En vigueur à partir du 11 février 2022, v2.0

POS DPA

Consultez notre accord sur le traitement des données pour Mews POS.

Le présent addendum fait partie intégrante de tout contrat reprenant les conditions d'utilisation (les "Conditions") ou toute autre condition conclue entre Bizzon et vous (le "Marchand", tout contrat de ce type étant appelé "Contrat"). Le présent addenda complète les durées de l'accord ; en cas de contradiction entre l'accord et le présent addenda, ce dernier prévaut, à moins que les parties ne conviennent explicitement par écrit de dérogations spécifiques au présent addenda dans l'accord. Le présent addendum régit le traitement lorsque le marchand est un responsable du traitement et que Bizzon est un processeur ou un sous-processeur.

1. Définitions

Aux fins du présent addenda, les durées commençant par une majuscule ont la signification qui leur est donnée dans la présente clause ou dans le corps du présent addenda. Les termes en majuscules qui ne sont pas autrement définis dans le présent document ont la signification qui leur est donnée dans l'accord ou dans les durées.

"Affilié" : en ce qui concerne une entité, on entend par "affilié" toute autre entité qui contrôle directement ou indirectement une partie, qui est contrôlée par elle ou qui est sous son contrôle commun. Une partie contrôle une autre entité si cette dernière détient, directement ou indirectement, soit (i) 20 % ou plus des actions assorties de droits de vote ordinaires pour l'élection des administrateurs de cette entité, soit (ii) le pouvoir de diriger ou de faire diriger la gestion ou les politiques de l'autre entité, que ce soit par la détention de titres assortis de droits de vote, par contrat ou de toute autre manière ;

"Utilisateur autorisé" désigne une personne autorisée par le marchand à avoir accès au compte et à fournir des instructions à Bizzon et à recevoir des communications de Bizzon, que ce soit par l'intermédiaire du compte, d'un e-mail ou d'une autre manière ;

" Responsable du traitement" désigne une personne ou une entité qui détermine les finalités et les moyens du Traitement des données à caractère personnel ;

"Législation sur la protection des données" désigne les lois européennes sur la protection des données, les lois britanniques sur la protection des données, la CCPA et toute autre législation applicable en matière de confidentialité des données dans le pays d'enregistrement de Bizzon ;

"Personne concernée" : la personne identifiée ou identifiable à laquelle se rapportent les données à caractère personnel ;

"Lois de l'UE sur la protection des données" : le RGPD et la directive de l'UE sur la vie privée et les communications électroniques (directive 2002/58/CE) ;

" RGPD" désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données) ;

"Personnel" désigne les employés, agents, consultants, sous-traitants et autres tiers qui sont engagés par Bizzon afin qu'elle puisse remplir ses obligations envers le marchand en vertu de la convention ou de l'addendum ;

" Données à caractère personnel" désigne toute information associée à (i) une personne physique identifiée ou identifiable ; ou (ii) une entité juridique identifiée ou identifiable (lorsque ces informations sont protégées par la Législation sur la protection des données de manière similaire aux données qui identifient une personne vivante) traitée dans le cadre du présent addendum ;

" Traitement" désigne toute opération ou tout ensemble d'opérations effectuées sur des données à caractère personnel, que ce soit par des moyens automatisés, tels que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, l'alignement ou la combinaison, la restriction, l'effacement ou la destruction ;

" Processeur" ou" Sous-processeur" désigne une personne ou une entité qui traite des Données à caractère personnel pour le compte d'un Responsable du traitement ou d'un Processeur, selon le cas ;

" Clauses contractuelles types" : les clauses contractuelles types annexées à la décision d'exécution 2021/914 de la Commission européenne du 4 juin 2021 ;

"Autorité de contrôle" désigne une autorité publique indépendante qui est établie par un État membre de l'UE ou un autre pays en vertu du RGPD ou d'une loi correspondante ;

" Lois britanniques sur la protection des données" : toutes les lois associées à la protection des données, au traitement des données personnelles, à la confidentialité et aux communications électroniques en vigueur en Angleterre et au Pays de Galles, y compris le RGPD britannique et la loi sur la protection des données de 2018 ; et.

"RGPD britannique" désigne le RGPD tel que sauvegardé dans le droit de l'Angleterre et du Pays de Galles en vertu de la section 3 de la loi de 2018 sur l'Union européenne (retrait) du Royaume-Uni.

2. Transformation de Bizzon

2.1. Traitement des données personnelles.Bizzon et le marchand reconnaissent que le marchand est le responsable du traitement ou le processeur principal en ce qui concerne les données personnelles. Bizzon ne traite les données personnelles qu'en tant que processeur ou sous-traitant (selon l'utilisation des services par le marchand) pour le compte du marchand et uniquement dans la mesure et de la manière nécessaires aux fins spécifiées par et conformément au présent addendum, à l'accord ou selon les instructions données par le marchand de temps à autre. Lorsque Bizzon estime raisonnablement que l'instruction du marchand est contraire à : (i) la loi et les règlements applicables ou (ii) les dispositions de la convention ou de l'addendum, Bizzon entreprendra tous les efforts raisonnables pour en informer le marchand et est autorisé à différer l'exécution de l'instruction concernée jusqu'à ce qu'elle ait été modifiée par le marchand dans la mesure requise par Bizzon pour le convaincre que cette instruction est légale, ou est mutuellement acceptée par le marchand et Bizzon comme étant légale.

2.2. Mesures techniques et organisationnelles. Bizzon maintient et implémente des mesures techniques et organisationnelles raisonnables et appropriées visant à protéger les données personnelles contre la destruction accidentelle ou illégale ou la perte accidentelle, l'altération, la divulgation non autorisée ou l'accès, et en relation avec la sécurité des données personnelles et des plateformes utilisées pour fournir les services, comme décrit dans la législation sur la protection des données. Lors de l'implémentation de ces mesures, Bizzon est en droit de tenir compte des pratiques courantes pour déterminer ce qui est raisonnable, ainsi que de la proportionnalité du coût de la mise en place de ces mesures par rapport au préjudice potentiel pour les personnes concernées contre lequel la mise en place de ces mesures vise à se prémunir. À la date du présent addendum, Bizzon maintient et implémente les mesures techniques et organisationnelles figurant à l'annexe II du présent addendum.

2.3. Le personnel. Bizzon veille à ce que son personnel participant au traitement soit informé de ses obligations et responsabilités, qu'il ait reçu une formation appropriée et qu'il soit informé de la nature confidentielle des données à caractère personnel. Bizzon veillera à ce que l'accès du personnel aux données personnelles soit limité à ceux qui exécutent les services conformément à la convention, et les obligations de confidentialité du personnel seront substantiellement les mêmes que celles énoncées dans la convention et l'addendum, et survivront à la résiliation de l'engagement du personnel.

2.4. Notifications. Bizzon en informera le marchand par écrit dans les meilleurs délais commercialement raisonnables :

  • 2.4.1. de toute communication reçue d'une personne physique concernant (i) les droits d'une personne physique d'accéder, de modifier, de corriger, d'effacer ou de bloquer ses Données à caractère personnel ; (ii) le droit d'une personne physique de rectifier, de restreindre ou d'effacer ses Données à caractère personnel, à la portabilité des données, de s'opposer au Traitement et de ne pas faire l'objet d'une prise de décision automatisée ; et (iii) toute réclamation concernant le Traitement du Marchand ;
  • 2.4.2. de toute assignation ou autre classement judiciaire ou administratif ou de toute procédure visant à obtenir l'accès aux données à caractère personnel ou à les divulguer ;
  • 2.4.3. de toute plainte, avis ou autre communication ayant trait à la conformité du marchand avec la loi sur la protection des données et de la vie privée et le traitement des données à caractère personnel ; Bizzon fournira au marchand une coopération et une assistance commercialement raisonnables (aux frais du marchand) en ce qui concerne cette plainte, cet avis ou cette communication ; et
  • 2.4.4. d'une violation matérielle de la sécurité des services entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé, accidentel ou illégal, des données à caractère personnel dont nous avons connaissance, conformément à la législation applicable (chacune une"violation de la sécurité") ; Bizzon fera des efforts raisonnables pour identifier la cause de cette violation de la sécurité et prendra les mesures nécessaires et raisonnables, et qui sont acceptées par le marchand, afin de remédier à la cause de cette violation de la sécurité dans la mesure où la remédiation est sous le contrôle raisonnable de Bizzon.

Les obligations des présentes ne s'appliquent pas aux incidents qui sont causés par le marchand.

2.5. Pas d'accusé de réception. Le marchand convient que l'obligation de Bizzon de notifier une violation de la sécurité n'est pas et ne sera pas interprétée comme une reconnaissance par Bizzon d'une faute ou d'une responsabilité de Bizzon en ce qui concerne cette violation de la sécurité.

2.6. Retour et suppression des données. Objet des limitations prévues par les lois applicables, Bizzon renvoie au marchand toutes les données personnelles persistantes (si elles n'ont pas déjà été supprimées conformément à la loi applicable) en suivant des paramètres standardisés et dans des délais commercialement raisonnables.

2.7. Bizzon compliance. Bizzon se conformera à la législation sur la protection des données applicable à ses propres opérations et au provisionnement des services, ainsi qu'à ses obligations en vertu du présent addendum.

2.8. Partage de données. En activant ou en acceptant le partage de données au sein du compte avec un tiers, le marchand donne instruction à Bizzon conformément à l'art. 28(3)(a) du RGPD de donner accès à toutes les données personnelles et à toutes les autres données traitées au sein du compte Bizzon du marchand à ce tiers. Le marchand est responsable de l'obtention de tous les consentements nécessaires des personnes concernées ou de tout autre tiers avec le partage de données, comme l'exige la législation applicable en matière de protection des données. Le marchand s'engage à indemniser, défendre et dégager Bizzon et ses affiliés de toute responsabilité en cas de réclamation d'une personne concernée ou d'un tiers, résultant de la violation de cette clause, y compris pour toutes les responsabilités, les dommages, les pertes, les coûts et les dépenses.

2.9. Intégrations. Les services proposent plusieurs intégrations. En se connectant ou en souscrivant à l'intégration respective via le compte, le marchand donne l'instruction à Bizzon conformément à l'art. 28 (3)(a) du RGPD pour donner accès aux données à caractère personnel traitées au sein du compte au marchand d'intégration respectif, comme l'exige l'interopérabilité des services ou du produit d'intégration avec les services.

2.10. Audit. Le Marchand a le droit de procéder à un audit pour vérifier la conformité de Bizzon avec ses obligations prévues à l'art. 28 du RGPD et dans le présent addendum. Bizzon autorise le marchand à effectuer l'audit dans les conditions suivantes :

  • 2.10.1. le Marchand demande à Bizzon d'effectuer l'audit par le biais d'une notification écrite précisant l'ordre du jour de cet audit au moins 30 (trente) jours à l'avance ;
  • 2.10.2. l'audit n'a pas lieu plus d'une fois par an ;
  • 2.10.3. tous les coûts et dépenses associés sont à la charge du marchand et remboursés à Bizzon sur demande ; et
  • 2.10.4. l'audit ne dure pas plus longtemps que l'équivalent d'une journée de travail (8 heures) du représentant de Bizzon.

Si le marchand demande l'audit par l'intermédiaire d'un tiers indépendant - auditeur externe agréé, Bizzon peut s'opposer à ce que l'auditeur externe agréé désigné par le marchand procède à l'audit si, de l'avis raisonnable de Bizzon, l'auditeur n'est pas suffisamment qualifié ou indépendant, s'il est un concurrent de Bizzon ou s'il n'est manifestement pas approprié. Toute objection de ce type obligera Merchant à nommer un autre auditeur. Si le marchand demande plus d'un audit au cours d'une année civile, il doit obtenir l'autorisation écrite préalable de Bizzon et supporter les coûts liés à ces audits et rembourser à Bizzon tous les coûts raisonnablement encourus pour ces audits. A la demande du marchand, Bizzon fournira au marchand le coût estimé qu'il s'attend à encourir lors de cet audit selon l'étendue spécifiée dans l'agenda fourni par le marchand.

3. Le traitement par le marchand

3.1. Le traitement du marchand. Dans le cadre de son utilisation des services, le marchand traite les données à caractère personnel conformément aux exigences de la législation sur la protection des données. Pour éviter toute ambiguïté, le marchand garantit que ses instructions pour le traitement des données personnelles sont conformes à la législation sur la protection des données et qu'il ne donnera pas d'instruction ou de classement qui ordonne à Bizzon d'entreprendre une action ou un plan d'action qui est illégal ou autrement non conforme à la législation sur la protection des données. Le marchand est seul responsable de l'exactitude, de la qualité et de la légalité des données à caractère personnel et des moyens par lesquels le marchand a acquis les données à caractère personnel.

3.2. Conformité du marchand. Outre les obligations du Marchand énoncées dans le Contrat, le Marchand est responsable (i) de l'intégrité, de la sécurité, de la maintenance et de la protection appropriée des Données à caractère personnel, et (ii) d'assurer sa conformité avec toute loi et réglementation applicable en matière de confidentialité, de protection des données et de sécurité concernant : (a) son Traitement des Données Personnelles ; (b) son utilisation des Services ; et (c) toutes les exigences d'enregistrement ou de notification auxquelles le Marchand est soumis en vertu de la loi applicable.

3.3. Notifications. Le marchand accepte de faire toutes les notifications requises et d'obtenir les consentements et droits requis de la part des personnes physiques en relation avec le provisionnement des services par Bizzon au marchand. Lorsque Bizzon reçoit une communication décrite dans les clauses 2.4.1 ou 2.4.3 ci-dessus et en informe le marchand, il incombe au marchand de répondre à cette communication et de prendre toute autre mesure appropriée à son égard. Le marchand s'engage à informer immédiatement Bizzon de toute utilisation non autorisée des services ou du compte ou de toute autre atteinte à la sécurité des services.

3.4. Mesures techniques et organisationnelles. Le marchand est seul responsable de l'implémentation et du maintien des mesures de sécurité et des autres mesures techniques et organisationnelles adaptées à la nature et au volume des données personnelles qu'il stocke ou traite d'une autre manière en utilisant les services . Le marchand est également responsable de l'utilisation des services par l'un de ses employés, par toute personne qu'il autorise à accéder aux services ou à les utiliser, et par toute personne qui accède aux données à caractère personnel ou aux services du fait qu'il n'a pas pris de mesures de sécurité raisonnables, même si cette utilisation n'a pas été autorisée par le marchand.

4. La coopération

4.1. Coopération entre le marchand et Bizzon. Le Marchand et Bizzon acceptent de coopérer de manière commercialement raisonnable comme cela est raisonnablement exigé pour protéger les données personnelles en vertu des lois applicables, des articles 35 et 36 du RGPD pour effectuer une analyse d'impact sur la protection des données associée à l'utilisation des services par le Marchand, dans la mesure où le Marchand n'a pas autrement accès aux informations pertinentes, et dans la mesure où ces informations sont disponibles pour Bizzon. Le marchand doit coopérer avec Bizzon dans le cadre d'une enquête raisonnable sur les pannes des services, les problèmes de sécurité et toute suspicion de violation de la sécurité. Le Marchand apportera une assistance raisonnable à Bizzon dans la coopération ou la consultation préalable de l'Autorité de surveillance dans l'accomplissement de ses tâches associées à la présente clause, dans la mesure où cela est requis par la loi applicable.

4.2. Assistance de Bizzon. Pendant la durée de la convention, le marchand peut demander à Bizzon de l'assister dans ses efforts pour se conformer aux obligations du marchand en vertu des lois applicables, à condition que (i) l'assistance demandée soit pertinente pour les services qui soutiennent le traitement des données personnelles, (ii) l'assistance demandée soit commercialement raisonnable et proportionnée à l'objectif de l'exercice pour lequel l'assistance de Bizzon est demandée, et (iii) tous les coûts et dépenses associés de Bizzon (y compris le coût du temps de son personnel) soient supportés par le marchand et remboursés à Bizzon à la demande de ce dernier.

5. Sous-transformation

5.1. Sous-processeurs. En ce qui concerne les tiers ou la sous-traitance du traitement, Bizzon ne peut autoriser un tiers (sous-traitant) à traiter les données personnelles qu'avec l'accord préalable du marchand et à condition que les dispositions relatives au traitement et à la protection des données dans le contrat du sous-traitant à l'égard des données personnelles soient à des durées qui sont substantiellement les mêmes que celles énoncées dans le présent addendum à condition que le contrat du sous-traitant à l'égard des données personnelles prenne fin automatiquement en cas de résiliation de la convention pour quelque raison que ce soit. Aux fins des présentes, les sous-traitants suivants sont approuvés par le marchand en signant le présent addendum : (i) les sous-traitants énumérés à l'annexe III des présentes ; (ii) les sociétés affiliées de Bizzon ; et (iii) tout sous-traitant autorisé par le marchand via son utilisateur autorisé en autorisant une intégration avec les services par le biais du compte ou autrement. Bizzon peut, pendant la durée de la convention, impliquer de nouveaux Sous-Traitants, à condition que ces Sous-Traitants n'accèdent et n'utilisent les Données Personnelles que dans la mesure nécessaire à l'exécution des obligations qui lui sont sous-traitées.

5.2. Objections. Le marchand peut raisonnablement s'opposer à l'utilisation par Bizzon d'un nouveau sous-processeur en le notifiant rapidement par écrit à Bizzon dans les dix (10) jours ouvrables suivant la réception de la notification de Bizzon. Dans l'événement où le marchand s'oppose à un nouveau sous-traitant, Bizzon fera des efforts raisonnables pour (i) ajouter des garanties supplémentaires (couvrant les préoccupations spécifiées) ; (ii) changer le sous-traitant (vis à vis du sous-traitant) ; ou (iii) mettre à la disposition du marchand un changement dans les services ou recommander un changement commercialement raisonnable à la configuration ou à l'utilisation des services par le marchand afin d'éviter le traitement par le sous-traitant faisant l'objet de l'objection, sans imposer une charge déraisonnable au marchand. Si Bizzon n'est pas en mesure de procéder à cette modification dans un délai raisonnable, qui ne peut excéder trente (30) jours, le marchand peut mettre fin uniquement à la partie des services qui ne peut être fournie par Bizzon sans l'utilisation du sous-processeur contesté en adressant une notification écrite à Bizzon. Bizzon remboursera au marchand tous les frais payés d'avance couvrant le reste de la durée du contrat après la date effective de résiliation en ce qui concerne la partie des services résiliée, ce qui représente le seul et unique recours du marchand dans le cadre de l'introduction d'un nouveau sous-processeur.

5.3. Responsabilité. Bizzon est responsable des actes et omissions de ses sous-processeurs dans la même mesure que Bizzon serait responsable si elle exécutait les services de chaque sous-processeur directement selon les durées du présent addendum, sauf disposition contraire dans la convention.

6. Transfert de données

6.1. Espace économique européen. Les parties conviennent que les données à caractère personnel peuvent être transférées de l'Espace économique européen vers un pays tiers uniquement si l'une des conditions suivantes s'applique :

  • 6.1.1. il existe une décision applicable de la Commission européenne indiquant que le pays tiers assure un niveau de protection adéquat ;
  • 6.1.2. le transfert peut avoir lieu parce que Bizzon a fourni des garanties appropriées conformément à l'Art. 46 du RGPD, et à condition que des droits opposables aux personnes concernées et des voies de recours effectives pour les personnes concernées soient disponibles ; ou bien.
  • 6.1.3. les dérogations pour des situations spécifiques en vertu de l'art. 49 du RGPD s'appliquent.

6.2. Clauses contractuelles types. Aux fins de la clause 6.1.2 ci-dessus, les parties conviennent que les clauses contractuelles types sont considérées comme des garanties appropriées. Pour permettre le transfert de données depuis et vers des pays tiers à destination et en provenance de l'Espace économique européen ou du Royaume-Uni (selon le cas), les Clauses contractuelles types (les"CCN") sont incorporées par référence au présent addendum et en font partie intégrante comme suit :

  • 6.2.1. Aux fins des données à caractère personnel qui sont objet des lois de l'UE sur la protection des données (les" données de l'UE") :
    • 6.2.1.1. Lorsque le marchand est le responsable du traitement, le module deux (du responsable au processeur) des CSC s'applique, lorsque le marchand est le processeur, le module trois (du processeur au sous-processeur) des CSC s'applique ;
    • 6.2.1.2. dans la clause 9, l'Option 2 s'appliquera, et la période de notification préalable des changements de sous-processeurs sera celle prévue à la clause 5 (Sous-Traitement) du présent addendum ;
    • 6.2.1.3. à la clause 11, la langue optionnelle ne s'appliquera pas ;
    • 6.2.1.4. dans la clause 17, l'Optionnel s'appliquera, et les CSC de l'UE seront régies par le droit néerlandais ;
    • 6.2.1.5. à la clause 18(b), les litiges seront résolus devant les tribunaux des Pays-Bas ;
    • 6.2.1.6. L'annexe I des CCAP est réputée complétée par les informations figurant à l'annexe I du présent addendum ;
    • 6.2.1.7. L'annexe II des CCAP est réputée complétée par les informations figurant à l'annexe II du présent addendum ;
  • 6.2.2. Le transfert des données à caractère personnel qui sont objet des lois britanniques sur la protection des données (les" données britanniques") est régi par l'Annexe IV - Addendum britannique aux CCN.

7. La communication

Le marchand accepte que tout utilisateur autorisé du marchand puisse être contacté et soit habilité à recevoir toute communication relative au présent addendum.

8. CCPA

8.1. Applicabilité. Bizzon reconnaît que, lorsque le droit de l'État de Californie s'applique, il agit en tant que prestataire de services en ce qui concerne les données à caractère personnel.

8.2. Obligations de Bizzon. Sauf si le droit applicable le prescrit ou si cela a été expressément convenu entre les parties, Bizzon ne peut pas :

  • 8.2.1. vendre les données à caractère personnel ;
  • 8.2.2. conserver, utiliser ou divulguer les données à caractère personnel à des fins autres que l'objectif spécifique de l'exécution des services ;
  • 8.2.3. conserver, utiliser ou divulguer les données à caractère personnel à des fins commerciales autres que celles spécifiées dans l'accord ; ou
  • 8.2.4. conserver, utiliser ou divulguer les données personnelles en dehors de la relation commerciale directe entre Bizzon et le marchand.

8.3. Engagement. Bizzon certifie qu'il comprend et respectera les responsabilités et les restrictions imposées par le présent addendum, la CCPA et les autres lois et réglementations applicables en matière de protection des données.

8.4. Dans la présente clause 8 :

  • 8.4.1. " CCPA" : la loi californienne sur la protection de la vie privée des consommateurs, California Civil Code §§1798.100 et suivants, y compris tout amendement et règlement d'application entrant en vigueur à la date d'entrée en vigueur du présent addendum ou après celle-ci ; et
  • 8.4.2. "Prestataire de services" a la signification indiquée à la section 1798.140(v) de l'ACCP.

9. Clauses spécifiques aux États-Unis

9.1. Applicabilité. La présente clause 9 ne s'applique que si le marchand est constitué en société aux États-Unis d'Amérique.

9.2. COPPA. La protection de la vie privée des enfants est particulièrement importante. La loi sur la confidentialité et la protection en ligne des enfants ("COPPA") exige que les fournisseurs de services en ligne obtiennent le consentement des parents avant de collecter sciemment en ligne des données personnelles auprès d'enfants de moins de 13 ans aux États-Unis d'Amérique. Bizzon respecte la fonction des parents ou des tuteurs dans la surveillance des activités en ligne de leurs enfants. En conséquence, Bizzon limite sa collecte de données personnelles auprès des enfants à ce qui est raisonnablement nécessaire pour participer aux services et les améliorer. Bizzon ne collecte pas de données à caractère personnel auprès d'enfants en dehors de ce qui est prévu dans la convention. Bizzon se réserve le droit de refuser de traiter les données fournies par le marchand qui sont en violation de la présente clause.

9.3. Utilisation par des tiers des données du marchand. Sauf accord contraire, toutes les données fournies à Bizzon par le marchand sont des informations confidentielles et Bizzon n'utilisera aucune donnée à d'autres fins que l'exercice de ses droits et l'exécution de ses obligations dans le cadre des services. Le marchand reconnaît qu'afin d'exécuter correctement les services, les informations données à Bizzon par le marchand seront mises à la disposition de tiers afin de permettre l'exécution des services. Le marchand reconnaît que ces tiers ne sont pas des représentants de Bizzon et que Bizzon n'est pas responsable des actes et omissions de ces tiers. Bizzon exige des tiers auxquels toute donnée personnelle est mise à disposition qu'ils appliquent le même niveau de protection de la confidentialité que celui énoncé dans le présent addendum et que celui exigé par les lois applicables. La manière dont les données du marchand peuvent être utilisées est couverte par la politique de confidentialité de Bizzon.

10. Provisionnements finaux

10.1. Bénéficiaires tiers. Les personnes concernées sont les seuls tiers bénéficiaires des CSC, et il n'y a pas d'autres tiers bénéficiaires de l'accord et du présent avenant. Nonobstant ce qui précède, l'accord et les durées du présent addendum ne s'appliquent qu'aux parties et ne confèrent aucun droit à une société affiliée du marchand, aux utilisateurs finaux du marchand ou à toute personne objet de données tierces.

10.2. Droit applicable. L'accord régit toutes les plaintes déposées au titre du présent avenant.

10.3. Responsabilité. Les recours du marchand, y compris ceux de ses affiliés, et la responsabilité de Bizzon, découlant de ou associés au présent avenant et aux CSC seront objets des limitations de responsabilité et des clauses de non-responsabilité du contrat. Si aucune limitation de responsabilité n'est stipulée dans l'accord, les parties conviennent et déclarent que le dommage total pouvant résulter de la violation du présent avenant et des CCAP n'excédera pas dix mille euros.

10.4. Durée. Après la résiliation du contrat, le présent avenant continuera à être en vigueur jusqu'à ce que Bizzon cesse de traiter les données à caractère personnel pour le compte du marchand.

10.5. Terminaison. Bizzon peut résilier le présent addendum si Bizzon propose au marchand des mécanismes alternatifs qui respectent les obligations des lois applicables en matière de confidentialité des données.

10.6. Contreparties. Le présent addenda peut être signé en plusieurs exemplaires, qui sont considérés ensemble comme un seul original.

Annexe I

A.- Liste des parties

Exportation de données

L'exportateur de données est le marchand.

Importer des données

L'importateur de données est Bizzon

B. - Description du transfert

Catégories de personnes concernées

Les données à caractère personnel transférées concernent les personnes (clients ou prospects) qui utilisent les services du marchand.

Catégories de données à caractère personnel

Les données personnelles transférées concernent les catégories de données suivantes : informations de contact et d'identification (y compris le nom, le titre, l'e-mail et l'adresse), détails de paiement, numéros de carte, noms des titulaires de carte et détails des services du marchand et données limitées de connexion et de localisation (ville) sous forme électronique qui sont transférées à l'importateur de données dans le cadre des services de Bizzon' (fournis par le sous-processeur/importateur concerné).

Catégories particulières de données à caractère personnel

Les données sensibles telles que les exigences alimentaires peuvent être transférées si les personnes concernées décident de partager des informations de cette nature. Les mesures techniques et organisationnelles prévues à l'annexe II s'appliquent.

Opérations de transformation

Les données à caractère personnel transférées feront l'objet des activités de traitement de base suivantes : Collecte, enregistrement, organisation, structuration, conservation, adaptation ou modification, extraction, consultation, utilisation, divulgation par transmission, diffusion ou toute autre forme de mise à disposition, rapprochement ou combinaison, restriction, effacement ou destruction. Le marchand doit prendre des précautions raisonnables en matière de sécurité dans le cadre de son utilisation des services, notamment en cryptant de manière appropriée toutes les données à caractère personnel stockées sur le système hébergé ou transmises par celui-ci.

Fréquence de transfert

Continuer

Nature et objet du traitement

  • i. le stockage (hôte) et d'autres traitements nécessaires pour fournir, maintenir et améliorer les services ;
  • ii. le service client fourni au Marchand au cas par cas ;
  • iii. les divulgations conformément à l'accord, dans la mesure où la loi l'exige ; et
  • iv. la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, l'alignement ou la combinaison, la restriction, l'effacement ou la destruction.

Durée du traitement

Durée

Finalité(s) du transfert et du traitement ultérieur des données

(i) Traitement pour fournir, maintenir, soutenir et améliorer les services fournis au marchand conformément à l'entente ;

(ii) le traitement initié par les personnes dans le cadre de leur utilisation des services ; et

(iii) le traitement pour se conformer à d'autres instructions raisonnables documentées fournies par le marchand (par exemple, par courriel) lorsque ces instructions sont compatibles avec les durées de l'accord (y compris le présent addenda).

C. - Autorité de contrôle compétente

En ce qui concerne les données de l'UE, l'autorité de contrôle compétente est l'autorité néerlandaise de protection des données (l'"AS néerlandaise").

Annexe II - Mesures techniques et organisationnelles

Vous trouverez ci-dessous la description des mesures de sécurité techniques et organisationnelles implémentées par Bizzon conformément au présent addendum.

1. CONTRÔLE D'ACCÈS

1.1. Il faut empêcher les personnes non autorisées d'accéder physiquement aux locaux, bâtiments ou chambres où se trouvent les systèmes de traitement des données qui traitent des données à caractère personnel. Des exceptions peuvent être accordées à des fins d'audit des installations à des auditeurs tiers, pour autant qu'ils soient supervisés par Bizzon et qu'ils n'aient pas eux-mêmes accès aux données à caractère personnel.

1.2. Bizzon garantit qu'il a (sans limitation) implémenté les traitements suivants :

  • 1.2.1. des contrôles permettant de spécifier les personnes autorisées à accéder aux données à caractère personnel ;
  • 1.2.2. implémenté un processus de contrôle d'accès afin d'éviter tout accès non autorisé aux locaux de la société ;
  • 1.2.3. implémenté un processus de contrôle d'accès pour restreindre l'accès aux centres de données / chambres où se trouvent les serveurs de données ;
  • 1.2.4. utilise des appareils de surveillance vidéo et d'alarme pour les zones d'accès ; et
  • 1.2.5. veillé à ce que le personnel sans autorisation d'accès (par exemple, les techniciens, le personnel de nettoyage) soit accompagné en permanence lorsqu'il accède aux zones de traitement des données.

2. LE CONTRÔLE D'ACCÈS AU SYSTÈME

2.1. Les systèmes de traitement des données doivent être empêchés d'être utilisés sans autorisation.

2.2. Bizzon garantit qu'il a (sans limitation) implémenté les traitements suivants :

  • 2.2.1. veillé à ce que tous les systèmes traitant des données à caractère personnel (y compris l'accès à distance) soient protégés par un mot de passe :
    • 2.2.1.1. après les séquences de démarrage, et
    • 2.2.1.2. lorsqu'il est quitté, même pour une courte période ;
  • 2.2.2. d'empêcher toute personne non autorisée d'accéder à des données à caractère personnel ;
  • 2.2.3. fournit des pièces d'identité dédiées à l'authentification par rapport à la gestion des utilisateurs du système pour chaque individu ;
  • 2.2.4. attribue des mots de passe individuels aux utilisateurs pour l'authentification ;
  • 2.2.5. s'assurer que le contrôle d'accès s'appuie sur un système d'authentification ;
  • 2.2.6. des contrôles visant à n'accorder l'accès qu'au personnel autorisé et à n'attribuer que les autorisations minimales nécessaires pour que ce personnel puisse accéder aux données à caractère personnel dans l'exercice de ses fonctions ;
  • 2.2.7. implémenté une politique en matière de mots de passe qui interdit le partage des mots de passe, décrit les procédures à suivre après la divulgation d'un mot de passe et exige le changement régulier des mots de passe ;
  • 2.2.8. veillé à ce que les mots de passe soient toujours stockés sous forme cryptée ;
  • 2.2.9. implémentation d'une procédure adéquate pour désactiver le compte utilisateur lorsqu'un utilisateur quitte la société ou la fonctionnalité ;
  • 2.2.10. implémentation d'un processus adéquat pour ajuster les autorisations des administrateurs, lorsqu'un administrateur quitte la société ou la fonction ; et
  • 2.2.11. a implémenté une procédure visant à enregistrer tous les accès aux systèmes et à examiner ces journaux pour détecter les incidents de sécurité.

3. CONTRÔLE D'ACCÈS

3.1. Les personnes autorisées à utiliser un système de traitement des données n'ont accès qu'aux données auxquelles elles ont un droit d'accès, et les données à caractère personnel ne doivent pas être lues, copiées, modifiées ou supprimées sans autorisation au cours du traitement.

3.2. Bizzon garantit qu'il a (sans limitation) implémenté les traitements suivants :

  • 3.2.1. un accès restreint aux fichiers et aux programmes sur la base du "besoin d'en connaître" ;
  • 3.2.2. stocké les supports physiques contenant des données à caractère personnel dans des zones sécurisées ;
  • 3.2.3. des contrôles visant à empêcher l'utilisation/l'installation de matériel et/ou de logiciels non autorisés ;
  • 3.2.4. établi des règles pour la destruction sûre et permanente des données qui ne sont plus nécessaires ; et
  • 3.2.5. des contrôles visant à n'accorder l'accès qu'au personnel autorisé et à n'attribuer que les autorisations minimales nécessaires pour que ce personnel puisse accéder aux données à caractère personnel dans l'exercice de ses fonctions.

4. LE CONTRÔLE DE LA TRANSMISSION DES DONNÉES

4.1. Les données personnelles ne doivent pas être lues, copiées, modifiées ou supprimées sans autorisation pendant leur transfert ou leur stockage, et il doit être possible d'établir à qui les données personnelles ont été transférées.

4.2. Bizzon garantit qu'il a (sans limitation) implémenté les traitements suivants :

  • 4.2.1. crypter les données lors de toute transmission et au repos ;
  • 4.2.2. transporter des supports physiques contenant des données à caractère personnel dans des conteneurs scellés ; et
  • 4.2.3. avoir des notes d'expédition et de livraison.

5. CONTRÔLE DE LA SAISIE DES DONNÉES

5.1. Bizzon est en mesure d'examiner rétrospectivement et de déterminer si et par qui des données à caractère personnel ont été introduites dans les systèmes de traitement des données, modifiées ou supprimées.

5.2. Bizzon garantit qu'il a (sans limitation) implémenté les traitements suivants :

  • 5.2.1. des responsables du traitement des journaux d'activités des administrateurs et des utilisateurs ; et
  • 5.2.2. des contrôles permettant aux seules personnes autorisées de modifier les données à caractère personnel dans le cadre de leurs fonctions.

6. RESPONSABLE DU TRAITEMENT

6.1. Les données à caractère personnel traitées dans le cadre de l'exécution d'un service pour la Société le sont uniquement en conformité avec le contrat de services en place entre la Société et Bizzon et conformément aux instructions de la Société.

6.2. Bizzon garantit qu'il a (sans limitation) implémenté les traitements suivants :

  • 6.2.1. mis en place des contrôles pour garantir le traitement des données à caractère personnel uniquement à des fins d'exécution du contrat ;
  • 6.2.2. les contrôles visant à s'assurer que les membres du personnel et les contractants respectent les instructions écrites ou les contrats ; et
  • 6.2.3. veillé à ce que les données soient toujours séparées physiquement ou logiquement de manière à ce que, à chaque étape du traitement, le client à l'origine des données personnelles puisse être identifié.

7. LE CONTRÔLE DE LA DISPONIBILITÉ

7.1. Les données à caractère personnel sont protégées contre la divulgation, la destruction accidentelle ou non autorisée et la perte.

7.2. Bizzon garantit qu'il a (sans limitation) implémenté les traitements suivants :

  • 7.2.1. des dispositions pour créer des copies de sauvegarde stockées dans des environnements spécialement protégés ;
  • 7.2.2. des dispositions pour effectuer des tests de restauration réguliers à partir de ces sauvegardes ;
  • 7.2.3. des plans d'urgence ou des stratégies de reprise des activités ;
  • 7.2.4. des contrôles visant à garantir que les données à caractère personnel ne sont pas utilisées à d'autres fins que celles pour lesquelles elles ont été contractées ; et
  • 7.2.5. des contrôles visant à empêcher le retrait des données à caractère personnel des ordinateurs ou des locaux professionnels de l'importateur de données pour quelque raison que ce soit (à moins que l'exportateur de données n'ait spécifiquement autorisé ce retrait à des fins professionnelles) ;
  • 7.2.6. contrôle de l'utilisation du matériel professionnel autorisé pour effectuer les services ;
  • 7.2.7. des contrôles visant à garantir que chaque fois qu'un membre du personnel laisse son bureau sans surveillance pendant la journée et avant de quitter le bureau à la fin de la journée, il/elle place les documents contenant des données personnelles dans un environnement sûr et sécurisé, tel qu'un tiroir de bureau verrouillé, un classeur ou un autre espace de stockage sécurisé. (poste de travail propre) ;
  • 7.2.8. implémenté un processus d'élimination sécurisée des documents ou supports de données contenant des données à caractère personnel ;
  • 7.2.9. implémenté des pare-feux de réseau pour empêcher tout accès non autorisé aux systèmes et aux services
  • 7.2.10. veillé à ce que chaque système utilisé pour traiter des données à caractère personnel dispose d'une solution antivirus à jour.

8. EXIGENCES ORGANISATIONNELLES

8.1. L'organisation interne de l'importateur de données doit répondre aux exigences spécifiques de la protection des données. En particulier, l'importateur de données prend des mesures techniques et organisationnelles pour éviter le mélange accidentel de données à caractère personnel.

8.2. Bizzon garantit qu'il a (sans limitation) implémenté les traitements suivants :

  • 8.2.1. a désigné un délégué à la protection des données (ou une personne responsable si un délégué à la protection des données n'est pas exigé par la loi) ;
  • 8.2.2. obtenu l'engagement écrit des employés de respecter la confidentialité ;
  • 8.2.3. former le personnel à la confidentialité et à la sécurité des données ;
  • 8.2.4. implémenté un processus formel de réponse aux incidents de sécurité qui est suivi de manière cohérente pour la gestion des incidents de sécurité ; et
  • 8.2.5. formé le personnel dans les fonctions de réponse aux incidents de sécurité au processus d'incident de sécurité.

Annexe III - Sous-traitants approuvés

La liste des sous-processeurs approuvés de Bizzon est disponible à l'adresse Sous-processeurs approuvés.

Annexe IV - Addendum du Royaume-Uni aux CSC

Date du présent addendum

1. Le présent avenant britannique entre en vigueur à compter de : la même date que l'accord.

Contexte

2. L'Information Commissioner's Office considère que le présent addendum britannique fournit des garanties appropriées aux fins des transferts de données à caractère personnel vers un pays tiers ou une organisation internationale en se fondant sur l'article 46 du RGPD britannique et, en ce qui concerne les transferts de données des responsables du traitement vers les processeurs, ou des processeurs vers les sous-traitants.

Interprétation du présent addendum britannique

3. Lorsque le présent addendum britannique utilise des durées qui sont définies dans les CCAP, ces durées ont la même signification que dans les CCAP.

4. Le présent addendum britannique doit être lu et interprété à la lumière des dispositions des lois britanniques sur la protection des données, et de manière à ce qu'il réponde à l'intention de fournir les garanties appropriées comme l'exige l'article 46 du RGPD.

5. Le présent addendum britannique ne doit pas être interprété de manière à entrer en conflit avec les droits et obligations prévus par les lois britanniques sur la protection des données.

6. Toute référence à la législation (ou à des dispositions spécifiques de la législation) désigne cette législation (ou ce provisionnement spécifique) telle qu'elle peut être modifiée au fil du temps. Il en va de même lorsque cette législation (ou un provisionnement spécifique) a été consolidée, réadoptée ou remplacée après l'entrée en vigueur du présent addendum britannique.

Hiérarchie

7. En cas de conflit ou d'incohérence entre le présent addendum britannique et les dispositions des CSC ou d'autres accords associés entre les parties, existant au moment où le présent addendum britannique est convenu ou conclu par la suite, les dispositions qui assurent la plus grande protection aux personnes concernées prévaudront.

Constitution des CCN

8. Le présent addendum britannique incorpore les CCN qui sont réputés être modifiés dans la mesure nécessaire, afin qu'ils fonctionnent :

  • a. pour les transferts effectués par l'exportateur de données à l'importateur de données, dans la mesure où les lois britanniques sur la protection des données s'appliquent au traitement effectué par l'exportateur de données lors de ce transfert ; et
  • b. de fournir des garanties appropriées pour les transferts conformément à l'article 46 du RGPD britannique.
  • c. lorsque le marchand est le responsable du traitement, le module deux (du responsable au processeur) des CSC s'applique, lorsque le marchand est le processeur, le module trois (du processeur au sous-processeur) des CSC s'applique ;
  • d. dans la clause 9 des CCAP, l'Optionnel 2 s'appliquera, et la période de notification préalable des changements de sous-traitants sera celle prévue à la clause 5 (Sous-Traitement) du présent DPA ;
  • e. dans la clause 11 des CCN, la langue optionnelle ne s'appliquera pas ;

9. Les exigences de la section 7 ci-dessus comprennent (sans s'y limiter) :

  • a. Les références aux "CCAP" désignent le présent addendum britannique tel qu'il intègre les CCAP.
  • b. La clause 6 Description du (des) transfert(s) est remplacée par le texte suivant "Les détails du ou des transferts et, en particulier, les catégories de données à caractère personnel qui sont transférées et la ou les finalités pour lesquelles elles sont transférées) sont ceux spécifiés à l'annexe I.B de l'addendum lorsque les lois britanniques sur la protection des données s'appliquent au traitement de l'exportateur de données lors de ce transfert." ;
  • c. L'annexe II des CCAP est réputée complétée par les informations figurant à l'annexe II de l'addendum ;
  • d. Les références au "règlement (UE) 2016/679" ou à "ce règlement" sont remplacées par "les lois britanniques sur la protection des données" et les références à un ou des articles spécifiques du "règlement (UE) 2016/679" sont remplacées par l'article ou la section équivalente des lois britanniques sur la protection des données ;
  • e. Les références au règlement (UE) 2018/1725 sont supprimées ;
  • f. Les références à l'"Union", à l'"UE" et à l'"État membre de l'UE" sont toutes remplacées par le "Royaume-Uni" ;
  • g. La clause 13(a) et la partie C de l'annexe II ne sont pas utilisées ; l'"autorité de contrôle compétente" est l'Information Commissioner's Office (bureau du commissaire à l'information) ;
  • h. La clause 17 est remplacée par la phrase suivante : "Les présentes CCN sont régies par les lois de l'Angleterre et du Pays de Galles" ;
  • i. La clause 18 est remplacée par le texte suivant "Tout litige découlant des présentes CCN sera réglé par les tribunaux d'Angleterre et du Pays de Galles. Une personne concernée peut également intenter une action en justice contre l'exportateur et/ou l'importateur de données devant les tribunaux de n'importe quel pays du Royaume-Uni. Les parties acceptent de se soumettre à la juridiction de ces tribunaux. " ;
  • j. Les notes de bas de page des CCN ne font pas partie de l'addendum.