ACCORD SUR LE TRAITEMENT DES DONNÉES PERSONNELLES

ACCORD SUR LE TRAITEMENT DES DONNÉES PERSONNELLES

Le présent Accord sur le traitement des données à caractère personnel (« DPA ») fait partie intégrante des conditions générales d'utilisation des services de Sendinblue (les « CGU »). Tous les termes en majuscules, non définis dans le présent DPA, ont la signification qui leur est donnée dans les CGU.

L'objet de ce DPA est de définir les conditions dans lesquelles Sendinblue s'engage à effectuer, pour le compte de l'Utilisateur, les opérations de traitement de données définies ci-dessous.

Dans le cadre de ce DPA, l'Utilisateur agit en qualité de Responsable de Traitement et Sendinblue en qualité de Sous-Traitant au sens du RGPD

1. Définitions

"Données de l'Utilisateur" toute donnée à caractère personnel que Xxxxxxxxxx traite pour le compte de l'Utilisateur dans le cadre de la fourniture des Services.

"Responsable de Traitement" désigne l'Utilisateur.

"Sous-Traitantr" désigne Sendinblue.

"RGPD" règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données).

"EEE"Espace économique européen.

"Données Personnelles" toute information relative à une personne physique identifiée ou identifiable.

"traitement"/ « traiter »" ont la signification qui leur est donnée dans le RGPD.

"Sous-Traitant Ultérieur" tout sous-traitant de Sendinblue, agissant sous instruction de ce dernier, dans le cadre de l'exécution des Services. Ces Sous-Traitants Ultérieur peuvent inclure des tiers ou des membres du groupe Sendinblue.

2. Modalités du traitement des Données Personnelles

2.1. Sendinblue traite les Données de l'Utilisateur pour les seules finalités décrites dans le présent DPA et conformément aux instructions légales documentées de l'Utilisateur.

Les Parties conviennent que ce DPA et les CGU définissent les instructions complètes et finales de l'Utilisateur à Sendinblue en ce qui concerne le traitement des Données de l'Utilisateur.

2.2. Durée : la durée du traitement des données dans le cadre de ce DPA correspond à la durée des relations contractuelle entre Sendinblue et l'Utilisateur, conformément aux CGU.

2.3. Finalité : envoi d’emails et/ou SMS marketing et/ou transactionnel

2.4. Les opérations de traitements effectuées par Xxxxxxxxxx pour le compte de l'Utilisateur sont définies ci-après :

Stockage des listings de contacts chargés par l'Utilisateur

Envoi de messages par email ou SMS, de façon automatisée ou non (notamment suivi de commande, confirmation de commande, newsletters)

Conservation et analyse des données de délivrabilité des emails Retargeting display

Collecte des désabonnements et information de l'Utilisateur

Collecte des consentements (dans le cas où l'Utilisateur utilise le formulaire Sendinblue pour récupérer des données de contacts depuis son propre site)

Analyse du comportement des destinataires des emails (suivi des taux d'ouverture, taux de clic et taux de rebond au niveau individuel).

2.5. Catégories de personnes concernées : tout individu : (i) dont l'adresse email est incluse dans la liste de distribution de l'Utilisateur ; (ii) dont les informations sont stockées ou collectées via les Services, ou (iii) à qui l'Utilisateur envoie des emails ou avec qui il s'engage ou communique via les Services et plus précisément Clients et prospects.

2.6. Types de Données Personnelles : tout type de Données Personnelles téléchargées par l’Utilisateur depuis son Compte client, dans le cadre de son utilisation et de la mise en place des Services, telles que Xxxxxxx du contact (tels que son email et son numéro de téléphone);Informations personnelles (telles que le prénom, le nom, la date de naissance et le sexe); les données générées par les individus lors de leur navigation (adresses IP, données des cookies déposés par Sendinblue à l’exclusion des cookies tiers).

3. Les obligations de l'Utilisateur

3.1. Si l'Utilisateur est établi dans l'Union Européenne, ou si sa liste de distribution contient des Données Personnelles de citoyens membres de l'Union Européenne, l'Utilisateur s'engage à respecter les obligations qui lui incombent en vertu du RGPD et notamment :

que les Données de l'Utilisateur ont été collectées et traitées dans le respect de la règlementation applicable ;

que l'Utilisateur a procédé à l'information des personnes concernées conformément à la réglementation ;

le cas échéant, que la collecte et le traitement ont fait l'objet d’un consentement des personnes concernées lorsque cela est requis par la règlementation applicable ;

qu'il permet aux personnes concernées d’exercer leurs droits conformément à la règlementation ;

qu'il s'engage à ce que les informations soient rectifiées, complétées, clarifiées, mises à jour ou effacées lorsqu’elles sont inexactes, incomplètes, équivoques, périmées ou lorsque les titulaires souhaitent en interdire la collecte ou l'utilisation, la communication ou la conservation.

3.2. Il est précisé que l'Utilisateur est seul responsable de la gestion des périodes de conservation des Données de l'Utilisateur, et qu'il lui incombe de supprimer les données au fur et à mesure de l'expiration de leur conservation. Sendinblue n'est responsable de la suppression de ces données qu'à la fin de sa relation contractuelle avec l'Utilisateur.

3.3. L'Utilisateur s'engage à ne pas inclure dans les listes de diffusion téléchargées sur la plateforme des Données Personnelles dites "sensibles" au sens de l'article 9 du GDPR.

4. Les obligations de Sendinblue

4.1. Respect des instructions l'Utilisateur : Sendinblue s'engage à : Sendinblue undertakes to:

ne traiter les Données de l'Utilisateur que pour les besoins de l'execution des Services

;

traiter les Données Personnelles conformément aux instructions du Responsable de Traitement. Si Xxxxxxxxxx considère qu'une instruction constitue une violation du RGPD, il en informera immédiatement l'Utilisateur ;

garantir la confidentialité des Données de l'Utilisateur traitées dans le cadre du présent DPA ;

ne communiquer les Données de l'Utilisateurs qu’aux collaborateurs ayant besoin d’en connaitre dans le cadre de l'exécution des Services ;

s'assurer que ces collaborateurs ont connaissance des instructions de l'Utilisateur et s’engagent à ne traiter les Données de l'Utilisateur que dans le strict respect de celles- ci et pour aucune autre finalité ;

désigner un délégué à la protection des données : xxx@xxxxxxxxxx.xxx; tenir un registre avec une liste des traitements effectués pour le compte du

Responsable du Traitement, comprenant toutes les informations énumérées à l'article

30 (2) du RGPD;

4.2. Sécurité : Xxxxxxxxxx s’engage à prendre toutes précautions utiles, au regard de la nature des données à caractère personnel et des risques présentés par le traitement, pour préserver la sécurité des Données Personnelles et notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Sendinblue s'engage dans ce cadre à mettre en place toutes les mesures techniques et organisationnelles de sécurité et de confidentialité appropriées.

4.3. Violation des données : Xxxxxxxxxx s'engage à notifier au Responsable de Traitement toute violation de données à caractère personnel, dans un délai maximal de 72 heures après en avoir pris connaissance, notamment afin de permettre au Responsable de Traitement de se conformer à l'obligation prévue à l'article 33 du RGPD. Cette notification sera accompagnée de toute documentation utile afin de permettre au Responsable de Traitement, si nécessaire, de notifier cette violation à l'autorité de contrôle compétente.

4.4. Destruction : aà tout moment pendant l'exécution des Service, le Responsable de Traitement peut accéder ou supprimer les Données Personnelles traitées par Xxxxxxxxxx directement depuis son Compte en cliquant sur le "bouton d'exportation".

A la fin des relations contractuelles, au choix du Responsable de Traitement, Xxxxxxxxxx s'engage à détruire toutes les Données Personnelles, ou à les restituer au Responsable de Traitement ou à un autre Sous-Traitant désigné par lui si cela est faisable techniquement et dans un délai maximum de 3 mois. Le renvoi s’accompagnera de la destruction des copies existantes dans les systèmes d'information de Sendinblue, à moins que le droit applicable n'en exige la conservation. Sendinblue s'engage à communiquer au Responsable de Traitement, sur demande de celui-ci, la preuve de cette destruction.

5. Assistance et Audit

5 . 1 . Assistance : Xxxxxxxxxx s'engage à faire les meilleurs efforts pour aider le Responsable de Traitement à exécuter son obligation de donner suite aux demandes d'exercice des droits des personnes concernées. Si une telle demande est faite directement auprès Sendinblue, Xxxxxxxxxx ne répondra pas à une telle communication directement sans l'autorisation préalable de l'Utilisateur.

5.2. Audit : Sendinblue met à disposition du Responsable de Traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d'audits, y compris des inspections, aux frais du Responsable de Traitement, par lui-même ou un autre auditeur qu'il a mandaté et à contribuer à ces audits. Ces audits pourront avoir lieu au maximum une (1) fois par année contractuelle.

Le Responsable de Traitement avisera Sendinblue, par écrit, de toute mission d'audit, trente (30) jours ouvrés au moins avant, et communiquera à Sendinblue l'objet de la mission, sa date de démarrage, sa durée envisagée et le nom des auditeurs. Sendinblue pourra récuser les auditeurs sélectionnés qui pourraient être des concurrents directs du Sendinblue.

L'audit ne doit en aucun cas perturber les activités en cours de Sendinblue et sera limité aux activités de traitement des Données Personnelles effectuées par Sendinblue au nom de l'Utilisateur.

Un exemplaire du rapport d'audit sera gratuitement remis à Sendinblue.

6. Transferts de données et Sous-Traitance Ultérieure

6.1. Sous-Traitants Ultérieurs autorisés : l'Utilisateur est informé, et accepte expressément, que dans le cadre de l'exécution du Service, Sendinblue peut avoir recours à des Sous- Traitants Ultérieurs, qui auront accès/traiteront les Données Personnelles confiées par l'Utilisateur. La liste des Sous-Traitants Ultérieurs concernés est disponible xxxxx://xxx.xx/xxxxxxxxxxxxx-XXX-XX-xxx.

6.2. Le Sous-Traitant Ultérieur est tenu de respecter les obligations du présent DPA. Il appartient à Sendinblue de s'assurer que le Sous-Traitant Ultérieur présente les garanties suffisantes quant à la mise en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD. Sendinblue demeure pleinement responsable devant le Responsable de Traitement de l'exécution par le Sous-Traitant Ultérieur de ses obligations.

6.3. Modifications des Sous-Traitants Ultérieurs : en cas de modification de la liste des Sous-Traitants Ultérieurs, Sendinblue en notifiera le Responsable de Traitement par email ou par notification dans le compte client, qui disposera de la possibilité de résilier l'abonnement en cas d'objection. Il est précisé que cette notification comprendra toute information relative à d'éventuels transferts de Données Personnelles en dehors de l’EEE.

Il appartient au Responsable de Traitement de fournir l'information aux personnes concernées par les opérations de traitement au moment de la collecte des données.

7. Divers

Le présent DPA peut être modifié à tout moment. Toutes les modifications sont publiées sur le site web de Sendinblue et portées à la connaissance de l'Utilisateur.

A moins que l'Utilisateur ne résilie les Services par l'envoie d’une lettre recommandée avec accusé de réception dans les trente (30) jours suivant ces changements, l'Utilisateur sera réputé avoir accepté les modifications.

7.2. Le présent DPA a été rédigé en plusieurs langue. La version faisant foi aux fins de l'interprétation du présent DPA sera la version française.

8. Droit Applicable et compétence

Le droit applicable et la juridiction compétente demeurent ceux stipulés dans les CGU.