Accord de traitement des données

Le présent Accord de traitement des données (ATD) fait partie de l'accord entre l'Utilisateur et le Prestataire de services. Il désigne les CONDITIONS GÉNÉRALES qui régissent la fourniture des Services à l'Utilisateur, ces conditions pouvant être mises à jour par le Prestataire de Services, de temps à autre.

Cet ATD forme un contrat régissant la relation entre Vous (l'Utilisateur), en tant que Contrôleur de données, et Nous (le Prestataire de services), en tant que Processeur de données défini dans le Règlement Général sur la Protection des Données (règlement de l'UE 2016/679) (ATD).

À l'exception des modifications apportées par cet ATD, les CONDITIONS GÉNÉRALES et la Politique de confidentialité restent inchangées et en vigueur. En cas de conflit entre le présent ATD et les CONDITIONS GÉNÉRALES ou la Politique de confidentialité, cet ATD prévaudra dans la mesure de ce conflit.

Vos informations personnelles et professionnelles sont automatiquement transférées dans cet ATD, à partir de votre Compte utilisateur, lors de Votre acceptation de la Politique de confidentialité et des CONDITIONS GÉNÉRALES avec cet ATD en annexe. Vos informations seront toujours affichées telles que Vous nous les avez soumises, et traitées par Nous comme "actuelles", sauf si Vous Nous fournissez les informations modifiées.

Cet ATD est conclu par et entre :

(l'Utilisateur ou le Contrôleur de données), et

PNL Fintech BV (opérant sous la dénomination commerciale "FINOM"), Jachthavenweg 109H, 1081 KM Amsterdam, Pays-Bas (le Prestataire de services ou le Processeur de données),

chacun est appelé la "partie" et collectivement "les parties".

Les parties aux présentes conviennent de CE QUI SUIT :

Objet

Les parties cherchent à mettre en œuvre cet ATD pour se conformer aux exigences du cadre juridique actuel en matière de traitement des données personnelles et du RGPD.

Par conséquent, les parties CONVIENNENT des termes de cet "ATD" pour réglementer leurs relations en tant que Contrôleur de données et de Processeur de données personnelles, conformément au RGPD.

Nature et finalité du traitement

Le Prestataire de services fournit les Services définis dans les CONDITIONS GÉNÉRALES comme convenu par l'Utilisateur. Lorsque l'Utilisateur agit en tant qu'entreprise/entrepreneur/employeur/conseiller, ce dernier peut traiter les données personnelles des personnes concernées qui sont les clients, salariés, associés, représentants, conseillers (les "relations de l'Utilisateur") en les téléchargeant, modifiant, partageant, supprimant sur la Plateforme du Prestataire de services. La fourniture des Services peut nécessiter que le Prestataire de services traite les données personnelles des relations de l'Utilisateur. Par conséquent, l'Utilisateur agira en tant que Contrôleur de données selon la définition du RGPD. Le Prestataire de services agira alors comme un Processeur de données, traitant les données pour le compte de l'Utilisateur.

Le but du traitement des données personnelles est de fournir et de recevoir les Services, conformément aux CONDITIONS GÉNÉRALES.

Il Titolare del trattamento, pertanto, incarica il Responsabile del trattamento di elaborare tutti i dati personali come indicato nel presente DPA, in conformità con il GDPR e la legislazione applicabile.

Durée du traitement

Jusqu'à la résiliation du présent ATD, conformément à ses termes, à moins qu'un délai plus long ne soit nécessaire pour que les parties respectent leurs obligations conformément au RGPD et à la législation applicable.

Type de données personnelles et catégories de personnes concernées

"Données personnelles" (appelées dans cet ATD "données" ou "données personnelles") et "traitement" (appelés dans cet ATD "traitement") sont définis au sens du RGPD. Aucune "donnée personnelle sensible", telle que définie dans le RGPD n'est réputée être traitée.

1. Catégories de données personnelles pouvant être traitées :
1. nom ;
2. adresse ;
3. numéro(s) de téléphone ;
4. adresse(s) e-mail ;
5. adresse(s) ;
6. tous les numéros de compte et/ou coordonnées bancaires ;
7. autres données personnelles strictement nécessaires à la fourniture des Services, selon les CONDITIONS GÉNÉRALES.
2. Catégories de personnes concernées dont les données personnelles peuvent être traitées :
1. les clients/salariés/associés, représentants/conseillers du Contrôleur de données ;
2. les Contacts du Contrôleur de données (téléphone/e-mail/adresses/etc.) ;
3. les Utilisateurs du Contrôleur de données ;
4. les informations bancaires du Contrôleur de données ;
5. les salariés de leur Utilisateur ;
6. les Contacts de leur Utilisateur (téléphone/e-mail/adresses/etc.) ;
7. les utilisateurs de leur Utilisateur ;
8. les informations bancaires de leurs Utilisateurs.

Responsabilités

Le Processeur de données :

• traitera et fera également en sorte que tous ses sous-processeurs traitent toutes les données personnelles au nom du Contrôleur de données, comme indiqué par le Contrôleur de données :
1. comme décrit dans cet ATD ;
2. conformément au RGPD ;
3. selon les instructions explicites du Contrôleur de données ;
• agira conformément au RGPD, entreprendra toutes les mesures requises et remplira toutes ses obligations comme indiqué dans le RGPD et les lois applicables.
• compte tenu de l'état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement des données ainsi que du risque de variation de la probabilité et de la gravité des droits et libertés des personnes physiques, par rapport aux données à caractère personnel, il doit mettre en œuvre des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté à ce risque, y compris, le cas échéant, les mesures visées à l'article 32, paragraphe 1, du RGPD ;
• informera sans délai le Contrôleur de données, s'il prend connaissance d'une violation de la sécurité ;
• assistera le Contrôleur de données par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour l'accomplissement de l'obligation du Contrôleur de données de répondre aux demandes d'exercice des droits de la personne concernée énoncées au chapitre III du RGPD. Le Contrôleur de données sera responsable de tous les coûts associés à ces demandes ;
• dans la mesure du possible et de la légalité, il doit informer le Contrôleur de données, à la réception des demandes des personnes concernées par rapport à l'exercice de leurs droits, au titre du RGPD. Le Processeur de données répondra à ces demandes, une fois qu'il aura été autorisé par le Contrôleur de données à le faire. Le Processeur de données ne divulguera pas d'informations, à moins que la loi ne l'oblige à le faire ;
• prend des mesures raisonnables pour garantir la fiabilité de tout salarié, agent ou contractant qui peut avoir accès aux données personnelles, en s'assurant, dans chaque cas, que l'accès est strictement limité aux personnes qui ont besoin de connaître/accéder aux données personnelles pertinentes, si strictement nécessaire, aux fins définies dans le RGPD et le présent ATD, et pour se conformer aux lois applicables, en veillant à ce que toutes ces personnes ou sociétés soient soumises à des engagements de confidentialité ou à des obligations professionnelles ou statutaires de confidentialité.

Le Contrôleur de données :

• agira conformément au RGPD, entreprendra toutes les mesures requises et remplira toutes ses obligations comme indiqué dans le RGPD et les lois applicables ;
• confirme qu'il a droit à un accès légal à toutes les données personnelles qui sont traitées, conformément au présent ATD et qu'il maintiendra l'accès légal, conformément au RGPD, aux CONDITIONS GÉNÉRALES, à la Politique de confidentialité et à toutes les lois applicables;
• est responsable, à tout moment, de l'exactitude, de l'intégrité, du contenu et de la fiabilité des données personnelles traitées en vertu du présent ATD ;
• doit avoir une liste précise des catégories de données personnelles fournies au Contrôleur de données et traitées en vertu du présent ATD ;
• doit informer le Processeur de données si le traitement des données personnelles diffère des catégories énumérées dans l'ATD et la Politique de confidentialité;
• doit répondre à toute demande d'une personne concernée d'exercer son (ses) droit(s), en vertu du RGPD ;
• doit mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau approprié de sécurité des données ;
• informe le Processeur de données s'il reçoit des demandes/questions/plaintes de personnes concernées par rapport aux données personnelles traitées par le Processeur de données ;
• respectera toujours toutes les exigences obligatoires concernant la notification aux autorités publiques compétentes ou l'obtention de leur autorisation, en ce qui concerne le traitement des données personnelles ;
• respectera toujours ses obligations de divulgation aux autorités compétentes, en ce qui concerne le traitement des données personnelles, conformément au RGPD et à la législation applicable en matière de protection des données ;
• obtiendra et maintiendra un consentement explicite au traitement de ses propres données personnelles et des données personnelles des relations de l'Utilisateur dont les données personnelles sont traitées pour la fourniture et la réception des Services, conformément aux CONDITIONS GÉNÉRALES. Le Contrôleur de données peut révoquer ce consentement à tout moment. Dans ce cas, la fourniture des services, en vertu des CONDITIONS GÉNÉRALES à l'Utilisateur et à ses représentants cessera automatiquement avec effet immédiat.

Audits

Sous réserve des conditions décrites dans la présente section, le Processeur de données met à la disposition du Contrôleur de données, sur demande, toutes les informations nécessaires pour démontrer la conformité au présent ATD, et autorise et contribue aux audits, y compris les inspections, par le Contrôleur de données ou un auditeur choisi comme indiqué dans cette section.

Les informations et les droits d'audit du Contrôleur de données ne découlent de cette section que dans la mesure où l'ATD ne fournit pas autrement les informations et les droits d'audit du Contrôleur de données, en vertu des exigences pertinentes du RGPD.

Le Contrôleur de données est en droit d'entreprendre régulièrement un examen concernant le traitement des données personnelles par le Processeur de données. Les parties estiment mutuellement que, dans le cours normal des affaires, un audit annuel mené à bien par le Contrôleur de données devrait suffire. Un plan d'audit détaillé doit être fourni par le Contrôleur de données, détaillant la portée, la durée et la date de début, au moins quatre semaines avant la date de début proposée. Les parties décident ensemble si un tiers doit effectuer l'audit. Cependant, le Contrôleur de données peut autoriser le Processeur de données à faire examiner la sécurité par un tiers neutre de son choix, car il s'agit d'un environnement de traitement avec plusieurs contrôleurs de données.

Si la portée proposée de l'audit suit un rapport de certification ISAE, ISO ou similaire réalisé par un auditeur tiers qualifié et le Processeur de données confirme qu'il n'y a eu aucun changement important dans les mesures examinées au cours des douze derniers mois de cet audit, cela devrait suffire.

Tous les audits ne doivent pas interférer de manière déraisonnable avec les activités normales du Processeur de données. Le Contrôleur de données est responsable de tous les coûts associés à ces audits.

Utilisation de sous-processeurs
et
Transferts de données

Utilisation de sous-processeurs : Afin de fournir les Services à l'Utilisateur/Contrôleur de données, le Processeur de données peut utiliser des sous-processeurs (les "sous-processeurs"). Les sous-processeurs engagés par le Processeur de données sont situés à l'intérieur et à l'extérieur de l'UE/EEE et sont répertoriés dans les sections pertinentes décrivant chaque activité de traitement dans la Politique de confidentialité, qui peut être modifiée de temps à autre. Les noms des particuliers, agissant en tant que sous-processeurs (sous-traitants, salariés, travailleurs indépendants du Processeur de données) ne sont pas affichés dans la Politique de confidentialité pour la protection de leur confidentialité, mais peuvent être fournis sur demande légitime du Contrôleur de données ou des autorités. Le Contrôleur de données accepte que le Processeur de données puisse engager tous les sous-processeurs susmentionnés pour traiter les données personnelles au nom du Processeur de données ou/et du Contrôleur de données, dans les conditions énoncées par le présent ATD et conformément au RGPD.

Le Processeur de données doit : (i) conclure des accords écrits avec tous les sous-processeurs (actuels et nouveaux) imposant des conditions de protection des données qui obligent les sous-processeurs à protéger les données privées, conformément à la norme requise par le RGPD ; et (ii) de façon continue, surveiller et contrôler la conformité de ses sous-processeurs avec le RGPD. La documentation ou la preuve d'un tel suivi et contrôle peut être fournie au Contrôleur de données, sur sa demande écrite, sauf disposition contraire de la loi, et iii) reste responsable de tout acte ou omission des sous-processeurs qui amènerait les parties à violer les obligations, en vertu du présent ATD.

Transferts de données :

Dans le cours normal des affaires, le Processeur de données ne transférera pas les données, qui ont été transférées du Contrôleur de données vers le Processeur de données, à des fins de traitement, vers des pays en dehors de l'Espace économique européen ("EEE") ou vers ceux approuvés aux fins de la loi applicable de la Commission européenne ("territoires approuvés par la Commission").

Dans certains cas, les données personnelles seront enregistrées sur des solutions de stockage qui ont des serveurs en dehors de l'Espace économique européen (EEE) ou des territoires approuvés par la Commission (par exemple, Dropbox ou Google). Seules les solutions de stockage qui fournissent des services sécurisés avec des garanties appropriées adéquates seront utilisées par le Processeur.

Si le Processeur de données doit transférer des données personnelles reçues du Contrôleur de données, en dehors de l'EEE ou des territoires approuvés par la Commission, il en informera le Contrôleur de données pour lui donner la possibilité de s'opposer à ce transfert. Si un tel transfert n'est pas répréhensible pour le Contrôleur de données, le Processeur de données doit s'assurer qu'il dispose d'accords adéquats de transfert de données avec des pays tiers avec ces sous-processeurs. Un tel accord doit être mis à disposition pour examen par le Contrôleur de données, sur demande.

À la date de la conclusion de l'ATD, le Contrôleur de données reconnaît avoir été informé que les activités de traitement des données suivantes, effectuées par des sous-processeurs du Processeur de données auront lieu en dehors de l'EEE. Ces activités de traitement, expressément autorisées par le Contrôleur de données, auront lieu dans les pays énumérés ci-dessous et dans le strict respect des bases juridiques pour le transfert de données énoncées dans le RGPD pour chaque activité de traitement.

Pour éviter tout doute, il est souligné que le Contrôleur de données donne un mandat clair au Processeur de données pour conclure, au nom et pour le compte du Contrôleur de données, les clauses contractuelles types (clauses types 2010/87/UE qui peuvent être consultées à l'adresse suivante : https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32010D0087) selon lesquelles le Processeur sera l'exportateur de données et chaque sous-processeur sera l'importateur de données. Le Contrôleur de données a examiné et accepte le contenu des annexes 1 et 2 des clauses contractuelles types (clauses modèles 2010/87 / UE) ci-jointes.

Le Processeur de données peut modifier, de temps à autre, la liste des sous-processus, dans les sections pertinentes de la Politique de confidentialité qui seront dûment communiquées au Contrôleur de données. Les noms des particuliers, agissant en tant que sous-processeurs (sous-traitants, salariés, travailleurs indépendants du Processeur de données) seront omis dans la Politique de confidentialité pour la protection de leur confidentialité mais peuvent être fournis sur demande légitime du Contrôleur de données ou des autorités.

Si le Contrôleur de données souhaite s'opposer à l'utilisation d'un sous-processeur, il doit immédiatement en informer par écrit le Processeur de données. L'absence de toute objection de la part du Contrôleur de données sera considérée comme un consentement intégral à l'utilisation des sous-processeurs, comme indiqué dans le présent ATD. Dans le cas où le Contrôleur de données s'opposerait à l'utilisation d'un sous-processeur et que le Processeur de données ne pourrait pas accepter l'objection du Contrôleur de données, le Prestataire de services proposera de mettre fin à la fourniture des services à l'Utilisateur.

Durée et résiliation

Cet ATD reste en vigueur aussi longtemps que le processeur de données traite les données personnelles aux fins stipulées dans le présent ATD.

Lors de la résiliation des Services, l'Utilisateur/le Contrôleur de données peut engager une procédure de suppression des données personnelles stockées auprès du Processeur de données ou demander leur restitution, si cela est techniquement possible/faisable, et sauf disposition contraire des exigences légales applicables. Dans ce cas, les données privées seront conservées, conformément aux garanties techniques et organisationnelles du Processeur de données/Prestataire de services.

Le Contrôleur de données est autorisé à récupérer toutes ses données personnelles éligibles sur la plateforme/application du Prestataire de services. Si le Contrôleur de données demande une assistance supplémentaire pour la récupération des données, les coûts associés seront déterminés en fonction de la complexité du processus et du temps nécessaire pour le réaliser dans le format choisi.

Modifications de l'ATD

Les parties conviennent que le Prestataire de services a le droit de modifier, à tout moment, les termes de cet ATD, en respectant les intérêts légitimes du Contrôleur de données. Le Prestataire de services informera l'Utilisateur des changements, en temps voulu, comme indiqué et accepté par l'Utilisateur/le Contrôleur de données, dans les CONDITIONS GÉNÉRALES. En cas de désaccord avec les modifications, l'Utilisateur/le Contrôleur de données est libre de résilier les services et le présent ATD, à tout moment, via le compte de l'Utilisateur, ou en communiquant à l'adresse e-mail du Prestataire de services à hello@finom.co (ou à toute autre adresse e-mail annoncée sur le site Web du Prestataire de services).

Dispositions finales

Les responsabilités en cas de violation de cet ATD sont régies par le RGPD, les CONDITIONS GÉNÉRALES et la loi applicable.

Le présent ATD sera régi et interprété conformément aux lois des Pays-Bas, et les tribunaux des Pays-Bas seront seuls compétents pour trancher tout litige concernant le présent ATD et/ou son objet.

Si des dispositions individuelles le présent ATD sont ou deviennent nulles, cela n'affectera pas la validité des autres dispositions.

Annexe 1 et 2

Annexe 1
aux Clauses contractuelles types

La présente Annexe fait partie des clauses et doit être remplie et signée par les parties.

Les États membres peuvent compléter ou préciser, conformément à leurs procédures nationales, toute information complémentaire nécessaire à inclure dans la présente Annexe.

Exportateur de données

L'exportateur de données (veuillez préciser brièvement vos activités liées au transfert):

• fournit des données personnelles à l'importateur de données nécessaires à la livraison de produits et services à l'exportateur de données et à ses utilisateurs.

Importateur de données

L'importateur de données (veuillez préciser brièvement les activités liées au transfert):

• traite les données personnelles de l'exportateur de données, conformément aux instructions de l'exportateur de données, afin de fournir des produits et des services à l'exportateur de données et à ses utilisateurs.

Personnes concernées

Les données personnelles transférées concernent les catégories suivantes de personnes concernées (veuillez préciser):

• clients
• clients potentiels
• internautes
• salariés, associés, membres du personnel
• consultants internes

Catégories de données

Les données personnelles transférées concernent les catégories suivantes de données (veuillez préciser):

• informations personnellement identifiables (par exemple, nom, prénom, e-mail, numéro de téléphone)
• données statistiques ou autres données d'utilisation observées sur Internet (par exemple, via des analyses, des services, etc.)
• historique client
• décompte, facturation et données de paiement

Catégories spéciales de données (le cas échéant)

Les données personnelles transférées concernent les catégories spéciales de données suivantes (veuillez préciser)

• N/A

Opérations de traitement

Les données personnelles transférées seront soumises aux activités de traitement de base suivantes (veuillez préciser)

• Prestation des services: analyse de bout en bout d'un projet, qui comprend l'analyse de l'efficacité publicitaire, l'analyse Web, le CRM et la mise à l'échelle.

Annexe 2
aux Clauses contractuelles types

La présente Annexe fait partie des clauses et doit être remplie et signée par les parties.

Description des mesures de sécurité techniques et organisationnelles mises en œuvre par l'importateur de données , conformément aux clauses 4(d) et 5(c) (ou document/législation ci-joint):

1. Mesures d'organisation et de sécurité

   L'Importateur de données déclare par la présente que:

   • L'Importateur de données dispose de politiques internes de traitement des données personnelles. Chaque salarié de l'Importateur de données est obligé de se familiariser avec les politiques, avant d'accéder aux données personnelles.
   • Chaque salarié de l'Importateur de données est obligé de signer un accord de confidentialité, avant de commencer son travail chez l'Importateur de données.
   • Les politiques sont revues annuellement afin d'être tenues à jour, conformément aux normes de l'industrie. L'examen est basé sur le test, la valorisation et l'évaluation de l'efficacité des mesures couvertes pour garantir la sécurité du traitement des données personnelles.
   • Selon le préjudice causé, la violation des politiques par un salarié peut entraîner des sanctions allant du préavis écrit au licenciement.
   • Les failles de sécurité sont signalées à la direction de l'entreprise.
   • Pour garantir la conformité avec les normes de sécurité à jour, l'Importateur de données exécute des audits de sécurité pour des applications stratégiques.
   • L'Importateur de données maintient une politique de traitement des données personnelles et en assure une connaissance raisonnable, au sein de l'entreprise.
   • L'Importateur de données garantit la conformité des Sous-processeurs et des partenaires de traitement des données avec les réglementations applicables en matière de protection des données.
   • L'Importateur de données garantit une connaissance raisonnable des réglementations applicables en matière de protection des données, au sein de l'entreprise.

2. Accès aux données

   1. Accès physique à l'environnement de production

      • Les fournisseurs d'hébergement employés utilisent des locaux sécurisés pour le stockage et des canaux de communications physiques chiffrés, conformes aux normes de sécurité récentes.

   2. Disponibilité

      • L'Importateur de données utilise des applications évolutives pour les fonctionnalités essentielles à la société, afin de fournir une disponibilité complète de ses produits et services à ses utilisateurs.
      • L'Importateur de données utilise une infrastructure stable de fournisseurs d'hébergement tiers pour améliorer la disponibilité de ses produits et services.
      • Les Prestataires de services employés fournissent à l'Importateur de données la fonctionnalité de restauration, à partir de sauvegardes pour les processus critiques et de restauration de la disponibilité et de l'accès aux données personnelles, en temps opportun, en cas d'incident physique ou technique.

   3. Accès au système

      • L'accès aux systèmes de production est limité aux salariés autorisés qui en ont besoin pour exercer leurs fonctions.
      • Les comptes utilisés pour accéder aux systèmes de production sont fermés lorsqu'un salarié quitte l'Importateur de données.

   4. Gestion des autorisations

      • L'accès aux données ou aux systèmes est fourni sur la base du "besoin de savoir".
      • Les données personnelles sont rendues anonymes là où cela peut sensiblement améliorer la sécurité des données.
      • Les salariés impliqués dans le développement n'ont pas accès à l'infrastructure de production, à moins que cela ne soit nécessaire pour le support ou la prestation de services.
   5. L'Importateur de données conserve une trace de (enregistre) toutes les activités importantes de traitement des données, c'est-à-dire la copie, la modification, la suppression, etc., afin de permettre à l'Importateur de données et au Client de démontrer la protection requise de toutes les données personnelles traitées et la conformité aux réglementations de protection des données, en général.

3. Sécurité des données

   • L'Importateur de données fait des efforts commercialement raisonnables pour protéger les données personnelles traitées contre tout accès non autorisé et pour garantir la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et des services de traitement.
   • Les stockages de données sont cryptés lorsque le cryptage améliore sensiblement la sécurité des données. Le transfert de données en dehors des locaux de l'Importateur de données ou des locaux entretenus par l'Importateur de données est sécurisé avec des certificats de versions TLS réelles, afin d'empêcher toute personne non autorisée de capturer et de lire les données personnelles faisant l'objet du transfert.

4. Gestion des incidents

   Pour respecter la confidentialité de ses utilisateurs et protéger la société des risques imposés par les incidents de sécurité, l'Importateur de données:

   • Maintient des politiques de réponse et de notification des violations.
   • Maintient un registre des violations de données.

   • Applique des efforts commercialement raisonnables pour:

     • rester informé des réglementations en vigueur, au sein de l'entreprise.
     • réaliser l'audit des activités liées aux données personnelles
   • En informe le contrôleur (et, si le contrôleur le souhaite, l'autorité ou les personnes concernées correspondantes, ces dernières étant soumises à des limitations conformément à l'art. 34 paragraphe 3 du RGPD) d'un incident sans retard injustifié et conformément au RGPD.