celles stipulées dans les instructions, y compris le transfert desdites données vers des pays tiers ou vers toute organisation internationale, sauf si la législation européenne ou celle d'un pays membre l'y oblige. Le cas échéant, Trustpilot est tenue d’aviser le Client par écrit de cette exigence légale avant de traiter les données, à moins que la législation en question le lui interdise pour des motifs importants liés à la préservation de l'intérêt public.
2.2 Si, dans les instructions du client de l'Annexe 1 ou de quelque autre manière, le client a autorisé un transfert de Données personnelles vers un pays tiers ou des organisations internationales, Trustpilot doit s'assurer qu'il existe une base juridique pour effectuer ce transfert, p. ex., les Clauses contractuelles types de la Commission européenne en matière de transfert de Données personnelles vers des pays tiers.
2.3 Si Trustpilot estime qu'une instruction du Client constitue une violation du Règlement général sur la protection des données ou d’autres dispositions relatives à la protection des données de l'Union européenne ou d'un État membre, elle doit en informer le Client par écrit sans délai.
2.4 Si Trustpilot est soumise à la législation d'un pays tiers, Trustpilot déclare ne pas être au courant de la législation susmentionnée l'empêchant d'exécuter l'ATD, et s'engage à aviser le Client par écrit sans retard injustifié si Trustpilot venait à prendre connaissance de l'existence ou de l'éventualité d'un tel obstacle.
2.5 Les Données sensibles ne seront pas traitées en vertu du présent ATD et le Client garantit et déclare qu'il ne partagera, ne communiquera ni ne transférera d’aucune façon des Données sensibles à Trustpilot.
3. Obligations générales de Trustpilot
3.1 Trustpilot doit s'assurer que les personnes habilitées à traiter les Données personnelles sont astreintes à la confidentialité ou sont soumises à une obligation légale de confidentialité appropriée.
3.2 Trustpilot doit mettre en œuvre des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque afin d'empêcher que les Données personnelles traitées ne soient
(i) accidentellement ou illégalement détruites, perdues ou altérées,
(ii) divulguées ou rendues publiques sans autorisation, ou
(iii) autrement traitées en violation des lois applicables aux Services, notamment le Règlement général sur la protection des données.
3.3 Trustpilot doit également se conformer à tous les autres impératifs de protection de données qui incombent à Trustpilot, notamment les impératifs de protection de données en vigueur dans le pays d'établissement de Trustpilot ou dans le pays où le traitement des données aura lieu.
3.4 Les mesures de sécurité techniques et organisationnelles appropriées doivent dûment prendre en compte
(i) l’état actuel des connaissances,
(ii) les coûts de la mise en œuvre, et
(iii) la nature, la portée, le contexte et la finalité du traitement, ainsi que le risque lié aux différents degrés de probabilité et de gravité de violation des droits et libertés des personnes physiques.
3.5 Trustpilot doit, sur demande, fournir au Client des informations suffisantes pour permettre à ce dernier de vérifier que Trustpilot exécute ses obligations en vertu de l'ATD, notamment pour s'assurer que les mesures de sécurité techniques et organisationnelles sont en place.
3.6 Le Client est autorisé, à ses frais, à désigner un expert indépendant qui aura accès aux locaux de Trustpilot et pourra recueillir les informations nécessaires pour vérifier que Trustpilot exécute ses obligations en vertu de l'ATD, notamment pour s'assurer que les mesures de sécurité techniques et organisationnelles sont en place. Le Client doit adresser un préavis écrit de 14 jours à Trustpilot et est tenu de s'assurer que l'expert signe un accord de confidentialité usuel et traite toutes les informations obtenues ou reçues de Trustpilot en toute confidentialité et ne les partage qu'avec le Client. Toute conclusion ou tout rapport produit sur la base d'une telle vérification doit être partagé avec Trustpilot et doit être considéré comme information confidentielle.
3.7 Trustpilot est tenue de mettre à la disposition des autorités ou des conseillers externes du Client, notamment les auditeurs, les informations relatives à la fourniture des Services, si cela est nécessaire pour l'exécution de ses obligations conformément à la législation de l'Union européenne ou d'un État membre.
3.8 Trustpilot est tenue d'accorder aux autorités qui, en vertu de la législation de l'Union européenne ou d'un État membre, sont habilitées à pénétrer dans les locaux du Client ou du fournisseur de ce dernier, ou aux représentants de ces autorités, l'accès aux installations physiques de Trustpilot sur présentation d'une preuve d'identité appropriée.
3.9 Après en avoir été informée, Trustpilot doit, sans retard injustifié, informer par écrit le Client :
(i) de toute demande de divulgation de Données personnelles traitées en vertu de l’ATD formulée par les autorités, sauf interdiction formelle aux termes de la législation européenne ou d’un État membre,
(ii) de tout soupçon ou découverte (a) d’une violation de la sécurité entraînant de manière accidentelle ou illicite la destruction, la perte, l’altération, la divulgation ou la consultation non autorisée des Données personnelles transmises, stockées ou traitées autrement par Trustpilot dans le cadre des Services, ou (b) tout autre manquement de la part de Trustpilot à ses obligations en vertu des clauses 3.2 et 3.3.
3.10 Trustpilot doit promptement assister le Client dans la gestion des demandes faites par les personnes concernées en vertu du Chapitre III du Règlement général sur la protection des données, notamment toute demande d'accès, de rectification, de blocage ou de suppression, se rapportant au traitement des Données personnelles en lien avec les Services.
Si Trustpilot reçoit une demande d'accès d'une personne concernée qui se rapporte au traitement des Données personnelles pour le compte du Client, Trustpilot ne devra pas répondre à cette demande, sauf pour indiquer à la personne concernée ayant formulé la demande si une invitation à laisser un avis a été envoyée par e-mail au nom du Client (qui donne son consentement en vertu des présentes) et pour conseiller à la personne concernée de transmettre sa demande au Client, étant donné que celui-ci sera en charge de répondre aux demandes émanant des personnes concernées, y compris, au besoin, en utilisant la fonctionnalité des Services.
3.11 Trustpilot doit assister le Client dans l’exécution de toutes les autres obligations pouvant incomber au Client, conformément à la législation européenne ou celle d’un État membre relativement au traitement des données, lorsque l’assistance de Trustpilot est sous-entendue et lorsque le Client en a besoin pour s’acquitter de ses obligations. Cette assistance comprend, entre autres, le fait de fournir au Client, à la demande de celui-ci, toutes les informations pertinentes concernant tout incident visé à la clause 3.9 (ii) et toutes les informations nécessaires aux fins d'une analyse d'impact conformément aux articles 35 et 36 du Règlement général sur la protection des données.
3.12 Dans l'Annexe 1, Trustpilot mentionne les serveurs, les bureaux, etc. utilisés aux fins de fournir les Services. Le Client peut à tout moment demander des informations concernant les serveurs, les bureaux, etc. utilisés par Trustpilot en lien avec les Services, et Trustpilot est tenue d'accéder à cette demande dans les 30 jours.
4. Sous-traitants ultérieurs
4.1 Trustpilot peut engager des sous-traitants ultérieurs. Au moment de la signature de l’ATD, Trustpilot travaille avec les sous-traitants ultérieurs mentionnés ici aux fins de fournir les Services. Trustpilot s'engage à informer le Client de toute intention de changement visant à engager ou remplacer un sous-traitant ultérieur en lui adressant un préavis écrit via le compte d'entreprise du Client. Si le Client a des raisons objectives et valables de ne pas accepter les nouveaux sous-traitants ultérieurs, il peut s'opposer à leur recrutement. Si Trustpilot choisit de ne pas proposer d’autres sous-traitants ultérieurs ou si le Client a des raisons objectives et valables de s’opposer à tous ceux qui ont été proposés, le Client est en droit de résilier le contrat qui le lie à Trustpilot dans les 14 jours après réception de l’avis à cet effet.
4.2 Avant d'engager un sous-traitant ultérieur, Trustpilot doit conclure un accord écrit avec le sous-traitant ultérieur concerné pour lequel les obligations en matière de protection des données imposées au sous-traitant ultérieur seront au moins égales à celles stipulées dans l'ATD, y compris l'obligation de mettre en œuvre des mesures techniques et organisationnelles appropriées de sorte que le traitement des données soit conforme aux exigences du RGPD.
4.3 Le Client a le droit de recevoir une copie de l'accord conclu entre Trustpilot et le sous-traitant ultérieur en ce qui concerne les dispositions relatives aux obligations en matière de protection des données. Trustpilot demeure entièrement responsable vis-à-vis du Client de l'exécution des obligations du sous-traitant ultérieur. Le fait que le Client autorise Trustpilot à recourir à des sous-traitants ultérieurs ne porte aucunement préjudice à l'obligation de Trustpilot de se conformer à l'ATD.
5. Modifications
5.1 Les Parties peuvent à tout moment convenir de modifier le présent ATD. Les modifications doivent être apportées par écrit.
6. Durée et effets de la résiliation de l'ATD
6.1 L'ATD entre en vigueur lorsque :
(i) le Client accepte le Contrat conformément à l’article 1.1 du Contrat ;ou(ii) les deux parties signent l’ATD électroniquement ou sur papier.
6.2 La durée du présent ATD correspond à celle du Contrat, sauf si Trustpilot traite toujours les Données personnelles pour le compte du Client, auquel cas Trustpilot reste assujettie aux obligations visées dans l'ATD.
6.3 Trustpilot conserve les Données personnelles traitées pour le Client conformément aux délais suivants :
(i) tous les e-mails CCI sont automatiquement supprimés après 30 jours ;(ii) toutes les invitations à laisser un avis sont supprimées après 3 ans.
6.4 À la demande du Client, Trustpilot doit sans délai transférer ou supprimer (y compris rendre anonymes) les Données personnelles traitées par Trustpilot pour le compte du Client, sauf si la législation européenne ou celle d'un État membre exige la conservation de ces données.
7. Hiérarchie des documents
7.1 En cas de conflit entre les dispositions de l'ATD et celles du Contrat, les dispositions de l'ATD prévaudront. Toutefois, les exigences énoncées à la clause 3 ne s'appliquent pas dans la mesure où les Parties auraient, dans le cadre d'un autre accord, imposé des obligations plus strictes à Trustpilot. Par ailleurs, l'ATD ne s'applique pas si et dans la mesure où les Clauses contractuelles types de la Commission européenne en matière de transfert des Données personnelles vers des pays tiers ont été signées et prévoient des obligations plus strictes à l'égard de Trustpilot et/ou des sous-traitants ultérieurs.
7.2 Le présent ATD ne fixe pas la rémunération que le Client doit verser à Trustpilot au titre des Services rendus conformément au contrat.
8. Responsable de la protection des données de Trustpilot
8.1 Le Client peut contacter le Responsable de la protection des données de Trustpilot en envoyant un e-mail à l’adresse : privacy@trustpilot.com
___
ANNEXE 1
La présente Annexe constitue les instructions que le Client a données à Trustpilot afin que Trustpilot traite les données pour son compte, et elle fait partie intégrante du Contrat.
1. Traitement des Données personnelles
a) Finalité et nature des opérations de traitement
Fournir au Client le Service d’invitation à laisser un avis(1).
b) Catégories de personnes concernées
La clientèle du Client
c) Catégories de Données personnelles
Re b) I : Nom
Re b) II : Adresse e-mail
Re b) III : Numéro de référence, p. ex, numéro de commande ou équivalent.
d) Catégories de données particulières
Aucune
e) Localité(s), y compris le nom du/des pays de traitement
Danemark
Irlande
États-Unis
Allemagne
Australie
Lituanie
Royaume-Uni
(1) En fonction du service Trustpilot que le Client a choisi, il peut s’agir respectivement du Service Mail Automatique (SMA), des Business Generated Links, des liens uniques, de la solution Kickstart et/ou du lien d’invitation via l’API.