Accord relatif à la protection des données

Date d'entrée en vigueur : avril 2020

Dernière mise à jour le 15.11.2021

Entre :

Les utilisateurs/abonnés des services de facturation et de comptabilité SumUp (ci-après « l'Utilisateur » ou « le Responsable du traitement des données") et

SumUp Payments Limited, 16-20 Shorts Gardens, London, England, WC2H 9US, Royaume-Uni (ci-après désignée « SumUp » ou « Sous-traitant des données ») 

chacun étant désigné individuellement une « partie » et conjointement les « parties »,

ONT ACCEPTÉ les conditions du présent Accord sur le Traitement des données (ci-après dénommé « ATD » ou « Accord ») relatif au traitement des Données à caractère personnel lorsque l'Utilisateur agit en tant que Responsable du traitement des données et que SumUp agit en tant que Sous-traitant des données, afin de remplir les obligations de service décrites dans les Conditions générales de facturation et de comptabilité de SumUp dans l'Accord de services (détaillé ci-dessous). Dans le cadre de l'exécution de ces obligations de service, SumUp traitera certaines Données à caractère personnel pour le compte du Responsable du traitement, conformément aux termes du présent contrat. Chaque partie accepte et veillera à ce que les termes du présent contrat soient également pleinement applicables à ses Sociétés affiliées qui peuvent être impliquées dans les opérations de traitement des Données à caractère personnel pour le projet défini dans les Conditions générales de facturation et de comptabilité de SumUp, dans le Contrat de services. SumUp s'assurera que tous les sous-traitants ultérieurs opèrent selon les mêmes conditions que celles du présent Accord lors du traitement des Données à caractère personnel de l'Utilisateur. 

Introduction et définitions

Les Données à caractère personnel sont définies comme toute information relative à une personne concernée par laquelle elle peut être identifiée, directement ou indirectement, en particulier par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs facteurs spécifiques à l'identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique ou morale (le cas échéant).

Toutes les autres définitions mentionnées aux présentes, y compris les termes Responsable du traitement des données et Sous-traitant des données, sont celles déterminées par la législation en vigueur en matière de protection des données.

Les Données à caractère personnel sensibles ne sont pas réputées être traitées dans le cadre du Service d'application proposé par le Sous-traitant des données (SumUp Invoicing and Accounting) et sont donc exclues des termes du présent Accord.

En s'inscrivant au programme SumUp Invoicing and Accounting et en acceptant les Conditions générales, y compris la Politique de confidentialité et le présent Accord, les parties acceptent que le présent Accord régisse la relation entre le Responsable du traitement des données et le Sous-traitant des données, déterminant ainsi le traitement des données à caractère personnel concernant les Utilisateurs par SumUp. Le présent Accord a préséance, à moins qu'il n'ait été remplacé par un autre APD signé qui indique sa primauté sur le présent Accord.

Le traitement des Données à caractère personnel par SumUp pour l'Utilisateur vise à garantir l'utilisation complète du Service par l'Utilisateur et à permettre l'exécution du présent Accord. SumUp garantit qu'un niveau de sécurité suffisant des Données à caractère personnel est maintenu en toutes circonstances.

En signant l'Accord, les deux parties confirment être habilitées à le faire.

Responsabilités du Sous-traitant des données

Le Sous-traitant des données doit traiter toutes les données à caractère personnel pour le compte du Responsable du traitement des données et conformément à ses instructions. En concluant le présent Accord, SumUp (et tout sous-traitant ultérieur avec lequel le Responsable du traitement des données a conclu un accord légal de services) est chargée de traiter les Données à caractère personnel concernant l'Utilisateur :

  1. Conformément à toutes les lois nationales et européennes

  2. Pour satisfaire à ses obligations en vertu des Conditions générales de SumUp Invoicing and Accounting

  3. selon les instructions du Responsable du traitement des données

  4. comme décrit dans le présent Accord

Dans le cadre de la fourniture de l'Application, le Sous-traitant des données doit toujours fournir à l'Utilisateur des solutions appropriées pour accompagner le développement continu de son activité par le biais du service. Le Sous-traitant des données suit la façon dont l'Utilisateur utilise l'Application afin de faire les meilleures suggestions, de fournir des services pertinents en toutes circonstances et d'envoyer les communications les plus précises dans le but de faciliter l'utilisation et de satisfaire l'Utilisateur de manière continue. Dans le mesure où les données à caractère personnel provenant de l'Application en font partie, elles sont traitées uniquement selon le présent Accord et la loi applicable et ne sont divulguées que lorsque cela est nécessaire pour offrir une meilleure expérience à l'Utilisateur.

Compte tenu de la technologie disponible et du coût de mise en œuvre, ainsi que de la portée,du contexte et de la finalité du Traitement, le Sous-traitant des données est tenu de prendre toutes les mesures raisonnables, y compris des mesures techniques et organisationnelles, pour assurer un niveau de sécurité suffisant par rapport au risque et à la catégorie des Données à caractère personnel à protéger. Le Sous-traitant des données aidera le Responsable du traitement des données à mettre en œuvre des mesures techniques et organisationnelles appropriées selon les besoins et en tenant compte de la nature du traitement et de la catégorie des informations dont dispose le Sous-traitant, afin de garantir le respect des obligations du Responsable du traitement des données en vertu des lois applicables en matière de protection des données.

Si le Sous-traitant des données prend connaissance d'une faille de sécurité, il devra en informer le Responsable du traitement des données dans les plus brefs délais.

En outre, le Sous-traitant des données informera, dans la mesure où cela est possible et légal, le Responsable du traitement des données si une demande d'information sur les données détenues est faite (demande d'accès aux données) par tout organisme auquel il doit répondre. Le Sous-traitant des données répondra à ces demandes dès lors que le Responsable du traitement des données l'aura autorisé à le faire. Le Sous-traitant ne divulguera pas non plus d'informations sur le présent Accord à moins d'être légalement tenu de le faire, par exemple par ordonnance d'un tribunal.

Si le Responsable du traitement des données a besoin d'informations ou d'aide concernant la sécurité des données, de documentation ou d'informations sur la manière dont le Sous-traitant traite les Données à caractère personnel en général, il peut demander ces informations au Sous-traitant. Le Sous-traitant aidera, dans la mesure du raisonnable, le Responsable du traitement des données à respecter ses obligations en vertu des articles 32 à 36 du RGPD.

Le Sous-traitant, ses employés et toute Société affiliée devront garantir la confidentialité des Données à caractère personnel traitées en vertu de l'Accord. Cette disposition reste applicable après la résiliation de l'Accord, quelle qu'en soit la cause.

Responsabilités du Responsable du traitement des données

En signant/acceptant le présent Accord, le Responsable du traitement des données confirme qu'il pourra, lors de l'utilisation de l'Application, traiter librement ses données dès lors qu'il aura satisfait à toutes les obligations légales en matière de protection des données. 

Le Responsable du traitement des données peut révoquer l'acceptation du présent APD à tout moment, mais ce faisant, il ne sera plus en mesure de fournir le Service.

L'Utilisateur dispose d'une base juridique pour traiter les Données à caractère personnel avec le Sous-traitant (y compris tout sous-traitant ultérieur) à l'aide des services de SumUp.

Le Responsable du traitement des données est responsable dans tous les cas de l'exactitude, de l'intégrité, du contenu et de la fiabilité des Données à caractère personnel traitées par le Sous-traitant des données. Il a rempli toutes les obligations relatives à la notification de, ou à l'obtention de l'autorisation auprès des autorités publiques compétentes concernant le traitement des Données à caractère personnel. Il a également rempli ses obligations de divulgation aux autorités compétentes concernant le traitement des Données à caractère personnel conformément à l'ensemble des lois applicables en matière de protection des données.

Le Responsable du traitement doit disposer d'une liste précise des catégories de Données à caractère personnel qu'il traite, en particulier si ce traitement diffère des catégories énumérées par le Sous-traitant à l'Annexe A.

Accord sur le transfert de données et le recours à des sous-traitants ultérieurs

Pour fournir le service au Responsable du traitement des données, le Sous-traitant peut avoir recours à un sous-traitant ultérieur (ou plusieurs). Ces sous-traitants peuvent être des prestataires tiers situés dans ou en dehors du Royaume-Uni et de l'EEE. Le Sous-traitant des données s'assure que tous les sous-traitants ultérieurs satisfont aux obligations et exigences du présent Accord, en particulier que leur niveau de protection des données répond aux normes requises par les lois applicables en matière de protection des données. Si une juridiction se situe en dehors du Royaume-Uni ou de l'UE/EEE et n'est pas couverte par les règlements d'équivalence, un accord spécifique est conclu entre SumUp et ce sous-traitant ultérieur pour garantir qu'il conservera toutes les Données à caractère personnel conformément aux exigences des lois applicables en matière de protection des données.

Le présent Accord constitue le consentement spécifique et explicite préalable des Responsables du traitement des données au recours par le Sous-traitant à des sous-traitants ultérieurs, qui peuvent éventuellement être basés en dehors du Royaume-Uni et de l'UE/EEE ou des territoires couverts par une réglementation équivalente.

Le Responsable du traitement des données peut révoquer ce consentement à tout moment, mais ce faisant, il met fin à l'Accord en vigueur et le Sous-traitant des données ne sera plus en mesure de fournir le Service.

Si un Sous-traitant ultérieur est établi ou stocke des Données à caractère personnel en dehors du Royaume-Uni et de l'UE / EEE ou des territoires couverts par des règlements d'équivalence, le Sous-traitant a la responsabilité d'assurer une base satisfaisante pour le transfert des Données à caractère personnel vers un pays tiers pour le compte du Responsable du traitement et de garantir des protections appropriées pour le transfert.

Le Responsable du traitement des données doit être informé avant que le Sous-traitant des données ne remplace ses Sous-traitants ultérieurs. Le Responsable du traitement des données peut alors s'opposer à un nouveau Sous-traitant ultérieur qui traite ses Données à caractère personnel pour le compte du Sous-traitant, mais uniquement si le Sous-traitant ultérieur ne traite pas les données conformément à la législation pertinente en matière de protection des données. Le Sous-traitant des données peut démontrer sa conformité en donnant au Responsable du traitement des données l'accès à l'évaluation de la protection des données réalisée par le Sous-traitant.

Si le Responsable du traitement des données s'oppose toujours au recours au Sous-traitant ultérieur, il pourra résilier son abonnement au Service, sans le délai de préavis habituel requis, ce qui garantit que ses Données à caractère personnel ne seront pas traitées par le Sous-traitant ultérieur non retenu.

Durée de l'Accord

L'accord reste valide tant que le Sous-traitant traite les Données à caractère personnel avec l'utilisation de l'Application de service par le Responsable du traitement des données et à moins qu'il ne soit remplacé par un autre DPA signé qui indique sa primauté sur le présent Accord.

Résiliation de l'Accord

Si le Responsable du traitement des données décide de cesser d'utiliser le service, que le service soit par abonnement ou non, il peut également supprimer toutes les données de son compte. Dès l'exécution de la procédure de suppression des données initiée par le Responsable du traitement des données, le Responsable du traitement supprime toutes les Données à caractère personnel, à l'exception de celles qu'il est tenu de conserver en vertu de toute obligation légale applicable, et dans ce cas, elles seront conservées conformément aux mesures de protection techniques et organisationnelles mises en place au sein de SumUp.

Le Responsable du traitement des données a la possibilité de récupérer toutes ses Données à caractère personnel dans l'Application de service. Si le Responsable du traitement des données demande une assistance pour l'extraction des données, les coûts associés seront déterminés d'un commun accord entre les Parties et dépendront de la complexité du processus demandé et du temps nécessaire pour l'accomplir dans le format choisi.

Modifications de l'Accord

Les modifications apportées à l'Accord peuvent être effectuées par le Sous-traitant dans une Annexe distincte ou dans un autre moyen visible pour le Responsable du traitement et lui seront communiquées de manière appropriée. L'invalidité de l'une quelconque des dispositions de l'Accord n'affectera pas les autres dispositions. Les parties remplaceront les dispositions invalides par une disposition légale qui reflète l'objet de la disposition invalide.

Audits

Le Responsable du traitement des données est en droit de passer en revue les obligations du Sous-traitant en vertu de l'Accord une fois par an. Si la législation en vigueur impose au Sous-traitant de le faire, des audits pourront être effectués chaque année. Les Parties décident ensemble si un tiers doit mener l'audit. Cependant, le Responsable du traitement des données peut autoriser le Sous-traitant à effectuer l'examen de sécurité par le biais d'un tiers neutre de son choix, s'il s'agit d'un environnement de traitement dans lequel les données de plusieurs responsables du traitement sont traitées.

Si l'étendue proposée de l'audit suit un rapport ISAE, ISO ou un rapport de certification similaire réalisé par un auditeur tiers qualifié au cours des douze derniers mois, et que le Responsable du traitement des données confirme qu'il n'y a pas eu de changements importants dans les mesures en cours d'examen, cela répondra à toutes les demandes reçues dans ce délai. Les audits ne doivent pas interférer de manière excessive d'un point de vue raisonnable avec l'activité courante du Sous-traitant. L'ensemble des coûts relatifs à la demande d'audit seront à la charge du Responsable du traitement des données.

Responsabilités et compétences

La responsabilité concernant les actions découlant d'une violation des dispositions du présent Accord est régie par les dispositions relatives à la responsabilité et à l'indemnisation dans les Conditions de facturation et de comptabilité de SumUp. Cette clause s'applique également à toute violation commise par les Sous-traitants ultérieurs du Sous-traitant des données. Le présent Accord est régi et interprété conformément au droit anglais et gallois et les tribunaux d'Angleterre et du Pays de Galles auront compétence exclusive pour déterminer tout litige concernant ledit Accord.

Annexe A - Catégories de renseignements personnels et catégories de traitement habituelles

1. Catégories d'informations personnelles (liste non exhaustive)

  • Nom

  • Adresse

  • Numéro(s) de téléphone

  • Adresse(s) e-mail

  • Les adresses

  • Tout numéro de compte et/ou coordonnées bancaires

2. Catégories de traitement habituelles (liste non exhaustive)

  • Les employés du Responsable du traitement des données

  • Les Contacts du Responsable du traitement des données (téléphone/e-mail/adresses/etc) Les Utilisateurs du Responsable du traitement des données Les informations bancaires du Responsable du traitement des données

  • Les employés de ses Utilisateurs

  • Les Contacts de ses Utilisateurs (téléphone/e-mail/adresses/etc) Les Utilisateurs de ses Utilisateurs

  • Les informations bancaires des Utilisateurs de ses Utilisateurs