Accord sur le Traitement des Données pour Retail Cloud Technologies, LLC
(« Accord sur le Traitement des Données »)
Version 2 août 2021
1. Étendue et Applicabilité
1.1 Le présent Accord sur le Traitement des Données s’applique au Traitement par Retail Cloud Technologies, LLC (ci-après « Teamwork ») des Informations Personnelles en Votre nom en tant que Sous-traitant pour la fourniture des Services spécifiés dans le Contrat de Services Technologiques (ci-après « Votre Contrat de Services »). Sauf indication contraire expresse dans Votre Contrat de Services, la présente version de l’Accord sur le Traitement des Données sera effective et restera en vigueur pendant toute la durée de Votre Contrat de Services.
1.2 En outre, tout Traitement des Informations Personnelles soumis à la Loi Européenne Applicable sur la Protection des Données est soumis aux dispositions complémentaires de l’Addendum Européen sur la Protection des Données défini dans l’Annexe 1 et au Code du Sous-traitant de Teamwork qui y est mentionné.
1.1 1.3 Si vous devez contacter Teamwork pour discuter de toute question ou préoccupation concernant le présent Accord sur le Traitement des Données, veuillez contacter l’équipe de sécurité de Teamwork à l’adresse électronique suivante :
ITSecurity@teamworkcommerce.com.
2. Responsabilité du Traitement des Informations Personnelles et de Vos instructions
2.1 Vous êtes un Responsable du Traitement et Teamwork est un Sous-traitant pour le Traitement des Informations Personnelles dans le cadre de la fourniture des Services. Chaque partie est responsable du respect de ses obligations respectives en vertu de la Loi Applicable sur la Protection des Données.
2.2 Teamwork Traitera les Informations Personnelles uniquement dans le but de fournir les Services conformément au Contrat de Services et au présent Accord sur le Traitement des Données.
2.3 En plus de Vos instructions ajoutées au Contrat de Services, Vous pouvez fournir des instructions supplémentaires par écrit à Teamwork en ce qui concerne le Traitement des Informations Personnelles conformément à la Loi Applicable sur la Protection des Données. Teamwork se conformera rapidement à toutes ces instructions dans la mesure où cela est nécessaire pour que Teamwork (i) se conforme à ses obligations de Sous-traitant en vertu de la Loi Applicable sur la Protection des Données ; ou (ii) Vous aide à vous conformer à Vos obligations de Responsable du Traitement en vertu de la Loi Applicable sur la Protection des Données concernant Votre utilisation des Services.
2.4 Teamwork suivra Vos instructions sans frais supplémentaires pour Vous et dans les délais raisonnablement nécessaires pour que vous puissiez vous conformer à vos obligations en vertu de la Loi Applicable sur la Protection des données. Dans la mesure où Teamwork prévoit d’encourir des frais supplémentaires ou non couverts par les frais de Services payables en vertu du Contrat de Services, tels que des frais de licence additionnels ou des frais de cocontractants, Teamwork vous en informera rapidement dès réception de Vos instructions. Sans préjudice de l’obligation de Teamwork de se conformer à Vos instructions, les parties négocieront alors de bonne foi en ce qui concerne ces frais.
2.5 Sauf indication contraire dans le Contrat de Services, vous ne pouvez pas fournir à Teamwork des Informations Personnelles sensibles ou spéciales qui imposent à Teamwork des obligations spécifiques en matière de sécurité ou de protection des données additionnelles ou différentes de celles spécifiées dans l’Accord sur le Traitement des Données ou le Contrat de Services.
3. Demandes de Renseignements sur la Vie Privée et Requêtes de la part d’Individus
3.1 Si vous recevez une requête ou une demande de la part d’un Individu concernant des Informations Personnelles traitées par Teamwork pour la fourniture de Services, Vous pouvez soit (i) accéder de manière sécurisée à Votre environnement de Services qui contient des Informations Personnelles pour répondre à la requête, soit (ii) dans la mesure où Vous ne disposez pas d’un tel accès, soumettre une « demande de service » par l’intermédiaire de My Teamwork Support (le portail de soutien de Teamwork, ou tout autre outil de soutien principal applicable ou contact de soutien fourni pour les Services, tel que Votre chef de projet) avec des instructions écrites détaillées à Teamwork sur la manière de Vous aider avec cette requête.
3.2 Si Teamwork reçoit directement des requêtes ou des demandes de la part d’Individus qui vous ont identifié comme le Contrôleur, il Vous transmettra rapidement ces requêtes sans répondre aux Individus. Dans le cas contraire, Teamwork conseillera aux Individus d’identifier et de contacter le(s) responsable(s) du traitement concerné(s).
4. Sociétés Affiliées de Teamwork et Sous-traitants Tiers
4.1 Dans la mesure où Teamwork engage des Sous-traitants Tiers et/ou des Sociétés Affiliées de Teamwork pour traiter les Informations Personnelles, ces entités seront soumises au même niveau de protection et de sécurité des données que Teamwork selon les dispositions du Contrat de Services. Teamwork est responsable de l’exécution des obligations des Sociétés Affiliées de Teamwork et des Sous-traitants Tiers conformément aux dispositions du présent Accord sur le Traitement des Données et de la Loi Applicable sur la Protection des Données.
5. Transferts transfrontaliers de données
5.1 Sans préjudice des restrictions régionales applicables aux centres de données pour les Services hébergés spécifiés dans Votre Contrat de Services, Teamwork peut Traiter les Informations Personnelles à l’échelle mondiale si cela est nécessaire à l’exécution des Services.
6. Sécurité et confidentialité
6.1 Teamwork a mis en place et maintiendra des mesures de sécurité techniques et organisationnelles appropriées pour le Traitement des Informations Personnelles dans le but d’empêcher la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès accidentels ou illégaux aux Informations Personnelles. Ces mesures de sécurité régissent tous les domaines de la sécurité applicables aux Services, y compris l’accès physique, l’accès au système, l’accès aux données, la transmission et le cryptage, la saisie, la sauvegarde des données, la séparation des données et la surveillance de la sécurité, l’application et d’autres contrôles et mesures de sécurité (y compris, sans s’y limiter, l’analyse de la vulnérabilité et la surveillance des contrôles et des politiques de sécurité).
6.2 Tous les employés de Teamwork et des Sociétés Affiliées de Teamwork, ainsi que les Sous-traitants Tiers qui Traitent les Informations Personnelles, sont soumis à des dispositions écrites appropriées en matière de confidentialité, y compris des accords de confidentialité, une formation régulière sur la protection des informations et le respect des politiques de Teamwork concernant la protection des informations confidentielles.
7. Droits d’Audit
7.1 Audits et Inspections. Teamwork met à Votre disposition les informations nécessaires pour démontrer le respect des obligations énoncées à l’article 28 du RGPD. Teamwork fournira l’assistance raisonnablement nécessaire afin de Vous permettre, ou à un autre auditeur mandaté par Vos soins, de mener des audits, y compris des inspections, comme l’exige la loi.
7.1 Vous rembourserez Teamwork pour le temps consacré à un tel audit aux taux de services professionnels en vigueur de Teamwork, qui seront mis à Votre disposition sur demande. Avant le début d’un tel audit, Teamwork et Vous-même conviendrez mutuellement de la portée, du calendrier et de la durée de l’audit, ainsi que du taux de remboursement dont vous serez responsable. Les Parties travailleront de bonne foi pour programmer l’audit à un moment qui soit mutuellement bénéfique, et de manière à éviter toute perturbation déraisonnable des opérations commerciales de Teamwork. Tous les taux de remboursement doivent être raisonnables, en tenant compte des ressources dépensées par Teamwork.
7.2 L’accès à l’audit par un tiers vous représentant est soumis à l’acceptation par ce représentant d’obligations de confidentialité raisonnables concernant les informations obtenues, étant entendu que toutes les informations obtenues peuvent vous être divulguées dans les limites autorisées par la loi.
7.3 Sauf accord écrit contraire entre les Parties, Vous devez prendre en charge les coûts associés à la réalisation des audits de Teamwork effectués conformément au présent Accord.
7.4 Vous devez notifier rapidement à Teamwork les informations relatives à toute non-conformité présumée découverte au cours d’un audit concernant les Services ou l’Accord.
7.5 Vos droits énoncés dans cette présente section ne peuvent être exercés qu’une seule fois par période de douze mois, à moins que les Parties n’en conviennent autrement par écrit ou que la loi ne l’exige expressément.
7.7 Les deux Parties mettent les informations visées dans l’accord de traitement des données, y compris les résultats des audits éventuels, à la disposition de l’autorité de surveillance compétente, sur demande.
8. Gestion des Incidents et Notification des Violations
8.1 Teamwork a mis en place des contrôles et des politiques dans le but de détecter et de répondre rapidement aux incidents qui créent des soupçons ou indiquent une destruction, une perte, une altération, une divulgation non autorisée ou un accès aux Informations Personnelles transmises, stockées ou Traitées d’une autre manière. Teamwork définira rapidement des voies d’escalade pour enquêter sur de tels incidents afin de confirmer si une Violation des Informations Personnelles s’est produite, et de prendre des mesures raisonnables destinées à identifier la ou les causes premières de la Violation des Informations Personnelles, à atténuer tout effet négatif éventuel et à empêcher que cela ne se reproduise.
8.2 Teamwork vous informera d’une Violation confirmée des Informations Personnelles dans les meilleurs délais, mais au plus tard dans les 48 heures. Au fur et à mesure que les Informations concernant la Violation des Informations Personnelles sont collectées ou deviennent raisonnablement disponibles pour Teamwork, Teamwork vous fournira également (i) une description de la nature et des conséquences raisonnablement anticipées de la Violation des Informations Personnelles ; (ii) les mesures prises pour atténuer tout effet négatif possible et empêcher une récurrence ; et (iii) si possible, des informations sur les types d’Informations Personnelles qui ont fait l’objet de la Violation des Informations Personnelles. Vous acceptez de coordonner avec Teamwork le contenu de Vos déclarations publiques prévues ou des avis requis pour les Individus et/ou des avis aux Régulateurs pertinents concernant la Violation des Informations Personnelles.
9. Retour et Suppression des Informations Personnelles
9.1 En cas de résiliation des Services, Teamwork restituera rapidement, y compris en fournissant une fonctionnalité de récupération de données disponible, ou supprimera toute copie restante des Informations Personnelles sur les systèmes de Teamwork ou les environnements de Services, sauf indication contraire dans le Contrat de Services.
9.2 Pour les Informations Personnelles détenues sur Vos systèmes ou environnements, ou pour les Services pour lesquels aucune fonctionnalité de récupération de données n’est fournie par Teamwork dans le cadre des Services, il Vous est conseillé de prendre les mesures appropriées pour sauvegarder ou stocker séparément toute Information Personnelle pendant que l’environnement de production des Services est encore actif avant la résiliation.
10. Exigences Légales
10.1 Teamwork peut être tenu par la loi de donner accès à des Informations Personnelles, par exemple pour se conformer à une assignation à comparaître ou à un autre processus juridique, ou pour répondre aux demandes du gouvernement, y compris des autorités publiques et gouvernementales à des fins de sécurité nationale et/ou d’application de la loi.
10.2 Teamwork vous informera rapidement des demandes d’accès aux Informations Personnelles, à moins que la loi ne l’exige autrement.
11. Définitions
« Loi Applicable sur la Protection des Données » signifie toutes les lois ou réglementations relatives à la confidentialité ou à la protection des données à l’échelle mondiale qui s’appliquent au Traitement des Informations Personnelles en vertu du présent Accord sur le Traitement des Données, ce qui peut inclure la Loi Européenne Applicable sur la Protection des Données.
« Loi Européenne Applicable sur la Protection des Données » désigne (i) le Règlement Général sur la Protection des Données de l’UE UE/2016/679, tel que complété par le droit applicable des États Membres de l’UE et tel qu’intégré à l’Accord EEE ; (ii) la Loi Fédérale Suisse du 19 juin 1992 sur la Protection des Données, telle que modifiée ; et (iii) la Loi Britannique de 2018 sur la Protection des Données.
« Europe » signifie, aux fins du présent Accord sur le Traitement des Données, (i) l’Espace Économique Européen, composé des États Membres de l’UE, de l’Islande, du Lichtenstein et de la Norvège ; (ii) la Suisse et (iii) le Royaume-Uni après son retrait de l’UE.
« Individu » a la même signification que le terme « personne concernée » ou le terme équivalent en vertu de la Loi Applicable sur la Protection des Données.
« Traitement », « Responsable du traitement », « Sous-traitant » et « Règles d’entreprise contraignantes » (ou les termes équivalents) ont la signification prévue par la Loi Applicable sur la Protection des Données.
« Société(s) affiliée(s) de Teamwork » désigne la ou les filiale(s) de Teamwork Corporation qui peuvent traiter les Informations Personnelles comme indiqué à l’Article 4.
« Accord de Transfert de Données et de Mandat Intra-entreprise Teamwork » signifie l’Accord de Transfert de Données et de Mandat Intra-entreprise Teamwork pour les Informations Personnelles des Services Clients conclus entre Teamwork Corporation et les Sociétés Affiliées de Teamwork.
« Code du Sous-traitant de Teamwork » désigne le Code de Confidentialité de Teamwork pour le Traitement des Informations Personnelles des Individus Clients référencé dans l’Addendum Européen sur la Protection des Données.
« Teamwork » désigne la Société Affiliée de Teamwork qui a signé le Contrat de Services.
« Informations Personnelles » a la même signification que le terme « données personnelles », « informations personnellement identifiables (PII) » ou le terme équivalent en vertu de la Loi Applicable sur la Protection des Données.
« Violation des Informations Personnelles » signifie une violation de la sécurité entraînant le détournement ou la destruction accidentelle ou illégale, la perte, l’altération, la divulgation non autorisée ou l’accès à des Informations Personnelles transmises, stockées ou Traitées d’une autre manière sur les systèmes de Teamwork ou l’environnement des Services, qui compromet la sécurité, la confidentialité ou l’intégrité de ces Informations Personnelles.
« Régulateur » a la même signification que le terme « autorité de surveillance », « autorité de protection des données » ou le terme équivalent en vertu de la Loi Applicable sur la Protection des Données.
« Services » ou les termes équivalents « Offres de Services » ou « Services » désignent les Services de Cloud, de Service Client Avancé, de Conseil ou d’Assistance Technique Mondiale spécifiés dans le Contrat de Services.
« Contrat de Services » signifie (i) la commande applicable aux Services que vous avez achetés auprès de Teamwork ;
(ii) le contrat cadre applicable référencé dans la commande applicable, et (iii) les Spécifications des Services.
« Sous-traitant Tiers » désigne un tiers, autre qu’une Société Affiliée de Teamwork, avec lequel Teamwork sous-traite et qui peut Traiter des Informations Personnelles comme indiqué dans l’Article 4.
« Vous » désigne l’entité cliente qui a signé le Contrat de Services.
Les autres termes en majuscules ont les définitions qui leur sont données dans le Contrat de Services.
Annexe 1 : Addendum Européen sur la Protection des Données pour les Services Teamwork
(ci-après « Addendum Européen sur la Protection des Données »)
Sauf indication contraire expresse dans l’Accord sur le Traitement des Données, le Contrat de Services, le présent Addendum Européen sur la Protection des Données ou le Code du Sous-traitant de Teamwork, en cas de conflit entre ces documents, l’ordre de préséance suivant s’applique (par ordre décroissant) : (i) le Code du Sous-traitant de Teamwork ; (ii) le présent Addendum Européen sur la Protection des Données ; (iii) le corps de l’Accord sur le Traitement des Données ; et (iv) le Contrat de Services.
2. Transferts Transfrontaliers de Données – Code du Sous-traitant de Teamwork
2.1 Le Code du Sous-Traitant de Teamwork (Clauses Contractuelles Types) s’applique au Traitement des Informations Personnelles par Teamwork en Votre nom dans son rôle de Sous-traitant dans le cadre de la fourniture de Services en vertu du Contrat de Services et du présent Addendum Européen sur la Protection des Données, lorsque ces Informations Personnelles sont :
(i) soumises à des restrictions de transfert de données en vertu de la Loi Européenne Applicable sur la Protection des Données ; et (ii) traitées par Teamwork ou une Société Affiliée de Teamwork dans un pays situé hors d’Europe.
2.2 Les transferts aux Sous-traitants Tiers sont soumis à des exigences de sécurité et de confidentialité des données conformes au Code du Sous-traitant de Teamwork, à l’Accord sur le Traitement des Données et au Contrat de Services.
3. Description du Traitement
3.1 Durée des activités de traitement. Teamwork peut traiter les Informations Personnelles pendant la durée du Contrat de Services et pour remplir ses obligations en vertu de l’Article 9 de l’Accord sur le Traitement des Données, à moins que la loi applicable n’en dispose autrement.
3.2 Activités de Traitement. Teamwork peut Traiter les Informations Personnelles nécessaires à l’exécution des Services, y compris, le cas échéant, à des fins d’hébergement et de stockage, de sauvegarde et de reprise d’activité après sinistre, de gestion des changements de service, de résolution des problèmes, d’application de nouvelles versions de produits ou de systèmes, de correctifs, de mises à jour et de mises à niveau, de surveillance et de test de l’utilisation et des performances du système, de sécurité informatique, y compris de gestion des incidents, de maintenance et de performance des systèmes d’assistance technique et de l’infrastructure informatique, ainsi que de migration, de mise en œuvre, de configuration et de test de performance.
3.3 Catégories d’Informations Personnelles. Afin d’exécuter les Services et en fonction des Services que Vous avez commandés, Teamwork peut Traiter certaines ou toutes les catégories suivantes d’Informations Personnelles : les coordonnées personnelles telles que le nom, l’adresse du domicile, le numéro de téléphone fixe ou de portable, le numéro de fax, l’adresse e-mail et les mots de passe ; les informations concernant la famille, le mode de vie et les conditions sociales, y compris l’âge, la date de naissance, l’état civil, le nombre d’enfants et le(s) nom(s) du/de la conjoint(e) et/ou des enfants ; les détails relatifs à la profession, y compris le nom de l’employeur, le titre et la fonction du poste, les numéros d’identification et les coordonnées professionnelles ; les détails financiers ; les biens et services fournis ; les identifiants uniques collectés à partir des appareils mobiles, des opérateurs réseau ou des fournisseurs de données ; les adresses IP et les données sur le comportement et les intérêts en ligne.
3.4 Catégories de personnes concernées. Les Catégories de Personnes Concernées dont les Informations Personnelles peuvent être Traitées afin d’exécuter les Services peuvent inclure, entre autres, Vos représentants et utilisateurs finaux, tels que Vos employés, candidats à l’emploi, entrepreneurs, collaborateurs, partenaires, fournisseurs et clients.
3.5 Des descriptions supplémentaires ou plus spécifiques des activités de Traitement, des catégories d’Informations Personnelles et des Personnes Concernées peuvent être décrites dans l’Accord de Services.
4. Vos Instructions
4.1 Votre droit de fournir des instructions à Teamwork, tel que spécifié dans l’Article 2 de l’Accord sur le Traitement des Données, comprend des instructions concernant (i) les transferts de données tels que définis dans l’Article 1 du présent Addendum Européen sur la Protection des Données ; et (ii) l’assistance aux demandes des Personnes Concernées pour accéder, supprimer ou effacer, restreindre, rectifier, recevoir et transmettre (portabilité des données), bloquer l’accès ou s’opposer au Traitement d’Informations Personnelles spécifiques ou d’ensembles d’Informations Personnelles, tel que décrit dans l’Article 3 de l’Accord sur le Traitement des Données.
4.2 Dans la mesure requise par la Loi Applicable sur la Protection des Données de l’EEE, Teamwork vous informera immédiatement si, à son avis, Votre instruction enfreint la Loi Européenne Applicable sur la Protection des Données. Vous reconnaissez et acceptez que Teamwork n’est pas responsable de la réalisation de recherches juridiques et/ou de la fourniture de conseils juridiques.
5. Avis et Droit d’Objection aux Nouvelles Sociétés Affiliées de Teamwork et aux Sous-traitants Tiers
5.1 Sous réserve des dispositions et des restrictions spécifiées dans le présent Article 4 de l’Addendum Européen sur la Protection des Données et dans l’Article 4 de l’Accord sur le Traitement des Données, Vous donnez à Teamwork l’autorisation écrite générale d’engager des Sociétés Affiliées de Teamwork et des Sous-traitants Tiers pour aider Teamwork à exécuter les Services.
5.2 Dans un délai de quatorze (14) jours civils à compter de la date à laquelle Teamwork Vous a fourni un tel avis, Vous pouvez Vous opposer à l’implication prévue d’un Sous-traitant Tiers ou d’une Société Affiliée de Teamwork dans l’exécution des Services, en fournissant des motifs objectifs et justifiables liés à la capacité dudit Sous-traitant Tiers ou de ladite Société Affiliée de Teamwork à protéger de manière adéquate les Informations Personnelles conformément à l’Accord sur le Traitement des Données ou à la Loi Européenne Applicable sur la Protection des Données, par écrit, en soumettant une « demande de service » via (i) My Teamwork Support (ou tout autre outil de support principal applicable) ou (ii) pour les Services ACS et de conseil, le chef de projet pour les Services. Vous et Teamwork travaillerez ensemble en toute bonne foi pour trouver une solution mutuellement acceptable pour répondre à cette objection, y compris, mais sans s’y limiter, l’examen de documents supplémentaires soutenant la conformité du Sous-traitant Tiers ou de la Société Affiliée de Teamwork avec l’Accord sur le Traitement des Données ou la Loi Européenne Applicable sur la Protection des Données, ou la fourniture des Services sans l’implication dudit Sous-traitant Tiers. Dans la mesure où vous et Teamwork ne parvenez pas à une résolution mutuellement acceptable dans un délai raisonnable, vous aurez le droit de résilier les Services concernés (i) en donnant un préavis de trente (30) jours ; (ii) sans responsabilité pour Vous ou Teamwork et (iii) sans vous libérer de Vos obligations de paiement en vertu du Contrat de Services jusqu’à la date de résiliation. Si la résiliation conformément au présent Article 4.2 ne concerne qu’une partie des Services d’une commande, vous conclurez un avenant ou une commande de remplacement pour refléter cette résiliation partielle.
6. Information et Assistance
6.1 Pour les Services hébergés, Vos droits d’audit se trouvent à l’Article 7 de l’Accord sur le traitement des données.
6.2 En outre, vous pouvez demander à Teamwork d’auditer un Sous-traitant Tiers ou de fournir la confirmation qu’un tel audit a eu lieu (ou, lorsqu’il est disponible, d’obtenir ou de Vous aider à obtenir un rapport d’audit tiers concernant les opérations du Sous-traitant Tiers) afin de vérifier le respect des obligations du Sous-traitant Tiers. Vous aurez également le droit, sur demande écrite, de recevoir des copies des conditions de confidentialité et de sécurité pertinentes de l’accord conclu par Teamwork avec tout Sous-traitant Tiers et toute Société Affiliée de Teamwork susceptible de Traiter des Informations Personnelles.
6.3 Teamwork Vous fournir les informations et l’assistance raisonnablement nécessaires pour que Vous puissiez réaliser Vos évaluations d’impact sur la protection des données ou consulter Votre/Vos régulateur(s), contactez Votre Teawmwork Customer Success Team qui vous fournira l’assistance et la documentation.
7. Délégué à la Protection des Données/Équipe de Sécurité
7.1 Teamwork dispose d’une équipe de sécurité qui peut être contactée à l’adresse e-mail suivante : ITSecurity@teamworkcommerce.com.
7.2 Si vous avez désigné un Délégué à la Protection des Données, vous pouvez demander à Teamwork d’inclure les coordonnées de Votre Délégué à la Protection des Données dans la commande de services concernée.