ENTRE

ENTRE

L’entité non-GEODIS ayant accepté le Data Processing Agreement, et ayant contracté un engagement avec GEODIS selon lequel GEODIS a accepté de procurer un service au Client.

Ci-après le " Responsable de Traitement " ou le « Client »

ET

GEODIS, ou toute entité directement ou indirectement contrôlée par, ou sous control commun de GEODIS.S.A à Directoire et Conseil de Surveillance au capital de 404.461.760 Euros – 542 084 322 R.C.S. Nanterre, 00 Xxxx Xxxxxxx Xxxxxx - 00000 Xxxxxxxxx Xxxxxx – Xxxxxx, Tél. : +33 (0) 1 56

76 26 00 - Fax : x00 (0) 0 00 00 00 00 I XXXXXX.xxx

Ci-après le " Sous-Traitant " ou « GEODIS » Les parties sont collectivement désignées par les « Parties » et individuellement par une « Partie », étant ici précisé qu’elles agissent raisonnablement et de bonne foi pour leur propre compte ainsi que pour le compte de leurs sociétés affiliées.


PREAMBULE

GEODIS est spécialisé dans la fourniture de prestations de transport, de commission de transport, de logistique, de conseil ou services associés. Dans le cadre des prestations de service qui lui sont confiées par le Client, GEODIS est amené à traiter des données à caractère personnel pour le compte du Client. Afin d’assurer une protection élevée des données à caractère personnel ainsi qu’un traitement conforme avec la réglementation ou législation applicable en la matière, les Parties se sont rapprochées afin de formaliser le présent accord.


ARTICLE 1 – DEFINITIONS

- « Accord » désigne le présent contrat de traitement de données à caractère personnel.

- « Contrat » désigne les relations commerciales formalisées ou non par écrit entre le Client et GEODIS.

- « Données à Caractère Personnel » désigne toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

- « Législation » désigne les conventions et accords internationaux en vigueur relatifs à la protection des Données Personnelles et applicables aux Parties, le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des Données Personnelles et à la libre circulation de ces données abrogeant la directive 95/46/CE (RGPD), toutes les réglementations ou lois applicables en matière de protection des données personnelles, ainsi que toutes les décisions et opinions émises par les autorités de contrôle compétentes protégeant les Données à Caractère Personnel.

- « Responsable(s) de Traitement » désigne l’entité légale qui, en vertu du présent Accord, détermine les finalités et les moyens du traitement des Données à Caractère Personnel.

- « Sociétés Affiliées » désigne toutes les personnes morales détenues par un contrôle direct ou indirect ou sous contrôle commun, la notion de contrôle s’entendant d’une participation majoritaire dans ces personnes morales, soit par la possession d’une majorité d’actions assorties de droit de vote, soit en exerçant un contrôle autrement que par la possession d’actions dans lesdites personnes morales contrôlées.

- « Sous-Traitant » désigne l’entité légale qui traite les données à caractère personnel pour le compte du Responsable de Traitement en vertu du présent accord.

- « Traitement » désigne toute opération ou tout ensemble d’opérations qui est réalisé sur les Données à Caractère Personnel, de manière automatisé ou non, tels que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Les autres termes utilisés dans l’Accord auront le sens qui leur est donné par la Législation.


ARTICLE 2 – DONNEES TRAITEES

L’objet du traitement des données à caractère personnel est l’exécution de prestations de transport vers des destinataires désignés par le Responsable de Traitement. Le traitement de données à caractère personnel est réalisé à titre subsidiaire, pour les besoins exclusifs de la réalisation des prestations principales, du suivi de la relation commerciale et de la réalisation d’enquêtes de satisfaction ou d’étude auprès des destinataires dans le but de mesurer et d’améliorer la qualité de service. Les opérations de traitement réalisées sont l’accès, la lecture, la collecte et la consultation, la communication par transmission. Les données seront conservées dans le respect des dispositions légales en vigueur, notamment celles applicables à la conservation des documents de transports. La nature et les finalités du traitement des données à caractère personnel sont les suivantes :

Pour la livraison, les données à caractère personnel traitées sont, notamment, le prénom et nom, l’adresse E-mail, le numéro de téléphone, l’adresse postale, les instructions particulières liées à la livraison, la photographie d’une preuve de livraison et les informations de suivi de la livraison. Il n’est pas prévu que des données personnelles sensibles soient traitées par le Sous-Traitant. Les personnes concernées sont les salariés de GEODIS ou de ses sous-traitants, les salariés du Responsable de Traitement ou toute personne désignée par le Responsable de Traitement.

- Pour assurer le suivi de la relation commerciale, les données à caractère personnel traitées sont, notamment, le prénom et nom, l’adresse E-mail, le numéro de téléphone, le numéro de client. Il n’est pas prévu que des données personnelles sensibles soient traitées par le Sous- Traitant Transport. Les personnes concernées sont les salariés de GEODIS ou de ses sous-traitants, les salariés du Responsable de Traitement ou toute personne désignée par le Responsable de Traitement.

- Pour la réalisation d’enquêtes de satisfaction ou d’étude auprès des destinataires, les données seront utilisées dans le cadre des enquêtes de mesure de la satisfaction post livraison afin d’améliorer les services de transport du Sous-Traitant, le traitement des insatisfactions afin d’analyser et traiter les raisons, les enquêtes post-appel afin d’améliorer la qualité de service apporté par les équipes Service Relation Clients ainsi que toute autre enquête ou sollicitation en vue d’améliorer l’offre de service du Sous-traitant. Les données à caractère personnel traitées sont, notamment, le prénom et nom, l’adresse email, le numéro de téléphone, l’adresse postale, les instructions particulières liées à la livraison et les informations de suivi de la livraison. Ces données ne seront utilisées que dans le cadre interne de GEODIS et ne seront pas commercialisées. Il n’est pas prévu que des données personnelles sensibles soient traitées par le Sous-Traitant Transport. Les personnes concernées sont les destinataires du service de transport, personnes désignées par le Responsable de Traitement. Le Sous-Traitant utilisera le moyen qu’il jugera le plus approprié pour adresser son questionnaire au destinataire. Dans tous les cas, le destinataire sera en mesure de se désabonner afin de plus être sollicité et le Responsable de traitement peut s’opposer à cette finalité en contactant xxx@xxxxxx.xxx.


Au-delà de ces finalités, selon les dispositions du Contrat et les instructions du Responsable de Traitement, des données de localisation peuvent être collectées par le Responsable du Traitement auprès du Sous-Traitant, ou éventuellement, auprès des sous-traitants du Sous-Traitant. Le

Responsable de Traitement, le Sous-Traitant, le sous-traitant du Sous-Traitant, son Client ou toute autre entité désignée traiteront les données pour répondre aux finalités suivantes : définir l'heure d'arrivée prévue, informer de manière proactive les destinataires des retards de livraison potentiels, retrouver les envois manquants, gérer les performances du transporteur, et gérer les pénuries de chauffeurs. Les données contiendront les informations suivantes : plaque d'immatriculation du véhicule et / ou identifiant du véhicule et emplacement du véhicule (latitude et longitude). Le nom du chauffeur pourra être inclus dans les données transmises pour motifs de sécurité. Les bases légales du traitement sont : 1) l’autorisation du Sous- Traitant ou du sous-traitant du Sous-Traitant ; 2) l’intérêt légitime de GEODIS, son client ou toute autre entité désignée ; 3) dans la mesure où cela est nécessaire, le consentent de la personne concernée. Les données peuvent faire l’objet de transfert dans des pays tiers, dans le respect des dispositions applicables. Les données seront conservées en conformité avec les durées légales applicables. Si le Responsable du Traitement choisit un tiers pour collecter ces données, le Responsable du Traitement prendra toutes les mesures nécessaires pour garantir que le traitement des données est conforme aux obligations définies dans le présent accord et à la réglementation applicable en matière de protection des données. Le Responsable du Traitement des données reste responsable de l'action de tout Sous-Traitant de données tiers choisi dans ce contexte.


Si le Contrat prévoit la transmission d’autres types de données personnelles que celles définies dans cet article, le Client reconnait avoir accepté de compléter les détails du traitement de données et de les retourner à GEODIS à la date de signature du contrat en conformité avec le modèle présenté au lien permanent suivant : xxxxx://xxxxxx.xxx/xx/xxxxxxx-xx-xxxx-xxxxxxxxxx-xx


ARTICLE 3 – TRAITEMENT DES DONNEES A CARACTERE PERSONNEL

Le Client décide des finalités et des moyens du Traitement des Données à Caractère Personnel. Le Sous-Traitant s’engage à traiter les Données à Caractère Personnel pour le compte du Responsable de Traitement conformément à la Législation et dans l’unique but de fournir les prestations de service prévues au Contrat. Ces prestations de service sont plus amplement décrites dans le Contrat. Le Sous-Traitant s’engage à traiter les Données à Caractère Personnel du Client conformément aux instructions documentées qui lui auront été communiquées par le Responsable de Traitement avant la mise en œuvre de ces prestations. Le Responsable de Traitement confirme que les obligations du Sous-Traitant exposées dans le présent Accord, y compris dans ses annexes, constituent l’intégralité des instructions devant être suivies par le Sous-Traitant. Toutes modifications des instructions du Responsable de Traitement seront négociées séparément (en tenant compte des coûts associés et de la faisabilité technique de ces instructions supplémentaires). Pour être valables, elles devront être documentées par écrit et dûment signées par les deux Parties. Le Sous-Traitant s’engage, dans la mesure requise par la Législation, conformément aux instructions écrites communiquées par le Responsable de Traitement, à aider ce dernier à remplir ses obligations légales. Le Sous-Traitant fournira cette assistance si le Responsable de Traitement n’est pas en mesure de respecter son obligation par d’autres moyens. Le Sous-Traitant informera le Responsable de Traitement si, selon lui, des instructions fournies en vertu du présent Accord sont contraires à la Législation. Si les personnes concernées, les autorités compétentes ou toutes autres tiers demandent des informations au Sous-Traitant concernant le Traitement des Données à Caractère Personnel du Client, le Sous-Traitant fera suivre cette demande au Responsable de Traitement. Le Sous-Traitant ne peut pas et n’est pas non plus obligé, de quelque façon que ce soit, d’agir pour le compte du Responsable de Traitement ou en tant que représentant de ce dernier, et ne peut pas, en l’absence d’instructions ou de consentement préalables du Responsable de Traitement, transférer ou divulguer de toute autre façon à un tiers les Données à Caractère Personnel ou toutes autres informations relatives au Traitement des Données à Caractère Personnel du Client. Si le transfert ou la divulgation est requis(e) ou autorise(é) par la Législation, aucun consentement n’est requis. Si le Sous-Traitant, conformément à la Législation, a l’obligation de divulguer des Données à Caractère Personnel qu’il traite pour le compte du Responsable de Traitement, le Sous-Traitant en informera le Responsable de Traitement, dans les limites prévues par la Législation.


ARTICLE 4 – SOUS-TRAITANTS TIERS

Le Sous-Traitant peut recourir à des sous-traitants tiers situés au sein ou en dehors de l’Union Européenne (UE) et transférer les Données à Caractère Personnel en dehors de l’UE et bénéficie d’une autorisation générale donnée par le Responsable de Traitement. Le Sous-Traitant a élaboré une Charte de protection des données personnelles afin de s’assurer que les sous-traitants tiers soient bien tenus par un accord leur imposant de respecter des obligations concernant le Traitement des Données à Caractère Personnel du Client. Le Sous-Traitant peut révoquer, remplacer ou désigner d’autres sous-traitants tiers appropriés et fiables, à son entière discrétion. Le Sous-Traitant informera le Responsable de Traitement, sur demande, de la liste des sous-traitants. Si le Responsable de Traitement a des raisons légitimes de refuser un nouveau sous-traitant tiers, il en informera le Sous-Traitant par écrit dans les trente jours de la réception de la notification du Sous-Traitant. Si le Responsable de Traitement s’oppose au recours au nouveau Sous-Traitant tiers, le Sous-Traitant pourra remédier à l’objection par l’un des moyens suivants, à son entière discrétion : a) le Sous- Traitant renoncera au recours au nouveau sous-traitant tiers pour les Données à Caractère Personnel du Client ; b) le Sous-Traitant prendra les mesures correctives demandées par le Responsable de Traitement dans son objection et aura recours au nouveau sous-traitant tiers pour les Données à Caractère Personnel du Client ; ou c) le Sous-Traitant pourra cesser de fournir temporairement ou définitivement, la partie du service qui impliquerait le recours à ce nouveau sous-traitant tiers pour des Données à Caractère Personnel du Client. Si un sous-traitant tiers se trouve en dehors de l’Union Européenne, dans un pays qui n’est pas reconnu pour offrir un niveau de protection adéquat des Données à Caractère Personnel, le Sous-Traitant prendra des mesures pour que le sous-traitant tiers en question réponde à cette obligation. Ces mesures pourront inclure, notamment et le cas échéant, l’utilisation des Clauses Contractuelles Types de l’Union Européenne. Pour cela et le cas échéant, les Parties reconnaissent et acceptent les Clauses Contractuelles Types de l’Union Européenne disponible au lien suivant : xxxxx://xxxxxx.xxx/xx/xxx-xxxxxx-xxxxxxxxx ou tout autre mécanisme équivalent applicable. Le Sous-Traitant reste responsable envers le Responsable de Traitement de l’exécution des obligations des sous-traitants tiers.


ARTICLE 5 – SECURITE ET CONFIDENTIALITE DES INFORMATIONS

Le Sous-Traitant s’engage à mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque de destruction, de perte, d’altération, de divulgation non autorisée des Données à Caractère Personnel du Client. Le Sous-Traitant peut modifier les mesures techniques et organisationnelles sous réserve que les nouvelles mesures techniques et organisationnelles ne soient pas moins restrictives que les précédentes. Dès lors qu’il en aura connaissance, le Sous-Traitant informera sans délai le Responsable de Traitement de tout accès accidentel ou non autorisé aux Données à Caractère Personnel traitées pour le compte du Responsable de Traitement ou de tous autres incidents de sécurité. La notification devra, dans la mesure où les informations sont à la disposition du Sous-Traitant :

- Décrire la nature de la violation des Données à Caractère Personnel, y compris, si possible, les catégories et le nombre approximatif de personnes concernées ;

- Communiquer le nom et les coordonnées de son délégué à la protection des Données à Caractère Personnel (DPO) ou autre contact local auprès de qui des informations complémentaires peuvent être obtenues ;

- Décrire les conséquences probables de la violation des Données à Caractère Personnel ;

- Décrire les mesures prises ou proposées pour remédier à la violation des Données à Caractère Personnel, y compris, si nécessaire, les mesures pour limiter ses éventuels effets négatifs ;

- Inclure toute autre information dont dispose le Sous-Traitant que le Responsable de Traitement doit notifier aux autorités responsables de la protection des données et/ou aux personnes concernées.


Le Sous-Traitant fournira également l’assistance raisonnable demandée par le Responsable de Traitement pour enquêter sur le manquement à la sécurité. Le Sous-Traitant devra s’assurer que les Données à Caractère Personnel traitées pour le compte du Responsable de Traitement ne soient accessibles que par le personnel ayant besoin de cet accès pour remplir les obligations du Sous-Traitant conformément au présent Accord. Le Sous- Traitant s’assurera que ce personnel soit tenu par une obligation de confidentialité.


ARTICLE 6 – AUDITS

Le Sous-Traitant coopérera de manière raisonnable avec le Responsable de Traitement et fournira les informations disponibles afin d’aider le Responsable de Traitement à mieux comprendre les mesures de sécurité que le Sous-Traitant à mis en place. Le Responsable de Traitement ou tout autre auditeur expressément missionné par ce dernier peut réaliser un audit sur site des locaux utilisés pour fournir les services, sous réserve de ne pas perturber l’activité normale du Sous-Traitant et conformément aux politiques de sécurité de ce dernier afin de réduire tout risque pour les autres clients du Sous-Traitant. Les audits seront effectués aux frais du Responsable de Traitement et pourront être réalisés pendant la durée du présent Accord à raison d’une fois par an sous réserve des dispositions suivantes :

- (i) les audits ne comprennent pas l’accès aux systèmes, données ou informations relatives aux autres clients du Sous-Traitant ;

- (ii) l’audit se limitera aux informations, documents et données pertinents et liés au Traitement des Données à Caractère Personnel par le Sous-Traitant pour le compte du Responsable de Traitement en vertu du présent Accord ; et

- (iii) les audits ne sauraient dépasser deux (2) jours ouvrés, sauf si les Parties en conviennent autrement par écrit et à l’avance ou si des circonstances particulières l’imposent.


ARTICLE 7 - DUREE

Le présent Accord entre en vigueur à la date de sa signature pour la durée nécessaire au Traitement convenu entre les Parties.


ARTICLE 8 – MESURES A LA FIN DU TRAITEMENT DES DONNEES A CARACTERE PERSONNEL

A l’expiration du Traitement ou du Contrat, le Sous-Traitant s’engage, au choix du Responsable du Traitement tel que communiqué au Sous-Traitant, à supprimer ou à restituer les Données à Caractère Personnel, y compris toutes les copies. A la demande du Responsable de Traitement, le Sous- Traitant enverra une notification écrite des mesure prises concernant les données susmentionnées une fois le Traitement terminé. Ces dispositions ne s’appliquent pas si le Sous-Traitant est obligé de conserver les Données à Caractère Personnel en vertu de la Législation ou à des fins de documentation. En cas d’impossibilité technique de supprimer ou de détruire les Données à Caractère Personnel traitées dans un format électronique, le Sous-Traitant prendra des mesures raisonnables pour rendre ces données inaccessibles, non-récupérables et non-modifiables, tout Traitement injustifié étant interdit.


ARTICLE 9 – RESPONSABILITE ET INDEMNISATION

Le Responsable de Traitement garantit la licéité et la loyauté du Traitement réalisé pour son compte par le Sous-Traitant et effectue tout acte utile à cette fin auprès des tiers, des autorités de contrôle et du Sous-Traitant. Si des changements apportés à la Législation entraînent des frais supplémentaires pour le Sous-Traitant, ce dernier pourra demander une compensation afin de recouvrer ces frais. Sous réserve de faisabilité technique, le droit de négocier une compensation des frais tel que susmentionné s’appliquera également si le Responsable de Traitement demande des mesures de sécurité spécifiques. Le Sous-Traitant sera responsable de tous dommages causés au Client par sa faute ainsi qu’aux personnes dont les Données à Caractère Personnel sont traitées qui résulterait d’un manquement à la Législation ou aux obligations prévues à l’Accord. A ce titre, le Sous-Traitant indemnisera le Client des dommages directs subis par le Client. Compte tenu des finalités du Traitement et des catégories de Données à Caractère Personnel traitées par le Sous-Traitant en vertu de l’Accord, la responsabilité du Sous-Traitant sera limitée à 250 000€ au titre du Contrat. Le Responsable de Traitement défendra, indemnisera et garantira le Sous-Traitant et les dirigeants, salariés, successeurs et mandataires du Sous-Traitant contre les réclamations, dommages, responsabilités, taxations, pertes, coûts, amendes administratives et autres dépenses (en ce compris les frais d’avocats et de justice) résultant de toute réclamation, allégation, demande, procès, action, ordonnance ou autre procédure engagée par un tiers (en ce compris les autorités de contrôle) résultant de manquement aux obligations du Responsable de Traitement en vertu du présent Accord et/ou de la Législation. L’Accord pourra être résilié de plein droit par l’une ou l’autre des Parties, s’il n’est pas remédié dans un délai de 30 jours à compter de la réception d’une lettre recommandée avec accusé de réception, à un manquement par l’une ou l’autre des Parties de ses obligations résultant du présent Accord ou de la Législation.


ARTICLE 10 – DISPOSITIONS GENERALES

Le présent Accord annule et remplace tout accord ou arrangement antérieur entre les Parties et constituent l’intégralité de l’accord entre elles pour ce qui concerne leurs obligations en matière de protection des Données à Caractère Personnel et prime sur toutes dispositions contraires portant sur le même objet. Le présent Accord entre en vigueur à la date de sa signature ou à défaut, à la date d’entrée en vigueur du Contrat dès lors qu’il aura été expressément visé dans le Contrat, et sera effectif pour la durée nécessaire au Traitement convenue entre les Parties. Sous réserve des autres stipulations du présent Accord, toutes notifications entre les Parties seront faites par lettre recommandée avec avis de réception, à l'adresse de la partie destinataire indiquée en tête des présentes, tout délai courant alors du jour de la présentation de ladite lettre à la partie destinataire. Tout changement d'adresse de l'une des parties devra être notifié à l'autre conformément à ce qui précède, pour lui être opposable. Le présent Accord sera régi et interprété selon le droit Français. Tout litige pouvant survenir à l'occasion de l'exécution du présent Accord sera tranché par les tribunaux compétents de Paris. Si une disposition de l’Accord vient à être nulle en vertu d’une loi, d’un règlement ou d’une décision judiciaire, elle sera réputée non écrite. Cependant, les autres dispositions de l’Accord resteront en vigueur et en l’état. Les parties s’engagent, dans ce cas, à négocier de bonne foi la conclusion d’une nouvelle clause qui poursuivrait le même objectif ou qui aurait des effets les plus proches possibles de la clause nulle, tout en respectant la légalité et l’équilibre contractuel.


Pour les besoins du présent Accord, chacune des Parties fait élection de domicile à son siège social.


Fait en double exemplaire A


, le


/


/


LE CLIENT

Représenté par




GEODIS

Représenté par

Signature




Signature

Document Metadata

Filed: October 5th, 2021