Bizzon Addenda relatif au traitement des données

Aux fins du présent Addenda, les termes en majuscules ont le sens qui leur est donné dans la présente Clause ou tel qu'entendu dans le présent Addenda. Les termes en majuscules qui ne sont pas autrement définis dans le présent ont le sens qui leur est donné dans l'Accord ou dans les Conditions.

« Affilié » désigne, en ce qui concerne une entité, toute autre entité qui contrôle directement ou indirectement, est contrôlée par, ou est sous contrôle commun d'une autre entité. Une entité contrôle, directement ou indirectement, une autre entité si ladite entité possède soit (i) 20 % ou plus des actions assorties du droit de vote lors de l'élection des administrateurs de ladite entité ; soit (ii) le pouvoir d'orienter ou d'influer la gestion ou les mesures de ladite entité, que ce soit par la possession de titres à droit de vote, par contrat, ou autrement ;

« Utilisateur autorisé » désigne toute personne autorisée par le Marchand à accéder au Compte et à fournir des instructions à Bizzon et à recevoir des communications de la part de Bizzon, nonobstant qu'elles soient fournies via le Compte, via e-mail ou autrement ;

« Responsable de traitement » désigne toute personne ou toute entité qui détermine les finalités et les modalités de traitement des données à caractère personnel ;

« Législation relative à la protection des données » désigne les règlements européens sur la protection des données, les lois du Royaume-Uni en matière de protection des données, le CCPA et toute autre législation applicable en matière de confidentialité des données du pays d'enregistrement de Bizzon ;

« Personne concernée » désigne toute personne identifiée ou identifiable à laquelle se rapportent les données à caractère personnel ;

« Règlements européens sur la protection des données » désigne le RGPD et la Directive Vie privée et communications électroniques 2002/58/CE ;

« RGPD » désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;

« Personnel » désigne les employés, agents, consultants, sous-traitants et autres tiers engagés par Bizzon afin que Bizzon puisse remplir ses obligations envers le Marchand en vertu du Contrat ou du présent Addenda ;

« Données à caractère personnel » désigne toute information qui se rapporte à (i) une personne physique identifiée ou identifiable ; ou (ii) une personne morale identifiée ou identifiable (lorsque ces informations sont protégées par la législation relative à la protection des données de manière similaire aux données qui identifient un individu) et qui est traitée dans le cadre du présent Addenda ;

« Traitement » désigne toute opération ou ensemble d'opérations portant sur des données à caractère personnel, que ce soit par des moyens automatiques tels que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou l’altération, l'extraction, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou la combinaison, la restriction, l’effacement ou la destruction ;

« Sous-traitant » ou « Sous-traitant ultérieur » désigne toute personne ou toute entité qui traite les données à caractère personnel pour le compte d'un Responsable de traitement ou d'un Sous-traitant, selon le cas ;

« Clauses contractuelles types » désigne les clauses contractuelles types annexées à la décision d'exécution 2021/914 du 4 juin 2021 de la Commission européenne ;

« Autorité de surveillance » désigne une autorité publique indépendante établie par un État membre de l'Union européenne ou tout autre pays conformément au RGPD ou à une loi correspondante ;

« Lois du Royaume-Uni en matière de protection des données » désigne toutes les lois relatives à la protection des données, au traitement des données à caractère personnel, à la vie privée et aux communications électroniques en vigueur en Angleterre et au Pays de Galles, y compris le RGPD britannique ainsi que la loi relative à la protection des données de 2018 (Data Protection Act 2018) ; et

« RGPD britannique » désigne le RGPD tel qu'inscrit dans la législation en vigueur en Angleterre et au Pays de Galles en vertu de la section 3 de la loi britannique European Union (Withdrawal) Act 2018.

2.1. Traitement des données à caractère personnel. Bizzon et le Marchand reconnaissent que le Marchand agit en qualité de Responsable de traitement ou en qualité de Sous-traitant au regard des données à caractère personnel. Bizzon s’engage à traiter les données à caractère personnel uniquement en qualité de Sous-traitant ou en qualité de Sous-traitant ultérieur (selon ce qui est applicable à l'utilisation des Services du Marchand) pour le compte du Marchand et uniquement dans la mesure et de la manière nécessaire aux fins spécifiées par et conformément au présent Addenda, au Contrat, sauf instructions contraires fournies par le Marchand. Lorsque Bizzon estime raisonnablement que l'instruction du Marchand est contraire : (i) aux lois et règlements applicables ou (ii) aux dispositions prévues dans le Contrat ou l'Addenda, Bizzon s’engage à faire tous les efforts raisonnables pour en informer le Marchand et est autorisé à différer l'exécution de l'instruction concernée jusqu'à ce qu'elle ait été modifiée par le Marchand dans la mesure requise par Bizzon pour s'assurer de la licéité de ladite instruction, ou jusqu'à ce que le Marchand et Bizzon conviennent mutuellement de la licéité de ladite instruction.

2.2. Mesures techniques et organisationnelles. Bizzon s’engage à maintenir et à mettre en œuvre des mesures techniques et organisationnelles raisonnables et appropriées qui visent à protéger les données à caractère personnel contre la destruction accidentelle ou illégale ou la perte accidentelle, l'altération, l'accès ou la divulgation non autorisés, au regard de la sécurité des données à caractère personnel et des plateformes utilisées pour fournir les Services, tels que décrits dans la législation relative à la protection des données. Bizzon est en droit, dans le cadre de la mise en œuvre de telles mesures, de tenir compte de la pratique standard actuelle pour déterminer ce qui est raisonnable, ainsi que de la proportionnalité du coût de la mise en œuvre de telles mesures par rapport au préjudice potentiel que peuvent subir les Personnes concernées par la mise en place de telles mesures. À la date du présent Addenda, Bizzon maintient et met en œuvre les mesures techniques et organisationnelles qui figurent à l'annexe II du présent Addenda.

2.3. Personnel. Bizzon s’engage à assurer que le personnel engagé dans le traitement des données est tenu informé de ses obligations ainsi que de ses responsabilités, que le Personnel a reçu une formation adéquate et que le Personnel est tenu informé de la nature confidentielle des données à caractère personnel. Bizzon s’engage à garantir que l'accès du personnel aux données à caractère personnel est limité aux personnes qui exécutent les Services conformément à l'Accord, et que les obligations en matière de confidentialité du personnel sont essentiellement similaires à celles énoncées dans l'Accord et le présent Addenda, et que le Personnel restera soumis à cette obligation après la cessation de ses fonctions.

2.4. Notifications. Bizzon est tenu de notifier, dans la mesure de ce qui est commercialement raisonnable, le Marchand par écrit :

• 2.4.1. de toute communication reçue d'une personne concernant (i) les droits d'une personne à accéder, modifier, corriger, supprimer ou bloquer ses données à caractère personnel ; (ii) le droit d'une personne à rectifier, restreindre ou effacer ses données à caractère personnel, le droit à la portabilité des données, le droit de s'opposer au traitement des données et de ne pas faire l'objet d'une prise de décision automatisée ; et (iii) toute autre plainte concernant le traitement du Marchand ;
• 2.4.2. de toute assignation à comparaître ou toute autre ordonnance ou procédure judiciaire ou administrative qui visent à obtenir l'accès aux données à caractère personnel ou à les divulguer ;
• 2.4.3. de toute plainte, avertissement ou toute autre communication relative à la conformité du Marchand avec les législations en matière de protection des données et de la vie privée et du traitement des données à caractère personnel ; Bizzon s’engage à fournir au Marchand une coopération et une assistance commercialement raisonnable (aux frais du Marchand) au regard de cette plainte, avertissement ou communication ; et
• 2.4.4. d'une violation substantielle de la sécurité des Services qui entraîne, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de ou l'accès non autorisé aux données à caractère personnel dont nous avons connaissance, conformément à la loi applicable (chacune étant une « Violation de la sécurité») ; Bizzon s’engage à faire des efforts raisonnables pour identifier la cause d'une telle violation de la sécurité et prendra les mesures nécessaires et raisonnables, acceptables par le Marchand, pour remédier à la cause de ladite violation, étant entendu que la remédiation relève du contrôle raisonnable de Bizzon.

Les obligations prévues par le présent ne s'appliquent pas aux incidents causés par le Marchand.

2.5. Absence de reconnaissance. Le Marchand convient que l'obligation de Bizzon à notifier une violation de la sécurité n'est pas et ne sera pas interprétée comme une reconnaissance par Bizzon d'une quelconque faute ou responsabilité de Bizzon à l'égard de ladite violation.

2.6. Restitution et suppression des données. Sous réserve des limitations prévues par les lois applicables, Bizzon s’engage à retourner au Marchand toutes les données à caractère personnel persistantes (dans l'hypothèse où celles-ci n'ont pas déjà été supprimées conformément à la loi applicable) en suivant des procédures standardisées et dans des délais commercialement raisonnables.

2.7. Conformité de Bizzon. Bizzon s’engage à se conformer à la législation relative à la protection des données applicable à ses propres opérations et à la fourniture des Services ainsi qu’à ses obligations en vertu du présent Addenda.

2.8. Partage de données. En autorisant ou en acceptant le partage de données au sein du Compte avec un tiers, le Marchand donne l'instruction à Bizzon, conformément à l'article 28 (3) (a) du RGPD, de fournir l'accès au dit tiers à toutes les données à caractère personnel ainsi qu'à toute autre donnée traitée par l'intermédiaire du Compte Bizzon du Marchand. L’obtention de tous les consentements nécessaires des Personnes concernées ou de tout autre tiers à l’égard du partage de données est établie sous la responsabilité du Marchand, comme l’exige la législation relative à la protection des données. Le Marchand s’engage à indemniser, défendre et tenir Bizzon et ses Affiliés à l'écart de toute plainte déposée par une Personne concernée ou un tiers, résultant de la violation de cette clause, y compris pour toutes les responsabilités, dommages, pertes, coûts et dépenses.

2.9. Intégrations. Les Services proposent plusieurs intégrations. En se connectant ou en s'abonnant à l'intégration respective via le Compte, le Marchand donne l'instruction à Bizzon, conformément à l'article 28 (3) (a) du RGPD de fournir l'accès aux données à caractère personnel traitées par l'intermédiaire du Compte au Marchand d'intégration respectif, comme requis pour l'interopérabilité des services ou du produit d'intégration avec les Services.

2.10. Audit. Le Marchand est en droit de conduire un audit pour vérifier la conformité de Bizzon avec ses obligations prévues à l'article 28 du RGPD ainsi que dans le présent Addenda. Bizzon autorise le Marchand à conduire l'audit dans les conditions suivantes :

• 2.10.1. Le Marchand demande à Bizzon de conduire un audit en l'avisant par écrit et en précisant l’ordre du jour d'un tel audit au moins trente (30) jours à l'avance ;
• 2.10.2. L'audit ne doit pas avoir lieu plus d'une fois par an ;
• 2.10.3. L’intégralité des coûts et dépenses qui y sont associés sera prise en charge par le Marchand et remboursée à Bizzon sur demande ; et
• 2.10.4. La durée de l'audit ne doit pas dépasser l'équivalent d'une journée de travail (8 heures) du représentant de Bizzon.

Dans le cas où le Marchand demande que l'audit soit effectué par l'intermédiaire d'un tiers indépendant, tel qu'un auditeur externe agréé, Bizzon est en droit de s'opposer à un auditeur externe agréé nommé par le Marchand pour conduire l'audit si l'auditeur n’est, selon l'avis raisonnable de Bizzon, pas dûment qualifié ou indépendant, un concurrent de Bizzon, ou autrement manifestement inadapté. Une telle objection obligera le Marchand à nommer un autre auditeur. Dans le cas où le Marchand a besoin de conduire plus d'un audit au cours d'une année civile, le Marchand s’engage à obtenir l'autorisation écrite préalable de Bizzon et à prendre en charge les coûts associés à ces audits et à rembourser Bizzon à hauteur de tous les coûts raisonnablement encourus pour ces audits. À la demande du Marchand, Bizzon fournira au Marchand l'estimation des coûts qu'il prévoit engager lors dudit audit selon l'étendue spécifiée dans l'ordre du jour fourni par le Marchand.

3.1. Le traitement des données du marchand. Dans le cadre de son utilisation des Services, le Marchand s’engage à traiter les données à caractère personnel conformément aux exigences prévues par la législation relative à la protection des données. Pour éviter tout doute, le Marchand garantit que ses instructions en matière de traitement des données à caractère personnel sont conformes à la législation relative à la protection des données et qu'il s’engage à ne donner aucune instruction ou aucun ordre susceptible de contraindre Bizzon à prendre des mesures illégales ou autrement non conformes à ladite législation. Le Marchand est tenu seul responsable de l'exactitude, de la qualité et de la légalité des données à caractère personnel ainsi que des modalités par lesquelles le Marchand a obtenu ces données.

3.2. Conformité du marchand. Outre les obligations du Marchand énoncées dans l'Accord, le Marchand est responsable de (i) l'intégrité, la sécurité, la maintenance et de la protection appropriée des données à caractère personnel, et (ii) de la garantie de sa conformité avec toute loi et réglementation applicable en matière de confidentialité, de protection des données et de sécurité relative à : (a) son traitement des données à caractère personnel ; (b) son utilisation des Services ; et (c) toutes les exigences d'enregistrement ou de notification auxquelles le Marchand est soumis en vertu de la loi applicable.

3.3. Notifications. Le Marchand s'engage à effectuer toutes les notifications requises auprès des Personnes concernées et à obtenir les consentements et droits requis de ces dernières, au regard de la fourniture des Services par Bizzon au Marchand. Lorsque Bizzon reçoit une communication telle que décrite aux Clauses 2.4.1 ou 2.4.3 ci-dessus et notifie le Marchand, il incombe au Marchand de répondre à cette communication et de prendre toutes les mesures appropriées à cet égard. Le Marchand accepte de notifier immédiatement Bizzon de toute utilisation non autorisée des Services ou du Compte ou de toute autre violation de la sécurité impliquant les Services.

3.4. Mesures techniques et organisationnelles. Le Marchand est tenu seul responsable de la mise en œuvre et du maintien des mesures de sécurité et de toutes autres mesures techniques et organisationnelles adaptées à la nature et au volume des données à caractère personnel qu'il conserve ou traite autrement en utilisant les Services. Le Marchand est également tenu responsable de l'utilisation des Services par l'un de ses employés, de toute personne que le Marchand autorise à accéder ou à utiliser les Services, et de toute personne qui obtient l'accès aux données à caractère personnel ou aux Services du fait de son incapacité à utiliser des précautions de sécurité raisonnables, et ce même si une telle utilisation n'était pas autorisée par le Marchand.

4.1. Coopération entre le marchand et Bizzon. Le Marchand et Bizzon acceptent de coopérer d’une manière commercialement raisonnable et telle que raisonnablement requis afin de protéger les données à caractère personnel en vertu des lois applicables, des articles 35 et 36 du RGPD pour effectuer une évaluation de l'impact liée à l'utilisation des Services par le Marchand, dans la mesure où le Marchand n'a autrement pas accès aux informations pertinentes, et dans la mesure où ces informations sont mises à la disposition de Bizzon. Le Marchand doit coopérer avec l'enquête raisonnable de Bizzon sur les pannes des Services, les problèmes liés à la sécurité ainsi que toute suspicion de violation de la sécurité. Le Marchand s’engage à fournir une assistance raisonnable à Bizzon dans la coopération ou la consultation préalable de l'Autorité de surveillance dans l'exécution des tâches relatives à cette Clause, dans la mesure requise par la loi applicable.

4.2. Assistance de Bizzon. Pendant toute la durée de l’Accord, le Marchand peut demander à Bizzon de l'assister dans ses efforts afin de se conformer aux obligations du Marchand en vertu des lois applicables, à condition que (i) ladite assistance soit pertinente pour les Services qui soutiennent le traitement des données à caractère personnel, (ii) la dite assistance soit commercialement raisonnable et proportionnée aux fins de l'exercice pour lequel l'assistance de Bizzon est demandée, et à condition que (iii) les coûts et dépenses associés de Bizzon (y compris le coût horaire de son personnel) soient pris en charge par le Marchand et remboursés à Bizzon sur demande.

5.1. Sous-traitants. Au regard des tiers ou de la sous-traitance du traitement des données, Bizzon est en mesure d’autoriser, avec le consentement préalable du Marchand, un tiers (Sous-traitant) à traiter les données à caractère personnel, à condition que les dispositions relatives au traitement des données et à la protection des données énoncées dans le contrat du Sous-traitant, au regard des données à caractère personnel, soient énoncées en des termes essentiellement similaires à ceux énoncés dans le présent Addenda, à condition que le contrat du Sous-traitant prenne automatiquement fin à compter de la résiliation de l’Accord pour quelque raison que ce soit. Aux fins des présentes, les sous-traitants suivants sont approuvés par le Marchand en signant le présent Addenda : (i) les Sous-traitants listés à l'Annexe III du présent ; (ii) les Affiliés de Bizzon ; et (iii) tout Sous-traitant autorisé par le Marchand via son Utilisateur autorisé en autorisant une intégration aux Services via le Compte ou de toute autre manière. Bizzon peut, pendant toute la durée de l'Accord, faire intervenir de nouveaux Sous-traitants, à condition que ces derniers accèdent et utilisent les données à caractère personnel uniquement dans la mesure nécessaire à l'exécution des obligations qui lui sont sous-traitées.

5.2. Objections. Le Marchand est susceptible de raisonnablement s’opposer à ce que Bizzon recoure à un nouveau Sous-traitant en notifiant Bizzon par écrit dans les dix (10) jours ouvrables qui suivent la réception de la notification de Bizzon. Dans l’éventualité où le Marchand s'oppose à un nouveau Sous-traitant, Bizzon s’engage à faire des efforts raisonnables pour (i) ajouter des garanties supplémentaires (couvrant les préoccupations spécifiées) ; (ii) changer de Sous-traitant (vis-à-vis du Sous-traitant) ; ou (iii) mettre à disposition du Marchand une modification des Services ou recommander une modification commercialement raisonnable de la configuration ou de l'utilisation des Services par le Marchand dans le but d’éviter le traitement des données par le Sous-traitant visé par l'objection sans imposer une charge déraisonnable au Marchand. Si Bizzon n'est pas en mesure de mettre à disposition un tel changement dans un délai raisonnable, qui ne devra pas excéder trente (30) jours, le Marchand pourra uniquement mettre fin à la partie des Services qui ne peut pas être fournie par Bizzon sans l'utilisation du Sous-traitant visé par l'objection, en fournissant une notification écrite à Bizzon. Bizzon remboursera au Marchand l’intégralité des frais prépayés qui couvrent le reste de la durée du Contrat après la date de prise d’effet de la résiliation au regard de ladite partie résiliée des Services, ce qui représentera la seule et unique voie de recours du Marchand en lien avec l'introduction d'un nouveau Sous-traitant.

5.3. Responsabilité. Bizzon est tenu responsable des actes et omissions de ses Sous-traitants de la même manière que Bizzon est tenu responsable de l'exécution des Services de chaque Sous-traitant selon les termes expressément énoncés dans le présent Addenda, sauf indication contraire spécifiée dans l’Accord.

6.1. Espace économique européen. Les Parties conviennent que les données à caractère personnel sont susceptibles d’être transférées de l'Espace économique européen vers un pays tiers uniquement si l'une des conditions suivantes s'applique :

• 6.1.1. Il existe une décision applicable de la Commission européenne stipulant que le pays tiers assure un niveau de protection équivalent ;
• 6.1.2. Le transfert peut avoir lieu, car Bizzon a fourni des garanties appropriées conformément à l'article 46 du RGPD, et à condition que les droits opposables des Personnes concernées et les voies de recours juridiques efficaces pour lesdites Personnes concernées soient disponibles ; ou
• 6.1.3. Les dérogations pour des situations particulières en vertu de l'article 49 du RGPD s'appliquent.

6.2. Clauses contractuelles types. Aux fins de la Clause 6.1.2 énoncée ci-dessus, les Parties conviennent que les Clauses contractuelles types sont considérées comme des garanties appropriées. Pour permettre le transfert de données depuis et vers des pays tiers à destination et en provenance de l'Espace économique européen ou du Royaume-Uni (selon le cas), les Clauses contractuelles types (les « CTT ») sont incorporées par renvoi au présent Addenda et en font partie intégrante comme suit :

• 6.2.1. Aux fins des données à caractère personnel soumises aux Règlements européens sur la protection des données (les « Données européennes ») :
  • 6.2.1.1. lorsque le Marchand est Responsable de traitement, le module deux (Responsable de traitement à Sous-traitant) des CCT s'applique, lorsque le Marchand est Sous-traitant, le module trois (Sous-traitant à Sous-traitant) des CCT s'applique ;
  • 6.2.1.2. tel qu’énoncé dans la clause 9, l'Option 2 s'applique, et le délai de notification préalable relatif aux changements de Sous-traitant sera celui énoncé dans la Clause 5 (Sous-traitance) du présent Addenda
  • 6.2.1.3. tel qu’énoncé dans la Clause 11, la langue facultative ne s'applique pas ;
  • 6.2.1.4. tel qu’énoncé dans la Clause 17, l'Option 1 s'applique, et les CCT de l'UE sont régies par le droit néerlandais ;
  • 6.2.1.5. tel qu’énoncé dans la Clause 18(b), les litiges seront résolus devant les tribunaux des Pays-Bas ;
  • 6.2.1.6. l'annexe I des CCT est réputée achevée compte tenu des informations qui figurent à l'Annexe I du présent Addenda ;
  • 6.2.1.7. l'annexe II des CCT est réputée achevée compte tenu des informations qui figurent à l'Annexe II du présent Addenda ;
• 6.2.2. Le transfert des données à caractère personnel soumises aux lois du Royaume-Uni en matière de protection des données (les « Données du Royaume-Uni ») est régi par l'Annexe IV – Addenda du Royaume-Uni relatif aux CCT.

Le Marchand accepte que tout Utilisateur autorisé du Marchand puisse être contacté et soit habilité à recevoir toute communication relative au présent Addenda.

8.1. Applicability. Bizzon reconnaît que, lorsque la loi de l'État de Californie s'applique, il agit en qualité de Prestataire de services en matière de données à caractère personnel.

8.2. Obligations de Bizzon. Sauf prescription de la loi applicable ou convention expresse convenue entre les Parties, Bizzon ne doit pas :

• 8.2.1. vendre les données à caractère personnel ;
• 8.2.2. conserver, utiliser ou divulguer les données à caractère personnel à des fins autres que l'objectif spécifique de l'exécution des Services ;
• 8.2.3. conserver, utiliser ou divulguer les données à caractère personnel à des fins commerciales autres que celles spécifiées dans l'Accord ; ou
• 8.2.4. conserver, utiliser ou divulguer les données à caractère personnel en dehors de la relation commerciale directe établit entre Bizzon et le Marchand.

8.3. Responsabilité. Bizzon certifie qu'il comprend et respectera les responsabilités et les restrictions imposées par le présent Addenda, le CCPA ainsi que toutes autres lois et tous autres règlements applicables en matière de protection des données.

8.4. Tel qu’énoncé dans la présente Clause 8 :

• 8.4.1. « CCPA » (California Consumer Privacy Act) désigne la loi sur la protection de la vie privée des consommateurs, conformément au Code civil de Californie, paragraphes 1798.100 et suivants, y compris tous les amendements et règlements d'application qui prennent effet à compter de la date d'entrée en vigueur du présent Addenda, ou ultérieurement ; et
• 8.4.2. « Prestataire de service » a le sens qui lui est donné dans la Section 1798.140(v) du CCPA.

9.1. Applicabilité. La présente Clause 9 s'applique uniquement si le Marchand est constitué en société aux États-Unis.

9.2. COPPA. La protection de la vie privée des enfants est fondamentale. La Children’s Online Privacy and Protection Act (« COPPA ») exige que les fournisseurs de services en ligne obtiennent le consentement parental avant de collecter en ligne et de manière intentionnelle des données à caractère personnel relatives aux enfants âgés de moins de 13 ans aux États-Unis. Bizzon respecte le rôle des parents ou des tuteurs dans la surveillance des activités en ligne de leurs enfants. Par voie de conséquence, Bizzon limite sa collecte de données à caractère personnel auprès des enfants à ce qui est raisonnablement nécessaire pour participer aux Services et pour les améliorer. Bizzon ne collecte pas de données à caractère personnel auprès des enfants, sauf dans les cas prévus par l'Accord. Bizzon se réserve le droit de refuser de traiter les données fournies par le Marchand qui enfreignent cette Clause.

9.3. Utilisation des données du marchand par des tiers. Sauf accord contraire, toutes les données fournies à Bizzon par le Marchand constituent des informations confidentielles et Bizzon s’engage à n’utiliser aucune donnée à d'autres fins que celles d'exercer ses droits et d'exécuter ses obligations en lien avec les Services. Le Marchand reconnaît, afin de dûment exécuter les Services, que les informations qu’il fournit à Bizzon seront mises à la disposition de tiers afin de permettre l'exécution des Services. Le Marchand reconnaît que lesdits tiers ne sont pas des représentants de Bizzon et que Bizzon n'est pas tenu responsable des actes et omissions desdits tiers. Bizzon exige des tiers, pour lesquels toute donnée à caractère personnel est mise à disposition, qu'ils appliquent le même niveau de protection de la vie privée que celui énoncé dans le présent Addenda et tel que requis par les lois applicables. La manière dont les données des Marchands sont susceptibles d’être utilisées est couverte par la Politique de confidentialité de Bizzon.

10.1. Tiers bénéficiaires. Les Personnes concernées constituent les uniques tiers bénéficiaires des CCT, et il n'y a pas d'autres tiers bénéficiaires de l'Accord et du présent Addenda. Nonobstant ce qui précède, l'Accord ainsi que les conditions énoncées dans le présent Addenda s'appliquent uniquement aux parties et ne confèrent aucun droit à une quelconque Société affiliée au Marchand, aux utilisateurs finaux du Marchand ou à toute Personne tierce concernée.

10.2. LOI applicable. L'Accord régit toutes les plaintes invoquées en vertu du présent Addenda.

10.3. Responsabilité. Les voies de recours du Marchand, y compris celles de ses Affiliés, ainsi que la responsabilité de Bizzon, découlant de ou liées au présent Addenda ainsi qu’aux CCT, seront soumises aux limitations de responsabilité et aux clauses de non-responsabilité énoncées dans l'Accord. Dans le cas où aucune limitation de responsabilité n'est stipulée dans l'Accord, les Parties conviennent et déclarent que le total des dommages susceptible de résulter de la violation du présent Addenda et des CCT ne dépassera pas dix mille (10 000) euros.

10.4. Échéance. Après la résiliation de l'Accord, le présent Addenda demeurera en vigueur jusqu’à ce que Bizzon cesse de traiter les données à caractère personnel pour le compte du Marchand.

10.5. Résiliation. Bizzon est susceptible de résilier le présent Addenda si ce dernier propose au Marchand des mécanismes alternatifs conformes aux obligations des réglementations applicables en matière de confidentialité des données.

10.6. Exemplaires. Le présent Addenda peut être signé en de multiples exemplaires, qui ensemble sont considérés comme un seul exemplaire original.

A.- Liste des Parties

Exportateur de données

L’exportateur de données est le Marchand.

Importateur de données

L’importateur de données est Bizzon.

B. – Description du transfert

Catégories de Personnes concernées

Les données à caractère personnel transférées concernent les catégories de Personnes concernées (clients ou clients potentiels) qui utilisent les services du Marchand.

Catégories de données à caractère personnel

Les données à caractère personnel transférées concernent les catégories de données suivantes : les informations de contact et d’identification (y compris, le nom, le titre, l’adresse e-mail et l’adresse), les détails de paiement, les numéros de carte, les noms des titulaires des cartes ainsi que les détails des services du Marchand, les données limitées de connexion et les données relatives à la localisation (ville) transférées sous forme électronique à l’importateur de données dans le cadre des Services de Bizzon (fournies par le Sous-traitant ou l’importateur de données concerné).

Catégories particulières de données à caractère personnel

Les données sensibles telles que les exigences alimentaires sont susceptibles d’être transférées si les Personnes concernées décident de partager des informations d’une telle nature. Les mesures techniques et organisationnelles telles qu’énoncées dans l’Annexe II s’appliquent.

Opérations de traitement

Les données à caractère personnel transférées feront l'objet des activités de traitement de base suivantes : la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou l’altération, l’extraction, la consultation, l’utilisation, la divulgation par transmission, la diffusion ou autre mise à disposition, le rapprochement ou la combinaison, la restriction, l’effacement ou la destruction. Le Marchand doit prendre des mesures de sécurité raisonnables dans le cadre de son utilisation des services, y compris en cryptant de manière appropriée toute donnée à caractère personnel conservée sur ou transmise par le système hébergé.

Fréquence du transfert

Continue

Nature et objet du traitement

• i. La conservation (l’hébergement) et tout autre traitement des données nécessaire pour fournir, maintenir et améliorer les Services ;
• ii. Service client assuré par le Marchand au cas par cas ;
• iii. Divulgations conformément à l’Accord, tel qu’exigé par la loi ; et
• iv. La collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou l’altération, l'extraction, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou la combinaison, la restriction, l’effacement ou la destruction.

Durée du traitement des données

Conditions

Finalité(s) du transfert de données et traitement supplémentaire des données

(i) Traitement des données pour fournir, maintenir, soutenir et améliorer les Services fournis au Marchand conformément à l’Accord ;

(ii) Traitement des données initié par les Personnes concernées lors de leur utilisation des Services ; et

(iii) Traitement des données afin de se conformer à d’autres instructions raisonnables documentées fournies par le Marchand (p. ex, via e-mail) lorsque de telles instructions sont compatibles avec les conditions prévues dans l’Accord (y compris celles prévues dans le présent Addenda).

C. - Autorité de surveillance compétente

Aux fins des données européennes, l’Autorité de surveillance compétente est l’Autorité néerlandaise de protection des données (Dutch Data Protection Authority, « Dutch SA »).

Vous trouverez ci-dessous la description des mesures de sécurité techniques et organisationnelles mises en œuvre par Bizzon conformément au présent Addenda.

1. CONTRÔLE D’ACCÈS

1.1. Il est interdit aux personnes non autorisées d'accéder physiquement aux locaux, bâtiments ou pièces dans lesquelles se trouvent les systèmes de traitement des données qui traitent des données à caractère personnel. Des exceptions peuvent être accordées à des auditeurs tiers, à des fins d'audit des installations, pour autant qu'ils soient supervisés par Bizzon et qu’ils n'aient pas eux-mêmes accès aux données à caractère personnel.

1.2. Bizzon garantit que les mesures suivantes ont été mises en œuvre, sans limitation :

• 1.2.1. des mesures qui visent à préciser les personnes autorisées à accéder aux données à caractère personnel ;
• 1.2.2. la mise en place d’un processus de contrôle d’accès pour éviter tout accès non autorisé aux locaux de l’entreprise ;
• 1.2.3. la mise en place d’un processus de contrôle d’accès pour restreindre l’accès aux centres de données ainsi qu’aux espaces dans lesquels se trouvent les serveurs de données ;
• 1.2.4. l’utilisation de dispositifs de vidéosurveillance et d’alarmes au regard des zones d’accès ; et
• 1.2.5. le personnel sans autorisation d'accès (p. ex, les techniciens, le personnel de nettoyage) est accompagné à tout moment lorsqu'il accède aux zones de traitement des données.

2. SYSTÈME DE CONTRÔLE D’ACCÈS

2.1. Il faut empêcher que les systèmes de traitement des données soient utilisés sans autorisation.

2.2. Bizzon garantit que les mesures suivantes ont été mises en œuvre, sans limitation :

• 2.2.1. tous les systèmes qui traitent des données à caractère personnel (y compris à distance) sont protégés par un mot de passe :
  • 2.2.1.1. après chaque séquence de démarrage ; et
  • 2.2.1.2. lorsqu’ils sont laissés sans surveillance, même pour une courte période ;
• 2.2.2. les personnes non autorisées ne sont pas autorisées à accéder aux données à caractère personnel ;
• 2.2.3. chaque personne dispose d’identifiants utilisateurs dédiés à l’authentification par rapport à la gestion des utilisateurs du système ;
• 2.2.4. l’authentification s’effectue au moyen de mots de passe individuels ;
• 2.2.5. le contrôle d’accès est soutenu par un système d’authentification ;
• 2.2.6. des mesures qui visent à accorder l'accès uniquement au personnel autorisé et à attribuer uniquement les autorisations minimales nécessaires au dit personnel pour pouvoir accéder aux données à caractère personnel dans l'exercice de ses fonctions ;
• 2.2.7. la mise en place d’une politique relative aux mots de passe qui interdit le partage des mots de passe, décrit les processus en vigueur après la divulgation d'un mot de passe et exige le changement régulier des mots de passe ;
• 2.2.8. les mots de passe sont toujours conservés sous forme cryptée ;
• 2.2.9. la mise en place d’une procédure appropriée pour désactiver le compte d'un utilisateur, lorsqu'un utilisateur quitte l'entreprise ou cesse ses fonctions ;
• 2.2.10. la mise en place d’un processus approprié pour ajuster les permissions des administrateurs, lorsqu'un administrateur quitte l'entreprise ou cesse ses fonctions ; et
• 2.2.11. la mise en place d’un processus qui permet d’enregistrer tous les accès aux systèmes et d'examiner ces fichiers journaux afin de détecter des incidents en matière de sécurité.

3. CONTRÔLE D’ACCÈS

3.1. Les personnes en droit d’utiliser un système de traitement des données ont uniquement accès aux données auxquelles elles ont le droit d'accéder, et les données à caractère personnel ne doivent pas être lues, copiées, modifiées ou supprimées sans autorisation au cours du processus de traitement.

3.2. Bizzon garantit que les mesures suivantes ont été mises en œuvre, sans limitation :

• 3.2.1. un accès restreint aux fichiers et aux programmes sur la base du principe « besoin d’en connaître » ;
• 3.2.2. les supports physiques qui contiennent des données à caractère personnel sont conservés dans des zones sécurisées ;
• 3.2.3. des mesures qui visent à empêcher l'utilisation et, ou l’installation de matériel informatique et, ou de logiciels non autorisés ;
• 3.2.4. la mise en place de règles relatives à la destruction sécurisée et définitive des données qui ne sont plus nécessaires ; et
• 3.2.5. des mesures qui visent à accorder l'accès uniquement au personnel autorisé et à attribuer uniquement les autorisations minimales nécessaires au dit personnel pour pouvoir accéder aux données à caractère personnel dans l'exercice de ses fonctions.

4. CONTRÔLE DE LA TRANSMISSION DES DONNÉES

4.1. Les données à caractère personnel ne doivent pas être lues, copiées, modifiées ou supprimées sans autorisation durant le transfert ou la conservation, et il doit être possible de déterminer à qui se rapportent les données à caractère personnel qui ont été transférées.

4.2. Bizzon garantit que les mesures suivantes ont été mises en œuvre, sans limitation :

• 4.2.1. le chiffrement des données pendant toute transmission et au repos ;
• 4.2.2. les supports physiques qui contiennent des données à caractère personnel sont transportés dans des conteneurs scellés ; et
• 4.2.3. la possession de bons d'expédition et de livraison.

5. CONTRÔLE DE LA SAISIE DES DONNÉES

5.1. Bizzon doit être en mesure de vérifier et d'établir rétrospectivement si et par qui des données à caractère personnel ont été saisies, modifiées ou supprimées dans les systèmes de traitement des données.

5.2. Bizzon garantit que les mesures suivantes ont été mises en œuvre, sans limitation :

• 5.2.1. des mesures qui visent à enregistrer les activités des administrateurs et des utilisateurs ; et
• 5.2.2. des mesures qui visent à permettre uniquement aux personnes autorisées de modifier toute donnée à caractère personnel dans le cadre de leur fonction.

6. CONTRÔLE DE L’ACTIVITÉ

6.1. Les données à caractère personnel traitées dans le cadre de l'exécution d'un service pour le compte de la Société seront uniquement traitées conformément à la convention de services en vigueur entre la Société et Bizzon et conformément aux instructions fournies par la Société.

6.2. Bizzon garantit que les mesures suivantes ont été mises en œuvre, sans limitation :

• 6.2.1. des mesures qui visent à garantir que le traitement des données à caractère personnel sert uniquement à l'exécution du contrat ;
• 6.2.2. des mesures qui visent à garantir que les membres du personnel et les sous-traitants respectent les instructions écrites ou les contrats ; et
• 6.2.3. les données sont toujours séparées, de manière physique ou logique, de manière à pouvoir déterminer, à chaque étape du processus de traitement, le client à qui se rapportent les données à caractère personnel.

7. CONTRÔLE DE LA DISPONIBILITÉ

7.1. Les données à caractère personnel doivent être protégées contre la divulgation, la destruction et la perte accidentelles ou non autorisées.

7.2. Bizzon garantit que les mesures suivantes ont été mises en œuvre, sans limitation :

• 7.2.1. des dispositions afin de créer des copies de sauvegarde conservées dans des environnements spécialement protégés ;
• 7.2.2. des dispositions pour effectuer des tests de restauration réguliers à partir de ces sauvegardes ;
• 7.2.3. la mise en place de plans d’urgence ou de stratégies de rétablissement de l’activité ;
• 7.2.4. des mesures qui visent à garantir que les données à caractère personnel ne sont pas utilisées à d’autres fins que celles pour lesquelles elles ont été collectées ; et
• 7.2.5. des mesures qui visent à empêcher le retrait des données à caractère personnel des ordinateurs ou locaux professionnels de l’importateur de données pour quelque raison que ce soit (sauf si l’exportateur de données a spécifiquement autorisé un tel retrait à des fins professionnelles) ;
• 7.2.6. des mesures qui visent à garantir uniquement l’utilisation d’équipements professionnels autorisés pour exécuter les services ;
• 7.2.7. des mesures qui visent à garantir, à chaque fois qu’un membre du personnel laisse son bureau sans surveillance durant la journée et en fin de journée avant son départ, que ce dernier place les documents qui contiennent des données à caractère personnel dans un environnement sûr et sécurisé, tel qu’un tiroir de bureau verrouillé, un classeur ou tout autre espace de stockage sécurisé (le principe du « Bureau propre ») ;
• 7.2.8. la mise en place d’un processus sécurisé de destruction des documents ou des supports de données qui contiennent des données à caractère personnel ;
• 7.2.9. la mise en place de pare-feux réseau qui permettent d’empêcher tout accès non autorisé aux systèmes et aux services ; et
• 7.2.10. chaque système utilisé dans le but de traiter les données à caractère personnel dispose d’une solution antivirus à jour.

8. EXIGENCES ORGANISATIONNELLES

8.1. L'organisation interne de l'importateur de données doit répondre aux exigences spécifiques en matière de protection des données. En particulier, l'importateur de données doit prendre des mesures techniques et organisationnelles afin d’éviter le mélange accidentel des données à caractère personnel.

8.2. Bizzon garantit que les mesures suivantes ont été mises en œuvre, sans limitation :

• 8.2.1. la nomination d’un délégué à la protection des données (DPO) ou d’une personne responsable dans le cas où ledit délégué n’est pas requis par la loi ;
• 8.2.2. l’obtention de l’engagement écrit des employés à respecter les clauses de confidentialité ;
• 8.2.3. les employés ont été formés en matière de confidentialité des données et de sécurité des données ;
• 8.2.4. la mise en place d’un processus officiel de réponse aux incidents liés à la sécurité suivi de manière cohérente dans la gestion des incidents liés à la sécurité ;
• 8.2.5. les employés ont été formés à endosser le rôle d’intervenant de sécurité dans le cadre du processus de réponse aux incidents liés à la sécurité.

La liste des sous-traitants agréés de Bizzon est disponible sur Approved sub-processors.

Date du présent Addenda

1. Le présent Addenda du Royaume-Uni entre en vigueur à partir de : la même date que l'Accord.

Contexte

2. Le Bureau du Commissaire à l’Information (ICO) considère que le présent Addenda du Royaume-Uni fournit des garanties appropriées aux fins des transferts de données à caractère personnel vers un pays tiers ou une organisation internationale en vertu de l’Article 46 du RGPD britannique et, au regard des transferts de données des responsables de traitement aux sous-traitants ou de sous-traitants à sous-traitants.

Interprétation du présent Addenda du Royaume-Uni

3. Lorsque le présent Addenda du Royaume-Uni utilise des termes définis dans les CCT, ces termes ont le sens qui leur est donné dans les CCT.

4. Le présent Addenda du Royaume-Uni doit être lu et interprété à la lumière des dispositions prévues par les lois du Royaume-Uni en matière de protection des données, et de sorte qu'il réponde à l'intention de fournir les garanties appropriées requises par l'article 46 du RGPD.

5. Le présent Addenda du Royaume-Uni ne doit pas être interprété de manière à entrer en conflit avec les droits et obligations prévus par les lois du Royaume-Uni en matière de protection des données.

6. Toute référence à la législation (ou à des dispositions spécifiques prévues par la législation) désigne cette législation (ou disposition spécifique prévue) telle qu'elle est susceptible d’évoluer dans le temps. Cela inclut les cas où cette législation (ou disposition spécifique prévue) a été consolidée, réadoptée ou remplacée après l’entrée en vigueur du présent Addenda du Royaume-Uni.

Hiérarchie

7. En cas de contradiction ou d'incohérence entre le présent Addenda du Royaume-Uni et les dispositions prévues par les CCT, ou tout autre accord connexe conclu entre les Parties, existant au moment où le présent Addenda du Royaume-Uni est convenu ou entre en vigueur ultérieurement, les dispositions qui offrent la plus grande protection aux Personnes concernées prévaudront.

Incorporation des CCT

8. Le présent Addenda du Royaume-Uni intègre les CCT qui sont considérées être modifiées dans la mesure nécessaire, de sorte qu'ils s’appliquent :

• a. aux transferts effectués par l'exportateur de données vers l'importateur de données, dans la mesure où les lois du Royaume-Uni en matière de protection des données s'appliquent au traitement effectué par l'exportateur de données lors de ce transfert ; et
• b. dans le but de fournir des garanties appropriées pour les transferts, conformément à l'article 46 du RGPD britannique ;
• c. lorsque le Marchand est Responsable de traitement, le module deux (Responsable de traitement à Sous-traitant) des CCT s'applique, lorsque le Marchand est Sous-traitant, le module trois (Sous-traitant à Sous-traitant) des CCT s'applique ;
• d. tel qu’énoncé dans la Clause 9 des CCT, l'option 2 s'applique et le délai de notification préalable relatif aux changements de Sous-traitant sera celui énoncé dans la clause 5 (Sous-traitance) du présent Accord de traitement des données ;
• e. tel qu’énoncé dans la Clause 11 des CCT, la langue facultative ne s’applique pas.

9. Les modifications requises par la Section 7 énoncée ci-dessus comprennent (sans limitation) :

• a. Les références aux « CCT » désignent le présent Addenda du Royaume-Uni tel qu’il intègre les CCT ;
• b. La Clause 6 relative à la description du ou des transferts est remplacée par ce qui suit : « Les détails du ou des transferts, en particulier les catégories de données à caractère personnel transférées ainsi que la ou les finalités pour laquelle, pour lesquelles lesdites catégories de données sont transférées sont ceux spécifiés dans l’Annexe I. B) du présent Addenda, lorsque les lois du Royaume-Uni en matière de protection des données s’appliquent au traitement de l’exportateur de données lors de ce transfert » ;
• c. L’Annexe II des CCT est réputée achevée compte tenu des informations qui figurent à l’Annexe II du présent Addenda ;
• d. Les références au « Règlement (UE) 2016/679 du Parlement européen » ou au « Règlement » sont remplacées par « les lois du Royaume-Uni en matière de protection des données » et les références à des Articles spécifiques du « Règlement (UE) 2016/679 du Parlement européen » sont remplacées par l’Article ou la Section correspondant dans les lois du Royaume-Uni en matière de protection des données ;
• e. Les références au « Règlement (UE) 2018/1725 du Parlement européen » sont supprimées ;
• f. Toutes les références à « l’Union », « l’Union européenne » et aux « États membres de l’Union européenne » sont remplacées par « Royaume-Uni » ;
• g. La Clause 13(a) ainsi que la partie C qui figure dans l’Annexe II ne sont plus en vigueur ; « l’Autorité de surveillance compétente » est le Bureau du Commissaire à l’Information (ICO) ;
• h. La Clause 17 est remplacée par ce qui suit : « Les présentes CCT sont régies par les lois en vigueur en Angleterre et au Pays de Galles.
• i. La Clause 18 est remplacée par ce qui suit : « Tout litige qui découle des présentes CCT sera résolu devant les tribunaux d’Angleterre et du Pays de Galles. Une Personne concernée est susceptible d’intenter des poursuites judiciaires contre l’exportateur de données et, ou l’importateur de données devant les tribunaux de tout pays ressortissant du Royaume-Uni. Les Parties acceptent de se soumettre à la juridiction desdits tribunaux. » ;
• j. Les notes de bas de page qui figurent dans les CCT ne font pas partie intégrante du présent Addenda.