Accord en matière de traitement des données

Date de prise d'effet : 15/08/2022

Date de la dernière mise à jour : 15/08/2022

Le présent Accord relatif au traitement des données (ci-après dénommé l'« Accord ») fait partie intégrante des Conditions en matière de e-commerce de SumUp (ci-après dénommées l'« Accord » et les « Conditions complémentaires »), de la Politique de confidentialité et de toutes autres conditions applicables de SumUp (ci-après dénommées les « Conditions » et la « Politique de confidentialité »), de même qu'il est soumis aux dispositions des accords susnommés conclus entre vous, en votre qualité de client SumUp (ci-après dénommé « vous » ou le « responsable du traitement des données), et la société SumUp Limited, sise Block 8, Harcourt Centre, Charlotte Way, Dublin 2, Ireland D02 K580 (ci-après dénommée « SumUp », « nous » ou le « sous-traitant »), faisant partie des sociétés du groupe SumUp S.A.R.L. – SumUp Group.

Chaque partie reconnaît que les dispositions du présent Accord sont applicables aux sociétés affiliées qui participent au traitement des données à caractère personnel aux fins des services définis dans les Conditions supplémentaires, et doit veiller au respect de ces dispositions par lesdites sociétés. En particulier, SumUp garantit que l'ensemble des sous-traitants procèderont au traitement des données à caractère personnel concernant vos utilisateurs selon les mêmes conditions que celles du présent Accord.

SumUp traite les données des utilisateurs de vos services ou des visiteurs de votre site Internet (ci-après dénommés « vos utilisateurs » ou les « utilisateurs ») afin de fournir les services prévus au titre des Conditions supplémentaires. Le traitement de ces données par SumUp est dénommé ci-après "traitement" (tel que ce terme est défini dans le règlement RGPD). Le présent Accord relatif au traitement des données définit les conditions de ce traitement par SumUp.

1. Définitions

1.1. La « Législation applicable en matière de protection des données » désigne le Règlement (UE) 2016/679 (ci-après dénommé le « Règlement général sur la protection des données », le « RGPD » ou le « Règlement ») ainsi que toute autre législation applicable en vigueur portant sur la réglementation du traitement des données personnelles, y compris, le cas échéant, la Directive 2002/58/CE concernant la protection de la vie privée dans le secteur des communications électroniques.

1.2. Les termes  « responsable »« personne concernée »« données à caractère personnel », « traiter », « traitement » et « sous-traitant » revêtent le sens qui leur est prêté par la législation applicable en matière de protection des données.

1.3. Le terme « contenus » désigne vos contenus et tout contenu transmis à SumUp par vos utilisateurs, y compris, sans que cela soit exhaustif, du texte, des photos, des images, des fichiers audio, vidéo, des codes, des informations issues de cookies ou de technologies de suivi similaires et de tout autre support.

1.4. Le terme « données de vos utilisateurs » désigne les données à caractère personnel de vos utilisateurs figurant dans les contenus de vos utilisateurs et faisant l'objet d'un traitement par SumUp, en votre nom et dans le cadre des services fournis par SumUp. Les données à caractère personnel dont SumUp est le responsable ne constituent pas des Données concernant vos utilisateurs.

L'ensemble des termes figurant dans le présent Accord qui n'ont pas de définition explicite dans la présente section auront la signification qui leur est donnée dans les Conditions supplémentaires. Si aucune définition spécifique ne figure dans les Conditions générales ou dans les Conditions supplémentaires, ces termes auront la signification qui leur est prêtée par le RGPD ou par toute autre règle applicable s'ils ne sont pas définis dans le RGPD.

2. Application. Le présent Accord s'applique uniquement aux données concernant vos utilisateurs et dans la mesure où le RGPD est applicable. Vous reconnaissez que la responsabilité de SumUp ne saurait être engagée à l'égard des données à caractère personnel que vous avez décidé de traiter au moyen de services tiers ou en dehors des services de SumUp, y compris les systèmes de tout autre service cloud ou de stockage hors ligne ou sur site de tiers.

3. Description du traitement des données

3.1. Objet. Les données de vos utilisateurs forment l'objet du traitement des données en vertu du présent Accord.

3.2. Durée. La durée du traitement des données au titre du présent Accord sera égale à la durée de la relation contractuelle existant entre vous et nous, et sera déterminée par vos soins selon la durée pour laquelle vous déciderez d'avoir recours à nos services.

3.3. Finalité. La finalité du traitement des données au titre du présent Accord est la fourniture et l'amélioration des services que vous avez demandés. 

3.4. Nature du traitement. La nature du traitement des données renvoie à la fourniture des services que vous avez demandées ponctuellement telles que celles-ci sont décrites dans les Conditions supplémentaires.

3.5. Catégories de données à caractère personnel. Il s'agit des données vous concernant, des données concernant vos utilisateurs ainsi que celles concernant tout autre personne physique figurant dans les contenus traités dans le cadre des services fournis et conformément aux instructions communiquées. Ces données comprennent notamment les noms, l'adresse électronique, le numéro de téléphone fixe/mobile, l'adresse physique, les coordonnées bancaires, l'historique des commandes et l'adresse IP de vos utilisateurs. N'est pas prévu, dans le cadre des services fournis, le traitement de catégories particulières de données à caractère personnel ou de données relatives à des condamnations pénales et à des délits, lesquelles sont par conséquent exclues du champ d'application du présent Accord. Dans le cas où de telles données seraient traitées dans le cadre de nos services sans que SumUp en ait connaissance, vous devez supprimer ces données immédiatement après avoir découvert ce traitement.

3.6. Catégories de personnes concernées. Sont considérées comme des personnes concernées : vous, vos utilisateurs, les consommateurs potentiels de vos utilisateurs et toutes autres personnes physiques dont les données à caractère personnel apparaissent dans les contenus.

4. Droits et obligations

4.1. Dans la mesure où les données de vos utilisateurs sont traitées par SumUp pour votre compte et que ce traitement est régi par le Règlement général sur la protection des données (ci-après dénommé le Règlement (UE) 2016/679 ou « RGPD »), vous reconnaissez qu'aux fins de la fourniture des services par SumUp, vous agissez en qualité de responsable du traitement des données à caractère personnel, et qu'en ayant recours aux services de SumUp, vous sous-traitez à SumUp le traitement des données de vos utilisateurs pour votre compte, conformément au présent Accord.

4.2. Vous pouvez à tout moment revenir sur votre acceptation du présent Accord, mais veuillez noter que SumUp ne sera plus en mesure de vous fournir les Prestations.

4.3. En sa qualité de sous-traitant des données à caractère personnel, SumUp :

A. traite les données de vos utilisateurs uniquement aux fins précisées dans le présent Accord et conformément aux lois en vigueur et aux dispositions du présent Accord ;

B. agit et traite les données de vos utilisateurs en respectant strictement les instructions écrites communiquées par vos soins, excepté si une loi applicable, une ordonnance judiciaire ou une mesure législative exige que SumUp agisse en l'absence d'une telle instruction. En concluant le présent Accord, vous donnez instruction à SumUp de traiter les données de vos utilisateurs uniquement aux fins de l'exécution des services telles que celles-ci sont décrites dans le présent Accord et dans les Conditions supplémentaires. Sous réserve des dispositions du présent Accord et avec l'accord de SumUp, vous êtes en droit de communiquer d'autres instructions écrites conformes aux termes du présent Accord ;

C. garantit que les personnes autorisées à traiter les données à caractère personnel ont signé une clause de confidentialité ou sont légalement tenues de respecter un devoir de confidentialité ;

D. garantit que l'accès aux données à caractère personnel est octroyé sur la base d'un besoin de savoir en ce qui concerne la fourniture des Prestations dans le cadre des Conditions supplémentaires ;

E. est chargée de s'assurer que les données de vos utilisateurs sont traitées par les employés/sous-traitants et/ou tout agent dans le strict respect de vos instructions ;

F. vous informera immédiatement si certaines instructions semblent en contradiction avec la législation applicable en matière de protection des données ;

G. est tenue de protéger les données de vos utilisateurs en vertu du présent Accord contre toute destruction, altération, perte et tout autre traitement non autorisé. À cette fin, SumUp prend les mesures de sécurité appropriées conformément au droit en vigueur. Les mesures techniques et organisationnelles mises en place par SumUp dépendent des innovations technologiques. SumUp est susceptible de mettre en place des mesures alternatives appropriées, qui ne sauraient fournir un niveau de sécurité inférieur à celui de ces alternatives. Lorsque cela s'avère nécessaire, SumUp vous assiste dans la mise en place des mesures techniques et organisationnelles appropriées et, en fonction de la nature du traitement et de la catégorie des données mises à disposition de SumUp, dans le respect des obligations vous incombant au titre de la législation applicable en matière de protection des données ;

H. mettra à votre disposition, sur simple demande de votre part et dans la mesure du raisonnable, les certificats et toute autre information nécessaire attestant que SumUp a satisfait à ses obligations en vertu du présent Accord et de la législation applicable en matière de protection des données. Les informations pouvant être mises à disposition par SumUp sont limitées aux informations strictement nécessaires, compte tenu de la nature des services et des informations dont dispose SumUp, afin que vous puissiez satisfaire à vos obligations, en particulier celles relatives à l'article 32 et 36 du RGPD (obligations en matière d'analyse d'impact relative à la protection des données, de consultation préalable et de garantie de la sécurité des données à caractère personnel) ;

I. vous assiste, dans un délai et dans une mesure raisonnables et moyennant des mesures appropriées (selon la nature du traitement) afin de satisfaire à l'exercice des droits des personnes concernées et à toutes autres obligations vous incombant au titre des réglementations en matière de confidentialité des données, notamment le RGPD ;

J. vous informera, si la loi applicable l'autorise, de la réception d'une demande ou d'une réclamation de la part d'une personne dont les données à caractère personnel sont incluses dans vos contenus, ou d'une demande contraignante de la part d'un gouvernement, d'un organe d'application de la loi, de réglementation ou autre, à l'égard des données de vos utilisateurs que nous traitons en votre nom et selon vos instructions.

4.4 En votre qualité de responsable du traitement :

A. vous êtes tenu de collecter, utiliser et traiter les données à caractère personnel figurant dans les Contenus conformément à l'ensemble des lois applicables en matière de protection des données ;

B. vous êtes responsable de manière exclusive de l'exactitude, de la qualité et de la légitimité du traitement des données de vos utilisateurs et des moyens par lesquels ces données ont été obtenues ;

C. vous garantissez un niveau de sécurité approprié dans le cadre du recours aux services, en prenant en considération tout risque lié aux données de vos utilisateurs ;

D. vous reconnaissez que tout stockage des données de vos utilisateurs sur toute plateforme de tiers autres que SumUp et/ou tout transfert de ces données vers une telle plateforme s'effectue à vos risques et sous votre entière responsabilité ;

E. vous garantissez que les instructions communiquées à l'égard du traitement des données à caractère personnel sont conformes à l'ensemble des lois, règlementations et règles applicables aux données de vos utilisateurs. Vous veillez également à ce que le traitement des données de vos utilisateurs conformément à vos instructions n'entraîne pour aucune des parties une quelconque violation des lois, règles ou règlementations applicables (y compris du RGPD).

5. Notification de violation. La partie informera immédiatement l'autre partie (au plus tard dans les 48 heures) de la découverte d'une violation du traitement des données à caractère personnel en vertu du présent Accord. SumUp vous apportera son aide afin que vous puissiez satisfaire aux obligations de notification qui vous incombent en vertu des articles 33 et 34 du RGPD, vous communiquera les informations relatives à la violation que nous sommes en mesure de vous communiquer dans la mesure du raisonnable et compte tenu de la nature des services fournis, des informations dont SumUp dispose et de toute restriction applicable à cette divulgation d'informations au titre de la confidentialité. Sans préjudice de ce qui précède, les obligations incombant à SumUp en vertu de la présente section ne s'appliquent pas aux incidents qui seraient de votre fait, qui résulteraient d'une activité réalisée pour votre compte et/ou de services de tiers. SumUp est tenue de coopérer et de vous assister dans le cadre de l'enquête, afin d'atténuer les conséquences néfastes de la violation, de remédier à la violation de données à caractère personnel, et de prévenir toute nouvelle violation de données similaire. Le fait que SumUp vous informe d'une violation relative au traitement des données à caractère personnel ne sera pas réputé être une reconnaissance par SumUp de ladite faute ou responsabilité eu égard à cet incident. En cas de violation de données à caractère personnel, vous serez tenu de prendre les mesures qui s'imposent en vertu des lois en vigueur régissant les données de vos utilisateurs.

6. Sous-traitants. Vous autorisez par les présentes SumUp à faire appel à des sous-traitants afin de fournir les services sans qu'aucune autre autorisation écrite spécifique ne soit nécessaire. SumUp conclura un accord avec chaque sous-traitant garantissant un niveau de protection et de sécurité au moins égal à celui établi par les conditions du présent Accord. Si vous vous opposez au recours d'un sous-traitant et que votre opposition est raisonnable et reflète des préoccupations en matière de protection des données, nous déploierons des efforts commercialement raisonnables pour mettre à votre disposition un moyen d'éviter le traitement des données de vos utilisateurs par le sous-traitant concerné. Si nous ne sommes pas en mesure de mettre à disposition les modifications suggérées dans un délai raisonnable, nous vous en informerons et si vous vous opposez toujours à notre recours à ce sous-traitant, vous pourrez annuler ou résilier votre compte ou, si possible, les parties des services qui impliquent le recours à ce sous-traitant.

7. Transfert de données à caractère personnel Le traitement des données de vos utilisateurs s'effectue au sein de l'Espace économique européen (« EEE »). Tout transfert vers et tout traitement dans un pays tiers en dehors de l'UE/EEE qui ne garantissent pas un niveau adéquat de protection conformément aux dispositions prévues par la Commission européenne doivent être effectués conformément aux Clauses contractuelles types ou à tout autre mécanisme approprié garantissant un niveau adéquat de sécurité des données à caractère personnel conformément aux exigences décrites dans la section V du RGPD.

8. Audits. Vous êtes en droit d'initier un contrôle des obligations de SumUp en vertu du présent Accord une fois par an. Si la législation en vigueur impose à SumUp de le faire, des audits pourront être effectués chaque année. Les deux parties décident ensemble si l'audit doit être confié à un tiers. Cependant, vous pouvez nous autoriser à effectuer l'examen de sécurité par le biais d'un tiers neutre de notre choix, s'il s'agit d'un environnement de traitement dans lequel sont traitées les données de plusieurs responsables du traitement. Si le contenu proposé de l'audit suit un rapport de certification ISO ou similaire réalisé par un auditeur tiers qualifié au cours des douze derniers mois, et si SumUp confirme qu'aucun changement majeur n'a été apporté aux mesures auditées, cela répondra à toutes les demandes reçues dans ce délai. Les audits ne doivent pas interférer de manière excessive avec les activités courantes de SumUp. L'ensemble des coûts relatifs à votre demande d'audit seront à votre charge.

9. Responsabilité. La responsabilité de chaque partie en vertu du présent Accord est soumise aux exclusions et limitations de responsabilité détaillées dans les Conditions supplémentaires et/ou Conditions générales. Vous acceptez que toutes les sanctions réglementaires ou les réclamations des personnes concernées, ou d'autres personnes, encourues par SumUp en relation avec les données concernant vos utilisateurs résultant de ou en lien avec votre manquement à vos obligations en vertu du présent Accord ou de la loi applicable en matière de protection des données, réduisent la responsabilité globale maximale de SumUp envers vous en vertu des Conditions supplémentaires et/ou des Conditions générales du même montant que l'amende et/ou la responsabilité encourue par nous en conséquence.

10. Résiliation. Le présent Accord restera en vigueur aussi longtemps que vous utilisez l'un des services offerts par SumUp. Toutefois, dans le cas où SumUp serait tenue, conformément aux termes du présent Accord ou des Conditions générales de SumUp, de conserver les données à caractère personnel de vos utilisateurs après résiliation des services, le présent Accord restera en vigueur tant que SumUp sera tenue de conserver les données à caractère personnel en question. Lorsque vous arrêtez d'utiliser nos services, et sauf si SumUp est tenue de conserver les données concernant vos utilisateurs en vertu des Conditions supplémentaires et/ou des Conditions générales de SumUp ou de toute convention ou législation applicable, SumUp sera tenue de supprimer l'ensemble des données concernant vos utilisateurs dans les meilleurs délais et dans la mesure du raisonnable, conformément aux Conditions générales de SumUp et aux lois en vigueur, y compris en cas de demande écrite de votre part.

11. Dispositions diverses

11.1. En cas de contradiction entre le présent Accord et les Conditions supplémentaires et/ou les Conditions générales de SumUp, les dispositions du présent Accord prévalent.

11.2. Vous prenez en charge l'ensemble des frais et dépenses engagés par SumUp pour répondre à vos instructions ou à vos demandes conformément aux Conditions supplémentaires (y compris le présent Accord sur la protection des données) et qui sortent du périmètre des fonctionnalités courantes mises à disposition par SumUp par le biais des services.

11.3. SumUp se réserve le droit de modifier et/ou d'adapter ponctuellement les conditions du présent Accord selon les besoins. Les modifications apportées à l'Accord peuvent être effectuées par SumUp dans une Annexe distincte ou via un autre moyen visible et seront communiquées de manière appropriée.

11.4. Toute question relative au présent Accord ou toute autre demande liée au traitement des données à caractère personnel peut nous être adressée à [email protected] Les réclamations relatives au traitement des données concernant vos utilisateurs seront réglées conformément aux conditions du présent Accord, des Conditions Générales et des politiques internes de SumUp.

11.5. L'invalidité d'une des dispositions du présent Accord n'affectera pas la validité des autres dispositions. Les parties remplaceront la disposition invalide par une disposition légale qui reflète l'objet de la disposition invalide.

11.6. Le présent Accord est régi et interprété conformément à la loi irlandaise. Tout litige découlant de ou en lien avec cet Accord sera renvoyé devant, et résolu en dernier lieu par les tribunaux irlandais, à moins que le droit européen ne l'interdise.