Être rappelé

Nous sommes là pour identifier vos besoins et vous proposer la solution la mieux adaptée à votre activité.

Merci pour votre demande 🙏

Margaux, notre responsable des ventes, vous appellera dans les plus brefs délais pour en savoir plus sur votre projet.

A très vite !
Oups ! Une erreur est survenue 😬

ATELIER BUSINESS FOOD / BOOKING SHAKE

ACCORD SUR LA PROTECTION DES DONNEES

Dans le cadre de la réalisation du Contrat entre ATELIER BUSINESS FOOD et le Client, la présente Annexe a pour objet de définir les conditions dans lesquelles les Parties traiteront les données à caractère personnel qui leur seront communiquées. ATELIER BUSINESS FOOD et le Client (ci-après « les Parties ») s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier :

- La loi Informatique et Liberté du 6 janvier 1978,

- Le Règlement Européen sur les Données Personnelles (RGPD.) du 23 mai 2018

- La loi de transposition du Règlement Européen sur la Protection des Données Personnelles

(RGPD) du 20 juin 2018.

Les termes utilisés dans cette Annexe ont le sens qui leur sont conférés par le RGPD ou sont définis dans le Contrat qui lie les parties et auquel cette Annexe est jointe. En cas de contradiction entre l’Annexe et le Contrat, l’Annexe prévaut.

Article 1 - Définitions

Dans le cadre de la présente Annexe, les termes ci-dessous ont la signification qui leur est attribuée au

sens du RGPD (Article 4) :

▪ Consentement : « de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement » ;

▪ Clauses contractuelles types : sont des modèles de contrats de transfert de données personnelles adoptés par la Commission Européenne ;

▪ Responsable du traitement : « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre » ;

▪ Sous-traitant : « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement » ;

▪ Sous-traitant(s) ultérieur(s) : désigne(nt) tout(tous) sous-traitant(s) de ATELIER BUSINESS FOOD qui doit(doivent) avoir été préalablement et expressément accepté(s) par le Client ;

▪ T raitement : « toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction » ;

▪ Violation de données à caractère personnel : « une violation de la sécurité entrainant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données ».

Article 2 – Rôle des Parties

Le Client met à disposition de ATELIER BUSINESS FOOD et autorise ce dernier à traiter aux fins de réalisation des Prestations dans le cadre du Contrat, des données, fichiers, etc. de quelque nature que ce soit et sous quelque forme que ce soit, constituant des Données personnelles.

Conformément à la règlementation applicable :

- Le Client agit en qualité de Responsable de T raitement des Données personnelles ;

- ATELIER BUSINESS FOOD agit pour le compte du Client en seule qualité de Sous-traitant pour les traitements indiqués en article 3, conformément au Contrat et aux seules instructions du Client.

Article 3 – Description des traitements

3.1 Catégories de personnes concernées dont les données à caractère personnel sont traitées

Le Responsable de traitement peut soumettre des Données à caractère personnel au Sous-traitant, pouvant inclure les catégories suivantes de personnes :

Le Client est également amené à traiter les données personnelles des Employés de ATELIER BUSINESS

FOOD au titre de l’exécution du Contrat.

3.2 Catégories de données à caractère personnel traitées

Le Responsable de traitement peut soumettre des Données à caractère personnel au Sous-traitant,

pouvant inclure, mais sans s’y limiter, les catégories suivantes de données à caractère personnel :

Le Client est également amené à traiter les données personnelles suivantes des Employés de ATELIER BUSINESS FOOD au titre de l’exécution du Contrat : nom, prénom, titre, mail et n° de téléphone.

3.3 Nature et finalités du T raitement

Le T raitement des Données personnelles intervient dans le cadre de l’exécution des Prestations par ATELIER BUSINESS FOOD : fourniture des services liés à l’utilisation par le Client de la Plateforme ATELIER BUSINESS FOOD.

Nature des opérations de traitement par le Sous-traitant :

- Fourniture des services liés à la Plateforme ATELIER BUSINESS FOOD ;

- Enregistrement et utilisation de données à caractère personnelle dans le cadre de l’utilisation de la Plateforme par les Utilisateurs du Client ;

- Communication commerciale (Newsletter) sur les fonctionnalités de la Plateforme ATELIER BUSINESS FOOD ;

- Envoi de notifications aux Utilisateurs (par email) liées à leur utilisation de la Plateforme ATELIER BUSINESS FOOD ;

- Assurer la facturation, gérer les impayés et relances de paiement.

Les données de ATELIER BUSINESS FOOD traitées par le Client le sont exclusivement aux fins d’assurer un suivi du Contrat entre les Parties et paiement des redevances dues par le Client à ATELIER BUSINESS FOOD.

La base légale est l’Exécution d’un Contrat entre les Parties.

Tout autre traitement ou tout autre finalité ne saurait rentrer dans le champ d’application de cette annexe et chaque Partie dégagera la responsabilité de l’autre Partie pour tout litige lié à ces traitements tiers.

3.4 Durée du traitement et durée de conservation des données

Le sous-traitant procèdera au T raitement de Données à caractère personnel pour toute la durée du Contrat, sauf accord contraire entre les Parties, par écrit. A l’issue du Contrat, les Données à caractère personnel seront :

- Catégorie 1 : supprimées au bout d’un (1) mois après la fin du Contrat ;

- Catégorie 3 : supprimées au bout d’un (1) mois après la fin du Contrat ;

Les données liées à l’exécution du Contrat (données de facturation) et données du Client et de ATELIER BUSINESS FOOD (données commerciales) seront conservées jusqu’à cinq (5) ans après la fin de la relation commerciale entre les Parties.

En outre, chaque Partie est susceptible de conserver certaines données personnelles afin de remplir ses obligations légales ou réglementaires, de permettre l’exercice des droits des personnes. A l’expiration de la durée de conservation des données personnelles, celles-ci seront supprimées ou anonymisées.

Les données peuvent également être transmises par une Partie à des tiers et autorités compétentes pour répondre à des obligations légales, judiciaires, fiscales ou règlementaires.

Article 4 – Obligations du Responsable de traitement

Le responsable de traitement s’engage à fournir à ATELIER BUSINESS FOOD toutes les instructions nécessaires au traitement des données personnelles et s’assurer au préalable de la licéité du traitement des Données personnelles. Il s’engage à fournir l’information aux sujets concernés par les opérations de traitement et assurer aux Personnes concernées (3.1) la possibilité d’exercer leurs droits sur leurs données personnelles.

Article 5 – Obligations du Sous-traitant

5.1 Instructions

Le sous-traitant ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel il est soumis. Dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si la loi le lui interdit pour des motifs importants d’intérêt public. Des instructions peuvent également être données ultérieurement par le responsable du traitement pendant toute la durée du traitement des données à caractère personnel. Ces instructions doivent toujours être documentées.

Le sous-traitant informe immédiatement le responsable du traitement si, selon lui, une instruction donnée par le responsable du traitement constitue une violation du règlement (UE) 2016/679 / du règlement (UE) 2018/1725 ou d'autres dispositions du droit de l'Union ou du droit des États membres relatives à la protection des données.

5.2 Limitation de la finalité

Le sous-traitant traite les données à caractère personnel uniquement pour la ou les finalités spécifiques du traitement, telles que définies à l’article 3, sauf instruction complémentaire du responsable du traitement.

5.3 Sécurité du traitement

Le sous-traitant met au moins en œuvre les mesures techniques et organisationnelles précisées ci-après, pour assurer la sécurité des données à caractère personnel. Figure parmi ces mesures la protection des données contre toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel ou l'accès non autorisé à de telles données (violation de données à caractère personnel). Lors de l’évaluation du niveau de sécurité approprié, les parties tiennent dûment compte de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques pour les personnes concernées.

Le sous-traitant n’accorde aux membres de son personnel l’accès aux données à caractère personnel faisant l’objet du traitement que dans la mesure strictement nécessaire à l’exécution, à la gestion et au suivi du contrat. Le sous-traitant veille à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

Mesures prises par le Sous-traitant :

- Mesures de pseudonymisation et de chiffrement des données à caractère personnel

- Mesures visant à garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement

- Mesures assurant de disposer de moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique

- Procédures visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement

- Mesures d’identification et d’autorisation de l’utilisateur

- Mesures de protection des données pendant la transmission

- Mesures de protection des données pendant le stockage

- mesures de gouvernance et de gestion de l’informatique interne et de la sécurité informatique.

Article 6 – Sous-traitants ultérieurs

6.1 Obligations de ATELIER BUSINESS FOOD

Le sous-traitant dispose de l’autorisation générale du responsable du traitement pour ce qui est du recrutement de sous-traitants ultérieurs sur la base d’une liste convenue. Le sous-traitant informe spécifiquement par écrit le responsable du traitement de tout projet de modification de cette liste par l’ajout ou le remplacement de sous-traitants ultérieurs au moins dix jours à l’avance, donnant ainsi au responsable du traitement suffisamment de temps pour pouvoir s’opposer à ces changements avant le recrutement du ou des sous-traitants ultérieurs concernés. Le sous-traitant fournit au responsable du traitement les informations nécessaires pour lui permettre d’exercer son droit d’opposition.

Lorsque le sous-traitant recrute un sous-traitant ultérieur pour mener des activités de traitement spécifiques (pour le compte du responsable du traitement), il le fait au moyen d’un contrat qui impose au sous-traitant ultérieur, en substance, les mêmes obligations en matière de protection des données que celles imposées au sous-traitant en vertu des présentes clauses.

Il appartient à BOOKING SHALE de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière que le traitement réponde aux exigences du règlement européen sur la protection des données. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, ATELIER BUSINESS FOOD demeure pleinement responsable devant le responsable de traitement de l’exécution par l’autre sous-traitant de ses obligations.

Le sous-traitant convient avec le sous-traitant ultérieur d’une clause du tiers bénéficiaire selon laquelle — dans le cas où le sous-traitant a matériellement disparu, a cessé d’exister en droit ou est devenu insolvable — le responsable du traitement a le droit de résilier le contrat conclu avec le sous-traitant ultérieur et de donner instruction au sous-traitant ultérieur d’effacer ou de renvoyer les données à caractère personnel.

6.2 Liste des sous-traitants ultérieurs

Le Sous-traitant a recours aux sous-traitants ultérieurs suivants :

Article 7 – Transfert des Données hors de l’Union Européenne

A l’exclusion des sous-traitants ultérieurs ci-dessus cités, les Parties déclarent et s’engagent à ne pas transférer les données personnelles en dehors de l’Union Européenne ou vers tout pays n’étant pas reconnu comme présentant un niveau de protection adéquat tel qu’entendu par la Commission Européenne, sans avoir pris les mesures légales et réglementaires applicables et notamment :

- Quand le tiers (sous-traitant ultérieur ou affilié de ATELIER BUSINESS FOOD) est établi dans un pays tiers, signer les clauses contractuelles types sur le modèle le plus récent de la Commission Européenne ;

- Se conformer à toutes les obligations qui en découlent et fournir une copie des clauses à l’autre Partie ;

- Si la situation l’exige, à signer des Règles d’entreprise contraignantes (BCR) avec le tiers autorisé.

Tout transfert de données vers un pays tiers ou une organisation internationale par le sous-traitant n’est effectué que sur la base d’instructions documentées du responsable du traitement.

En outre, si le Sous-traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’État membre auquel il est soumis, il doit informer le responsable du traitement de cette obligation juridique avant le traitement.

Article 8 – Droits des Personnes Concernées

8.1 Données des Parties

Au regard des dispositions légales de la Loi Informatiques et Libertés du 6 janvier 1978 et du Règlement Européen sur la Protection des Données (« RGPD »), chaque Partie dispose des Droits suivants :

a. droit d'accès (article 15 RGPD) et de rectification (article 16 RGPD), de mise à jour, de complétude des données, droit de verrouillage ou d’effacement des données de la Partie à caractère personnel (article 17 du RGPD), lorsqu’elles sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation

est interdit

b. droit de retirer à tout moment un consentement (article 13-2c RGPD)

c. droit à la limitation du traitement des données (article 18 RGPD)

d. droit d’opposition au traitement des données (article 21 RGPD)

e. droit à la portabilité des données, lorsque ces données font l’objet de traitements automatisés fondés sur leur consentement ou sur un contrat (article 20 RGPD)

f. droit de définir le sort des données après leur mort et de choisir à qui les communiquer (ou non) ses à un tiers préalablement désigné.

Pour exercer l’un des droits, il suffit d’écrire un courrier aux responsables de traitement respectifs des

Parties indiqués en préambule.

Les demandes seront traitées dans un délai d’un mois, sauf motif impérieux avancé et justifié par une Partie justifiant un rallongement du délai. Si le Partie ne satisfait pas la demande de l’autre Partie, cette dernière est en droit de saisir la CNIL (Commission Nationale de l’Informatique et des Libertés, https://www.cnil.fr) afin de faire prévaloir ses droits.

8.2 Données des Personnes concernées par les opérations de Traitement

Dans la mesure du possible, chaque Partie s’engage à assister l’autre Partie par des mesures techniques et organisationnelles appropriées à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes.

Le Prestataire s’engage (sans répondre directement aux Personnes Concernées) à :

- Transmettre au Client, dans un délai approprié et ne dépassant pas soixante-douze (72) heures, toute requête et/ou toute demande et/ou toute notification d’une Personne concernée ayant pour objet l’exercice de ses droits en vertu de la règlementation applicable (droits d’accès, de rectification, d’opposition, de limitation, droit à l’oubli, à la portabilité, etc.).

- A compter de l’information susvisée, coopérer avec le Responsable de traitement et lui fournir dans un délai approprié, ne pouvant excéder dix (10) jours, les informations nécessaires pour permettre au Responsable de traitement de répondre aux Personnes concernées ;

- Dans tous les cas, mettre en œuvre et faire mettre en œuvre par les Sous-traitants Ultérieurs, dans un délai approprié et ne pouvant excéder dix (10) jours, toute demande du Responsable de Traitement concernant les droits des Personnes concernées.

Article 9 – Violation de Données à caractère personnel

En cas de violation de données à caractère personnel, le sous-traitant coopère avec le responsable du traitement et lui prête assistance aux fins de la mise en conformité avec les obligations qui lui incombent en vertu de la règlementation applicable.

La Partie ayant identifié une violation de données personnelles devra notifier à l’autre Partie ladite violation dans un délai maximal de quarante-huit (48) heures à compter de la découverte de la violation.

Cette notification s’accompagnera de :

- Description et la nature de la violation, y compris si possible, les catégories et le nombre approximatif des Personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements des Données personnelles concernées,

- Les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations complémentaires peuvent être obtenues ;

- Les catégories et le nombre approximatif de personnes concernées par la violation ;

- Les conséquences probables de la violation de données personnelles ;

- Toute la documentation pertinente relative à la violation et permettant aux parties de prendre les mesures appropriées en vue d’avertir les sujets des données et de remédier aux conséquences éventuelles.

En cas de violation des données, les Parties procèderont à une enquête contradictoire en vue de déterminer la responsabilité de ladite violation. La partie responsable garantira l’autre partie contre toute action, réclamation, pertes et dommages subies par l’autre partie ou par un tiers relatif à cette violation de données.

Contactez-nous

Pour toute question sur cet accord sur la protection des données, contactez-nous à l'adresse suivante : hello@bookingshake.com