Accord en matière de traitement des données

Date de prise d'entrée en vigueur : 09/04/2020

Dernière mise à jour le 15.11.2021

Le présent Accord relatif au traitement des données (ci après dénommé l'« Accord ») fait partie intégrante des Conditions de commerce électronique de SumUp (ci-après dénommées les « Conditions complémentaires »), de la Politique de confidentialité et de toutes autres conditions applicables de SumUp (ci-après dénommées les « Conditions » et la « Politique de confidentialité »), de même qu'il est soumis aux dispositions de ces documents conclus entre vous, en votre qualité de client SumUp (ci-après dénommé « Vous » ou le « Responsable du traitement des données), et SumUp Payments Limited, sise 16-20 Shorts Gardens, London WC2H 9US, Royaume-Uni (ci-après dénommée « SumUp », « Nous » ou le « Sous-traitant »), faisant partie des sociétés du groupe SumUp S.A.R.L. – SumUp Group.

Chaque partie reconnaît que les dispositions du présent Accord sont applicables aux sociétés affiliées qui participent au traitement des données à caractère personnel aux fins des services définis dans les Conditions supplémentaires, et doit veiller au respect de ces dispositions par lesdites sociétés. En particulier, SumUp garantit que l'ensemble des sous-traitants procèderont au traitement des données à caractère personnel concernant vos utilisateurs selon les mêmes conditions que celles du présent Accord.

SumUp traite les données concernant les utilisateurs de vos services ou les visiteurs de votre site internet (ci-après désignés « Vos utilisateurs » ou « Utilisateurs ») afin de fournir les Prestations prévues au titre des Conditions supplémentaires. Le traitement de ces données par SumUp est dénommé ci-après « traitement » (tel que ce terme est défini dans la législation applicable en matière de protection des données). Le présent Accord relatif au traitement des données définit les conditions de ce traitement par SumUp.

1. Définitions

1.1. « Législation applicable en matière de protection des données » désigne toutes les lois relatives au traitement des données à caractère personnel dans le cadre du Contrat et du présent Accord, y compris, sans s'y limiter, la Loi sur la protection des données de 2018, le Règlement général sur la protection des données de l'UE 2016/679 (« RGPD », « le Règlement »), la Directive 2002/58/CE de l'UE sur la protection de la vie privée et les communications électroniques, telle que mis en œuvre dans chaque juridiction, et tous les amendements, ou toutes les autres lois, réglementations et recommandations réglementaires internationales, régionales ou nationales applicables ou de remplacement en matière de protection des données.

1.2. Les termes « responsable du traitement »,« personne concernée »,« données à caractère personnel »,« traiter », « traitement » et « sous-traitant » revêtent le sens qui leur est attribué dans la législation applicable en matière de protection des données.

1.3. Le terme « Contenu » désigne votre Contenu et tout contenu transmis à SumUp par vos Utilisateurs, y compris, notamment, du texte, des photos, des images, des fichiers audio, vidéo, des codes, des informations issues de cookies ou de technologies de suivi similaires et tout autre support.

1.4. « Données concernant vos utilisateurs » désigne les données à caractère personnel de vos Utilisateurs présentes dans les Contenus, tel que celles-ci seront traitées par SumUp, en votre nom, au titre des Prestations. Les données à caractère personnel dont SumUp est le responsable ne constituent pas des Données concernant vos utilisateurs.L'ensemble des termes figurant dans le présent Accord qui n'ont pas de définition explicite dans la présente section auront la signification qui leur est donnée dans les Conditions supplémentaires. Si aucune définition spécifique ne figure dans les Conditions générales ou dans les Conditions supplémentaires, ces termes auront alors la signification qui leur est donnée dans la législation applicable en matière de protection des données.

2. Application. Le présent Accord s'applique uniquement aux Données concernant vos Utilisateurs. Vous reconnaissez que la responsabilité de SumUp ne saurait être engagée à l'égard des données à caractère personnel que vous avez décidé de traiter au moyen de services tiers ou en dehors des Prestations, y compris grâce aux systèmes de tout autre service cloud tiers, ou de stockage hors ligne ou sur site.

3. Description du traitement des données

3.1. Objet. Les données de vos utilisateurs forment l'objet du traitement des données en vertu du présent Accord.

3.2. Durée. La durée du traitement des données au titre du présent Accord sera égale à la durée de la relation contractuelle existant entre vous et nous, et sera déterminée par vos soins selon la durée pour laquelle vous déciderez d'avoir recours à nos services.

3.3. Finalité. La finalité du traitement des données au titre du présent Accord est la fourniture et l'amélioration des services que vous avez demandés. 

3.4. Nature du traitement. La nature du traitement des données renvoie à la fourniture des services que vous avez demandées ponctuellement telles que celles-ci sont décrites dans les Conditions supplémentaires.

3.5. Catégories de données à caractère personnel. Il s'agit des données vous concernant, des données concernant vos utilisateurs ainsi que celles concernant tout autre personne physique figurant dans les contenus traités dans le cadre des services fournis et conformément aux instructions communiquées. Ces données comprennent notamment les noms, l'adresse électronique, le numéro de téléphone fixe/mobile, l'adresse physique, les coordonnées bancaires, l'historique des commandes et l'adresse IP de vos utilisateurs. N'est pas prévu, dans le cadre des services fournis, le traitement de catégories particulières de données à caractère personnel ou de données relatives à des condamnations pénales et à des délits, lesquelles sont par conséquent exclues du champ d'application du présent Accord. Dans le cas où de telles données seraient traitées dans le cadre de nos services sans que SumUp en ait connaissance, vous devez supprimer ces données immédiatement après avoir découvert ce traitement.

3.6. Catégories de personnes concernées. Sont considérées comme des personnes concernées : vous, vos utilisateurs, les consommateurs potentiels de vos utilisateurs et toutes autres personnes physiques dont les données à caractère personnel apparaissent dans les contenus.

4. Droits et obligations

4.1. Dans la mesure où les Données concernant vos Utilisateurs sont traitées par SumUp pour votre compte et que ce traitement est régi par la Législation applicable en matière de protection des données, vous reconnaissez qu'aux fins de la fourniture des Prestations par SumUp, vous agissez en qualité Responsable du traitement des données à caractère personnel, et qu'en ayant recours aux Prestations de SumUp, vous avez confié à SumUp le traitement des Données concernant vos Utilisateurs pour votre compte, conformément au présent Accord.

4.2. Vous pouvez à tout moment revenir sur votre acceptation du présent Accord, mais veuillez noter que SumUp ne sera plus en mesure de vous fournir les Prestations.

4.3. En sa qualité de Sous-traitant des données à caractère personnel, SumUp :

A. traite les Données concernant vos Utilisateurs uniquement aux fins précisées dans le présent Accord et conformément aux lois en vigueur et aux dispositions du présent Accord ;

B. agit et traite les Données concernant vos utilisateurs en respectant strictement les instructions écrites communiquées par vos soins, excepté si une loi applicable, une ordonnance judiciaire ou une mesure législative exige que SumUp agisse en l'absence d'une telle instruction. En concluant le présent Accord, vous donnez instruction à SumUp de traiter les Données concernant vos utilisateurs uniquement aux fins de l'exécution des Prestations telles que celles-ci sont décrites dans le présent accord et dans les Conditions supplémentaires. Sous réserve des dispositions du présent Accord et avec l'accord de SumUp, vous êtes en droit de communiquer d'autres instructions écrites conformes aux termes du présent Accord ;

C. garantit que les personnes autorisées à traiter les données à caractère personnel ont consenti à l'obligation de confidentialité ou sont légalement tenues de respecter un devoir de confidentialité ;

D. garantit que l'accès aux données à caractère personnel est octroyé sur la base d'un besoin de savoir en ce qui concerne la fourniture des Prestations dans le cadre des Conditions supplémentaires ;

E. est chargée de s'assurer que les Données de vos Utilisateurs soient traitées par les employés/sous-traitants ultérieurs et/ou tout agent dans le strict respect de vos instructions ;

F. vous informera immédiatement si certaines instructions semblent en contradiction avec la Législation applicable en matière de protection des données ;

G. est tenue de protéger les Données concernant vos Utilisateurs en vertu du présent Accord contre toute destruction, altération, perte et tout autre traitement non autorisé. A cette fin, SumUp prend les mesures de sécurité appropriées conformément au droit en vigueur. Les mesures techniques et organisationnelles mises en place par SumUp dépendent des innovations technologiques. SumUp est susceptible de mettre en place des mesures alternatives appropriées, qui ne sauraient fournir un niveau de sécurité inférieur à celui de ces alternatives. Lorsque cela s'avèrera nécessaire, SumUp vous assistera dans la mise en place des mesures techniques et organisationnelles appropriées et, en fonction de la nature du traitement et de la catégorie des données mises à disposition de SumUp, dans le respect des obligations vous incombant au titre de la Législation applicable en matière de protection des données ;

H. mettra à votre disposition, sur simple demande dans la mesure du raisonnable, les certificats, de même que toute autre information nécessaire, attestant que SumUp a satisfait à ses obligations en vertu du présent Accord et de la Législation applicable en matière de protection des données. Les informations pouvant être mises à disposition par SumUp sont limitées aux informations strictement nécessaires, compte tenu de la nature des Prestations et des informations dont dispose SumUp, afin que vous puissiez satisfaire à vos obligations, en particulier celles relatives à l'analyse d'impact concernant la protection des données, à la consultation préalable et à la garantie de la sécurité des données à caractère personnel ;

I. vous assistera, dans un délai et dans une mesure raisonnables et moyennant des mesures appropriées (selon la nature du traitement) afin de satisfaire à l'exercice des droits des personnes concernées et à toutes autres obligations vous incombant au titre des réglementations en matière de protection des données ;

J. vous informera, si la loi applicable l'autorise, de la réception d'une demande ou d'une réclamation de la part d'une personne dont les données à caractère personnel sont incluses dans votre Contenu, ou d'une demande contraignante de la part d'un gouvernement, d'un organe d'application de la loi, de réglementation ou autre, à l'égard des Données concernant vos Utilisateurs que nous traitons en votre nom et selon vos instructions.

4.4 En votre qualité de Responsable du traitement :

A. vous êtes tenu de collecter, utiliser et traiter les données à caractère personnel figurant dans les Contenus conformément à l'ensemble des Lois applicables en matière de protection des données ;

B. vous êtes responsable de manière exclusive de l'exactitude, de la qualité et de la légitimité du traitement des Données concernant vos Utilisateurs et des moyens par lesquels ces données ont été obtenues ;

C. vous garantissez un niveau de sécurité approprié dans le cadre du recours aux Prestations, en prenant en considération tout risque lié aux Données concernant vos Utilisateurs ;

D. vous reconnaissez que tout stockage des Données concernant vos Utilisateurs sur toute plateforme d'un tiers autre que SumUp et/ou tout transfert de ces Données vers une telle plateforme sera fait à vos risques et sous votre entière responsabilité ;

E. vous garantissez que les instructions communiquées à l'égard du traitement des données à caractère personnel sont conformes à l'ensemble des lois, règlementations et règles applicables aux Données concernant vos Utilisateurs. Vous veillerez également à ce que le traitement des Données concernant vos Utilisateurs conformément à vos instructions n'entraîne pour aucune des parties une quelconque violation des lois, règles ou règlementations applicables.

5. Notification de violation. La partie informera immédiatement l'autre partie (au plus tard dans les 48 heures) si elle vient à découvrir une violation du traitement relatif aux données à caractère personnel en vertu du présent Accord. SumUp vous apportera son aide afin que vous puissiez satisfaire aux obligations de notification qui vous incombent, vous communiquera les informations relatives à la violation que nous sommes en mesure de vous communiquer d'un point de vue raisonnable compte tenu de la nature des Prestations, des informations dont SumUp dispose et de toute restriction applicable à cette divulgation d'informations au titre de la confidentialité. Sans préjudice de ce qui précède, les obligations incombant à SumUp en vertu de la présente section ne s'appliquent pas aux incidents qui seraient de votre fait, qui résulteraient d'une activité réalisée pour votre compte et/ou de prestations de tiers. SumUp est tenue de coopérer et de vous assister dans le cadre de l'enquête, afin d'atténuer les conséquences néfastes de la violation, de remédier à la violation de données à caractère personnel, et de prévenir toute nouvelle violation de données similaire. Le fait que SumUp vous notifie d'une violation relative au traitement des données à caractère personnel ne sera pas réputé être une reconnaissance par SumUp de ladite faute ou responsabilité eu égard à cet incident. En cas de violation de données à caractère personnel, vous serez tenu de prendre les mesures qui s'imposent en vertu des lois en vigueur eu égard aux Données concernant vos Utilisateurs.

6. Sous-traitants ultérieurs. Vous autorisez par les présentes SumUp à avoir recours à des sous-traitants ultérieurs afin de fournir les Prestations sans qu'aucune autre autorisation écrite spécifique ne soit nécessaire. SumUp conclura un accord avec chaque sous-traitant ultérieur garantissant un niveau de protection et de sécurité au moins égal à celui établi par les termes du présent Accord. Si vous vous opposez à tout sous-traitant ultérieur et que votre opposition est raisonnable et liée à des préoccupations en matière de protection des données, nous déploierons des efforts commercialement raisonnables pour mettre à votre disposition un moyen d'éviter le traitement des Données concernant vos Utilisateurs par le sous-traitant ultérieur concerné. Si nous ne sommes pas en mesure de mettre à disposition les modifications suggérées dans un délai raisonnable, nous vous en informerons et si vous vous opposez toujours à notre utilisation de ce sous-traitant ultérieur, vous pourrez annuler ou résilier votre compte ou, si possible, les parties des Prestations qui impliquent l'utilisation de ce sous-traitant ultérieur.

7. Transfert de données à caractère personnel. Le traitement des Données concernant vos Utilisateurs aura lieu au sein de l'Espace économique européen (« EEE ») et du Royaume-Uni. Tout transfert et tout traitement dans un pays tiers en dehors de l'UE/EEE et du Royaume-Uni qui ne garantissent pas un niveau adéquat de protection - le règlement sur l'adéquation au Royaume-Uni adopté, conformément à la législation applicable en matière de protection des données, doivent être effectués conformément aux Clauses contractuelles types ou à tout autre mécanisme approprié garantissant un niveau adéquat de sécurité des données à caractère personnel conformément aux exigences de la législation applicable en matière de protection des données.

8. Audits. Vous êtes en droit d'initier une revue des obligations de SumUp en vertu du présent Accord une fois par an. Si la législation en vigueur impose à SumUp de le faire, des audits pourront être effectués chaque année. Les deux parties décident ensemble si un tiers doit mener l'audit. Cependant, vous pouvez nous autoriser à effectuer l'examen de sécurité par le biais d'un tiers neutre de notre choix, s'il s'agit d'un environnement de traitement dans lequel les données de plusieurs responsables du traitement sont traitées. Si l'étendue proposée de l'audit suit un rapport ISO ou un rapport de certification similaire réalisé par un auditeur tiers qualifié au cours des douze derniers mois, et que SumUp confirme qu'il n'y a pas eu de changements importants dans les mesures en cours d'examen, cela répondra à toutes les demandes reçues dans ce délai. Les audits ne doivent pas interférer de manière excessive d'un point de vue raisonnable avec l'activité courante de SumUp. L'ensemble des coûts relatifs à votre demande d'audit seront à votre charge.

9. Responsabilité. La responsabilité de chaque partie en vertu du présent Accord est soumise aux exclusions et limitations de responsabilité figurant aux Conditions supplémentaires et/ou aux Conditions générales. Vous acceptez que toutes les pénalités réglementaires ou les réclamations des personnes concernées, ou d'autres personnes, encourues par SumUp en relation avec les Données concernant vos Utilisateurs qui résultent de, ou en relation avec, votre manquement à vos obligations en vertu du présent Accord ou de la Loi applicable en matière de protection des données, réduisent la responsabilité globale maximale de SumUp envers vous en vertu des Conditions supplémentaires et/ou des Conditions générales du même montant que l'amende et/ou la responsabilité encourue par nous en conséquence.

10. Résiliation Le présent Accord restera en vigueur tant que vous aurez recours à l'une des Prestations de SumUp. Toutefois, dans le cas où SumUp serait tenue, conformément aux termes du présent Accord ou des Conditions générales de SumUp, de conserver les données à caractère personnel de vos Utilisateurs après avoir résilié les Prestations, le présent Accord restera en vigueur tant que SumUp sera tenue de conserver les données à caractère personnel en question. Lorsque vous cessez d'avoir recours à nos Prestations, et excepté lorsque SumUp est tenue de conserver les Données concernant vos utilisateurs en vertu des Conditions supplémentaires et/ou des Conditions générales de SumUp, ou de toute convention ou législation applicable, SumUp sera tenue de supprimer l'ensemble des Données concernant vos Utilisateurs dans les meilleurs délais d'un point de vue raisonnable et conformément aux Conditions générales de SumUp et aux lois en vigueur, y compris en cas de demande écrite de votre part.

11. Stipulations diverses.

11.1. En cas de contradiction entre le présent Accord et les Conditions supplémentaires et/ou Conditions générales de SumUp, les dispositions du présent Accord prévaudront.

11.2. L'ensemble des frais et dépenses engagés par SumUp pour répondre à vos instructions ou à vos demandes conformément aux Conditions supplémentaires (y compris le présent Accord) et qui ne rentrent pas dans le périmètre des fonctionnalités courantes mises à disposition par SumUp grâce aux Prestations seront à votre charge.

11.3. SumUp se réserve le droit de modifier et/ou d'adapter ponctuellement les termes du présent Accord en tant que de besoin. Les modifications apportées à l'Accord peuvent être effectuées par SumUp dans une Annexe distincte ou dans un autre moyen visible et seront communiquées de manière appropriée.

11.4. Toute question concernant le présent Accord ou toute autre demande liée au traitement des données à caractère personnel peut nous être adressée à dpo@sumup.com. Les réclamations relatives au traitement des Données concernant vos utilisateurs seront réglées conformément aux termes du présent Accord, des Conditions Générales et des politiques internes de SumUp.

11.5. L'invalidité de l'une quelconque des dispositions du présent Accord n'affectera pas les autres dispositions. Les parties remplaceront les dispositions invalides par une disposition légale qui reflète l'objet de la disposition invalide.

11.6. Le présent Accord est régi et interprété conformément au droit anglais et gallois. Tout litige découlant de ou en lien avec cet Accord sera renvoyé devant, et résolu en dernier lieu par les tribunaux anglais et gallois.