Heading 1

Introduction

L'Accord de protection des données (ci-après l'"Accord") a pour objet de régir l'utilisation des données personnelles des Clients (ci-après le "Client") de Getheroes SAS (ci-après le "Sous-traitant") utilisant son service ZELIQ (ci-après le "Service").

Définitions

Tous les termes relatifs à la réglementation applicable en matière de protection des données personnelles utilisés dans l'Accord sont définis à l'article 4 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après "RGPD").

Rôle des Parties

Au titre de l'Accord, le Client agit en qualité de responsable du traitement des données à caractère personnel et le Sous-traitant agit en qualité de sous-traitant au sens de l'article 28 du RGPD (ci-après, ensemble, les "Parties").

Documents contractuels et durée

L'Accord, qui constitue une annexe indivisible du contrat conclu entre le Client et le Sous-traitant pour l'utilisation du Service (ci-après le "Contrat"), est applicable pendant toute la durée de la relation contractuelle existante entre les Parties.

En cas de contradiction entre le Contrat conclu pour l'utilisation du Service et l'Accord, les obligations énoncées dans l'Accord prévaudront sur le Contrat en ce qui concerne les règles applicables en matière de protection des données.

Déclarations et engagements

Le Sous-traitant déclare qu'il respecte l'ensemble des règles applicables en matière de protection des données personnelles et présente toutes les garanties suffisantes pour répondre aux exigences du RGPD dans le cadre de la fourniture du Service.

Le Sous-traitant déclare que l'ensemble du personnel interne et externe amené à traiter les données personnelles du Client est lié par une clause de confidentialité, une charte des systèmes d'information ou tout autre document juridique contraignant, et reçoit régulièrement des formations et des sensibilisations.

Le Sous-traitant déclare que le Service a été conçu dans le respect des règles de "Privacy by design" et "Privacy by default" et que, par conséquent, le Service est accompagné de fonctionnalités permettant au Client de se conformer à ses obligations en tant que responsable du traitement.

Instructions documentées

Le Sous-traitant s'engage à utiliser les données personnelles du Client dans le cadre de l'utilisation du Service uniquement sur instruction documentée du Client.

La liste des traitements effectués est détaillée en annexe ou peut être fournie sur demande.

Sécurité

Le Sous-traitant s'engage à garantir la sécurité des données personnelles du Client et à mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires pour son Service.

L'ensemble des mesures techniques et organisationnelles de sécurité est détaillé en annexe du présent Accord ou est fourni sur demande.

Violation de données personnelles

Le Sous-traitant s'engage à notifier au Client, conformément aux obligations énoncées à l'article 28 du RGPD, dans les meilleurs délais après en avoir pris connaissance, toute violation de données personnelles susceptible d'affecter les données personnelles du Client.

Le Sous-traitant s'engage à communiquer, dans les meilleurs délais après en avoir pris connaissance, toutes les informations nécessaires et requises en sa possession pour réduire les effets de la violation de données personnelles subie et pour permettre au Client de prendre des mesures de sauvegarde et de protection adéquates.

Sauf accord contraire entre les Parties, le Sous-traitant n'est pas autorisé à prendre en charge les notifications de violations de données personnelles auprès de l'autorité de contrôle compétente et à informer, pour le compte du Client, les personnes concernées par les traitements effectués dans le cadre du Contrat.

Aide et assistance

Le Sous-traitant fournira au Client, sur demande écrite, toutes les informations nécessaires et requises sur les mesures techniques et organisationnelles de sécurité à mettre en œuvre pour garantir la sécurité de ses données personnelles.

Le Sous-traitant fournira au Client, sur demande écrite, toutes les informations nécessaires et requises pour assurer la réalisation d'une analyse d'impact ("AIPD").

Le Sous-traitant s'engage à notifier au Client dans les meilleurs délais après en avoir pris connaissance toute demande d'exercice de droits adressée au Client.

Sur demande écrite du Client, le Sous-traitant effectuera les actions nécessaires pour permettre au Client de remplir son obligation de répondre aux demandes des personnes concernées.

Responsabilité

Le Sous-traitant ne pourra jamais être tenu responsable d'une utilisation du Service par le Client non conforme aux règles applicables en matière de protection des données personnelles.

Le Sous-traitant n'est pas tenu de gérer les demandes d'exercice de droits personnels à la place et pour le compte du Client. Toute demande supplémentaire de gestion de ce type peut être refusée et, le cas échéant, faire l'objet d'une facturation supplémentaire.

Le Sous-traitant n'est pas tenu d'assurer ou d'auditer la sécurité du Client ou de réaliser des AIPD pour et au nom du Client. Toute demande supplémentaire d'informations peut être refusée et, le cas échéant, faire l'objet d'une facturation supplémentaire.

Suppression des données personnelles

Le Sous-traitant supprime les données personnelles du Client à l'issue du terme d'exécution du Contrat conclu dans le cadre de l'utilisation du Service et accepte que le Sous-traitant puisse, lorsque cela est techniquement possible, anonymiser les données personnelles du Client à des fins statistiques.

Le Sous-traitant certifiera au Client, sur demande écrite, que ses données personnelles et toutes les copies existantes de celles-ci ont été effectivement supprimées.

Le Client doit récupérer ses données personnelles avant la fin de l'Accord. À défaut, le Client ne pourra plus récupérer ses données personnelles, la suppression des données personnelles étant irréversible.

Le Client reste seul responsable de la perte de données personnelles suite à la suppression des données à l'issue de l'Accord.

Audits

Le Client a le droit de réaliser un audit sous forme de questionnaire écrit une fois par an pour vérifier le respect du présent Accord. Le questionnaire a force d'engagement sous serment liant le Sous-traitant.

Le questionnaire peut être envoyé sous toute forme au Sous-traitant, qui s'engage à y répondre dans un délai maximum de deux mois à compter de sa réception.

Le Client dispose également du droit de réaliser un audit dans les locaux du Sous-traitant, à ses propres frais, une fois par an uniquement en cas de violation de données ou de manquement avéré et démontré aux règles applicables en matière de protection des données et au présent Accord.

Un audit dans les locaux du Sous-traitant peut être réalisé soit par le Client, soit par un tiers indépendant désigné par le Client et doit être notifié par écrit au Sous-traitant au moins trente (30) jours avant l'audit.

Le Sous-traitant a le droit de refuser le choix du tiers indépendant si ce dernier est i) un concurrent ou ii) en pré-contentieux ou en litige avec le Sous-traitant. Dans ce cas, le Client s'engage à sélectionner un nouveau tiers indépendant pour réaliser l'audit.

Le Sous-traitant peut refuser l'accès à certaines zones pour des raisons de confidentialité ou de sécurité. Dans ce cas, le Sous-traitant réalise l'audit dans ces zones à ses propres frais et communique les résultats au Client.

En cas d'écart identifié lors de l'audit, le Sous-traitant s'engage à mettre en œuvre, sans délai, les mesures nécessaires pour se conformer au présent Accord.

Transferts de données hors de l'Union européenne

Le Sous-traitant s'engage à prendre toutes les mesures nécessaires pour ne pas transférer les données personnelles du Client en dehors de l'Union européenne ou pour ne pas recruter de sous-traitants ultérieurs situés en dehors de l'Union européenne.

Coopération avec les autorités de contrôle

Lorsque cela concerne les traitements effectués dans le cadre de l'Accord, le Sous-traitant s'engage à fournir, sur demande, toutes les informations nécessaires pour permettre au Client de coopérer avec l'autorité de contrôle compétente.

Contact

Le Client et le Sous-traitant désignent chacun une personne de contact pour le présent Accord, qui sera le destinataire des différentes notifications et communications à effectuer dans le cadre de l'Accord.

Le Sous-traitant informe le Client qu'il a désigné Dipeeo SAS en qualité de Délégué à la Protection des Données, qui peut être contacté à l'adresse suivante :

Adresse e-mail : privacy@zeliq.comAdresse postale : Société Dipeeo SAS, 95 avenue du Président Wilson, 93100 Montreuil, FranceNuméro de téléphone : 01 59 06 81 85

Révision

Le Sous-traitant se réserve le droit de modifier le présent Accord en cas de modifications des règles applicables en matière de protection des données personnelles qui auraient pour effet de modifier l'une quelconque de ses dispositions.

Loi applicable et juridiction

Le présent Accord est régi par le droit français. Tout litige survenant dans le cadre de l'exécution du présent Accord sera soumis à la compétence exclusive des tribunaux du ressort de la Cour d'appel du lieu où le Sous-traitant est domicilié.

Certifié par Dipeeo ®.

‍