Documentation

Politique de protection de la vie privée (RGPD)

English

La protection des données et la sécurité des données sont prioritaires pour EXPEDY. Nous traitons et utilisons les données personnelles uniquement dans la mesure du nécessaire, et ce pour vous fournir nos services.

Déclaration de confidentialité des données

Nous, EXPEDY édité par la société AD TELA SAS domiciliée 9 rue du renard 76000 ROUEN.  immatriculée au RCS ROUEN – SIRET : 83767873900025 – TVA : FR96837678739, sommes l’opérateur des sites expedy.fr , expedy.com, expedy.io , ainsi que le fournisseur de services de l’App EXPEDY iOS et Android, y compris les autres services qui sont fournis via les sites Web (par exemple expedy.fr/console). Nous sommes responsables de la collecte, du traitement et de l’utilisation des données personnelles, conformément à toutes les législations relatives à la protection des données, en particulier le Règlement Général sur la Protection des Données («RGPD»).

Vous, le client, êtes le “responsable du traitement” et EXPEDY, le fournisseur de services, est le “sous-traitant”, et ce à votre compte. Nous n’utilisons vos données que dans le cadre de la législation sur la protection des données. EXPEDY dispose également d’un délégué à la protection des données («DPO») qui peut être contacté par courrier ou par courrier électronique à dpo@expedy.fr

Avec cette présente politique de protection de la vie privée, nous voulons vous indiquer quelles données personnelles sont collectées et enregistrées lorsque vous visitez notre site Web ou que vous utilisez nos services proposés sur le site Web. En outre, vous recevrez des informations sur la manière dont nous utilisons vos données et sur les droits que vous avez concernant l’utilisation de vos données. Cette déclaration de confidentialité des données s’applique également à l’accès et à l’utilisation de l’application EXPEDY, ainsi qu’aux autres services disponibles.

1. Sécurité des données

Afin de protéger vos données, toutes les données que vous fournissez sont cryptées selon la norme de sécurité TLS (Transport Layer Security). TLS est une norme sécurisée et testée, utilisée par exemple pour les services bancaires en ligne. Vous pouvez voir cette connexion sécurisée TLS avec le “s” après le “http” dans l’URL affichée dans votre navigateur (exemple : https://..), ou à partir du symbole représentant un cadenas figurant dans l’onglet du navigateur.

Nous prenons également des mesures de sécurité techniques et organisationnelles appropriées, afin de protéger vos données contre des manipulations aléatoires ou délibérées, des pertes partielles ou complètes, des destructions et / ou contre un accès non autorisé. Afin d’éviter la perte de données, nous exécutons une configuration de base de données “en miroir”, ce qui signifie que vos données sont toujours stockées dans deux emplacements distincts. De plus, nous mettons à jour et stockons les données toutes les heures dans une sauvegarde hors site et conformément à l’analyse à haut risque, nous effectuons en permanence des tests de sécurité sur notre infrastructure. Votre mot de passe est stocké via un processus chiffré sécurisé. Nous ne vous demanderons jamais votre mot de passe, ni par e-mail, ni par téléphone. Si vous oubliez votre mot de passe, nous pouvons le réinitialiser pour vous. Nos mesures de sécurité sont continuellement améliorées, et ce en fonction du développement technologique.

Les données personnelles que nous collectons sont stockées dans un environnement sécurisé au sein de l’UE et traitées de manière confidentielle. L’accès à ces données est limité aux employés et fournisseurs sélectionnés du groupe EXPEDY. Nous respectons toujours les exigences légales en matière de protection des données.

Nous faisons tout notre possible pour sécuriser vos données de la meilleure façon possible, mais nous ne pouvons garantir la sécurité de vos données lorsqu’elles sont transférées sur Internet. Lorsque les données sont transférées sur Internet, il existe un certain risque que d’autres personnes puissent accéder aux données de manière illicite. En d’autres termes, la sécurité de votre transfert de données est de votre responsabilité en tant que responsable du traitement.

2. La collecte et le stockage des données personnelles, ainsi que la nature et le but de leur utilisation

a) Si vous visitez notre site Web

Vous pouvez visiter le site Web de EXPEDY sans divulguer votre identité. Votre navigateur envoie uniquement des informations collectées automatiquement aux serveurs de notre site Web. Cette information est temporairement stockée dans un document appelé “journal”. Voici les informations automatiquement collectées et stockées, jusqu’à leur suppression automatique :

  • Adresse IP de l’ordinateur demandeur
  • Date et heure de l’accès
  • Nom et URL des données consultées
  • Site Web d’où provient l’accès (URL de référence),
  • Navigateur utilisé et, si nécessaire, le système d’exploitation de votre ordinateur ainsi que le nom de votre fournisseur d’accès

Ces données sont collectées et traitées dans le but de rendre l’utilisation de notre site Web (établissement de connexion) possible, mais aussi dans le but de garantir la sécurité et la stabilité de notre système, ainsi que pour l’administration technique de l’infrastructure du réseau. Nous ne tirons aucune conclusion à votre sujet en tant que personne.

De plus, nous utilisons des cookies ainsi que des outils d’analyse Web et de marketing. Vous pouvez trouver plus d’informations sur ce sujet dans les paragraphes 3 à 5.

b) Si vous vous inscrivez à nos services en ligne

Pour utiliser ces services, vous devez d’abord vous inscrire. Afin d’utiliser nos services dans toute leur portée, il peut être nécessaire d’entrer des données plus personnelles. Par exemple, pour créer une facture légale, il est nécessaire de saisir le nom de votre entreprise, son adresse, le numéro de facture et les informations de paiement, etc. Nous utilisons également votre nom et vos coordonnées:

  • Pour savoir qui est notre contracteur
  • Pour la justification, la structure, le traitement et les changements de notre relation contractuelle avec vous, relatifs à l’utilisation de nos services
  • Pour vérifier la plausibilité des données entrées
  • Si nécessaire pour vous contacter

c) Si vous vous inscrivez à notre newsletter / bulletin d’information

Si vous avez accepté de recevoir notre newsletter / bulletin d’information, nous pouvons utiliser votre adresse email pour vous envoyer régulièrement des newsletters, ainsi que des informations sur nos services. Afin de recevoir les bulletins d’information, nous devons d’abord obtenir votre consentement pour accepter ces messages. Ce consentement peut être choisi lors de l’inscription. Vous pouvez révoquer votre consentement à recevoir de telles communications à tout moment, que ce soit sur votre compte, en désactivant les courriels ou en nous envoyant un courriel pour indiquer que vous ne souhaitez plus recevoir ces communications. Vous pouvez également vous désinscrire des newsletters à tout moment, par exemple en cliquant sur le lien de désinscription situé en bas de la newsletter. Vous pouvez également nous envoyer un e-mail à support@expedy.fr

Si vous annulez votre abonnement à la newsletter / bulletin d’information, nous conserverons votre adresse e-mail uniquement pour  vous assurer que vous ne recevrez plus ces e-mails.

d) Développeur, client, fournisseur, comptable et équipe

Avec nos services, vous avez la possibilité d’entrer des données de tiers, de donner accès à votre compte à des tiers, de connecter votre compte à des tiers et d’offrir à des tiers vos propres applications ou d’utiliser des applications de tiers. Bien sûr, nous respectons également la confidentialité des données concernant les données de tiers, auxquelles nous pouvons accéder grâce à votre utilisation de notre service. Parfois, cela peut nécessiter un contrat distinct avec vous. Si vous pensez que c’est le cas, contactez-nous.

Conformément à nos termes et conditions, vous n’avez pas le droit de partager vos données de connexion avec des tiers, et vous êtes obligé de traiter vos données avec soin. De plus, vous êtes responsable des données des tiers que vous saisissez dans EXPEDY. Notez que nous n’avons aucune influence sur le respect des normes de protection et de sécurité des données en dehors de notre site Web, de l’application EXPEDY ou des services que nous fournissons. Dans ce cas, vous – ou le tiers auquel vous avez accordé l’accès à vos données – êtes responsable.

3. Consentement au transfert de données

Nous transmettons vos données personnelles à des tiers si vous nous le demandez (lorsque vous générez une étiquette avec un transporteur par exemple), mais uniquement si vous avez donné votre consentement explicite, ou s’il existe des obligations de le faire.

EXPEDY peut également, de temps en temps, exiger de partager des données avec une société-sœur, par exemple pour permettre la facturation de votre compte auprès d’une autre entité EXPEDY. La sécurité des données est assurée à tout moment. En vous inscrivant à EXPEDY, vous donnez votre consentement au traitement de vos données.

Vous donnez également votre consentement explicite au partage de vos données avec des tiers si nécessaire, et ce autant que nécessaire pour vous fournir notre service.

Nous confirmons que nous partageons vos données uniquement avec des tiers qui maintiennent un niveau satisfaisant de sécurisation des données, selon les normes requises en vertu de toutes les législations sur la protection des données.

En particulier, lorsque nous partageons des données avec des territoires extérieurs à l’UE / EEE ou à un pays non inscrit sur la liste approuvée par la Commission européenne, nous nous assurons de respecter toutes les normes de sécurité et de confidentialité des données, aux normes de l’UE. Nous sommes tenus de mettre à disposition, sur demande, des preuves – ou des références – aux garanties appropriées, et nous pouvons le faire suite à la réception d’une demande reçue par EXPEDY par écrit ou par courrier électronique.

Vous conservez à tout moment le droit de retirer votre consentement au traitement et / ou au partage de vos données soit en fermant votre compte, qui a un effet immédiat, soit en nous contactant pour demander la clôture, à quel stade nous le ferons dès que possible, en fonction de faisabilité. Après la fin de votre relation avec EXPEDY, nous conservons uniquement les données minimales que nous sommes tenus de détenir pour satisfaire à toutes les exigences légales et uniquement pour la période minimale requise.

Si vous avez des questions concernant le traitement de vos données personnelles, ou si vous souhaitez effectuer une demande d’accès aux données, le délégué à la protection des données peut être contacté à dpo@expedy.fr ou en lui écrivant à l’adresse indiquée précédemment. Si vous n’êtes satisfait, vous avez le droit de déposer une plainte auprès de l’autorité de protection des données concernée. EXPEDY coopérera pleinement à toute enquête de ce type et s’efforcera de satisfaire toutes les demandes autant que possible. L’autorité compétente pour chaque pays peut être consultée sur le site web de la Commission européenne : http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612080[s4]

4. Cookies

Notre site utilise des cookies. Les cookies sont de petits fichiers, créés automatiquement par votre navigateur et stockés sur votre appareil (ordinateur portable, tablette, smartphone, etc.) lorsque vous visitez une page. Les cookies ne nuisent pas à votre appareil, et ils ne contiennent pas de virus, chevaux de Troie ou autres logiciels malveillants.

Les cookies stockent des informations relatives à votre appareil. Cependant, cela ne signifie pas que nous recevons des informations détaillées sur votre identité.

L’utilisation de cookies a pour but de créer une utilisation plus agréable de nos services. Par conséquent, nous utilisons des cookies de session, pour savoir si vous avez déjà visité des pages uniques de notre site Web ou si vous avez déjà créé un compte client. Ils seront supprimés automatiquement par votre navigateur une fois qu’ils expirent.

À des fins d’utilisation, nous utilisons des cookies temporaires, stockés sur votre appareil pour une durée spécifique. Si vous visitez à nouveau notre site Web pour utiliser nos services, il sera reconnu que vous avez déjà visité notre site Web auparavant et quels paramètres et actions vous avez effectués, afin que vous n’ayez pas à les exécuter de nouveau.

Nous utilisons également des cookies pour suivre les statistiques d’utilisation de notre site Web et pour optimiser notre offre(article 4.), ainsi que pour vous montrer des renseignements spécifiquement adaptés (article 5.). Lorsque vous visitez à nouveau notre site Web, ces cookies nous permettent de reconnaître automatiquement que vous avez déjà visité notre site Web auparavant. Après une période définie, les cookies seront automatiquement supprimés.

La plupart des navigateurs acceptent les cookies automatiquement. Vous pouvez configurer votre navigateur de manière à ce qu’aucun cookie ne soit enregistré sur votre ordinateur ou qu’un avertissement apparaisse toujours avant la création d’un nouveau cookie.

Cependant, vous noterez que la désactivation complète des cookies peut également entraîner une limitation des fonctionnalités de notre site Web.

5. Analyse Web

Pour concevoir et optimiser en permanence nos sites, nous utilisons différents services d’analyse Web. Par conséquent, nous créons des profils d’utilisateurs anonymes et utilisons des cookies (chapitre 4).

Vous trouvrez ci-dessous de plus amples informations sur nos services d’analyse Web et d’autres options de désactivation :

a) Google Analytics

Nous utilisons Google Analytics. Il s’agit d’un service d’analyse Web de Google Inc. Les informations relatives à votre utilisation de notre site Web (y compris votre adresse IP) collectées via un cookie sont transférées vers un serveur de Google aux États-Unis et y sont stockées. Les adresses IP sont anonymisées, il n’est donc pas possible de vous les attribuer (masquage IP). L’information est utilisée pour analyser l’utilisation de notre site Web, pour créer des rapports sur les activités du site Web pour nous et pour nous fournir d’autres services liés à l’utilisation de notre site Web et Internet. Les données que vous avez saisies lors de l’utilisation de notre service ne seront en aucun cas fusionnées avec d’autres données collectées via Google.

Le transfert d’informations par Google à des tiers ne sera effectué que s’il est légalement requis ou si des tiers traitent les données en leur nom.

En outre, nous utilisons Google Optimize. Ceci est un service d’analyse Web par Google Inc, qui est intégré dans Google Analytics. Google Optimize nous permet d’effectuer des tests A / B et multi variants. Nous pouvons ainsi savoir quelle version de notre site Web préfère les utilisateurs. Vous pouvez empêcher la collecte de données faite par le cookie, ainsi que le traitement des données de Google en téléchargeant et en installant un navigateur add-on ici. Comme alternative au navigateur, en particulier pour les navigateurs sur les appareils mobiles, Vous pouvez empêcher la collecte de données de Google Analytics, en cliquant sur ce lien.

Un cookie d’opt-out sera placé, ce qui empêche la future collecte de données lors de la visite de ce site. Le cookie d’opt-out est valable uniquement dans ce navigateur et pour notre site Web, et sera archivé sur votre appareil. Si vous supprimez le cookie dans votre navigateur, vous devrez à nouveau placer le cookie d’opt-out.

Vous trouverez d’autres informations sur la protection des données en conjonction avec Google Analytics dans l’aide de Google Analytics.

Vous trouverez ici d’autres informations sur la protection des données par Google.

6. Ciblage

Nous utilisons les technologies de ciblage de Google Inc. (par exemple Doubleclick, AdSense, AdWords) sur notre site Web. Ces technologies nous permettent de vous adresser des publicités ciblées par centres d’intérêt. À cette fin, nous collectons et évaluons les informations sur votre comportement d’utilisateur sur notre site Web via l’utilisation de cookies.

La collecte et l’évaluation sont effectuées de manière anonyme et ne nous permettent pas de vous identifier. En particulier, nous ne connectons pas ces informations avec vos données personnelles. Si vous ne souhaitez pas recevoir de publicité ciblée par centres d’intérêt, Vous pouvez l’éviter via les paramètres de cookies appropriés de votre navigateur.

Vous pouvez modifier les paramètres d’affichage de la publicité ciblée par centres d’intérêt via le gestionnaire des paramètres de publicité.

Vous pouvez trouver plus d’informations; ainsi que les règles de confidentialité des données concernant la publicité et Google ici : Déclaration de confidentialité et conditions d’utilisation de Google.

7. Ciblage de Facebook

Dans le cadre de notre publicité sur Facebook, nous utilisons un mécanisme de suivi basé sur les pixels. Il s’agit d’un service d’analyse Web fourni par Facebook Ireland Ltd. L’information est utilisée pour suivre les conversions provenant de la plateforme Facebook.

Ce service est fourni par Facebook Ireland Ltd. pour lequel s’applique la loi sur la confidentialité des données de l’Union européenne. Nous ne partageons aucune donnée que vous entrez lors de l’utilisation de notre service avec Facebook.

Consultez les informations sur la protection des données de Facebook pour plus d’informations sur le but et l’étendue de la collecte de données, le traitement et l’utilisation des données par Facebook, ainsi que vos droits et options de protection de la vie privée.

8. Information, correction, blocage, suppression

Vous disposez d’un droit d’information sur les données personnelles que vous stockez et d’un droit de rectification ou de modification des données erronées, ainsi que d’un droit de blocage et de suppression.

En tant que responsable du traitement, vous êtes responsable du contenu que vous publiez. vous avez le droit de rectifier, bloquer ou effacer n’importe laquelle de vos données à tout moment. Nous pouvons décider de supprimer le contenu que vous publiez, sur votre demande, mais nous maintenons notre droit de ne pas supprimer le contenu déjà publié ou que nous sommes tenus de maintenir pour satisfaire aux exigences légales.

Pour plus d’informations sur vos données personnelles, quant à la correction de données erronées ou au blocage ou suppression, ainsi que pour d’autres questions sur l’utilisation de vos données personnelles, Vous pouvez envoyer un courriel à support@expedy.fr

Nous soulignons que si vous supprimez vos données, vous ne pourrez pas utiliser notre service dans sa totalité ou pas du tout.

9. Modifications de cette déclaration de confidentialité des données

Cette déclaration de confidentialité des données est actuellement effective et a été mise à jour en juillet 2018.

En raison du développement du site Web, de l’application EXPEDY ou de tout autre service EXPEDY, ou en raison du changement des exigences légales ou réglementaires, il peut s’avérer nécessaire de modifier de temps en temps cette déclaration de confidentialité des données.

Introduction de l’Accord sur le traitement des données

Cet accord de traitement de données (ATD) constitue la base de la relation entre vous (le client), en tant que responsable du traitement (“data controller” en anglais), et EXPEDY, le fournisseur de services, en tant que sous-traitant (“data processor” en anglais) en vertu de la législation sur la protection des données (RGPD).

C’est un accord essentiel qui constitue la base contractuelle du traitement des données que nous faisons, à votre compte. Il explique comment vos données peuvent être traitées et son but. Nous traitons vos données personnelles uniquement selon les besoins et selon vos instructions, comme indiqué dans l’Accord.

En raison du volume de notre clientèle, il serait impossible de conclure des accords signés individuellement avec tous nos utilisateurs. Nous espérons également que la facilité d’accord avec cet ATD fera en sorte que l’acceptation des nouvelles Conditions Générales, pour satisfaire le RGPD, prendra moins de temps pour toi en tant qu’entrepreneur.

Cet ATD vous assure que nous (EXPEDY), en tant que votre sous-traitant, respectons les exigences découlant du RGPD. vous êtes en outre assuré que nous maintenons les accords requis avec tous nos tiers. Les détails de votre entreprise sont automatiquement renseignés dans votre compte lorsque vous acceptez les conditions d’utilisation et la politique de confidentialité, y compris l’ATD. vos informations représenteront toujours les informations les plus récentes que vous nous avez fournies. L’ATD est détaillé ci-dessous pour plus d’informations.

Accord sur le traitement des données

Entre :

Le client

Et

AD TELA sas, 9 rue du renard 76000 Rouen (ci-après «EXPEDY» ou «sous-traitant»)

chacun étant une “partie”; ensemble “les parties”,

ONT CONVENU des termes du présent contrat de traitement de données (ci-après le «ATD» ou «Accord») sur la protection des données personnelles concernant le traitement des données personnelles lorsque le client agit en tant que responsable du traitement et que EXPEDY agit en tant que sous-traitant, pour remplir les obligations de service décrites dans la convention de services (détaillée ci-dessous). Dans le cadre de l’exécution de ces obligations de service, EXPEDY traitera certaines données personnelles au nom du responsable du traitement, conformément aux termes du présent contrat. Chaque partie accepte et veillera à ce que les termes de ce contrat soient également pleinement applicables à ses affiliés qui peuvent être impliqués dans les opérations de traitement des données personnelles pour le projet défini dans l’accord de services. Plus précisément, EXPEDY veillera à ce que tous les sous-traitants opèrent dans les mêmes conditions que cet accord lors du traitement des données personnelles du client.

Introduction et définitions

“Données personnelles” est définie comme toute information relative à une personne concernée, et par laquelle elle peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs facteurs spécifiques à l’identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique ou morale (le cas échéant).

Toutes les autres définitions mentionnées ici, y compris les termes “responsable du traitement ” et “sous-traitant”, sont déterminées par les lois sur la protection des données, y compris le règlement 2016/679 du 27 avril 2016 (ci-après «RGPD»).

Les données personnelles sensibles ne sont pas considérées comme traitées dans le cadre du service d’application offert par le centre de traitement de données et sont donc exclues des conditions du présent contrat.

En vous inscrivant pour utiliser le logiciel EXPEDY et accepter les Conditions Générales, y compris la Politique de Confidentialité et cet ATD, les parties conviennent, en vertu de toutes les lois nationales sur la protection des données et du RGPD, que cet Accord régit la relation entre le responsable du traitement et le sous-traitant, définissant le traitement des données personnelles du client par EXPEDY. Cet Accord est prioritaire, sauf s’il a été remplacé par un autre ATD signé, qui communique sa préséance sur cet Accord.

Le traitement des Données Personnelles du client par EXPEDY a pour but d’assurer l’utilisation complète du Service par le Client et de permettre que le présent Contrat soit respecté. EXPEDY veille à ce qu’une sécurité suffisante des données personnelles soit maintenue en tout temps.

Les deux parties confirment leur autorité de signer l’accord en agissant ainsi.

Responsabilités du sous-traitant

Le sous-traitant doit gérer toutes les données personnelles au nom du responsable du traitement et suivre leurs instructions. En concluant ce Contrat, EXPEDY (et tous les sous-traitants avec lesquels le sous-traitant a un accord juridique pour des services) est chargé de traiter les données personnelles du client :

  1. Conformément à toutes les lois nationales et européennes
  2. De remplir ses obligations en vertu des conditions de la demande de service
  3. Selon les instructions du responsable du traitement
  4. Tel que décrit dans le présent accord

Pour fournir son service, le sous-traitant est tenu de toujours fournir au Client des solutions adéquates pour accompagner le développement continu de son activité, en utilisant le service. Le sous-traitant suit la façon dont le Client utilise l’Application afin de faire les meilleures suggestions possibles, de fournir des services pertinents à tout moment et d’envoyer des communications précises pour faciliter l’utilisation et améliorer la satisfaction du client. En ce qui concerne le traitement des données personnelles de l’application, elles sont traitées uniquement conformément au présente ATD, et à la loi applicable, et sont partagées uniquement selon les besoins, afin d’offrir une meilleure expérience au client.

Compte tenu de la technologie disponible et les coûts de mise en œuvre, ainsi que de la portée, le contexte et le but du traitement, le sous-traitant doit prendre toutes les mesures raisonnables, y compris techniques et organisationnelles, pour assurer un niveau de sécurité suffisant, pour que les données personnelles soient protégées. Le sous-traitant doit aider le responsable du traitement en prenant les mesures techniques et organisationnelles appropriées et en tenant compte de la nature du traitement et de la catégorie d’informations disponibles pour le sous-traitant, et ce pour garantir la conformité avec les obligations du sous-traitant, dans le cadre des lois de protection des données. Le sous-traitant doit notifier le responsable du traitement si ce premier s’aperçoit de la présence d’une faille de sécurité, et ce sans délai.

De plus, le sous-traitant doit, dans la mesure du possible et légalement, informer le responsable du traitement si une demande d’informations sur les données détenues est demandée (demande d’accès aux données) par un organisme auquel les données devraient être fournies. Le sous-traitant répondra à de telles demandes une fois qu’il aura été autorisé par le responsable du traitement à le faire. Le sous-traitant ne divulguera pas non plus d’informations sur le présent contrat à moins que le responsable du traitement ne soit tenu par la loi de le faire, par exemple par une ordonnance du tribunal.

Si le responsable du traitement a besoin d’informations ou d’assistance concernant la sécurité des données, ou encore de la documentation ou des informations sur la façon dont le sous-traitant traite généralement les données personnelles, celui-ci peut demander ces informations au sous-traitant.

Le sous-traitant, ses employés et les affiliés doivent assurer la confidentialité des données personnelles traitées dans le cadre du contrat. Cette disposition continue de s’appliquer après la résiliation du Contrat, quelle que soit la raison de la résiliation.

Responsabilités du responsable du traitement

Le responsable du traitement confirme, en signant cet accord, que lorsqu’il utilise l’application, qu’il doit pouvoir traiter librement ses données conformément à toutes les exigences légales en matière de protection des données, y compris RGPD. Ils donnent leur consentement explicite au traitement de leurs données personnelles en tout temps lors de l’utilisation du service.

Le responsable du traitement peut révoquer ce consentement à tout moment, mais, ce faisant, met fin au contrat et le sous-traitant ne sera plus en mesure de fournir le service.

Le Client dispose d’une base légale pour traiter les Données Personnelles avec le sous-traitant (y compris les sous-traitants), avec l’aide des services de EXPEDY.

Le responsable du traitement est responsable à tout moment de l’exactitude, de l’intégrité, du contenu et de la fiabilité des données personnelles traitées par le sous-traitant. Ils ont rempli toutes les exigences obligatoires concernant la notification ou l’obtention de la permission des autorités publiques compétentes concernant le traitement des données personnelles. Ils ont en outre rempli leurs obligations de divulgation aux autorités compétentes en ce qui concerne le traitement des données personnelles conformément à toutes les législations applicables en matière de protection des données.

Le responsable du traitement doit disposer d’une liste précise des catégories de données personnelles qu’il traite, en particulier si ce traitement diffère des catégories répertoriées par le sous-traitant dans l’annexe A.

Accord sur le transfert de données et l’utilisation des sous-traitants

Afin de fournir le service au responsable du traitement, le sous-traitant utilise des sous-traitants. Ces sous-traitants peuvent être des fournisseurs tiers tant à l’intérieur qu’à l’extérieur de l’UE / EEE. Le sous-traitant des données s’assure que tous les sous-traitants satisfont aux obligations et aux exigences de cet accord, et en particulier que leur niveau de protection des données respecte les normes requises par les lois pertinentes sur la protection des données. Si une juridiction ne relève pas de l’UE / EEE et ne figure pas sur la liste des niveaux de protection des données satisfaisants approuvée par la Commission européenne, un accord spécifique est conclu entre EXPEDY et ce sous-traitant pour s’assurer du maintien de toutes les données personnelles, conformément aux exigences en vertu des lois actuelles de l’UE sur la protection des données.

Cet Accord constitue le consentement préalable spécifique et explicit des responsables du traitement à l’Utilisation de sous-traitants par le sous-traitant, qui peuvent parfois être basés en dehors de l’UE / EEE, ou des territoires approuvés par la Commission européenne.

Le responsable du traitement peut révoquer ce consentement à tout moment, mais, ce faisant, met fin au contrat et le centre de traitement des données ne sera plus en mesure de fournir le service.

Si un sous-directeur est établi ou stocke des données personnelles en dehors des territoires approuvés par l’UE / EEE ou la Commission européenne, le sous-traitant a la responsabilité de garantir le transfert des données personnelles vers un pays tiers, pour le compte du responsable du traitement. Ce qui inclut l’utilisation de contrats types de la Commission européenne ou des mesures spécifiques qui ont été préalablement approuvées par la Commission européenne.

Le responsable du traitement doit être informé avant que le sous-traitant ne remplace ses sous-traitants. Le responsable du traitement peut alors s’opposer à un nouveau sous-traitant qui traite ses données personnelles pour le compte du sous-traitant, mais uniquement si le sous-traitant ne traite pas les données conformément à la législation pertinente en matière de protection des données. Le sous-traitant peut démontrer la conformité en fournissant au responsable du traitement un accès à l’évaluation de la protection des données effectuée par le sous-traitant.

Si le responsable du traitement continue de s’opposer à l’utilisation du sous-traitant, il peut résilier son abonnement au service sans la période de préavis habituelle, puis s’assurer que ses données personnelles ne sont pas traitées par le sous-traitant non privilégié.

Durée de l’accord

L’accord reste valable tant que le sous-traitant traite les Données Personnelles avec l’utilisation de l’application par le sous-traitant, et à moins qu’il ne soit remplacé par un autre ATD signé qui a préséance sur cet Accord.

Résiliation de l’accord

En cas de résiliation de l’abonnement, le sous-traitant supprime toutes les données personnelles, sauf celles qu’il est tenu de conserver en vertu des dispositions légales applicables et, dans ce cas, seront conservées conformément aux garanties techniques et organisationnelles de EXPEDY.

Le responsable du traitement a la capacité complète de récupérer toutes ses données personnelles dans l’application. Si le responsable du traitement demande une assistance pour la récupération des données, les coûts associés seront déterminés d’un commun accord entre les parties et seront fonction de la complexité du processus demandé et du temps requis pour le remplir dans le format choisi.

Modifications de l’accord

Les modifications à l’Accord doivent être incluses dans une annexe distincte de l’Accord.

Si l’une des dispositions du contrat est jugée invalide, cela n’affecte pas les autres dispositions. Les parties remplaceront les dispositions invalides par une disposition légale, qui reflète l’objet de la disposition invalide.

Audits

Le responsable du traitement est habilité à procéder à un examen des obligations du sous-traitant, au titre de l’accord, et ce une fois par an. Si le sous-traitant est tenu de le faire en vertu de la législation applicable, les audits peuvent être répétés une fois par an. Un programme détaillé d’audit doit être fourni détaillant la portée, la durée et la date de début au moins quatre semaines avant la date de début proposée. Les parties décident ensemble si une tierce partie doit effectuer l’audit. Toutefois, le responsable du traitement peut permettre au sous-traitant d’avoir l’examen de sécurité par une tierce partie neutre, choisir par le sous-traitant, s’il s’agit d’un environnement de traitement dans lequel plusieurs données de responsable du traitement sont traitées.

Si la portée proposée de l’audit fait suite à un ISAE, un ISO ou un rapport de certification similaire réalisé par un auditeur tiers qualifié, au cours des douze derniers mois, et que le sous-traitant confirme qu’il n’y a pas eu de changements significatifs dans les mesures examinées, cela sera satisfaisant pour toute demande reçue dans ce délai. Les audits ne doivent pas interférer de manière déraisonnable avec les activités habituelles du sous-traitant. Le responsable du traitement est responsable de tous les coûts associés à sa demande de révision.

Responsabilités et juridictions

La responsabilité pour les actions découlant d’une violation des dispositions de cet Accord est régie par les dispositions de responsabilité et d’indemnisation dans les Conditions d’Abonnement à la section 13. Cela s’applique également à toute violation par les sous-processeurs de traitement des données. Cet accord est régi par les tribunaux allemands qui ont compétence exclusive pour statuer sur tout litige le concernant.

Annexe A

Annexe A – Catégories de renseignements personnels et catégories de traitement habituelles

A. Catégories de renseignements personnels (liste non exhaustive)

  1. Nom
  2. Adresse
  3. Numéro(s) de téléphone
  4. Adresse(s) électronique(s)
  5. Adresse(s)
  6. Tout numéro de compte et/ou coordonnées bancaires

B. Catégories de traitement habituelles (liste non exhaustive)

  1. Les contacts du responsable du traitement (téléphone / email / adresses, etc)
  2. Les clients du responsable du traitement
  3. Les informations bancaires du responsable du traitement
  4. Les contacts de leurs clients (téléphone / email / adresses, etc)
  5. Les clients de leurs clients

English