Conditions Générales

Conditions générales d’utilisation de la plateforme Adloop (v1.1)

Version 15 juin 2021

Les présentes conditions d’utilisation (les ” Conditions d’Utilisation “) décrivent les conditions dans lesquelles AREIA SAS – (propriétaire d’Adloop), société de droit français au capital de 75 253 €, immatriculée à Marseille sous le n° B 798 412 979, dont le siège social est situé 10 rue de la République, 75002 PARIS, représentée par M. Stéphane GENDREL, dûment habilité aux fins des présentes en sa qualité de Président – vous fournit les Services résultant de sa Plateforme d’Optimisation Média (la ‘POM’). En utilisant la POM d’Adloop, vous acceptez d’être lié par les présentes conditions d’utilisation.

Toute référence à une “Partie” ou à des “Parties” dans les présentes Conditions d’utilisation signifie Vous et/ou Adloop.

Les présentes Conditions Générales d’Utilisation (les “Conditions”), y compris les annexes énumérées ci-dessous, le bon de commande et/ou tout autre accord, constituent l’intégralité de l’accord (“Accord”) entre le Client ou Vous et Adloop (“Adloop” “nous”, “notre” ou “nos”), concernant votre utilisation de nos services spécifiés dans les Conditions (la POM Adloop, et les services sont collectivement désignés comme la “POM Adloop” ou le “Service”). Veuillez lire attentivement ces Conditions. Vous pouvez autoriser vos employés ou d’autres utilisateurs individuels autorisés (collectivement, les “Utilisateurs Autorisés”) à utiliser le Service. Vous convenez que vous êtes entièrement responsable de toute utilisation de la POM Adloop par un Utilisateur Autorisé, y compris de toute violation des présentes Conditions par un Utilisateur Autorisé.

Les annexes suivantes font partie intégrante des présentes conditions de service et sont régies par celles-ci :

Annexe 1 : accord sur le traitement de données

En cas de clauses contradictoires dans les Conditions et ses annexes, les Conditions prévaudront sur les annexes, sauf en ce qui concerne les questions relatives au traitement des données personnelles, auquel cas l’Annexe 1 (Accord sur le traitement des données) prévaudra.

1. La POM Adloop

La POM d’Adloop est une plateforme qui aide les clients à collecter leurs données en ligne à des fins de reporting, d’analyse, de gestion des données et d’optimisation des médias. La POM d’Adloop n’est fournie qu’électroniquement par le biais d’interfaces utilisateur sur des navigateurs et par le biais d’interfaces hébergées par Adloop.

2. Admissibilité

La POM Adloop n’est pas destiné aux utilisateurs qui sont des consommateurs (étant un individu agissant principalement à des fins autres qu’un commerce, une entreprise ou une profession) et l’applicabilité de la législation sur la protection des consommateurs est donc exclue.

Vous devez être âgé de 18 ans ou plus pour conclure le présent contrat et utiliser le Service. Vous déclarez et garantissez que toutes les informations que vous soumettez sont vraies et exactes et que vous avez 18 ans ou plus et que vous êtes pleinement capable et compétent pour conclure et respecter les présentes conditions, et que vous avez le pouvoir de lier l’entité client figurant sur le contrat, le cas échéant.

3. Enregistrement du compte

Tous les utilisateurs autorisés doivent s’inscrire pour utiliser le service. Vous acceptez, et faites en sorte que tous les Utilisateurs Autorisés : (a) fournir des informations exactes, à jour et complètes, comme cela peut être demandé par les formulaires d’inscription sur la POM Adloop (” Données d’inscription “) ; (b) maintenir la sécurité de, et ne pas partager avec un tiers, tous les logins, mots de passe, ou autres informations d’identification que vous ou tout Utilisateur Autorisé choisit ou qui vous sont fournis à vous ou à tout Utilisateur Autorisé pour l’utilisation du Service ; (c) maintenir et mettre à jour rapidement les données d’inscription, ainsi que toute autre information que vous ou tout utilisateur autorisé nous fournissez, et faire en sorte que toutes ces informations soient exactes, actuelles et complètes ; et (d) nous informer immédiatement de toute utilisation non autorisée de tout compte d’utilisateur autorisé ou de toute autre violation de la sécurité en nous envoyant un courriel à dpo@adloop.co.  Toute activité sur le compte d’un utilisateur autorisé est de la seule responsabilité du client.

4. Essai gratuit

Nous pouvons, à notre seule discrétion, vous proposer des essais gratuits de certaines fonctionnalités de la POM Adloop ou une période d’essai limitée de l’ensemble du Service. Une fois votre période d’essai gratuite terminée, votre capacité à accéder à la POM Adloop prendra fin. Adloop se réserve le droit de déterminer si vous êtes éligible à un essai gratuit et d’interrompre tout essai gratuit sans préavis à notre seule discrétion.

5. Frais et paiement

L’accès à certaines fonctionnalités de la POM Adloop peut vous être fourni gratuitement. Nous facturerons des frais pour certaines fonctionnalités, soit sur une base unique, soit sur une base d’abonnement (“Services payants”). Adloop se réserve le droit de mettre en place des frais ou de modifier les frais pour certains services à tout moment en vous fournissant un avis sur la POM Adloop ou autrement. Lorsque vous achetez des Services payants, vous autorisez Adloop ou ses processeurs de paiement tiers à débiter la carte de crédit ou tout autre moyen de paiement identifié par vous (que vous déclarez et garantissez être autorisé à utiliser) de tous les frais applicables à votre achat, y compris toutes les taxes applicables, et vous acceptez que notre fournisseur de paiement puisse stocker les informations relatives à votre carte de crédit. Si Adloop ne reçoit pas le paiement de votre fournisseur de carte de crédit, vous acceptez de payer tous les montants dus sur demande et Adloop peut suspendre votre accès aux services jusqu’à ce que le paiement complet soit reçu ou résilier les conditions de service. Toutes les ventes sont finales et Adloop n’effectuera aucun remboursement, y compris pour les frais mensuels prépayés. Si vous choisissez un paiement récurrent automatique et décidez plus tard de mettre fin à votre abonnement, l’annulation du paiement est de votre responsabilité. Adloop ne rembourse pas les paiements automatiques non annulés à temps.

6. Accès ; restrictions d’utilisation

Adloop vous accorde par la présente le droit d’accéder et d’utiliser la POM Adloop, sous réserve que vous respectiez les présentes Conditions à tout moment, y compris le paiement en temps voulu de tous les frais applicables.  Votre droit d’accès et d’utilisation de la POM Adloop est personnel, limité à vos besoins professionnels internes, non transférable, non exclusif et révocable.

Votre accès et votre utilisation de la POM Adloop sont basés sur les droits acquis pour l’Espace de travail Adloop du Client, les sources de données connectées, les fonctionnalités fournies par Adloop, les destinations des données et les restrictions d’utilisation.

L’accès et l’utilisation peuvent être limités à un individu, une entreprise, votre équipe ou un accès/utilisation de données spécifiques. Il peut y avoir des restrictions supplémentaires, qui peuvent changer de temps en temps, et nous ferons des efforts raisonnables pour vous fournir un avis préalable des changements imminents en temps opportun. Les accords écrits spécifiques concernant les restrictions d’accès et d’utilisation seront indiqués dans l’accord et ils prévaudront sur les présentes conditions.

Sans limiter la généralité de ce qui précède, vous n’allez pas, ne tenterez pas, et ne permettrez pas ou n’encouragerez pas un tiers à :

  1. désassembler, décompiler, décoder ou tenter d’une autre manière de dériver ou d’obtenir un accès inapproprié à tout composant logiciel du service, en tout ou en partie ;
  2. modifier ou créer des œuvres dérivées du service, en tout ou en partie ;
  3. utiliser la POM Adloop d’une manière ou à des fins qui enfreignent, détournent ou violent de toute autre manière tout droit de propriété intellectuelle ou autre droit d’un tiers ;
  4. interférer avec ou perturber l’intégrité de la POM Adloop ou de tout contenu ou données qui y sont contenus ou transmis ;
  5. d’accéder, de surveiller ou de copier tout contenu ou information sur la POM Adloop en utilisant un robot, un spider, un scraper ou tout autre moyen automatisé ou tout processus manuel à quelque fin que ce soit sans notre autorisation écrite expresse ;
  6. violer les restrictions contenues dans les en-têtes d’exclusion des robots sur la POM d’Adloop ou contourner les autres mesures employées pour empêcher ou limiter l’accès au Service ;
  7. prendre toute mesure qui impose ou peut imposer, à notre discrétion, une charge déraisonnable ou disproportionnée sur notre infrastructure ;
  8. établir des liens profonds avec toute partie du manuel d’utilisation d’Adloop, à quelque fin que ce soit, sans notre autorisation écrite expresse ;
  9. “frame”, “mirror”, vendre, revendre, louer ou donner en location toute partie de la POM Adloop ou incorporer toute partie de la POM Adloop dans tout autre site web sans notre autorisation écrite préalable ;
  10. introduire un virus, un logiciel malveillant ou tout autre code nuisible dans le service ;
  11. utiliser la POM d’Adloop ou toute information confidentielle d’Adloop à des fins d’évaluation comparative ou d’analyse de la concurrence en ce qui concerne les produits ou services concurrents ou connexes ou pour développer, commercialiser, accorder une licence ou vendre tout produit, service ou technologie qui pourrait, directement ou indirectement, concurrencer le service ; ou
  12. violer toute loi ou réglementation locale, provinciale, nationale ou internationale applicable.

Nous pouvons à tout moment suspendre ou résilier votre accès ou celui de tout utilisateur autorisé à la POM Adloop si nous avons des raisons de croire que vous ne respectez pas les Conditions ou que vous abusez du Service.

7. Services, données et contenus de tiers

7.1 La POM Adloop vous permet de collecter des données à partir de plusieurs sources de données et services tiers, y compris divers sites Internet tiers (conjointement les “Services Tiers“). Les Services Tiers à partir desquels les données peuvent être collectées sont sélectionnés par Adloop à sa seule discrétion et Adloop peut, pendant la Durée, modifier les Services Tiers compatibles avec le Service. En outre, Adloop peut interrompre les Services Tiers compatibles si les fournisseurs applicables des Services Tiers interrompent les services concernés ou cessent de mettre ces services à la disposition d’Adloop.

7.2 Adloop n’assume aucune responsabilité quelle qu’elle soit pour les données ou autres contenus collectés par des services tiers, tels que Facebook, Google Analytics et Google Ads. Vous êtes seul responsable de vérifier que vous avez le droit d’utiliser la POM d’Adloop pour recueillir et traiter de telles données en utilisant le Service, et vous devez obtenir tous les consentements et autorisations qui peuvent être nécessaires de temps à autre en relation avec ces données ou autres contenus et leur traitement en utilisant le Service. Nous n’assumons aucune responsabilité pour ces services ou logiciels de tiers, et vous êtes exclusivement responsable de l’obtention de toutes les licences ou autorisations nécessaires à leur utilisation. Vous devez vous familiariser avec les conditions générales applicables, y compris les restrictions d’utilisation, en relation avec ces services tiers et vous acceptez de vous conformer aux conditions générales des tiers applicables aux services tiers en plus des conditions du contrat.

7.3 En outre, la POM Adloop peut contenir des liens vers des pages Web et des contenus de tiers en tant que service aux personnes intéressées par ces informations. Nous ne surveillons pas, n’approuvons pas, n’adoptons pas, et n’avons aucun contrôle sur les pages web ou le contenu de tiers. Nous n’assumons aucune responsabilité quant à la mise à jour ou à l’examen de ces pages Web ou du contenu de tiers et ne pouvons donner aucune garantie quant à leur exactitude ou leur exhaustivité. En outre, si vous suivez un lien ou naviguez autrement hors du Service, sachez que les présentes Conditions ne s’appliquent plus. Vous devez consulter les conditions et politiques applicables, y compris les pratiques en matière de confidentialité et de collecte de données, de toute page Web, de tout contenu tiers ou de tout fournisseur de service vers lequel vous naviguez depuis la POM d’Adloop. Vous accédez et utilisez le contenu de tiers à vos propres risques.

7.4En ce qui concerne les services Google, nos outils n’auront que des droits d’accès à vos données Google Analytics/Ads/YouTube (selon le service auquel vous vous connectez), et rien d’autre sur votre compte Google. Vous pouvez révoquer le droit d’Adloop d’accéder à vos données à tout moment à partir du panneau de contrôle de votre compte Google (https://security.google.com/settings/security/permissions).

8. Modifications du service

Vous reconnaissez qu’Adloop peut apporter des modifications aux Conditions Générales d’Utilisation d’Adloop pendant la Durée du Contrat sans vous en informer préalablement ; cependant, Adloop fera des efforts raisonnables pour vous informer à l’avance de toute modification importante des Conditions Générales d’Utilisation d’Adloop.  En cas de modifications importantes du Service, Adloop peut vous fournir des instructions supplémentaires concernant les actions requises de votre part afin de continuer à accéder et à utiliser le Service, si nécessaire.

9. Sous-traitants

Adloop peut engager des sous-traitants pour exécuter le Service en vertu du Contrat, à condition qu’Adloop reste entièrement responsable de toutes les actions de ces sous-traitants. Nonobstant ce qui précède, Adloop ne sera pas responsable des actes ou omissions de ses fournisseurs de services d’hébergement ou de communication de données.

10. Durée et résiliation

10.1 Votre compte et votre abonnement à la POM Adloop restent en vigueur à moins que vous ne les résiliez ou qu’Adloop ne résilie votre compte comme prévu par les présentes Conditions. Votre compte et votre abonnement à la POM Adloop peuvent, selon votre choix, être automatiquement renouvelables ou valables pour une période déterminée. Si votre abonnement est automatiquement renouvelable, votre abonnement à la POM Adloop restera en vigueur et sera renouvelé automatiquement à la fin de chaque période d’abonnement, sauf si vous mettez fin à votre abonnement ou si nous le résilions.

Si votre abonnement est effectué pour une période fixe et/ou n’est pas automatiquement renouvelable, votre abonnement prendra fin automatiquement à la fin de la période d’abonnement convenue.

En cas de résiliation ou d’expiration de l’accord, vous devez immédiatement cesser d’utiliser le service.

10.2 Adloop peut résilier le présent contrat ou mettre fin ou suspendre l’accès ou l’utilisation de la POM Adloop par tout utilisateur autorisé dans les circonstances suivantes :

(a) Si l’utilisation continue de la POM d’Adloop par le Client ou tout Utilisateur autorisé peut, à la discrétion d’Adloop, entraîner un préjudice matériel pour Adloop, ses sous-traitants, ses affiliés ou un autre client du Service, Adloop peut raisonnablement bloquer ou restreindre l’accès du Client au Service ;.

(b) si le Client ou tout Utilisateur autorisé a (i) soumis des informations à la POM Adloop en violation de la loi applicable ou (ii) autrement utilisé la POM Adloop en violation des présentes Conditions, y compris les restrictions énoncées à la Section 6 ci-dessus ;

(c) les frais dus par le Client restent impayés quinze (15) jours après la date d’échéance applicable telle que définie dans le Contrat ; ou

(d) si le Client commet une violation substantielle de ses obligations en vertu du Contrat et ne remédie pas à cette violation dans les trente (30) jours suivant la réception de la notification de la violation par Adloop.

10.3 L’une ou l’autre des parties peut résilier le contrat sur notification écrite à l’autre partie si celle-ci fait faillite, devient insolvable ou fait une cession au profit de ses créanciers.

11. Retour d’information

Tout retour d’information, tout commentaire, toute suggestion, toute idée ou toute autre information que vous nous fournissez sous la forme d’un courrier électronique ou d’autres soumissions (collectivement, le “retour d’information“), n’est pas confidentiel et vous nous accordez par la présente, ainsi qu’à nos sous-traitants et à nos sociétés affiliées, un droit non exclusif, libre de redevances, perpétuel, irrévocable et pouvant faire l’objet d’une sous-licence totale d’utiliser votre retour d’information à quelque fin que ce soit sans compensation ni attribution à votre égard.

12. Marques commerciales

12.1 Le nom “Adloop”, les logos Adloop, et tout autre produit ou nom ou slogan de la contenu sur la POM Adloop sont des marques commerciales ou des marques déposées d’Adloop et de ses fournisseurs ou concédants, et ne peuvent être copiés, imités ou utilisés, en tout ou en partie, sans l’autorisation écrite préalable du propriétaire de la marque concernée. Toutes les autres marques, marques déposées, noms de produits et noms ou logos de sociétés mentionnées sur la POM d’Adloop sont la propriété de leurs détenteurs respectifs. La référence à des produits, services, processus ou autres informations, par nom commercial, marque, fabricant, fournisseur ou autre, ne constitue ni n’implique une approbation, un parrainage ou une recommandation de notre part, ou vice versa.

12.2 Adloop peut utiliser le(s) nom(s) et le(s) logo(s) de votre société à des fins de marketing, y compris sur le site web d’Adloop et dans les communiqués de presse, la documentation promotionnelle et commerciale, les présentations aux clients/prospects et les listes de clients.

13. Propriété et droits de propriété intellectuelle

13.1 Entre vous et Adloop, Adloop détient tous les droits, titres et intérêts, y compris tous les droits de propriété intellectuelle, relatifs au Service et à tous les services disponibles en relation avec le Service. A l’exception des droits expressément accordés dans ces Conditions, aucun autre droit ne vous est accordé, de manière expresse ou implicite, et tous les autres droits sont réservés par la présente.

14. Informations confidentielles

Si nous partageons avec vous des informations non publiques sur la POM d’Adloop, vous devez les garder confidentielles et utiliser des mesures de sécurité raisonnables pour empêcher la divulgation ou l’accès non autorisé à ces informations.

15. Politique de confidentialité et traitement des données

15.1 Adloop traitera les données personnelles à la fois en tant que 1) contrôleur de données ; et 2) processeur de données sur instructions documentées de votre part en tant que contrôleur de données.

15.2 En tant que responsable du traitement, nous traitons les données personnelles vous concernant lorsque vous vous inscrivez à la POM Adloop ou lorsque vous nous fournissez autrement des informations personnelles dans le cadre du présent Contrat. Notre collecte et notre utilisation de ces informations, que nous traitons en tant que responsable du traitement, sont décrites dans la Politique de confidentialité, disponible en français ou en anglais.

15.3 En tant que processeur de données, nous traitons les données personnelles que vous nous avez fournies (y compris celles collectées ou générées par l’utilisation du Service) dans le but de fournir le Service. Ce traitement des données personnelles est régi par un Accord de traitement des données distinct conclu entre vous et nous dans le cadre de votre inscription au Service, qui est joint aux présentes en Annexe 1.

16. Données sur les clients

16.1 Le Client, ses filiales, sociétés affiliées et clients conservent tous les droits relatifs à toutes les données, données personnelles ou autres informations que le Client, ou une autre partie au nom du Client, fournit à Adloop dans le but de fournir le Service (” Données du Client “). Lorsque les lois sur la protection des données le permettent, Adloop peut traiter les Données du Client ou d’autres données dérivées de l’exploitation du Service : (i) pour construire ou améliorer la qualité de ses services (les données seront sous forme agrégée et anonyme) ; (ii) pour détecter les incidents de sécurité ; (iii) pour se protéger contre les activités frauduleuses ou illégales et (iv) pour créer des statistiques publiques, par exemple, pour permettre aux Clients de comparer leurs performances aux statistiques du secteur (les données seront sous forme agrégée et anonyme). En aucun cas, les données agrégées ne comprennent d’informations permettant d’identifier une personne ou des données au niveau de l’entreprise.

17. Exclusion des garanties

VOTRE UTILISATION DU SERVICE, Y COMPRIS, SANS S’Y LIMITER, VOTRE UTILISATION DE TOUT CONTENU ACCESSIBLE PAR LE SERVICE ET VOS INTERACTIONS ET TRAITEMENTS AVEC LES UTILISATEURS D’ADLOOP MOP, SE FAIT À VOTRE SEUL RISQUE. ADLOOP NE GARANTIT PAS L’UTILISATION OU LE FONCTIONNEMENT ININTERROMPU DU SERVICE OU VOTRE ACCÈS À TOUT CONTENU. AUCUN CONSEIL OU INFORMATION, QU’IL SOIT ORAL OU ÉCRIT, OBTENU PAR VOUS À PARTIR DU SERVICE NE CRÉERA DE GARANTIE CONCERNANT ADLOOP QUI NE SOIT PAS EXPRESSÉMENT ÉNONCÉE DANS CES CONDITIONS.

À L’EXCEPTION DES GARANTIES EXPRESSES INCLUSES DANS LE PRÉSENT DOCUMENT, NOUS DÉCLINONS TOUTE GARANTIE, DANS LA MESURE MAXIMALE AUTORISÉE PAR LA LOI, EXPRESSE OU IMPLICITE, CONCERNANT LE SERVICE, Y COMPRIS TOUTE GARANTIE DE QUALITÉ MARCHANDE, D’ABSENCE DE CONTREFAÇON OU D’ADÉQUATION À UN USAGE PARTICULIER, ET NOUS NE GARANTISSONS PAS L’EXACTITUDE DES DONNÉES FOURNIES EN RAPPORT AVEC LE SERVICE, NI QUE LE SERVICE EST EXEMPT DE BOGUES OU D’ERREURS.

18. Indemnisation

18.1. Adloop défendra, indemnisera et dégagera le Client de tout coût, dommage, dépense et responsabilité (y compris, mais sans s’y limiter, les honoraires raisonnables d’avocat) découlant de ou en relation avec les réclamations ou actions de tiers découlant de ou liées à la violation des droits de propriété intellectuelle d’un tiers en raison de l’utilisation du Service par le Client, sauf dans la mesure où ces réclamations ou actions découlent de ou sont liées à (i) toute modification ou combinaison du Service par le Client avec tout Service non fourni par Adloop ; (ii) tout programme, information ou donnée d’un tiers (y compris les Services Tiers) ; (iii) tout accès ou utilisation des Services par le Client en violation des présentes Conditions, y compris les restrictions énoncées à la Section 6 ; ou (iv) toute donnée, information ou contenu fourni par le Client.

L’obligation d’indemnisation d’Adloop dans cette section ne s’applique qu’à la condition que le Client ait notifié par écrit à Adloop une réclamation ou une action dans un délai raisonnable.

Dans le cas où une telle réclamation de tiers est faite ou est susceptible d’être faite, Adloop est responsable, à ses propres frais, de l’obtention de tous les droits nécessaires pour que le Client puisse continuer à utiliser la POM Adloop selon les termes du Contrat ou remplacer ou modifier la partie contrefaite de la POM Adloop pour qu’elle ne soit pas contrefaite sans diminuer la fonctionnalité. Si Adloop n’est pas en mesure de remplacer ou de modifier la partie contrefaite, Adloop peut alors résilier le présent Contrat sur notification écrite au Client, auquel cas le Client aura droit, comme seul recours, à un remboursement au prorata de la partie non utilisée de tous les frais prépayés pour le Service résilié, calculé à la date effective de la résiliation. La responsabilité d’Adloop, et votre seul recours, en cas de violation des droits de propriété intellectuelle dans la POM d’Adloop sera limitée à cette Section 18.1.

18.2 Le Client défendra, indemnisera et dégagera Adloop de tout coût, dommage, dépense et responsabilité (y compris, mais sans s’y limiter, les honoraires raisonnables d’avocat) découlant de ou en relation avec des réclamations ou actions de tiers découlant de ou relatives à :

(a) toute violation par le client ou tout utilisateur autorisé des restrictions énoncées à la section 6 ci-dessus ;

(b) toute violation de la loi applicable par le Client ;

(c) toute donnée, information ou contenu saisi dans la POM d’Adloop ou autrement fourni par le Client, y compris toute violation réelle ou alléguée des droits de propriété intellectuelle de tiers ou des droits à la vie privée découlant de ces données, informations ou contenus, y compris les Données du Client ;

(d) tout produit ou service du client ;

(e) toute violation importante du présent accord par le client ; ou

(f) toute négligence grave, faute intentionnelle ou fraude de la part du client.

19. Limitation de la responsabilité

Ni l’une ni l’autre des parties, ni ses fournisseurs ou concédants de licence ne seront responsables des dommages indirects, accessoires, spéciaux, consécutifs ou exemplaires, y compris, mais sans s’y limiter, les dommages pour perte de profits, de clientèle, d’utilisation, de données ou d’autres pertes intangibles (même si cette partie ou tout fournisseur ou concédant de licence a été informé de la possibilité de ces dommages), découlant du présent accord.

La responsabilité totale maximale d’Adloop envers le Client et ses Utilisateurs autorisés pour toutes les réclamations en vertu des présentes Conditions ou autrement en relation avec le Service, que ce soit dans le cadre d’un contrat, d’un délit ou autrement, est limitée à 500 EUR.

Les limitations de responsabilité prévues par la présente section 19 ne s’appliquent pas en cas de violation de la section 14 (informations confidentielles) ou en cas de négligence grave, de faute intentionnelle ou de fraude.

20. Droit applicable et règlement des litiges

Les présentes Conditions sont régies et interprétées conformément aux lois françaises, sans donner effet aux principes de conflits de lois ou à la Convention sur les contrats de vente internationale de marchandises. Tout litige, controverse ou réclamation découlant du présent contrat ou s’y rapportant, ou de sa violation, de sa résiliation ou de sa validité, sera réglé définitivement devant les tribunaux français. La langue de tout litige sera le français.

21. Autres termes

Aucune des parties ne sera responsable d’un manquement ou d’un retard dans l’exécution de ses obligations en vertu du présent contrat (à l’exception des obligations de paiement) en raison de causes indépendantes de sa volonté (un “cas de force majeure“), qui peuvent inclure, sans s’y limiter, les conflits du travail, les grèves, les lock-out, les pénuries d’énergie ou l’incapacité à obtenir de l’énergie, matières premières ou fournitures, déni de service ou autres attaques malveillantes, défaillance ou dégradation des télécommunications, pandémies, épidémies, urgences de santé publique, ordonnances et actes gouvernementaux (y compris les restrictions de voyage et les quarantaines imposées par les gouvernements), changements importants dans la loi, guerre, terrorisme, émeute ou cas de force majeure.  Le fait que nous n’ayons pas agi dans une circonstance particulière ne renonce pas à notre capacité d’agir dans cette circonstance ou dans des circonstances similaires. Toute disposition des présentes conditions qui est jugée invalide, illégale ou inapplicable sera supprimée des présentes conditions, et les autres dispositions des présentes conditions resteront pleinement en vigueur. Les en-têtes et les titres des sections des présentes Conditions sont fournis à des fins de commodité uniquement et n’ont aucun effet légal ou contractuel.

Aucune des parties ne peut céder le présent accord.

Adloop peut modifier le contenu de cet accord, sous réserve de publier un avis de modification sur sa page web.

Toute notification dans le cadre de l’accord ou en relation avec celui-ci doit être envoyée conformément aux dispositions de l’accord relatives aux notifications.

En utilisant le Service, vous acceptez de recevoir des communications électroniques de notre part. Ces communications peuvent inclure des avis sur votre compte et des informations concernant ou liées au Service.

ANNEXE 1 Accord sur le traitement des données

1. Nature et finalité du traitement

Le présent Contrat de traitement des données (” CPD “) est une annexe et constitue une partie indissociable du Contrat entre le Client ou vous et Adloop, concernant votre utilisation de nos Services.

La prestation de Service convenue peut inclure le traitement de données personnelles par Adloop et ses sous-traitants, pour le compte du Client, dans le cadre décrit dans le Contrat. L’objet du présent DPA est de fixer les conditions régissant ce traitement par Adloop pour le compte du Client, conformément aux exigences fixées par (i) le Règlement général sur la protection des données de l’UE 2016/679 (” GDPR “), (ii) la directive 2002/58/CE relative à la vie privée en ligne (” directive vie privée en ligne “) et toute autre législation applicable remplaçant la directive vie privée en ligne ; (iii) toute loi, tout statut ou toute réglementation en matière de protection des données d’un État membre de l’Union européenne (” UE “), qui peut s’appliquer à l’une des Parties en vertu de ses activités de Traitement des données ou de son établissement au sein de l’UE ; (iv) toute loi, tout statut ou toute réglementation applicable du Royaume-Uni jugée adéquate au GDPR ou à la Directive e-Privacy, tant qu’elle n’est pas déclarée inadéquate en vertu d’une décision de la Commission européenne et (v) le California Consumer Privacy Act de 2018 (” CCPA “) (collectivement, les ” Lois sur la confidentialité des données “).

Adloop ne peut traiter les données personnelles que pour le compte du Client uniquement dans la mesure nécessaire à la fourniture des Services énoncés dans le Contrat, et ne peut autrement traiter ou utiliser les données personnelles à des fins autres que celles énoncées dans le présent DPA ou selon les instructions raisonnables du Client par écrit lorsque ces instructions sont compatibles avec les termes du Contrat. Adloop ne peut pas vendre les données personnelles du Client, tel que le terme ” vente ” est défini dans le CCPA. Le présent DPA prévaut sur les dispositions contradictoires relatives au traitement des données personnelles dans le Contrat, sauf mention contraire expresse dans le présent DPA.

Les parties reconnaissent et conviennent que le Client conclut le présent DPA en son nom et au nom de ses sociétés affiliées qui utilisent les Services tels que définis dans le Contrat (“Sociétés affiliées”), établissant ainsi un DPA distinct entre Adloop et chacune des sociétés affiliées du Client soumises aux conditions du présent DPA. Le Client et les Affiliés sont conjointement dénommés le “Client”. Adloop conclut le présent DPA en son nom propre et au nom des sociétés du groupe Adloop qui sont impliquées dans le traitement des données personnelles en vertu du présent DPA et du Contrat.

Toutes les références aux ” données personnelles “, au ” traitement “, à la ” personne concernée ” et aux autres termes définis dans les lois sur la confidentialité des données et qui ne sont pas expressément définis dans les présentes ont la même signification dans le présent DPA qu’à l’article 4 du GDPR. Lorsque la CCPA s’applique, ces termes susmentionnés ont la même signification que celle définie dans la CCPA ; ” responsable du traitement ” signifie ” Entreprise ” et ” sous-traitant ou ” responsable du traitement des données ” signifie ” Prestataire de services “.

Dans le cas où, en vertu du Contrat, il est convenu que le Service basé sur le cloud d’Adloop sera fourni par un fournisseur tiers (Amazon Web Services, Microsoft, Google ou autre), les parties reconnaissent que toutes les données personnelles traitées dans le cadre du Service cloud seront exclusivement régies par les conditions générales du Service cloud telles que stipulées et modifiées de temps à autre par le fournisseur du Service cloud.

2. Durée et résiliation du présent DPA

Le présent DPA entre en vigueur dès la conclusion du Contrat par le Client et reste en vigueur pendant la durée de validité du Contrat et, par la suite, aussi longtemps que nécessaire pour la finalisation du traitement convenu des données personnelles.

3. Traitement de vos données personnelles

Par souci de clarté, il est noté qu’en ce qui concerne les données à caractère personnel traitées dans le cadre de la présente DPA, Adloop agit en tant que processeur de données ou second processeur de données (un soi-disant sous-processeur), et le Client agit en tant que contrôleur de données ou premier processeur de données (dans la mesure où Adloop traite des données à caractère personnel pour lesquelles un client du Client est considéré comme contrôleur).

Les types de données personnelles et les catégories de personnes concernées peuvent inclure les éléments suivants en fonction du ou des services fournis par Adloop :

Catégories de personnes concernées
Les données personnelles concerneront les catégories de personnes concernées suivantes : Les clients ou utilisateurs (y compris les clients ou utilisateurs potentiels) du client ou des clients du client.
Types de données à caractère personnel
Identifiants en ligne, tels que les identifiants de cookies, les adresses de protocole Internet et les identifiants de dispositifs ; données de localisation précises ; identifiants de clients ; Les coordonnées, telles que les noms, les adresses électroniques, les numéros de téléphone et les adresses ; Les données relatives aux personnes fournies à Adloop via les Services par (ou sur instruction du) Client, y compris pour créer et collaborer à des rapports, des graphiques et des diagrammes ; Les données événementielles et les données CRM relatives aux personnes fournies à Adloop via les Services par (ou sur instruction du) Client, telles que les données sur les personnes concernées et les actions qu’elles effectuent sur ou en relation avec des sites Web, des apps, des services ou des applications spécifiques. Détails financiers et transactionnels tels que la comptabilité, les ventes, les commandes, les factures, les paiements et les articles achetés. D’autres données personnelles soumises aux Services par (ou sur instruction de) le Client dans le cadre de l’Accord.

 Le présent DPA et l’accord constituent les instructions selon lesquelles ces données sont traitées à la date de la conclusion du présent DPA.

Adloop ne traitera pas les données à caractère personnel fournies à Adloop via les Services par (ou sur instruction de) le Client à d’autres fins ou ne s’écartera pas des instructions du Client relatives au traitement des données à caractère personnel de quelque manière que ce soit, sauf si les lois de l’Union européenne ou de ses États membres auxquelles Adloop est soumise l’exigent, auquel cas Adloop informera le Client de cette exigence légale avant d’effectuer ce traitement (sauf si cette loi interdit à Adloop de le faire).

Dans le cas où Adloop estime qu’une instruction du Client est en violation de la législation applicable en matière de protection des données ou manque autrement d’instructions qui, selon l’évaluation d’Adloop, sont nécessaires pour effectuer le traitement des données personnelles conformément au présent DPA ou à la législation applicable en matière de protection des données, Adloop en informera rapidement le Client et attendra d’autres instructions nécessaires.

4. Responsabilités du client

Le Client est le propriétaire de ses données personnelles et est responsable de l’exactitude, de la légalité, de l’intégrité et de la fiabilité du contenu de ces données personnelles. Le Client doit, dans le cadre de son utilisation des Services, traiter les données personnelles conformément aux exigences de la législation applicable en matière de protection des données et le Client veillera à ce que ses instructions pour le traitement des données personnelles soient conformes à la législation applicable en matière de protection des données. Le Client est seul responsable de sa conformité aux lois sur la protection des données dans le cadre de son utilisation des Services. Le Client doit fournir une notification écrite à Adloop sans délai excessif s’il estime que le présent DPA et les instructions écrites du Client ne répondent pas aux exigences des lois applicables en matière de protection des données.

5. Assistance au client

5.1 Adloop aidera le Client à assurer le respect de ses obligations en vertu de l’article 32 (sécurité du traitement), de l’article 33 (notification des violations de données personnelles aux autorités de contrôle), de l’article 34 (communication des violations de données personnelles aux personnes concernées), de l’article 35 (évaluations d’impact sur la protection des données) et de l’article 36 (consultation préalable), en tenant compte de la nature du traitement et des informations dont dispose Adloop. Toute assistance fournie par Adloop en dehors du cadre des services convenus en vertu du Contrat sera facturée par Adloop au tarif alors en vigueur appliqué par Adloop.

5.2 Adloop doit, en tenant compte de la nature du traitement, assister le Client par des mesures techniques ou organisationnelles appropriées, dans l’accomplissement des obligations du Client de répondre aux demandes des personnes concernées relatives à l’exercice de leurs droits en vertu des Lois sur la confidentialité des données. À cet égard, Adloop ne fournira son assistance que sur demande du Client. Toute demande adressée à Adloop par une personne concernée sera transmise par Adloop au Client sans délai excessif. Toute assistance par le processeur en dehors du cadre des Services convenus dans le cadre du Contrat sera facturée par Adloop au tarif alors en vigueur appliqué par Adloop.

5.3 Adloop notifiera le Client de toute violation de données personnelles concernant les données personnelles du Client sans délai excessif après avoir pris connaissance de cette violation de données personnelles. Dans la mesure du possible, la notification comprendra les informations suivantes :

  1. description de la nature de la violation des données à caractère personnel, y compris, si possible, les catégories et le nombre approximatif de personnes concernées et d’enregistrements de données à caractère personnel concernés ;
  2. le nom et les coordonnées du délégué à la protection des données d’Adloop ou d’autres contacts où des informations supplémentaires peuvent être obtenues ;
  3. la description des conséquences probables de la violation des données à caractère personnel
  4. description des mesures prises ou proposées pour remédier à la violation des données à caractère personnel, y compris, le cas échéant, des mesures visant à atténuer ses éventuels effets négatifs.

5.4 Lorsqu’il n’est pas possible pour Adloop de fournir les informations indiquées à la section 5.3 en même temps que la notification de la violation des données personnelles, les informations peuvent être fournies par étapes sans retard excessif.

6. Confidentialité et sécurité

6.1 Adloop s’assure que toutes les personnes autorisées à traiter les données à caractère personnel du Client sont tenues à une obligation de confidentialité à l’égard de ces données à caractère personnel, et ne traite ces données à caractère personnel que sur instruction du Client, à moins qu’elles ne soient tenues de le faire en vertu du droit applicable de l’UE ou d’un État membre de l’UE.

6.2 Adloop met en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque du traitement, en tenant compte de l’état de l’art, des coûts de mise en œuvre, ainsi que de la nature, de la portée, du contexte et des finalités du traitement. Cela comprend, entre autres, le cas échéant, des mesures visant à :

  1. mettre en œuvre et maintenir des mesures techniques et organisationnelles pour sauvegarder la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et services traitant les données personnelles ;
  2. rétablir la disponibilité et l’accès aux données personnelles en temps utile en cas d’incident ;
  3. tester, apprécier et évaluer régulièrement l’efficacité des mesures techniques et organisationnelles visant à garantir la sécurité du traitement ; et
  4. pseudonymiser et/ou crypter les données personnelles.

6.3 Sur demande, Adloop coopère avec l’autorité de contrôle dans l’exécution de ses tâches et se conforme aux décisions de l’autorité de contrôle sur les mesures de sécurité requises pour se conformer au GDPR. Si et dans la mesure où le Client ou l’autorité de surveillance donne l’instruction à Adloop d’exécuter toute mesure, activité ou action en dehors de la portée des Services convenus en vertu du Contrat, alors cette instruction sera considérée comme une demande de services supplémentaires en vertu du Contrat et des frais supplémentaires peuvent s’appliquer.

7. Sous-traitants et transferts vers des pays tiers

7.1 Le Client reconnaît qu’Adloop a besoin d’engager d’autres sous-traitants pour effectuer des activités de traitement spécifiques, et qu’Adloop souhaite fournir des services standard à ses clients d’une manière cohérente, sûre et efficace. En conséquence, le DPA constitue une autorisation générale du client pour l’utilisation par Adloop de sous-traitants secondaires. Adloop s’assure que les sous-traitants secondaires sont liés par un accord écrit qui les oblige à fournir au moins le niveau de protection des données requis par Adloop en vertu du présent DPA. Adloop informe le Client des changements concernant ses sous-traitants secondaires, y compris l’identité et la localisation des sous-traitants secondaires nouveaux ou remplacés. Une liste des sous-traitants secondaires (y compris leur nom, leur pays, leurs activités de traitement et le pays/la région où les activités de traitement sont effectuées) est disponible sur la page Web d’Adloop ou à un autre endroit désigné par Adloop de temps à autre. Adloop informera les Clients en ajoutant le nom et les détails susmentionnés des nouveaux sous-traitants et des sous-traitants de remplacement à la liste avant qu’ils ne commencent le traitement secondaire des données personnelles.

7.2 Lorsqu’un sous-traitant ultérieur ne remplit pas son obligation en matière de protection des données, Adloop reste entièrement responsable envers le client de l’exécution des obligations de ce sous-traitant ultérieur.

7.3 Si le Client a une objection raisonnable à l’égard d’un nouveau sous-processeur ou d’un sous-processeur de remplacement, il doit notifier cette objection à Adloop par écrit dans les dix (10) jours suivant la notification. Dans le cas où le Client s’oppose à l’utilisation d’un sous-processeur spécifique, les parties entameront des négociations de bonne foi sur la manière de résoudre le problème. Si les négociations ne permettent pas de résoudre le problème et que le Client s’oppose à l’utilisation par Adloop d’un sous-processeur spécifique, l’une ou l’autre des parties aura le droit, pour une raison justifiée et comme dernier recours, de résilier le Contrat concerné moyennant un préavis écrit de trente jours.

7.4 Adloop et ses sous-traitants peuvent transférer ou traiter des données personnelles en dehors de la zone UE/EEE.

7.5 Lorsque le transfert de données personnelles par Adloop à un sous-traitant en dehors de l’UE/EEE, est autorisé comme indiqué ci-dessus, en cas de transfert, Adloop s’assurera que le transfert est uniquement effectué vers (a) un pays considéré par la Commission comme ayant un niveau de protection adéquat, (b) des entités ayant conclu les clauses contractuelles types de la Commission européenne approuvées par l’Union européenne concernant le transfert de données personnelles vers l’extérieur de l’UE/EEE ou fourni d’autres garanties appropriées telles que décrites à l’article 46 du GDPR.

7.6 Sous réserve de ce qui précède et sous réserve qu’Adloop tienne le Client informé de tout transfert de données personnelles en dehors de l’UE/EEE, le Client donne son consentement aux transferts et autorise Adloop à convenir de l’utilisation des clauses de confidentialité au nom du Client et à représenter le Client concernant les conditions des clauses contractuelles standard qui se réfèrent aux droits et responsabilités du Client, comme indiqué dans l’Annexe 1.

8. Conservation de vos données

Adloop n’a aucune obligation de conserver et Adloop ne conservera aucune des données du Client après la résiliation de votre compte et/ou abonnement au Service.  Adloop supprimera ou retournera rapidement, au choix du Client, toutes les données personnelles liées au compte du Client après la fin de la fourniture des Services relatifs au traitement et supprimera les copies existantes, sauf si la législation applicable exige le stockage des données personnelles.

9. Audit

9.1 Adloop met à la disposition du Client, à sa demande, toutes les informations nécessaires pour démontrer le respect des obligations prévues par le présent DPA et le GDPR.

9.2 Le client ou un auditeur autorisé par le client (qui n’est toutefois pas un concurrent d’Adloop) est autorisé à contrôler les activités conformément à l’APD. Les parties conviendront du moment de l’audit et d’autres détails à l’avance et au plus tard 30 jours avant l’inspection. L’audit doit être effectué de manière à ne pas entraver les obligations d’Adloop ou de ses sous-traitants à l’égard des tiers. Les représentants du Client et de l’auditeur doivent signer des engagements conventionnels de non-divulgation. Le Client est responsable de ses propres dépenses et de celles d’Adloop occasionnées par l’audit. Si des défauts notables sont constatés lors de l’audit, Adloop est responsable des frais engagés pour y remédier.

9.3 . Sous réserve que les parties aient mis en place un accord de non-divulgation applicable, Adloop se réserve le droit de fournir au client une copie d’une certification ou d’un rapport d’une tierce partie au lieu d’un audit sur place tel que décrit au point 9.2 ci-dessus. Dans le cas où le client ne trouve pas toutes les informations raisonnablement nécessaires dans le rapport, alors 9.2. s’appliquera.

10. Dommages et intérêts

Adloop indemnisera le Client pour les dommages subis par le Client à la suite d’une faute ou d’une négligence d’Adloop, ou d’un sous-traitant d’Adloop, dans le traitement des données personnelles en violation du Contrat ou du présent DPA, y compris pour les réclamations des personnes concernées ou d’une autorité de contrôle à l’encontre du Client causées directement par la violation du présent DPA par Adloop.

À titre de précision, les limitations de responsabilité énoncées à la section 19 de l’accord s’appliquent.


Pièce 1

Clauses contractuelles types (sous-traitants)

aux fins de l’article 26, paragraphe 2, de la directive 95/46/CE pour le transfert de données à caractère personnel à des sous-traitants établis dans des pays tiers qui n’assurent pas un niveau adéquat de protection des données.

Client (tel que défini dans l’Accord) (l’exportateur de données)

Et

le(s) sous-traitant(s) ultérieur(s) d’Adloop tel(s) que défini(s) dans la section 7 de l’annexe 1 de l’accord (l’importateur de données).

chacun étant une “partie” ; ensemble “les parties”,

SONT CONVENUS des clauses contractuelles suivantes (les clauses) afin d’offrir des garanties adéquates en matière de protection de la vie privée et des libertés et droits fondamentaux des personnes pour le transfert par l’exportateur de données à l’importateur de données des données à caractère personnel spécifiées à l’annexe 1.

Clause 1 Définitions

Aux fins des présentes Clauses:

a) “données à caractère personnel”, “catégories particulières de données”, “processus/traitement”, “responsable du traitement”, “sous-traitant”, “personne concernée” et “autorité de contrôle” ont la même signification que dans la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

(b) “l’exportateur de données” : le responsable du traitement qui transfère les données à caractère personnel ;

c) “l’importateur de données” : le sous-traitant qui accepte de recevoir de l’exportateur de données des données à caractère personnel destinées à être traitées pour son compte après le transfert conformément à ses instructions et aux termes des clauses et qui n’est pas soumis au système d’un pays tiers assurant une protection adéquate au sens de l’article 25, paragraphe 1, de la directive 95/46/CE ;

d) “le sous-traitant ultérieur” : tout sous-traitant engagé par l’importateur de données ou par tout autre sous-traitant ultérieur de l’importateur de données qui accepte de recevoir de l’importateur de données ou de tout autre sous-traitant ultérieur de l’importateur de données des données à caractère personnel exclusivement destinées à des activités de traitement à effectuer pour le compte de l’exportateur de données après le transfert conformément à ses instructions, aux termes des clauses et aux termes du contrat de sous-traitance écrit ;

e) “la législation applicable en matière de protection des données” : la législation protégeant les droits et libertés fondamentaux des personnes et, en particulier, leur droit à la vie privée en ce qui concerne le traitement des données à caractère personnel, applicable à un responsable du traitement des données dans l’État membre dans lequel l’exportateur de données est établi ;

f) “mesures de sécurité techniques et organisationnelles” : les mesures visant à protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés, notamment lorsque le traitement implique la transmission de données par réseau, et contre toute autre forme de traitement illicite.

Clause 2 – Détails du transfert

Les détails du transfert et notamment les catégories particulières de données personnelles le cas échéant sont précisés dans l’annexe 1 qui fait partie intégrante des Clauses.

Clause 3 – Clause de tiers bénéficiaire

  1. La personne concernée peut opposer à l’exportateur de données la présente clause, la clause 4, points b) à i), la clause 5, points a) à e) et g) à j), la clause 6, paragraphes 1 et 2, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12 en tant que tiers bénéficiaire.
  2. La personne concernée peut faire valoir à l’encontre de l’importateur de données la présente clause, la clause 5, points a) à e) et g), la clause 6, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12, dans les cas où l’exportateur de données a disparu dans les faits ou a cessé d’exister en droit, à moins qu’une entité successeur n’ait assumé l’ensemble des obligations légales de l’exportateur de données par contrat ou par effet de la loi, de sorte qu’elle assume les droits et obligations de l’exportateur de données, auquel cas la personne concernée peut les faire valoir à l’encontre de cette entité.
  3. La personne concernée peut faire valoir à l’encontre du sous-traitant ultérieur la présente clause, la clause 5, points a) à e) et g), la clause 6, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12, dans les cas où l’exportateur de données et l’importateur de données ont tous deux disparu dans les faits ou cessé d’exister en droit ou sont devenus insolvables, à moins qu’une entité successeur n’ait assumé l’ensemble des obligations légales de l’exportateur de données par contrat ou par effet de la loi, de sorte qu’elle assume les droits et obligations de l’exportateur de données, auquel cas la personne concernée peut les faire valoir à l’encontre de cette entité. Cette responsabilité civile du sous-traitant ultérieur est limitée à ses propres opérations de traitement en vertu des Clauses.
  4. Les parties ne s’opposent pas à ce qu’une personne concernée soit représentée par une association ou un autre organisme si la personne concernée le souhaite expressément et si le droit national le permet.

Clause 4 – Obligations de l’exportateur de données

L’exportateur de données accepte et garantit :

a) que le traitement, y compris le transfert lui-même, des données à caractère personnel a été et continuera d’être effectué conformément aux dispositions pertinentes de la législation applicable en matière de protection des données (et, le cas échéant, a été notifié aux autorités compétentes de l’État membre où l’exportateur de données est établi) et ne viole pas les dispositions pertinentes de cet État ;

b) qu’il a donné des instructions et que, pendant toute la durée des services de traitement des données personnelles, il donnera des instructions à l’importateur de données pour qu’il traite les données personnelles transférées uniquement pour le compte de l’exportateur de données et conformément à la législation applicable en matière de protection des données et aux Clauses ;

c) que l’importateur de données fournira des garanties suffisantes en ce qui concerne les mesures de sécurité techniques et organisationnelles spécifiées à l’annexe 2 du présent contrat ;

d) qu’après évaluation des exigences de la législation applicable en matière de protection des données, les mesures de sécurité sont appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés, notamment lorsque le traitement implique la transmission de données sur un réseau, et contre toute autre forme illicite de traitement, et que ces mesures assurent un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger, compte tenu de l’état de l’art et du coût de leur mise en œuvre ;

(e) qu’il veillera au respect des mesures de sécurité ;

f) que, si le transfert concerne des catégories particulières de données, la personne concernée a été informée ou sera informée avant, ou le plus tôt possible après, le transfert que ses données pourraient être transmises à un pays tiers n’assurant pas une protection adéquate au sens de la directive 95/46/CE ;

g) de transmettre toute notification reçue de l’importateur de données ou de tout sous-traitant ultérieur conformément à la clause 5, point b), et à la clause 8, paragraphe 3, à l’autorité de contrôle de la protection des données si l’exportateur de données décide de poursuivre le transfert ou de lever la suspension ;

h) mettre à la disposition des personnes concernées, sur demande, une copie des clauses, à l’exception de l’annexe 2, et une description sommaire des mesures de sécurité, ainsi qu’une copie de tout contrat de services de sous-traitance qui doit être conclu conformément aux clauses, à moins que les clauses ou le contrat ne contiennent des informations commerciales, auquel cas il peut supprimer ces informations commerciales ;

i) que, en cas de sous-traitement, l’activité de traitement est effectuée conformément à la clause 11 par un sous-traitant offrant au moins le même niveau de protection des données à caractère personnel et des droits de la personne concernée que l’importateur de données en vertu des clauses ; et

(j) qu’il veillera au respect de la clause 4(a) à (i).

Clause 5 – Obligations de l’importateur de données

L’importateur de données accepte et garantit :

a) traiter les données à caractère personnel uniquement pour le compte de l’exportateur de données et conformément à ses instructions et aux Clauses ; s’il ne peut assurer cette conformité pour quelque raison que ce soit, il accepte d’informer rapidement l’exportateur de données de son incapacité à se conformer, auquel cas l’exportateur de données a le droit de suspendre le transfert de données et/ou de résilier le contrat ;

b) qu’il n’a aucune raison de croire que la législation qui lui est applicable l’empêche de respecter les instructions reçues de l’exportateur de données et ses obligations en vertu du contrat et que, en cas de modification de cette législation susceptible d’avoir un effet défavorable substantiel sur les garanties et obligations prévues par les clauses, il notifiera rapidement cette modification à l’exportateur de données dès qu’il en aura connaissance, auquel cas l’exportateur de données est en droit de suspendre le transfert de données et/ou de résilier le contrat ;

(c) qu’il a mis en œuvre les mesures de sécurité techniques et organisationnelles spécifiées à l’annexe 2 avant de traiter les données à caractère personnel transférées ;

(d) qu’il informera rapidement l’exportateur de données :

(i) toute demande juridiquement contraignante de divulgation des données à caractère personnel par une autorité chargée de l’application de la loi, sauf interdiction contraire, telle qu’une interdiction en vertu du droit pénal pour préserver la confidentialité d’une enquête policière,

(ii) tout accès accidentel ou non autorisé, et

(iii) toute demande reçue directement des personnes concernées sans répondre à cette demande, à moins qu’il n’ait été autrement autorisé à le faire ;

e) traiter rapidement et correctement toutes les demandes de l’exportateur de données relatives à son traitement des données à caractère personnel faisant l’objet du transfert et se conformer à l’avis de l’autorité de contrôle en ce qui concerne le traitement des données transférées ;

f) à la demande de l’exportateur de données, soumettre ses installations de traitement des données à un audit des activités de traitement couvertes par les clauses, qui sera effectué par l’exportateur de données ou par un organisme de contrôle composé de membres indépendants et possédant les qualifications professionnelles requises, liés par un devoir de confidentialité, choisis par l’exportateur de données, le cas échéant, en accord avec l’autorité de contrôle ;

g) mettre à la disposition de la personne concernée qui en fait la demande une copie des clauses ou de tout contrat de sous-traitance existant, à moins que les clauses ou le contrat ne contiennent des informations commerciales, auquel cas il peut supprimer ces informations commerciales, à l’exception de l’annexe 2 qui est remplacée par une description sommaire des mesures de sécurité dans les cas où la personne concernée n’est pas en mesure d’obtenir une copie auprès de l’exportateur de données ;

h) qu’en cas de sous-traitement, il a préalablement informé l’exportateur de données et obtenu son consentement écrit préalable ;

(i) que les services de traitement par le sous-traitant ultérieur seront effectués conformément à la clause 11 ;

j) envoyer rapidement à l’exportateur de données une copie de tout accord de sous-traitance secondaire qu’il conclut en vertu des Clauses.

Clause 6 – Responsabilité

  1. Les parties conviennent que toute personne concernée qui a subi un préjudice en raison d’une violation des obligations visées à la clause 3 ou à la clause 11 par une partie ou un sous-traitant a le droit d’être indemnisée par l’exportateur de données pour le préjudice subi.
  2. Si une personne concernée n’est pas en mesure d’introduire une demande d’indemnisation conformément au paragraphe 1 à l’encontre de l’exportateur de données, en raison d’une violation par l’importateur de données ou son sous-traitant ultérieur de l’une de leurs obligations visées à la clause 3 ou à la clause 11, parce que l’exportateur de données a disparu de fait ou a cessé d’exister en droit ou est devenu insolvable, l’importateur de données convient que la personne concernée peut émettre une réclamation à l’encontre de l’importateur de données comme s’il s’agissait de l’exportateur de données, à moins qu’une entité successeur n’ait assumé l’ensemble des obligations légales de l’exportateur de données par contrat ou par application de la loi, auquel cas la personne concernée peut faire valoir ses droits auprès de cette entité.

L’importateur de données ne peut se prévaloir d’un manquement d’un sous-traitant ultérieur à ses obligations pour s’exonérer de ses propres responsabilités.

  1. Si une personne concernée n’est pas en mesure d’intenter une action contre l’exportateur de données ou l’importateur de données visés aux paragraphes 1 et 2, en raison d’une violation par le sous-traitant ultérieur de l’une de ses obligations visées à la clause 3 ou à la clause 11, parce que l’exportateur de données et l’importateur de données ont tous deux disparu dans les faits ou cessé d’exister en droit ou sont devenus insolvables, le sous-traitant ultérieur convient que la personne concernée peut émettre une réclamation à l’encontre du sous-traitant ultérieur en ce qui concerne ses propres opérations de traitement en vertu des clauses, comme s’il était l’exportateur de données ou l’importateur de données, à moins qu’une entité successeur n’ait assumé l’ensemble des obligations légales de l’exportateur de données ou de l’importateur de données par contrat ou par effet de la loi, auquel cas la personne concernée peut faire valoir ses droits auprès de cette entité. La responsabilité du sous-traitant ultérieur est limitée à ses propres opérations de traitement en vertu des Clauses.

Clause 7 – Médiation et juridiction

  1. L’importateur de données convient que si la personne concernée invoque à son encontre des droits de tiers bénéficiaires et/ou demande une indemnisation pour des dommages en vertu des clauses, l’importateur de données acceptera la décision de la personne concernée :

a) de soumettre le différend à la médiation, par une personne indépendante ou, le cas échéant, par l’autorité de surveillance ;

b) de porter le litige devant les tribunaux de l’État membre dans lequel l’exportateur de données est établi.

  1. Les parties conviennent que le choix effectué par la personne concernée ne portera pas atteinte à ses droits substantiels ou procéduraux d’exercer des recours conformément à d’autres dispositions du droit national ou international.

Clause 8 – Coopération avec les autorités de surveillance

  1. L’exportateur de données s’engage à déposer une copie du présent contrat auprès de l’autorité de contrôle si celle-ci en fait la demande ou si ce dépôt est exigé par la loi applicable en matière de protection des données.
  2. Les parties conviennent que l’autorité de contrôle a le droit de procéder à un audit de l’importateur de données, et de tout sous-traitant ultérieur, qui a la même portée et est soumis aux mêmes conditions que celles qui s’appliqueraient à un audit de l’exportateur de données en vertu de la loi applicable sur la protection des données.
  3. L’importateur de données informe rapidement l’exportateur de données de l’existence d’une législation applicable à lui-même ou à tout sous-traitant ultérieur empêchant la réalisation d’un audit de l’importateur de données, ou de tout sous-traitant ultérieur, conformément au paragraphe 2. Dans ce cas, l’exportateur de données est autorisé à prendre les mesures prévues à la clause 5, point b).

Clause 9 – Loi constitutive

Les Clauses sont régies par le droit de l’État membre dans lequel l’exportateur de données est établi.

Clause 10 – Variation du contrat

Les parties s’engagent à ne pas varier ou modifier les Clauses. Cela n’empêche pas les parties d’ajouter, le cas échéant, des clauses sur des questions liées aux affaires, pour autant qu’elles ne contredisent pas la Clause.

Article 11 – Sous-traitance

  1. L’importateur de données ne peut sous-traiter aucune de ses opérations de traitement effectuées pour le compte de l’exportateur de données en vertu des Clauses sans le consentement écrit préalable de l’exportateur de données. Lorsque l’importateur de données sous-traite ses obligations en vertu des Clauses, avec le consentement de l’exportateur de données, il ne doit le faire que par le biais d’un accord écrit avec le sous-traitant ultérieur qui impose au sous-traitant ultérieur les mêmes obligations que celles imposées à l’importateur de données en vertu des Clauses. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données en vertu d’un tel accord écrit, l’importateur de données reste entièrement responsable envers l’exportateur de données de l’exécution des obligations du sous-traitant ultérieur en vertu dudit accord.
  2. Le contrat écrit préalable entre l’importateur de données et le sous-traitant ultérieur doit également prévoir une clause de tiers bénéficiaire telle que prévue à la clause 3 pour les cas où la personne concernée n’est pas en mesure d’introduire la demande d’indemnisation visée au paragraphe 1 de la clause 6 à l’encontre de l’exportateur de données ou de l’importateur de données parce qu’ils ont disparu de fait ou ont cessé d’exister en droit ou sont devenus insolvables et qu’aucune entité successeur n’a assumé l’ensemble des obligations légales de l’exportateur de données ou de l’importateur de données par contrat ou de plein droit. Cette responsabilité civile du sous-traitant ultérieur est limitée à ses propres opérations de traitement en vertu des Clauses.
  3. Les dispositions relatives aux aspects de la protection des données pour le sous-traitement du contrat visé au paragraphe 1 sont régies par le droit de l’État membre dans lequel l’exportateur de données est établi.
  4. L’exportateur de données tient une liste des accords de sous-traitance secondaire conclus en vertu des clauses et notifiés par l’importateur de données conformément à la clause 5, point j), qui est mise à jour au moins une fois par an. Cette liste est à la disposition de l’autorité de contrôle de la protection des données de l’exportateur de données.

Clause 12 – Obligation après la cessation des services de traitement des données à caractère personnel

  1. Les parties conviennent qu’à la fin de la prestation de services de traitement des données, l’importateur de données et le sous-traitant ultérieur, au choix de l’exportateur de données, renverront toutes les données à caractère personnel transférées et les copies de celles-ci à l’exportateur de données ou détruiront toutes les données à caractère personnel et certifieront à l’exportateur de données qu’ils l’ont fait, sauf si la législation imposée à l’importateur de données l’empêche de renvoyer ou de détruire tout ou partie des données à caractère personnel transférées. Dans ce cas, l’importateur de données garantit qu’il assurera la confidentialité des données personnelles transférées et qu’il ne traitera plus activement les données personnelles transférées.
  2. L’importateur de données et le sous-traitant ultérieur garantissent que, à la demande de l’exportateur de données et/ou de l’autorité de contrôle, ils soumettront leurs installations de traitement des données à un audit des mesures visées au paragraphe 1.