La présente Politique de Protection des Données Personnelles (ci-après la « Politique ») s’applique lorsque le Client et Zest sont liés par un Contrat dont l’objet est la fourniture par Zest au Client d’un Service.
Il est entendu que la présente Politique fait partie des dispositions du Contrat et que les définitions du Contrat s’appliquent aux présentes.
Pour rappel le terme « Données Personnelles » désigne les données à caractère personnel que le Client traite dans le cadre de son utilisation du Service, au sens de la loi n°78-17 du 6 janvier 1978 dite Informatique et Libertés, et du Règlement Européen 2016/679 du 27 Avril 2016 (Règlement Général sur la Protection des Données ou RGPD) relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE. Cet ensemble règlementaire est désigné ci-après « Règlementation Applicable ».
Par ailleurs les termes « Responsable du traitement” et “Sous-traitant”, ont le sens défini par la Règlementation Applicable.
Les dispositions qui suivent s’appliquent au(x) traitement(s) de Données Personnelles réalisé(s) dans le cadre du Service en ce compris le Support qui constitue une des composantes du Service.
RAPPEL DES RÔLES RESPECTIFS
Il est rappelé qu'au sens de la Règlementation Applicable et dans le cadre de l’exécution du Contrat :
-le Client agit en qualité de Responsable du traitement de Données Personnelles ou, le cas échéant, sous-traitant de ses clients ;
-Zest agit en qualité de Sous-traitant uniquement pour le compte et sur les instructions documentées et licites du Client.
INSTRUCTIONS DU CLIENT
Les Parties reconnaissent que la réalisation de l’objet du Contrat ainsi que l’utilisation du Service constitue les instructions documentées du Client.
Toute instruction supplémentaire du Client par rapport à celles visées ci-dessus, devra être portée à la connaissance de Zest par écrit, en précisant la finalité concernée et l’opération à effectuer. Il est entendu que la mise en œuvre de toute instruction supplémentaire pourra être conditionnée à l’acceptation par le Client d’un devis de Zest.
D’une manière générale, Zest s’engage à informer le Client par tout moyen dans un délai raisonnable à compter de la prise de connaissance par Zest de l’instruction du Client si, selon elle, cette instruction constitue une violation de la Règlementation Applicable.
Il est entendu que le Client est le seul à disposer de la maitrise et de la connaissance, notamment de l'origine, des Données Personnelles traitées lors de l’exécution du Contrat. Le Client garantit ainsi respecter l’ensemble des obligations qui lui incombent en qualité de Responsable du traitement.
CONTACTS
Contact Zest : l’ensemble des notifications, informations, demande et de manière générale des échanges écrits dans le cadre de la présente Politique devront être envoyés par email à l’adresse suivante : XXX@
Contact Client : l’ensemble des notifications, informations, demandes et, de manière générale, des échanges écrits dans le cadre de la présente Politique devront être envoyés par email à l’adresse mail utilisé par le Client pour la création de son Compte Zest.
TRANSFERT DES DONNÉES PERSONNELLES
Il est rappelé que les Données du Client (et donc les Données Personnelles) sont localisées dans un ou plusieurs sites situés en Union Européenne.
Zest s'interdit de transférer les Données Personnelles, sans mettre en place les outils adéquats d'encadrement de ces transferts en application de l'article 46 du RGPD, en dehors :
de l'Union Européenne, ou
de l'Espace Économique Européen, ou
des pays reconnus comme disposant d'un niveau de sécurité adéquat par la Commission Européenne.
SOUS TRAITANCE
Le Client autorise Zest à faire appel à des sous-traitants pour mener les activités de traitement de Données Personnelles pour le compte du Client dès lors que l’intervention de ces sous-traitants est strictement nécessaire à l’exécution du Contrat.
Zest s’engage à faire appel à des sous-traitants présentant des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à répondre aux exigences de la Règlementation Applicable.
Zest s’engage à imposer contractuellement à ses sous-traitants un niveau d’obligation au moins équivalent en matière de protection des Données Personnelles à celui fixé dans le présent Contrat et par la Règlementation Applicable.
En tout état de cause Zest demeure responsable devant le Client de l’exécution par ledit sous-traitant de ses obligations.
Zest s’engage à faire appel uniquement à un sous-traitant :
établi dans un pays de l'Union Européenne ou de l'Espace Économique Européen, ou
établi dans un pays disposant d'un niveau de protection suffisant par décision de la Commission Européenne au regard de la Règlementation Applicable, ou
disposant des garanties appropriées en application de l'article 46 du RGPD.
Zest s’engage à informer le Client de tout ajout ou remplacement de sous-traitants dans les plus brefs délais.
Le Client pourra formuler ses objections par écrit dans un délai de dix (10) jours ouvrés à compter de la réception de l’information. Le Client reconnaît et accepte que l’absence d’objection dans ce délai équivaut à une acceptation de sa part du sous-traitant.
En cas d’objection, Zest dispose de la possibilité de répondre au Client pour apporter des éléments de nature à lever ces objections. Si le Client maintient ses objections, les Parties s’engagent à se rencontrer et à échanger de bonne foi concernant la poursuite de leur relation.
La liste des sous-traitants est précisée à l’annexe 1 de la présente Politique.
SÉCURITÉ DES DONNÉES PERSONNELLES
En application de l’article 32.1 du RGPD, le Client et Zest reconnaissent mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques.
Zest est responsable de la sécurité du Service uniquement pour les aspects relevant de son contrôle. Ainsi, le Client demeure responsable de la sécurité et de la confidentialité de ses systèmes et de sa politique d'accès au Service.
Zest n'a aucune obligation de protéger des données personnelles qui sont stockées ou transférées hors du Service par le Client ou par Zest sur instruction du Client.
Zest veille à ce que son personnel autorisé à traiter des Données Personnelles s’engage à en respecter la confidentialité.
DEMANDES DES PERSONNES CONCERNÉES
Lorsque Zest reçoit directement une demande, requête ou plainte d’une personne physique concernant le traitement de ses Données Personnelles réalisé dans le cadre du Contrat, Zest s’engage à transmettre la demande au Client, de sorte que ce dernier puisse gérer cette demande dans les meilleurs délais.
En qualité de Responsable du traitement, le Client reste responsable de la réponse à apporter aux personnes physiques concernées et Zest s’engage à ne pas répondre à de telles demandes.
Cependant, compte tenu de la nature du traitement de Données Personnelles, Zest s’engage, par des mesures techniques et organisationnelles appropriées et dans toute la mesure du possible, à aider le Client à s’acquitter de son obligation de donner suite à de telles sollicitations.
INFORMATIONS
Sur demande écrite du Client, Zest fournit au Client, (aux frais du Client si cette demande excède les obligations de Zest en tant que Sous-traitant ou celles imposées par la Règlementation Applicable), toute information utile en sa possession afin de l'aider à satisfaire aux exigences de la Règlementation Applicable qui incombent au Client en qualité de Responsable du traitement concernant les analyses d'impact relatives à la protection des Données Personnelles menées par et sous la seule responsabilité du Client ainsi que les consultations préalables auprès de la CNIL qui pourraient en découler.
De manière générale Zest met à la disposition du Client, par courriel et à la demande de celui-ci, tout document nécessaire permettant de démontrer le respect de ses obligations en qualité de Sous-traitant au titre du Contrat.
NOTIFICATION DES VIOLATIONS DE DONNÉES PERSONNELLES
Zest notifie au Client dans les meilleurs délais (ne pouvant dépasser 48 heures) après en avoir pris connaissance toute violation de la sécurité des Données Personnelles entrainant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de Données Personnelles transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles Données Personnelles.
Zest fournit au Client dans les meilleurs délais (ne pouvant dépasser 24 heures) à compter de la notification de la violation de la sécurité des Données Personnelles les informations suivantes :
les catégories et le nombre approximatif de personnes concernées par la violation ;
les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ;
la description des conséquences probables de la violation de données à caractère personnel ;
la description des mesures prises ou que Zest propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
AUDIT
Si malgré la fourniture par Zest des informations destinées à démontrer le respect de ses obligations dans le cadre des dispositions du paragraphe VIII Informations, le Client souhaite procéder à la réalisation d’un audit des processus et mesures mises en œuvre par Zest concernant la protection des Données Personnelles dans le cadre de l’exécution du Service, les dispositions suivantes s’appliqueront :
(i) le Client formule une demande écrite d’audit auprès de Zest, par lettre recommandée avec accusé de réception, en justifiant et en documentant sa demande ;
(ii) Zest s’engage à apporter une réponse au Client en précisant le périmètre et les conditions de réalisation de l’audit. Le Client est informé et accepte que la sécurité du système d’information de Zest reposant sur leur accès restreint, le périmètre d’un audit sera limité aux processus et mesures mises en œuvre par Zest concernant la protection des Données Personnelles dans le cadre de l’exécution du Service en qualité de Sous-traitant du ou des traitements de Données Personnelles confié(s) par le Client.
L’audit ne pourra intervenir que passé un délai de vingt (20) jours ouvrés à compter de la demande du Client intervenue au titre du (i).
(iii) Cette mission d’audit peut être réalisée par les auditeurs internes du Client ou peut être confiée à tout prestataire au choix du Client, non concurrent de Zest ;
Les auditeurs devront prendre un engagement formel de non divulgation des informations recueillies chez Zest quel qu’en soit le mode d’acquisition. La signature de l’accord de confidentialité par les auditeurs devra être préalable à l’audit et communiquée à Zest.
(iv) Dans le cadre de l’audit, Zest donnera accès à ses locaux, et d’une manière générale aux documents et aux personnes nécessaires afin que les auditeurs puissent conduire l’audit dans des conditions satisfaisantes. Il est entendu que cet audit ne doit pas avoir pour conséquence de perturber l’exploitation du Service.
(v) Le rapport d’audit sera mis à la disposition de Zest par les auditeurs avant d’être finalisé, de telle sorte que Zest puisse formuler toutes ses observations, le rapport final devant tenir compte et mentionner ces observations. Le rapport d’audit final sera ensuite adressé à Zest et fera l’objet d’un examen dans le cadre d’une réunion entre les Parties.
Au cas où le rapport d’audit final révèlerait des manquements aux engagements pris au titre de l’exécution du Service, Zest s’engage à proposer un plan d’actions correctives dans un délai raisonnable.
Il est entendu qu’au sens de la présente clause, un jour ouvré désigne un jour compris entre le lundi et le vendredi et qui n’est pas un jour férié en France métropolitaine.
La durée d’un audit ne pourra pas dépasser un (1) jour ouvré. En cas de dépassement, les journées supplémentaires feront l’objet d’une facturation par Zest au Client selon le tarif des prestations en vigueur au moment du déroulement de l’audit.
Sauf événement légitimant la mise en œuvre d’un audit dans un délai plus court, les audits ne pourront être réalisés par le Client sur site de Zest, qu’une fois pendant la période initiale du Contrat, puis une fois par période de renouvellement.
RESTITUTION ET SUPPRESSION DES DONNÉES PERSONNELLES
Zest supprimera les Données Personnelles et leurs éventuelles copies en application de l’article « Restitution des Données du Client » du Contrat à moins que le droit applicable n’exige la conservation de ces Données Personnelles.
DESCRIPTION DU TRAITEMENT
DESCRIPTION DES TRAITEMENTS
TYPE D’INTERVENTION
NATURES DES OPERATIONS
FINALITE DU TRAITEMENT
CATEGORIES DE DONNEES PERSONNELLES
CATEGORIE DE PERSONNE CONCERNEES
DUREE DU TRAITEMENT
Service
Accès, stockage, extraction, utilisation, modification.
Fourniture du Service au Client.
Informations d’identification de personnes physiques utilisateurs du Service.
Informations d’identification de personnes physiques prospect du Client dans le cadre de l’utilisation du Service.
Salariés ou mandataire du Client ayant accès au Service.
Prospect du Client dans le cadre de l’utilisation du Service.
Durée du Contrat augmentée de 90 jours dans le cadre de la restitution des données sauvegardées.
Support et assistance
Accès, stockage, extraction, utilisation, modification.
RĂ©alisation du Support.
Informations d'identification de personnes physiques salariés du Client dans le cadre de l'exécution du Support.
Salariés ou mandataire du Client ayant accès au Support.
Durée du Contrat augmentée de 90 jours dans le cadre de la restitution des données sauvegardées.
ANNEXE 1 : LISTE DES SOUS-TRAITANTS AUTORISES
DÉNOMINATION SOCIALE DU SOUS-TRAITANT
N° de RCS / D’ENREGISTREMENT
ADRESSE DU SIEGE SOCIAL
PERIMETRE DE LA SOUS-TRAITANCE
SCALEWAY
433115904
8 rue de la ville l’évêque,
75008 Paris,
France
Hébergement des données.
HOTJAR LTD
C65490
Dragonara Business Centre,
5th Floor, Dragonara Road,
Paceville St Julian's STJ 3141
Malta
Analyse marketing.
STRIPE FRANCE
807572011
10 boulevard Haussmann,
75009 Paris,
France
Gestion de la facturation et des règlements.
GOOGLE FRANCE
443061841
8 rue de Londres,
75009 Paris,
France
Authentification et analyse marketing.