Accord en matière de traitement des données

Date d'entrée en vigueur : avril 2020

Dernière mise à jour le 09/03/2022

Entre :

Les utilisateurs/abonnés des services de facturation et de comptabilité SumUp (ci-après « l'Utilisateur » ou « le Responsable du traitement des données") et

SumUp Limited, Block 8, Harcourt Centre, Charlotte Way, Dublin 2, Irlande D02 K580, numéro de TVA : IE9813461A (ci-après dénommée « SumUp  » ou le « Sous-traitant ») 

chacun étant désigné individuellement une « partie » et conjointement les « parties »,

ONT ACCEPTÉ les conditions du présent Accord sur le Traitement des données (ci-après dénommé « ATD » ou « Accord ») relatif au traitement des Données à caractère personnel lorsque l'Utilisateur agit en tant que Responsable du traitement des données et que SumUp agit en tant que Sous-traitant des données, afin de remplir les obligations de service décrites dans les Conditions générales de facturation et de comptabilité de SumUp dans l'Accord de services (détaillé ci-dessous). Dans le cadre de l'exécution de ces obligations de service, SumUp traitera certaines Données à caractère personnel pour le compte du Responsable du traitement, conformément aux termes du présent contrat. Chaque partie accepte et veillera à ce que les termes du présent contrat soient également pleinement applicables à ses Sociétés affiliées qui peuvent être impliquées dans les opérations de traitement des Données à caractère personnel pour le projet défini dans les Conditions générales de facturation et de comptabilité de SumUp, dans le Contrat de services. SumUp s'assurera que tous les sous-traitants ultérieurs opèrent selon les mêmes conditions que celles du présent Accord lors du traitement des Données à caractère personnel de l'Utilisateur. 

Introduction et définitions

Les Données à caractère personnel sont définies comme toute information relative à une personne concernée par laquelle elle peut être identifiée, directement ou indirectement, en particulier par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs facteurs spécifiques à l'identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique ou morale (le cas échéant).

Toutes les autres définitions mentionnées aux présentes, y compris les termes Responsable du traitement et Sous-traitant, correspondent aux définitions retenues par les lois applicables en matière de protection des données, notamment le Règlement général 2016/679 du 27 avril 2016 sur la protection des données (ci-après dénommé « RGPD »).

Les Données à caractère personnel sensibles ne sont pas réputées être traitées dans le cadre du Service d'application proposé par le Sous-traitant des données (SumUp Invoicing and Accounting) et sont donc exclues des termes du présent Accord.

En s'inscrivant au programme de facturation et de comptabilité de SumUp et en acceptant les Conditions générales, y compris la Politique de confidentialité et le présent ATD, les parties acceptent, en vertu de toutes les législations nationales relatives à la protection des données et du RGPD, que le présent Accord régisse la relation entre le Responsable du traitement et le Sous-traitant, laquelle détermine le traitement des données à caractère personnel des utilisateurs par SumUp. Le présent Accord a préséance, à moins qu'il n'ait été remplacé par un autre ATD signé qui indique sa primauté sur le présent Accord.

Le traitement des Données à caractère personnel par SumUp pour l'Utilisateur vise à garantir l'utilisation complète du Service par l'Utilisateur et à permettre l'exécution du présent Accord. SumUp garantit qu'un niveau de sécurité suffisant des Données à caractère personnel est maintenu en toutes circonstances.

En signant l'Accord, les deux parties confirment être habilitées à le faire.

Responsabilités du Sous-traitant des données

Le Sous-traitant des données doit traiter toutes les données à caractère personnel pour le compte du Responsable du traitement des données et conformément à ses instructions. En concluant le présent Accord, SumUp (et tout sous-traitant ultérieur avec lequel le Responsable du traitement des données a conclu un accord légal de services) est chargée de traiter les Données à caractère personnel concernant l'Utilisateur :

  1. Conformément à toutes les lois nationales et européennes

  2. Pour satisfaire à ses obligations en vertu des Conditions générales de SumUp Invoicing and Accounting

  3. selon les instructions du Responsable du traitement des données

  4. comme décrit dans le présent Accord

Dans le cadre de la fourniture de l'Application, le Sous-traitant doit systématiquement fournir à l'Utilisateur des solutions appropriées permettant d'accompagner le développement continu de son activité par le biais du service. Le Sous-traitant examine la manière dont l'Utilisateur utilise l'Application afin d'optimiser ses suggestions, de lui fournir des services pertinents en toutes circonstances et d'améliorer la précision des communications qu'il lui adresse afin de garantir une utilisation simple et un niveau de satisfaction constants. Si les données à caractère personnel provenant de l'Application en font partie, elles ne seront traitées qu'en vertu du présent Accord et de la loi applicable et seront divulguées uniquement si cela s'avère nécessaire à la fourniture d'une meilleure expérience à l'Utilisateur.

Compte tenu de la technologie disponible et du coût de mise en œuvre, ainsi que de la portée,du contexte et de la finalité du Traitement, le Sous-traitant des données est tenu de prendre toutes les mesures raisonnables, y compris des mesures techniques et organisationnelles, pour assurer un niveau de sécurité suffisant par rapport au risque et à la catégorie des Données à caractère personnel à protéger. Le Sous-traitant des données aidera le Responsable du traitement des données à mettre en œuvre des mesures techniques et organisationnelles appropriées selon les besoins et en tenant compte de la nature du traitement et de la catégorie des informations dont dispose le Sous-traitant, afin de garantir le respect des obligations du Responsable du traitement des données en vertu des lois applicables en matière de protection des données.

Si le Sous-traitant des données prend connaissance d'une faille de sécurité, il devra en informer le Responsable du traitement des données dans les plus brefs délais.

En outre, le Sous-traitant des données informera, dans la mesure où cela est possible et légal, le Responsable du traitement des données si une demande d'information sur les données détenues est faite (demande d'accès aux données) par tout organisme auquel il doit répondre. Le Sous-traitant des données répondra à ces demandes dès lors que le Responsable du traitement des données l'aura autorisé à le faire. Le Sous-traitant ne divulguera pas non plus d'informations sur le présent Accord à moins d'être légalement tenu de le faire, par exemple par ordonnance d'un tribunal.

Si le Responsable du traitement des données a besoin d'informations ou d'aide concernant la sécurité des données, de documentation ou d'informations sur la manière dont le Sous-traitant traite les Données à caractère personnel en général, il peut demander ces informations au Sous-traitant. Le Sous-traitant aidera, dans la mesure du raisonnable, le Responsable du traitement des données à respecter ses obligations en vertu des articles 32 à 36 du RGPD.

Le Sous-traitant, ses employés et toute Société affiliée devront garantir la confidentialité des Données à caractère personnel traitées en vertu de l'Accord. Cette disposition reste applicable après la résiliation de l'Accord, quelle qu'en soit la cause.

Responsabilités du Responsable du traitement des données

En signant/acceptant le présent Accord, le Responsable du traitement confirme qu'il pourra, lors de l'utilisation de l'Application, traiter librement ses données dès lors qu'il aura satisfait à toutes les obligations légales en matière de protection des données, y compris celles du RGPD. 

Le Responsable du traitement peut révoquer l'acceptation du présent ATD à tout moment, mais ce faisant, il ne sera plus en mesure de fournir le Service.

L'Utilisateur dispose d'une base juridique pour traiter les Données à caractère personnel avec le Sous-traitant (y compris tout sous-traitant ultérieur) à l'aide des services de SumUp.

Le Responsable du traitement des données est responsable dans tous les cas de l'exactitude, de l'intégrité, du contenu et de la fiabilité des Données à caractère personnel traitées par le Sous-traitant des données. Il a rempli toutes les obligations relatives à la notification de, ou à l'obtention de l'autorisation auprès des autorités publiques compétentes concernant le traitement des Données à caractère personnel. Il a également rempli ses obligations de divulgation aux autorités compétentes concernant le traitement des Données à caractère personnel conformément à l'ensemble des lois applicables en matière de protection des données.

Le Responsable du traitement doit disposer d'une liste précise des catégories de Données à caractère personnel qu'il traite, en particulier si ce traitement diffère des catégories énumérées par le Sous-traitant à l'Annexe A.

Accord sur le transfert de données et le recours à des sous-traitants ultérieurs

Pour fournir le service au Responsable du traitement, le Sous-traitant peut lui-même recourir à un ou plusieurs sous-traitants. Ces sous-traitants peuvent être des prestataires tiers établis dans ou en dehors de l'UE et/ou de l'EEE. Le Sous-traitant s'assure que tous les sous-traitants satisfont aux obligations et exigences du présent Accord, en particulier que leur niveau de protection des données répond aux normes requises par les lois applicables en matière de protection des données. Si une juridiction se situe en dehors de l'UE ou de l'EEE et n'est pas inscrite sur la liste de la Commission européenne répertoriant les niveaux de protection adéquats en vertu du RGPD, un accord spécifique est conclu entre SumUp et ce sous-traitant pour garantir qu'il traitera toutes les données à caractère personnel conformément aux exigences de la législation européenne en vigueur relative à la protection des données.

Le présent Accord constitue le consentement spécifique et explicite préalable du Responsable du traitement au recours par le Sous-traitant à des sous-traitants pouvant être établis en dehors de l'UE/de l'EEE ou des territoires approuvés par la Commission européenne.

Le Responsable du traitement des données peut révoquer ce consentement à tout moment, mais ce faisant, il met fin à l'Accord en vigueur et le Sous-traitant des données ne sera plus en mesure de fournir le Service.

Si un sous-traitant est établi ou stocke des données à caractère personnel en dehors de l'UE/de l'EEE ou des territoires approuvés par la Commission européenne, le Sous-traitant est tenu de garantir des conditions satisfaisantes en cas de transfert de données à caractère personnel vers un pays tiers pour le compte du Responsable du traitement, y compris l'utilisation des clauses contractuelles types de la Commission européenne ou des mesures spécifiques ayant été préalablement approuvées par la Commission européenne.

Le Responsable du traitement des données doit être informé avant que le Sous-traitant des données ne remplace ses Sous-traitants ultérieurs. Le Responsable du traitement des données peut alors s'opposer à un nouveau Sous-traitant ultérieur qui traite ses Données à caractère personnel pour le compte du Sous-traitant, mais uniquement si le Sous-traitant ultérieur ne traite pas les données conformément à la législation pertinente en matière de protection des données. Le Sous-traitant des données peut démontrer sa conformité en donnant au Responsable du traitement des données l'accès à l'évaluation de la protection des données réalisée par le Sous-traitant.

Si le Responsable du traitement des données s'oppose toujours au recours au Sous-traitant ultérieur, il pourra résilier son abonnement au Service, sans le délai de préavis habituel requis, ce qui garantit que ses Données à caractère personnel ne seront pas traitées par le Sous-traitant ultérieur non retenu.

Durée de l'Accord

L'accord reste valide tant que le Sous-traitant traite les Données à caractère personnel avec l'utilisation de l'Application de service par le Responsable du traitement et à moins qu'il ne soit remplacé par un autre ATD signé qui indique sa primauté sur le présent Accord.

Résiliation de l'Accord

Si le Responsable du traitement des données décide de cesser d'utiliser le service, que le service soit par abonnement ou non, il peut également supprimer toutes les données de son compte. Dès l'exécution de la procédure de suppression des données initiée par le Responsable du traitement des données, le Responsable du traitement supprime toutes les Données à caractère personnel, à l'exception de celles qu'il est tenu de conserver en vertu de toute obligation légale applicable, et dans ce cas, elles seront conservées conformément aux mesures de protection techniques et organisationnelles mises en place au sein de SumUp.

Le Responsable du traitement des données a la possibilité de récupérer toutes ses Données à caractère personnel dans l'Application de service. Si le Responsable du traitement des données demande une assistance pour l'extraction des données, les coûts associés seront déterminés d'un commun accord entre les Parties et dépendront de la complexité du processus demandé et du temps nécessaire pour l'accomplir dans le format choisi.

Modifications de l'Accord

Les modifications apportées à l'Accord peuvent être effectuées par le Sous-traitant dans une Annexe distincte ou dans un autre moyen visible pour le Responsable du traitement et lui seront communiquées de manière appropriée. L'invalidité de l'une quelconque des dispositions de l'Accord n'affectera pas les autres dispositions. Les parties remplaceront les dispositions invalides par une disposition légale qui reflète l'objet de la disposition invalide.

Audits

Le Responsable du traitement des données est en droit de passer en revue les obligations du Sous-traitant en vertu de l'Accord une fois par an. Si la législation en vigueur impose au Sous-traitant de le faire, des audits pourront être effectués chaque année. Les Parties décident ensemble si un tiers doit mener l'audit. Cependant, le Responsable du traitement des données peut autoriser le Sous-traitant à effectuer l'examen de sécurité par le biais d'un tiers neutre de son choix, s'il s'agit d'un environnement de traitement dans lequel les données de plusieurs responsables du traitement sont traitées.

Si l'étendue proposée de l'audit suit un rapport ISAE, ISO ou un rapport de certification similaire réalisé par un auditeur tiers qualifié au cours des douze derniers mois, et que le Responsable du traitement des données confirme qu'il n'y a pas eu de changements importants dans les mesures en cours d'examen, cela répondra à toutes les demandes reçues dans ce délai. Les audits ne doivent pas interférer de manière excessive d'un point de vue raisonnable avec l'activité courante du Sous-traitant. L'ensemble des coûts relatifs à la demande d'audit seront à la charge du Responsable du traitement des données.

Responsabilités et compétences

La responsabilité concernant les actions découlant d'une violation des dispositions du présent Accord est régie par les dispositions relatives à la responsabilité et à l'indemnisation dans les Conditions de facturation et de comptabilité de SumUp. Cette clause s'applique également à toute violation commise par les sous-traitants auxquels recourt le Sous-traitant. Le présent Accord est régi et interprété conformément au droit irlandais et les tribunaux irlandais auront compétence exclusive pour le règlement de tout litige découlant dudit Accord.

Annexe A - Catégories de renseignements personnels et catégories de traitement habituelles

1. Catégories d'informations personnelles (liste non exhaustive)

  • Nom

  • Adresse

  • Numéro(s) de téléphone

  • Adresse(s) e-mail

  • Les adresses

  • Tout numéro de compte et/ou coordonnées bancaires

2. Catégories de traitement habituelles (liste non exhaustive)

  • Les employés du Responsable du traitement des données

  • Les Contacts du Responsable du traitement des données (téléphone/e-mail/adresses/etc) Les Utilisateurs du Responsable du traitement des données Les informations bancaires du Responsable du traitement des données

  • Les employés de ses Utilisateurs

  • Les Contacts de ses Utilisateurs (téléphone/e-mail/adresses/etc) Les Utilisateurs de ses Utilisateurs

  • Les informations bancaires des Utilisateurs de ses Utilisateurs