Dernière révision: 16 mars 2023
Cet avenant relatif au traitement des données (« Avenant » ), fait partie de l'Accord marchand Sezzle (« Accord » ) passé entre : vous (« Entreprise » ) et Sezzle Inc. (« Fournisseur de services » ).
Introduction
A. Le fournisseur de services fournit des services de traitement des paiements (les « Services » ).
B. L'entreprise est responsable de certaines données personnelles (tel que décrit dans la Pièce A) et a choisi d'utiliser les services pour traiter ces informations dans le cadre de l'exécution de l'accord par le fournisseur de services.
C. Les parties souhaitent conclure cet avenant pour garantir que le traitement des données personnelles par le fournisseur de services au nom de l'entreprise est conforme aux directives de l'entreprise et au droit en vigueur en matière de protection des données.
Compte tenu des obligations mutuelles énoncées dans le présent avenant, les parties conviennent de ce qui suit :
1. Définitions.
Les termes suivants auront la signification indiquée dans le présent avenant. Les termes en majuscules qui ne sont pas autrement définis dans le présent avenant ont le sens qui leur est donné dans l'accord marchand.
1.1 « Société affiliée » désigne une entité qui possède ou contrôle, est détenue ou contrôlée par, ou est sous le contrôle ou la propriété commune de l'entreprise ou du fournisseur de services respectivement ; le contrôle étant défini comme la possession, directement ou indirectement, du pouvoir de diriger ou entraîner la direction de la direction et des politiques d'une entité, que ce soit par la propriété de titres avec droit de vote, par contrat ou autrement.
1.2 Droit en vigueur sur la protection des données désigne toutes les lois, statuts et règlements concernant la protection, la confidentialité et la sécurité des données applicables à tout ou partie des données personnelles d'une entreprise, y compris, sans s'y limiter, le règlement général de l'UE sur la protection des données 2016/679 du Parlement et du Conseil européen (Règlement général sur la protection des données: « GDPR » ) ainsi que toute loi modifiant, remplaçant ou succédant au GDPR.
1.3 Données personnelles de l'entreprise désigne les informations relatives à une personne identifiée (ou identifiable), telles que décrites dans la Pièce A et toute autre donnée personnelle traitée par le fournisseur de services ou tout fournisseur de services affilié au nom de l'entreprise ou de tout affilié conformément ou en relation avec l'accord marchand ou tout énoncé des travaux connexe.
1.4 « Responsable » , « Processeur » , « Personne concernée » , « Données personnelles » , « Traiter » , « Traitement » , « Autorité de surveillance » , « Compromission de données personnelles » et « Categories spéciales de données personnelles » ont la même signification qu'au sein du droit en vigueur sur la protection des données.
1.5 « EEE » désigne l'Espace Économique Européen ainsi que tout pays pour lequel la Commission européenne a pris une décision d'adéquation telle que publiée sur https://ec.europa.eu/info/law/law-topic/data-protection_fr.
1.6 « Transfert restreint » signifie le transfert, de l'entreprise au fournisseur, de données personnelles de l'entreprise où (1) les données étaient à l'origine détenues par l'entreprise dans l'EEE, (2) les données seront reçues par le fournisseur de services en dehors de l'EEE, et (3) le transfert serait interdit par le droit en vigueur en matière de protection des données en l'absence des clauses contractuelles types ou d'un autre mécanisme de transfert adéquat approuvé par la Commission européenne.
1.7 Sous-traitant désigne tout processeur (y compris tout tiers ou fournisseur de services affilié) chargé par le fournisseur de services de traiter les données personnelles de l'entreprise au nom de l'entreprise ou de tout affilié de l'entreprise.
2. Traitement des données personnelles de l'entreprise
2.1 Le fournisseur de services peut traiter les données personnelles de l'entreprise conformément aux conditions de l'accord et du présent avenant.
2.2 Le fournisseur de services ne doit pas traiter les données personnelles de la société à des fins autres que celles spécifiées dans l'accord, le présent avenant ou les instructions expresses de l'entreprise dûment documentées. Le fournisseur de services informera immédiatement l'entreprise si, à son avis, une instruction de traitement enfreint le droit en vigueur en matière de protection des données.
2.3 La Pièce A de cet avenant présente certaines informations concernant le traitement par le fournisseur de services des données personnelles de l'entreprise. L'entreprise peut, de temps à autre, apporter des modifications raisonnables à la Pièce A par notification écrite au fournisseur de services lorsque l'entreprise le juge raisonnablement nécessaire pour répondre à ces exigences.
3. « Confidentialité »
Le fournisseur de service doit prendre des mesures raisonnables pour assurer la confidentialité de tout employé, agent ou sous-traitant qui pourrait avoir accès aux données personnelles de l'entreprise. Entre autres choses, le fournisseur de service limitera strictement l'accès aux personnes qui ont besoin d'accéder aux données personnelles de la société aux fins de fournir du service, et exigera contractuellement que toutes les personnes ayant accès aux données personnelles de la société gardent ces données confidentielles.
4. Sécurité
4.1 Le fournisseur de services doit mettre en œuvre des mesures techniques et organisationnelles raisonnables et appropriées pour protéger les données personnelles de l'entreprise.
4.2 Lors de l'évaluation du niveau de sécurité approprié, le fournisseur de services doit prendre en compte les risques qui sont présentés par le traitement, en particulier en cas de destruction accidentelle, non autorisée ou illégale, de perte, d'altération, de dommage, de divulgation ou d'accès, aux données personnelles de l'entreprise – acheminées ou stockées. Le fournisseur de services et les sous-traitants déclarent et garantissent que leur programme de sécurité est documenté selon un cadre accepté par l'industrie (par exemple, CIS, NIST, ISO, etc.).
4.3 L'entreprise aura le droit de résilier l'accord immédiatement, et sans pénalité, dans le cas où le fournisseur de services manque à l'une de ses obligations en vertu du présent avenant après que l'entreprise aura notifié la défaillance et que le fournisseur de services n'aura pas réussi à remédier à la défaillance dans un délai raisonnable. En cas de résiliation, les obligations du fournisseur de services en vertu du présent avenant continueront aussi longtemps que le fournisseur de services aura accès aux données personnelles de l'entreprise.
5. Sous-traitement
5.1 Le fournisseur de services n'engagera aucun sous-traitant pour traiter les données personnelles de l'entreprise, à moins que cela ne soit requis dans le cadre de la fourniture des services ou avec le consentement écrit préalable de la société, ce consentement ne devant pas être refusé de manière déraisonnable. Le fournisseur de services fournira des informations au sujet de ses sous-traitants sur demande de l'entreprise effectuée par écrit.
5.2 En ce qui concerne chaque sous-traitant, le fournisseur de services :
5.2.1 effectuera une diligence raisonnable adéquate envers chaque sous-traitant pour s'assurer de sa capacité à protéger les données personnelles de l'entreprise au niveau requis par le présent avenant, et fournira la preuve de cette diligence raisonnable sur demande de l'entreprise ;5.2.2 inclura dans le contrat entre le fournisseur de services et chaque sous-traitant des conditions matériellement équivalentes à celles énoncées dans le présent avenant ;5.2.3 restera entièrement responsables auprès de l'entreprise des actions ou inactions connues de tout sous-traitant en relation avec le traitement des données personnelles de l'entreprise.
6. Droits des personnes concernées.
6.1 Le fournisseur de services aidera l'entreprise à répondre aux plaintes, communications ou demandes de personnes concernées exerçant leurs droits en vertu des lois en vigueur sur la protection des données relativement aux données personnelles de l'entreprise. Ceci comprend, a minima, maintenir la capacité d'accéder, modifier, supprimer du traitement ou d'effacer ou détruire irrévocablement les données personnelles d'une personne concernée à la demande de l'Entreprise.
6.2 Le fournisseur de services informera rapidement l'entreprise s'il reçoit une demande d'une personne concernée relativement aux données personnelles de l'entreprise, y compris une demande d'une personne concernée d'accéder, de modifier ou de supprimer ses données personnelles. Le fournisseur de services attendra les instructions de l'entreprise concernant la question de savoir si et comment répondre à une telle demande.
7. Compromission de données personnelles.
7.1 Le fournisseur de services informera immédiatement l'entreprise aussitôt que le fournisseur de services ou tout sous-traitant aura pris connaissance d'une compromission des données personnelles affectant les données personnelles de l'entreprise, et fournira à l'entreprise des informations suffisantes pour lui permettre de respecter toute obligation de signaler ou d'informer les personnes concernées ou l'agence/les agences gouvernementale(s) compétente(s) de la compromission des données personnelles en vertu du droit en vigueur en matière de protection des données.
7.2 Le fournisseur de services coopérera, et exigera de tout sous-traitant qu'il coopère, avec l'entreprise et chaque affilié de l'entreprise et prendra des mesures commerciales raisonnables pour porter assistance lors de l'enquête, pour atténuer et pour réparer toute compromission de données personnelles. Dans la mesure raisonnablement encourue en relation avec une compromission de données personnelles en raison de l'action ou de l'inaction du fournisseur de services ou de tout sous-traitant, le fournisseur de services sera responsable : (a) des honoraires convenus d'un commun accord pour les avocats et consultants de l'entreprise ; (b) du coût engendré par la notification des personnes concernées ; (c) des frais engendrés par la notification de tous les organismes gouvernementaux, bureaux de crédit et autres entités requises ; (d) du coût de la fourniture aux personnes concernées de services de surveillance et de protection du crédit pendant douze (12) mois (ou plus, si requis par le droit en vigueur) dans la mesure où la divulgation des données personnelles de la personne concernée pourrait conduire à un compromis du crédit ou de la solvabilité des personnes concernées ou si le droit en vigueur relativement à la protection des données l'exige autrement ; e) du coût de toute autre mesure, généralement convenue ou juridiquement requise, standard de l'industrie ; (f) des amendes ou pénalités attribuables à la compromission des données personnelles. De tels montants dans la présente section 7.b remplacent, et ne sont pas limités par, les limitations de responsabilité prévues dans l'accord. Pour plus de clarté, l'entreprise aura le droit de mener (ou de diriger la mise en œuvre) les mesures décrites dans la présente section 7.b.
8. Évaluation de l'impact sur la protection des données et consultation préalable.
Le fournisseur de services fournira une assistance raisonnable à l'entreprise pour toute évaluation d'impact sur la protection des données requises en vertu des lois en vigueur en matière de protection des données en relation avec le traitement des données personnelles de l'entreprise par le fournisseur de services.
9. Suppression ou retour des données personnelles de l'entreprise.
9.1 Sous réserve de la section 9.b, le fournisseur de services doit, à la demande de l'entreprise ou, en tout état de cause, dans les soixante (60) jours calendaires suivant la date effective de la résiliation du contrat : (a) renvoyer toutes les données personnelles de l'entreprise à celle-ci par transfert de fichier sécurisé dans le format spécifié par l'entreprise au fournisseur de services ; ou (b) supprimer et obtenir la suppression de toutes les copies des données personnelles de l'entreprise traitées par le fournisseur de services ou tout sous-traitant.
9.2 Nonobstant la section 9.a, le fournisseur de services peut conserver les données personnelles de l'entreprise dans la mesure requise par le droit en vigueur, mais uniquement dans la mesure permise et pendant la durée requise par le droit en vigueur. S'il estime qu'il existe une telle exigence légale, le fournisseur de services en informera l'entreprise par écrit. Si le droit l'astreint à conserver les données personnelles de l'entreprise, le fournisseur de services continuera d'assurer la confidentialité de ces données personnelles de l'entreprise et ne traitera les données personnelles de l'entreprise que pour satisfaire aux exigences légales applicables.
10. À la demande de l'entreprise, le fournisseur de services mettra rapidement à la disposition de l'entreprise toutes les informations raisonnablement nécessaires pour démontrer la conformité à cet avenant.
10.1 À la demande de l'entreprise, le fournisseur de services mettra rapidement à la disposition de l'entreprise toutes les informations raisonnablement nécessaires pour démontrer la conformité à cet avenant.
13.2 En plus du droit d'audit accordé conformément à l'accord, le fournisseur de services permettra et contribuera aux audits, y compris inspections, par l'entreprise ou un auditeur convenu d'un commun accord (« Auditeur » ) de tout local où le traitement des données personnelles de l'entreprise a lieu afin d'évaluer la conformité avec le présent avenant, et fournira un accès raisonnable à l'auditeur dans le but d'inspecter, auditer et copier documentation pertinente, processus et documents relatifs aux systèmes afin que l'entreprise puisse s'assurer que les dispositions du présent avenant sont respectées.
11. Transfert international de données.
Dans la mesure où l'accord implique un transfert restreint, le fournisseur de services accepte de coopérer avec l'entreprise pour prendre les mesures appropriées pour se conformer au droit en vigueur en matière de protection des données.
12. Termes généraux.
Toute obligation imposée au fournisseur de services en vertu du présent avenant en relation avec le traitement des données personnelles survivra à la résiliation ou expiration de cet avenant. Dans le cas où une disposition de cet avenant s'avèrerait invalide ou inapplicable, le reste de l'avenant restera valide et en vigueur. La disposition invalide ou inapplicable sera soit : (a) modifiée si nécessaire pour garantir sa validité et son caractère exécutoire, tout en préservant l'intention de la disposition autant qu'il sera possible ou, si cela n'est pas possible, (b) interprétée comme si la partie invalide ou inapplicable n'y avait jamais été contenue. L'entreprise et le fournisseur de services reconnaissent et acceptent expressément que cet avenant comprend des dispositions traitées dans d'autres parties de l'accord marchand. L'entreprise et le fournisseur de services conviennent par le présent document que les conditions générales ci-incluses seront ajoutées en tant qu'avenant à l'accord marchand. Cet avenant et les autres parties de l'accord marchand doivent être lus ensemble et interprétés, dans la mesure du possible, conjointement l'un avec l'autre. En cas de conflit entre l'accord et le présent avenant, les dispositions qui assurent la plus grande protection des données personnelles de l'entreprise prévaudront ; à condition, toutefois, qu'en aucun cas le présent avenant ne soit réputé éliminer, limiter ou autrement diminuer les obligations ou engagements du fournisseur de services envers l'entreprise en vertu de certaines dispositions de l'accord.
PIÈCE A : DÉTAILS DU TRAITEMENT DES DONNÉES PERSONNELLES DE L'ENTREPRISE
1. Objet et durée du traitement des données personnelles de l'entreprise
L'objet et la durée du traitement des données personnelles de l'entreprise sont définis dans l'accord marchand.
2. Nature et objectif du traitement des données personnelles de l'entreprise
La nature et les objectifs du traitement tels que définis dans l'accord marchand.
3. Types de données personnelles de l'entreprise à traiter
Comme indiqué dans l'accord marchand.
4. Les catégories de personnes concernées auxquelles se rapportent les données personnelles de l'entreprise
Comme indiqué dans l'accord marchand.