AVENANT RGPD

AVENANT RGPD

AU CONTRAT D’ABONNEMENT AU SERVICE SIDETRADE

Cet Avenant RGPD complète le Contrat d’Abonnement au Service Sidetrade (le “Contrat d’Abonnement”) et définit les stipulations additionnelles qui s’appliquent lorsque Sidetrade assure le traitement de données à caractère personnel dans le cadre du Contrat d’Abonnement. L’objet de cet Avenant RGPD est d’assurer que de telles opérations de traitement sont conduites en accord avec les lois applicables, en ce compris à compter du 25 mai 2018 le Règlement 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (« Règlement Général sur la Protection des Données » ou RGPD).

Dans cet avenant, les termes « traitement », « responsable de traitement », « sous-traitant »,

« personne concernée », « données à caractère personnel » et « violation de données à caractère personnel » ont le sens qui leur est donné par le RGPD.

I – DONNEES A CARACTERE PERSONNEL TRAITEES PAR SIDETRADE POUR LE COMPTE DU CLIENT

1. TRAITEMENT DES DONNEES A CARACTERE PERSONNEL DU CLIENT

1.1 Rôle des Parties - les parties reconnaissent et admettent qu’en ce qui concerne le traitement des données à caractère personnel, le Client est le responsable de traitement et désigne Sidetrade en qualité de sous-traitant aux fins de traiter des données à caractère personnel pour le compte du Client.

1.2 Durée du traitement - Sidetrade traitera les données à caractère personnel en application de cet Avenant RGPD jusqu’à la date la plus précoce entre (i) l’expiration du Contrat d’Abonnement ou

(ii) la date à laquelle le Client informe Sidetrade que le traitement n’est plus nécessaire au regard de ses finalités définies par le Client (un tel évènement ne pouvant avoir d’effet à l’égard d’autres obligations contractuelles du Client, notamment au titre de ses obligations financières).

1.3 Nature et finalités du traitement - Sidetrade traitera les données à caractère personnel aux fins nécessaires à la fourniture du Service Sidetrade conformément au Contrat d’Abonnement et aux instructions additionnelles du Client, pour autant qu’elles soient compatibles avec les termes du Contrat d’Abonnement. Sidetrade n’agira que sur les instructions du Client et se conformera à ses instructions reçues de temps à autre.

1.4 Type de données à caractère personnel – Le Client est susceptible de fournir des données à caractère personnel pour l’exécution du Service Sidetrade, dont la portée est déterminée et contrôlée par le Client et qui peuvent inclure, mais ne sont pas limitées aux types suivants de

données à caractère personnel : nom et prénom, titre/poste, employeur, information de contact (société, courriel, téléphone, adresse professionnelle, adresse de réseau social).

1.5 Catégories de personnes concernées – Le Client est susceptible de fournir des données à caractère personnel pour l’exécution du Service Sidetrade, dont la portée est déterminée et contrôlée par le Client et qui peuvent inclure, mais ne sont pas limitées aux catégories suivantes de personnes concernées : clients, salariés, prospects, partenaires.

1.6 Registre des activités de traitement – Sous réserve de l’applicabilité des conditions de l’article 30 du RGPD, Sidetrade conservera un registre de ses activités de traitement par sous-traitance.

2. PERSONNEL DE SIDETRADE

2.1 Confidentialité - Sidetrade devra s’assurer que son personnel prenant part au traitement de données à caractère personnel est informé de la nature confidentielle de ces données et a reçu une formation appropriée sur sa responsabilité à ce titre.

2.2 Fiabilité – Sidetrade prendra les mesures raisonnablement nécessaires pour s’assurer de la fiabilité de son personnel prenant part au traitement des données à caractère personnel du Client et pour limiter l’accès à ces données aux personnes qui doivent les connaître ou y avoir accès pour assurer la fourniture du Service Sidetrade.

3. SECURITE

3.1 Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, Sidetrade mettra en œuvre des mesures techniques et organisationnelles appropriées aux risques et visant à protéger les données à caractère personnel de la destruction accidentelle ou illicite, de la perte, de l'altération, de la divulgation, de l’accès ou de l’utilisation non autorisés, en accord avec les standards de sécurité de Sidetrade.

4. VIOLATION DE DONNEES A CARACTERE PERSONNEL

4.1 En cas de connaissance d’une violation de données à caractère personnel, Sidetrade devra le notifier au Client dans les meilleurs délais et dans un délai de soixante-douze (72) heures au plus. Sidetrade fournira au Client toute information qu’il pourrait raisonnablement solliciter aux fins de permettre au Client de remplir ses propres obligations en matière de violation de données à caractère personnel en application de la législation applicable dans l’Union Européenne.

4.2 Sidetrade fera ses efforts raisonnables pour identifier la cause d’une telle violation de données à caractère personnel et pour prendre les mesures qu’elle jugera nécessaires et raisonnables pour remédier à la cause d’un tel incident, dès lors que de telles mesures sont raisonnablement sous son contrôle. Ses obligations ne seront pas applicables dès lors que les violations sont causées par le Client ou ses Utilisateurs.

5. DROITS DES PERSONNES CONCERNEES

5.1 En tenant compte de la nature du traitement, Sidetrade assistera le Client en mettant dans la mesure du possible en œuvre des mesures techniques et organisationnelles visant à permettre au Client de respecter ses obligations de réponse aux requêtes des personnes concernées exerçant leurs droits.

5.2 Si le Client n’est pas en mesure de répondre à une requête présentée par une personne concernée, Sidetrade pourra être amenée, à la demande du Client, à lui fournir une assistance raisonnable, dans la mesure du possible, aux frais du Client dans la mesure autorisée par la loi.

6. COOPERATION

6.1 Sidetrade fournira au Client une assistance raisonnable en relation avec les investigations et enquêtes faites par l’autorité de contrôle au sujet des obligations du Client au regard de la législation sur les données à caractère personnel.

6.2 Sidetrade devra fournir au Client une assistant raisonnable en relation avec les obligations du Client liées au respect de l’article 28 du RGPD.

7. SOUS-TRAITANCE

7.1 Le Client accepte que Sidetrade engage des tiers sous-traitants pour la fourniture du Service Sidetrade. Sidetrade devra mettre à la disposition du Client la liste actuelle de ses sous-traitants pour le Service Sidetrade. Sidetrade devra imposer à ces sous-traitants des stipulations qui protègent les données à caractère personnel selon les mêmes standards que ceux de Sidetrade.

7.2 Le Client trouvera la documentation relative à la sous-traitance sur la page ‘en ligne’ convenue avec Sidetrade à cet effet, ainsi qu’un mécanisme lui permettant de recevoir des notifications en cas de nouveaux sous-traitants. Le Client pourra s’opposer au choix d’un nouveau sous-traitant effectué par Xxxxxxxxx en le notifiant à cette dernière par lettre recommandée avec accusé de réception dans les quinze (15) jours de la réception de la notification correspondante, en détaillant les raisons de cette opposition. Dans un tel cas, Xxxxxxxxx fera ses efforts raisonnables pour proposer au Client une modification rationnelle de sa configuration ou de son usage du Service Sidetrade.

8. AUDIT

8.1 Sans préjudice de l’application des obligations de confidentialité du Contrat d’Abonnement et au maximum une fois par an, Sidetrade autorise le Client ou un auditeur contractuellement mandaté par le Client à conduire des audits ou des inspections sur place, pendant les heures normales de bureau, moyennant le respect d’un préavis de quinze (15) jours, pour vérifier la conformité des prestations de Sidetrade à la législation sur les données à caractère personnel.

8.2 Avant le début d’un tel audit, le Client et Sidetrade devront s’entendre mutuellement sur le périmètre, les dates et la durée de l’audit. Si l’identité de l’auditeur est de nature à faire craindre un conflit d’intérêt ou un trouble concurrentiel, Sidetrade aura le droit de solliciter du Client qu’il nomme un autre auditeur parfaitement neutre.

8.3 Le Client prendra toutes les précautions nécessaires pour que l’audit ne cause aucun dommage quel qu’il soit aux équipements, données, activités, personnel et locaux de Sidetrade.

9. SUPPRESSION OU RENVOI AU CLIENT DES DONNEES A CARACTERE PERSONNEL

9.1 Hormis en cas d’obligation légale pour Sidetrade de conserver certaines données, au terme ou à l’expiration du Contrat d’Abonnement et du Bon de Commande correspondant, Sidetrade devra supprimer les données pertinentes du Client à caractère personnel, dans les quarante-cinq (45) jours de ce terme ou de cette expiration.

9.2 Durant cette période de quarante-cinq (45) jours, le Client pourra, par le biais d’une notification écrite adressé à Sidetrade, solliciter spécifiquement un renvoi d’une copie complète de toutes les données à caractère personnel pertinentes, dans un format raisonnable. Sidetrade pourra, à sa seule discrétion, accepter de procéder à un tel renvoi, dans des conditions qui feront l’objet d’un accord mutuel des parties.

10. TRANSFERTS

10.1 Le Client reconnaît et accepte que la fourniture du Service Sidetrade puisse nécessiter le traitement de données à caractère personnel par des sous-traitants situés hors de l’Espace Economique Européen.

10.2 Dans l’hypothèse où une activité de traitement de données à caractère personnel aurait lieu dans un pays extérieur à l’Espace Economique Européen (et hors d’un “pays de protection adéquate”), les parties acceptent que s’appliquent les clauses contractuelles types approuvées par l’autorité compétente de l’Union Européenne pour le transfert de données à caractère personnel

vers des sous-traitants établis dans des pays tiers. Dans ce cas, Xxxxxxxxx sera autorisée à signer ces clauses contractuelles au nom et pour le compte du Client.

11. OBLIGATIONS DU CLIENT

11.1 Le Client devra assurer la prise en charge de toute requête formulée par une personne concernée liée à son droit d’accès, de rectification, d’effacement, d’opposition, de portabilité ou tout autre droit lié à ces données à caractère personnel.

11.2 Le Client devra fournir à Sidetrade toute information raisonnablement nécessaire au traitement des données à caractère personnel et, dans l’hypothèse où le Client modifierait les finalités et les moyens de traitement, il devra informer Sidetrade en conséquence afin que les opérations de traitement puissent continuer de tenir compte de la nature, du périmètre, du contexte et des finalités de traitement. En particulier, le Client ne devra pas opérer des traitements de catégories particulières de données au sens de l’article 9 du RGPD ou de données présentant un degré de probabilité et de gravité pour les droits et libertés des personnes physiques sans procéder à tout avertissement utile de Sidetrade par écrit et à l’avance. Dans la mesure autorisée par la loi, le Client sera responsable de tous éventuels coûts engagés en pareille hypothèse.

12. DIVERS

12.1 Hors modification prévue en application de cet Avenant RGPD, le Contrat d’Abonnement demeurera pleinement applicable entre les parties.

12.2 En cas de contradiction expresse entre une stipulation du Contrat d’Abonnement et une stipulation de cet Avenant RGPD, les stipulations de cet Avenant RGPD prévaudront.

II - DONNEES A CARACTERE PERSONNEL FOURNIES AU CLIENT PAR SIDETRADE

1. Pour les activités de fourniture de données à caractère personnel par Sidetrade, à partir de ses propres bases de données, au Client, Sidetrade accordera au Client un droit d’accès non-exclusif, non licenciable, non cessible, non transférable pour la durée convenue, pour l’Union européenne et pour les seuls besoins du Client en matière de marketing direct B2B (business to business) pour ses propres produits et services.

2. En faisant usage des données à caractère personnel fournies par Sidetrade, le Client agit en qualité de responsable de traitement. En conséquence, il doit prendre toutes mesures nécessaires pour s’assurer que son utilisation desdites données est conforme aux lois Européennes applicables en matière de protection des données à caractère personnel, en particulier au titre des principes

applicables aux traitements, à l’information des personnes concernées et aux modalités d’exercice des droits des personnes concernées. En particulier, le Client :

a) ne rendra pas les données à caractère personnel disponibles auprès de tout tiers non autorisé, ni ne donnera en licence, ne vendra, ne louera, ne transfèrera, ne publiera, ne distribuera ou ne divulguera ces données de quelque manière que ce soit qui ne serait pas permise par Xxxxxxxxx ;

b) garantit qu’il utilise des processus opérationnels et techniques appropriés, conformément aux meilleures pratiques du commerce, pour protéger les données à caractère personnel contre tout accès non-autorisé, perte, destruction, vol, utilisation illicite ou divulgation frauduleuse ou abusive ;

c) n’utilisera pas les données à caractère personnel de manière ou à des fins illégales ou inappropriées, en particulier en envoyant directement ou indirectement des messages indésirables (« spams ») ;

d) se conformera à toute législation applicable en matière de marketing direct, en particulier l’article 95 du RGPD et la Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (indication claire de son identité complète dans tout message de marketing direct, existence d’un lien direct avec les activités professionnelles du récipiendaire, information du récipiendaire de son droit d’opposition, exerçable sans charge et par un mécanisme aisé à utiliser, …) et toute éventuelle législation subséquente ;

e) cessera immédiatement de faire usage des données à caractère personnel de personnes concernées ayant fait valoir leur droit d’opposition et informera Sidetrade de toute opposition.

3. Sidetrade pourra mettre à jour les données à caractère personnel, notamment pour tenir compte de droits d’opposition, de la disponibilité de sources de données ou de son obligation de se conformer à une demande, injonction ou requête administrative ou judiciaire.

4. Le Client reconnaît que Xxxxxxxxx n’a pas de contrôle sur l’usage effectif que le Client fait, sous son entière responsabilité, des données à caractère personnel.

5. Sidetrade ne donne pas de garantie sur le fait que les données à caractère personnel sont sans erreur, complètes ou qu’elles rempliront les attentes ou demandes du Client. Sidetrade ne saurait encourir aucune responsabilité pour toute réclamation relative à une mauvaise utilisation ou à une utilisation non autorisée des données à caractère personnel, spamming compris. Le Client est responsable à l’égard de Sidetrade de tout dommage (direct, indirect, matériel ou immatériel) causé à Sidetrade ou à un tiers résultant du non-respect, par le Client, de ses obligations légales et contractuelles en matière de marketing direct B2B.