Accord en matière de traitement des données

Date d'entrée en vigueur : 9 avril 2020

Dernière mise à jour : 14 décembre 2020

Le présent Accord relatif au traitement des données (ci après dénommé l'« Accord ») fait partie intégrante des Conditions d'utilisation complémentaires applicables aux Services de commerce électronique (ci-après dénommées les « Conditions complémentaires »), de la Politique de confidentialité et de toutes autres conditions applicables de SumUp (ci-après dénommées les « Conditions » et la « Politique de confidentialité »), de même qu'il est soumis aux dispositions de ces documents conclus entre vous, en votre qualité de client SumUp (ci-après dénommé « Vous » ou le « Responsable du traitement des données), et SumUp Limited, sis Block 8, Harcourt Centre, Charlotte Way, Dublin 2, Irlande D02 K580 (ci-après dénommée « SumUp », « Nous » ou le « Sous-traitant »), faisant partie des sociétés du groupe SumUp S.A.R.L. – SumUp Group.

Chaque partie reconnaît que les dispositions du présent Accord sont applicables aux sociétés affiliées qui participent au traitement des données à caractère personnel aux fins des Prestations définies dans les Conditions supplémentaires, et doit veiller au respect de ces dispositions par lesdites sociétés. En particulier, SumUp garantit que l'ensemble des sous-traitants ultérieurs procèderont au traitement des Données à caractère personnel concernant vos utilisateurs selon les mêmes termes que le présent Accord.

Aux fins du traitement des données à caractère personnel prévu au titre du présent Accord, SumUp fait appel à Shoplo spółka z ograniczoną odpowiedzialnością, société sise Inflancka street 4C 00-189 Varsovie, en Pologne, immatriculée au Registre judiciaire polonais (KRS) sous le numéro 417586, titulaire du numéro NIP : 5213630420 (ci-après dénommé « Shoplo »), une entité qui fait partie du groupe SumUp.

SumUp traite les données concernant les utilisateurs de vos services ou les visiteurs de votre site internet (ci-après désignés « Vos utilisateurs » ou « Utilisateurs ») afin de fournir les Prestations prévues au titre des Conditions supplémentaires. Le traitement de ces données par SumUp est dénommé ci-après "traitement" (tel que ce terme est défini dans le règlement RGPD). Le présent Accord définit les conditions de ce traitement par SumUp.

  1. Définitions.

    1. La « Législation applicable en matière de protection des données » désigne le Règlement (UE) 2016/679 (ci-après dénommé le « Règlement général sur la protection des données », le « RGPD » ou le « Règlement ») ainsi que toute autre législation applicable en vigueur visant à réglementer le traitement des données personnelles, y compris, le cas échéant, la Directive 2002/58/CE sur la protection de la vie privée dans le secteur des communications électroniques.

    2. Les termes « responsable du traitement », « personne concernée », « données à caractère personnel », « traiter », «traitement» et «sous-traitant» ont le sens qui leur est attribué dans le RGPD.

    3. Le terme « Contenu » désigne votre Contenu et tout contenu transmis à SumUp par vos Utilisateurs, y compris, notamment, du texte, des photos, des images, des fichiers audio, vidéo, des codes et tout autre support.

    4. Les « Données concernant vos utilisateurs » désignent les données à caractère personnel de vos Utilisateurs présentes dans les Contenus, tel que celles-ci seront traitées par SumUp, en votre nom, au titre des ¨Prestations. Les données à caractère personnel dont SumUp est le responsable ne constituent pas des Données concernant vos utilisateurs.

      L'ensemble des termes figurant dans le présent Accord qui n'ont pas de définition explicite dans la présente section auront la signification qui leur est donnée dans les Conditions supplémentaires. Si aucune définition spécifique ne figure dans les Conditions générales ou dans les Conditions supplémentaires, ces termes auront alors la signification qui leur est donnée dans le RGPD ou dans toute autre règle applicable s'ils ne sont pas définis dans le RGPD.

  2. Application. Le présent Accord s'applique uniquement aux Données concernant vos utilisateurs et dans la mesure où le RGPD est applicable. Vous reconnaissez que la responsabilité de SumUp ne saurait être engagée à l'égard des données à caractère personnel que vous avez décidé de traiter au moyen de services tiers ou en dehors des Prestations, y compris grâce aux systèmes de tout autre service cloud tiers, ou de stockage hors ligne ou sur site.

  3. Description du traitement des données.

    1. Objet. L'objet du traitement des données au titre du présent Accord sont les Données concernant vos utilisateurs.

    2. Durée. La durée du traitement des données au titre du présent Accord sera égale à la durée de la relation contractuelle existant entre vous et nous, et sera déterminée par vos soins selon la durée pour laquelle vous déciderez d'avoir recours à nos Prestations.

    3. Finalité. La finalité du traitement des données au titre du présent Accord est la fourniture des Prestations que vous avez demandées.

    4. Nature du traitement. La nature du traitement des données est la fourniture des Prestations que vous avez demandées ponctuellement telles que celles-ci sont décrites dans les Conditions supplémentaires.

    5. Catégories de données à caractère personnel. Il s'agit des Données vous concernant, des Données concernant vos utilisateurs ainsi que celles concernant tout autre personne physique figurant dans les Contenus traités en vertu des Prestations fournies et conformément aux instructions communiquées. Ces données comprennent notamment les noms, l'adresse électronique, le numéro de téléphone fixe/mobile, l'adresse physique, les informations bancaires, l'historique des commandes et l'adresse IP de vos Utilisateurs. Il n'est pas prévu de traiter au titre des Prestations des catégories particulières de données à caractère personnel ni des données relatives aux condamnations pénales et aux délits, qui sont par conséquent exclues du champ d'application du présent Accord. Dans le cas où de telles données seraient traitées dans le cadre de nos Prestations sans que SumUp en ait connaissance, vous devez supprimer ces données immédiatement après avoir constaté ce traitement.

    6. Catégories de personnes concernées. Les personnes concernées sont vous, vos Utilisateurs, les consommateurs potentiels de vos utilisateurs et tout autre personne physique dont les données à caractère personnel figurent sur les Contenus.

  4. Droits et obligations

    1. Dans la mesure où les Données concernant vos utilisateurs sont traitées par SumUp pour votre compte et que ce traitement est régi par le Règlement général sur la protection des données (dénommé ci-après le Règlement (UE) 2016/679, ou « RGPD »), vous reconnaissez qu'aux fins de la fourniture des Prestations par SumUp, vous agissez en qualité Responsable du traitement des données à caractère personnel, et qu'en ayant recours aux Prestations de SumUp, vous avez confié à SumUp le traitement des Données concernant vos utilisateurs pour votre compte, conformément au présent Accord.

    2. Vous pouvez à tout moment revenir sur votre acceptation du présent Accord, mais veuillez noter que SumUp ne sera plus en mesure de vous fournir les Prestations.

    3. En sa qualité de Sous-traitant des données à caractère personnel, SumUp :

      1. a.

        traite les Données concernant vos utilisateurs uniquement aux fins précisées dans le présent Accord et conformément aux lois en vigueur et aux dispositions du présent Accord ;

      2. b.

        agit et traite les Données concernant vos utilisateurs en respectant strictement les instructions écrites communiquées par vos soins, excepté si une loi applicable, une ordonnance judiciaire ou une mesure législative exige que SumUp agisse en l'absence d'une telle instruction. En concluant le présent Accord, vous donnez instruction à SumUp de traiter les Données concernant vos utilisateurs uniquement aux fins de l'exécution des Prestations telles que celles-ci sont décrites dans le présent accord et dans les Conditions supplémentaires. Sous réserve des dispositions du présent Accord et avec l'accord de SumUp, vous êtes en droit de communiquer d'autres instructions écrites conformes aux termes du présent Accord ;

      3. c.

        garantit que les personnes autorisées à traiter les données à caractère personnel ont consenti à l'obligation de confidentialité ou sont légalement tenus de respecter un devoir de confidentialité ;

      4. d.

        garantit que l'accès aux données à caractère personnel est limité aux personnes ayant un besoin d'en prendre connaissance dans le cadre de l'exécution des Prestations conformément aux Conditions supplémentaires ;

      5. e.

        est chargé de s'assurer que les Données de vos utilisateurs soient traitées par les employés/sous-traitants ultérieurs et/ou tout agent dans le strict respect de vos instructions ;

      6. f.

        vous informe immédiatement si certaines instructions semblent en contradiction avec la Législation applicable en matière de protection des données ;

      7. g.

        est tenue de protéger les Données concernant vos utilisateurs en vertu du présent Accord contre toute destruction, altération, perte et tout autre traitement non autorisé. A cette fin, SumUp prend les mesures de sécurité appropriées conformément au droit en vigueur. Les mesures techniques et organisationnelles mises en place par SumUp dépendent des innovations technologiques. SumUp est susceptible de mettre en place des mesures alternatives appropriées, qui ne sauraient fournir un niveau de sécurité inférieur à celui des mesures définies lors de la mise en place de ces alternatives. Lorsque cela s'avèrera nécessaire, SumUp vous assistera dans la mise en place des mesures techniques et organisationnelles appropriées et, en fonction de la nature du traitement et de la catégorie des données mises à disposition de SumUp, dans le respect des obligations vous incombant au titre de la Législation applicable en matière de protection des données ;

      8. h.

        mettra à votre disposition, sur simple demande dans la mesure du raisonnable, les certificats, de même que toute autre information nécessaire, attestant que SumUp a satisfait à ses obligations en vertu du présent Accord et de la Législation applicable en matière de protection des données. Les informations pouvant être mises à disposition par SumUp sont limitées aux informations strictement nécessaire, compte tenu de la nature des Prestations et des informations dont dispose SumUp, afin que vous puissiez satisfaire à vos obligations, en particulier celles relatives à l'article 32 et 36 du RGPD (obligations en matière d'analyse d'impact relative à la protection des données, de consultation préalable et de garantie de la sécurité des données à caractère personnel) ;

      9. i.

        vous assiste, dans un délai et dans une mesure raisonnables et moyennant des mesures appropriées (selon la nature du traitement) afin de satisfaire à l'exercice des droits des personnes concernées et à toutes autres obligations vous incombant au titre des réglementations en matière de confidentialité des données, notamment le RGPD ;

      10. j.

        vous avertit, dans la mesure où cela est autorisé par le droit en vigueur, en cas de réception d'une demande ou d'une réclamation provenant d'une personne physique dont les données à caractère personnel figurent dans votre Contenu, ou d'une demande contraignante provenant d'un gouvernement ou d'un organisme de maintien de l'ordre, d'une autorité de règlementation ou de toute autre entité, relative aux Données concernant vos utilisateurs traitées pour votre compte et conformément à vos instructions.

    4. En votre qualité de Responsable du traitement :

      1. a.

        vous êtes tenu de collecter, utiliser et traiter les données à caractère personnel figurant dans les Contenus conformément à l'ensemble des Lois applicables en matière de protection des données ;

      2. b.

        vous êtes responsable de manière exclusive de l'exactitude, de la qualité et de la légitimité du traitement des Données concernant vos utilisateurs et des moyens par lesquels ces données ont été obtenues ;

      3. c.

        vous garantissez un niveau de sécurité approprié dans le cadre du recours aux Prestations, en prenant en considération tout risque lié aux Données concernant vos utilisateurs ;

      4. d.

        vous reconnaissez que tout stockage des Données concernant vos utilisateurs sur toute plateforme d'un tiers autre que SumUp et/ou tout transfert de ces Données vers une telle plateforme sera fait à vos risques et sous votre entière responsabilité ;

      5. e.

        vous garantissez que les instructions communiquées à l'égard du traitement des données à caractère personnel sont conformes à l'ensemble des lois, règlementations et règles applicables aux Données concernant vos utilisateurs. Vous veillez également à ce que le traitement des Données concernant vos utilisateurs conformément à vos instructions n'entraîne pour aucune des parties une quelconque violation des lois, règles ou règlementations applicables (y compris le RGPD).

  5. Notification de violation. Chaque partie informera immédiatement l'autre partie (dans un délai maximum de 48 heures) dès qu'elle aura eu connaissance d'une violation relative aux données à caractère personnel traitées en vertu du présent Accord. SumUp vous apportera son aide afin que vous puissiez satisfaire aux obligations de notification qui vous incombe en vertu des articles 33 et 34 du RGPD, vous communiquera les informations relatives à la violation que nous sommes en mesure de vous communiquer d'un point de vue raisonnable compte tenu de la nature des Prestations, des informations dont SumUp dispose et de toute restriction applicable à cette divulgation d'informations au titre de la confidentialité. Sans préjudice de ce qui précède, les obligations incombant à SumUp en vertu de la présente section ne s'appliquent pas aux incidents qui seraient de votre fait, qui résulteraient d'une activité réalisée pour votre compte et/ou de prestations de tiers. SumUp est tenue de coopérer et de vous assister dans le cadre de l'enquête, afin d'atténuer les conséquences néfastes de la violation, de remédier à la violation de données à caractère personnel, et de prévenir toute nouvelle violation de données similaire.

    La notification par SumUp d'une violation de données à caractère personnel ne saurait être considérée comme une reconnaissance par SumUp d'un manquement de sa part ou d'une responsabilité qui lui incomberait à l'égard de l'incident en question. En cas de violation de données à caractère personnel, vous êtes tenu de prendre les mesures nécessaires en vertu du droit en vigueur à l'égard des Données concernant vos utilisateurs.

  6. Sous-traitants ultérieurs. Vous autorisez par les présentes SumUp à avoir recours à des sous-traitants ultérieurs afin de fournir les Prestations sans qu'aucune autre autorisation écrite spécifique ne soit nécessaire. SumUp conclura un accord avec chaque sous-traitant ultérieur garantissant un niveau de protection et de sécurité au moins égal à celui établi par les termes du présent Accord. Si vous vous opposez dans une mesure raisonnable au choix d'un sous-traitant ultérieur en raison de craintes liées à la protection des données, SumUp déploiera des efforts raisonnables d'un point de vue commercial afin de vous proposer un moyen d'éviter le traitement des Données concernant vos utilisateurs par le sous-traitant ultérieur que vous avez refusé. Nous vous aviserons dans le cas où nous ne serions pas en mesure de proposer de telles modifications dans un délai raisonnable ; si vous continuez de vous opposer au recours au sous-traitant en question, vous serez en droit d'annuler ou de résilier votre compte ou, si cela est possible, d'annuler ou résilier la part des Prestations qui implique le recours à ce sous-traitant ultérieur.

  7. Transfert de données à caractère personnel. Le traitement des Données concernant vos utilisateurs aura lieu au sein de l'Espace économique européen (« EEE »). Tout transfert vers un pays hors de l'Union Européenne ou de l'Espace Économique Européen qui ne garantit pas un niveau de protection approprié selon la Commission Européenne, ou tout traitement réalisé sur le territoire d'un tel pays, devra être réalisé conformément à des Clauses contractuelles types (2010/87/EU) ou à tout autre mécanisme adapté qui garantit un niveau de sécurité approprié à l'égard des données à caractère personnel, conformément aux exigences du Chapitre V du RGPD.

  8. Audits. Vous êtes en droit d'engager un contrôle des obligations incombant à SumUp en vertu du présent Accord une fois par mois. Si SumUp est tenu de le faire en vertu de la législation applicable, les audits peuvent être renouvelés une fois par an. Les parties conviendront ensemble de l'opportunité de confier l'audit à un tiers. Toutefois, vous pourriez être amené à nous autoriser à faire appel au prestataire tiers de notre choix dans le cadre de l'audit de sécurité, si l'environnement de traitement en question concerne les données de plusieurs responsables de traitements. Si le périmètre envisagé de l'audit est conforme à un rapport de certification ISO ou similaire mené au cours des douze mois précédents par un auditeur tiers qualifié, la confirmation par SumUp que les mesures examinées n'ont connu aucun changement significatif suffira à répondre à toute demande reçue dans un tel délai. Les audits ne doivent pas interférer de manière excessive d'un point de vue raisonnable avec l'activité courante de SumUp. L'ensemble des coûts relatifs à votre demande d'audit seront à votre charge.

  9. Responsabilité. La responsabilité de chaque partie en vertu du présent Accord est soumise aux exclusions et limitations de responsabilité figurant aux Conditions supplémentaires et/ou aux Conditions générales. Vous reconnaissez que toute pénalité ou revendication règlementaire présentées par des personnes concernées ou d'autres tiers à l'encontre de SumUp au sujet des Données concernant vos utilisateurs du fait d'un manquement à vos obligations en vertu du présent Accord ou de la Législation applicable en matière de protection des données ou en lien avec un tel manquement réduira d'autant la responsabilité cumulée totale encourue par SumUp au titre des Conditions supplémentaires ou des Conditions générales.

  10. Résiliation. Le présent Accord restera en vigueur tant que vous aurez recours à l'une des Prestations de SumUp. Toutefois, dans le cas où SumUp serait tenue, conformément aux termes du présent Accord ou des Conditions générales de SumUp, de conserver les données à caractère personnel de vos Utilisateurs après avoir résilié les Prestations, le présent Accord restera en vigueur tant que SumUp sera tenu de conserver les données à caractère personnel en question.

    Lorsque vous cessez d'avoir recours à nos Prestations, et excepté lorsque SumUp est tenu de conserver les Données concernant vos utilisateurs en vertu des Conditions supplémentaires et/ou des Conditions générales de SumUp, ou de toute convention ou législation applicable, SumUp sera tenu de supprimer l'ensemble des Données concernant vos Utilisateurs dans les meilleurs délais d'un point de vue raisonnable et conformément aux Conditions générales de SumUp et aux lois en vigueur, y compris en cas de demande écrite de votre part.

  11. Stipulations diverses.

    1. En cas de contradiction entre le présent Accord et les Conditions supplémentaires et/ou Conditions générales de SumUp, les dispositions du présent Accord prévaudront.

    2. L'ensemble des frais et dépenses engagés par SumUp pour répondre à vos instructions ou à vos demandes conformément aux Conditions supplémentaires (y compris le présent Accord) et qui ne rentrent pas dans le périmètre des fonctionnalités courantes mises à disposition par SumUp grâce aux Prestations seront à votre charge.

    3. SumUp se réserve le droit de modifier et/ou d'adapter ponctuellement les termes du présent Accord en tant que de besoin. Ces modifications pourront faire l'objet d'une Annexe séparée ou figurer sur tout autre support visible qui fera l'objet d'une communication appropriée.

    4. Toute question concernant le présent Accord ou toute autre demande liée au traitement des données à caractère personnel peut nous être adressée à dpo@sumup.com. Les réclamations relatives au traitement des Données concernant vos utilisateurs seront réglées conformément aux termes du présent Accord, des Conditions Générales et des politiques internes de SumUp.

    5. L'invalidité de l'une quelconque des dispositions du présent Accord n'affectera pas les autres dispositions. Les parties chercheront à remplacer toute disposition invalide par une disposition légale qui reflète la finalité de la disposition invalide.

    6. Le présent Accord est régi et interprété conformément à la loi irlandaise. Tout litige découlant de ou en lien avec cet Accord sera renvoyé devant, et résolu en dernier lieu par les tribunaux irlandais, à moins que le droit européen ne l'interdise.