Accord de traitement des données

Le présent accord de traitement des données (« Accord ») fait partie des conditions générales et s’applique dans la mesure où Seviranta — nom commercial de 1Star BV, Zonnehorst 5, 7207 BT Zutphen, Pays-Bas, Chambre de commerce (KvK) 65195876 (« Sous-traitant ») — traite des données à caractère personnel pour le compte du Client (« Responsable du traitement ») dans le cadre du service payant. Les termes ont le sens défini dans le Règlement général sur la protection des données (« RGPD »).

1. Objet, nature et durée

Le Sous-traitant traite les données à caractère personnel uniquement pour fournir le service convenu : tester et surveiller en continu le ou les sites web du Client en matière d’accessibilité, conserver les Rapports/le Dossier associés, et gérer le compte et la facturation. L’Accord dure aussi longtemps que le Sous-traitant traite des données à caractère personnel pour le Client.

2. Catégories de données à caractère personnel et personnes concernées

• Données : données de compte et de contact (nom, adresse e-mail, nom de l’entreprise), données de facturation (adresse de facturation, numéro de TVA) et données d’utilisation/d’abonnement. Les pages web scannées sont publiques et sont testées uniquement sur le plan technique en matière d’accessibilité.
• Personnes concernées : les personnes de contact et les utilisateurs du Client.
• Aucune catégorie particulière de données à caractère personnel n’est traitée.

3. Instructions

Le Sous-traitant traite les données à caractère personnel uniquement sur la base des instructions documentées du Client — y compris le présent Accord et l’utilisation du service — sauf obligation légale contraire. Si le Sous-traitant estime qu’une instruction enfreint le RGPD, il le signale.

4. Confidentialité

Le Sous-traitant veille à ce que les personnes qui traitent les données à caractère personnel soient tenues à la confidentialité.

5. Sécurité

Le Sous-traitant prend des mesures techniques et organisationnelles appropriées (RGPD art. 32), notamment le chiffrement en transit (TLS), le stockage chiffré des mots de passe, l’accès selon le principe du besoin d’en connaître (moindre privilège), un contrôle d’accès au niveau des lignes dans la base de données, et un traitement de préférence au sein de l’UE.

6. Sous-traitants ultérieurs

Le Client donne une autorisation générale pour le recours à des sous-traitants ultérieurs. Le Sous-traitant impose à chaque sous-traitant ultérieur au moins les mêmes obligations que celles du présent Accord, et sélectionne en priorité des partenaires avec un stockage des données dans l’UE. Fonctionnellement, il s’agit notamment : d’un partenaire base de données/authentification/stockage, d’une infrastructure de scan et de surveillance, d’un hébergement de site web, d’un prestataire de paiement, d’un prestataire d’e-mails transactionnels et d’un partenaire d’infrastructure/sécurité.

Une liste à jour des sous-traitants ultérieurs spécifiques (avec nom, fonction et localisation) est disponible pour le Client sur demande. En cas de modification envisagée des sous-traitants ultérieurs, le Sous-traitant en informe le Client au préalable, afin qu’il puisse s’y opposer.

7. Assistance

Compte tenu de la nature du traitement, le Sous-traitant fournit au Client une assistance raisonnable pour répondre aux demandes des personnes concernées (accès, rectification, effacement, etc.) et pour respecter les obligations découlant des articles 32 à 36 du RGPD (sécurité, violations de données, analyse d’impact relative à la protection des données).

8. Violations de données

Le Sous-traitant informe le Client sans retard injustifié après avoir pris connaissance d’une violation de données à caractère personnel, avec les informations pertinentes disponibles, afin que le Client puisse satisfaire à son obligation de notification.

9. Restitution et effacement

À l’expiration, le Sous-traitant efface les données à caractère personnel ou les restitue, au choix du Client, à l’exception des données que le Sous-traitant est légalement tenu de conserver (telles que les factures soumises à l’obligation de conservation fiscale). Le Client peut exporter lui-même le Dossier avant l’expiration.

10. Audits

Le Sous-traitant met à la disposition du Client les informations nécessaires pour démontrer le respect du présent Accord et coopère à des audits raisonnables, sur rendez-vous et dans le respect de la confidentialité et de la continuité du service.

11. Transferts hors de l’EEE

Si un sous-traitant ultérieur traite des données en dehors de l’Espace économique européen, cela se fait avec des garanties appropriées telles que requises par le RGPD (par exemple, les clauses contractuelles types de la Commission européenne).

12. Législation applicable en matière de protection des données (régimes internationaux)

Le présent Accord est rédigé avec le RGPD (GDPR) comme norme la plus élevée. Dans la mesure où une autre législation sur la protection des données s’applique à un traitement, les dispositions du présent Accord s’appliquent également mutatis mutandis sous cette législation — y compris le UK GDPR (Royaume-Uni), la loi suisse (nLPD) et les lois d’État américaines applicables (telles que la CCPA/CPRA). Pour les transferts internationaux, les mécanismes reconnus correspondants s’appliquent dans la mesure pertinente : les clauses contractuelles types de l’UE (SCC), l’UK International Data Transfer Addendum (IDTA) et l’addendum suisse. Le Sous-traitant privilégie un stockage des données dans l’UE.

13. Californie (CCPA/CPRA)

Dans la mesure où le Sous-traitant traite des données à caractère personnel relevant du California Consumer Privacy Act (CCPA), tel que modifié par le CPRA, le Sous-traitant agit en tant que « service provider ». Le Sous-traitant : (a) ne vend ni ne partage ces données (pas de « sale » ni de « share » au sens de la CCPA) ; (b) les traite uniquement aux fins commerciales décrites dans le présent Accord et non à ses propres fins commerciales ; (c) ne les conserve, n’en use ni ne les divulgue en dehors de la relation commerciale directe avec le Client ; et (d) fournit au Client une assistance raisonnable pour les demandes des personnes concernées au titre de la CCPA.

14. Clause finale

En cas de conflit entre le présent Accord et les conditions générales, le présent Accord prévaut en ce qui concerne le traitement des données à caractère personnel. Le présent Accord est régi par le droit néerlandais. Des questions ou un exemplaire signé ? info@seviranta.com.