Traitement des données à caractère personnel pour le compte des clients Marketing Studio
PREAMBULE
La société ALPHALYR, immatriculée au registre du commerce et des sociétés de Paris sous le n°799 351 879 (ci-après le « Sous-Traitant »), développe et commercialise un module d’optimisation des dépenses média online, conçu pour tracker et rémunérer la chaîne de conversion (ci-après « Marketing Studio »).
ARTICLE 1 — OBJET
Les présentes clauses ont pour objet de définir les conditions dans lesquelles le Sous-traitant s’engage à effectuer pour le compte du Client les opérations de traitement de données à caractère personnel définies ci-après.
Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le règlement européen sur la protection des données »).
ARTICLE 2 — RESPONSABLE DE TRAITEMENT
Le Client nomme un Responsable de Traitement.
ARTICLE 3 — TRAITEMENTS MARKETING STUDIO
3.1 TRAITEMENTS ET FINALITES
Le sous-traitant est autorisé à traiter pour le compte du Responsable de Traitement les données à caractère personnel nécessaires pour fournir le ou les services suivants :
- Analyse du parcours de conversion,
- Rémunération en temps réel les différents partenaires,
- Tracking des visites du site internet du Client,
- Détection des fraudes partenaires.
Nature des traitements :
- Stockage dans une base de données,
- Géolocalisation du trafic internet et affichage,
- Analyse des données de transaction.
Finalités des traitements :
- Sauvegarde de l’ensemble de la base de données afin de pouvoir restaurer en cas de panne,
- Contrôle de fraudes de faux trafics internet,
- Fourniture des informations de transaction au Client, et des informations sur les profils de leurs internautes (appareil de connexion notamment).
3.2 DONNES ET PERSONNES CONCERNEES
Pour l’exécution du service objet du présent contrat, le Responsable de Traitement met à la disposition du sous-traitant les données à caractère personnel suivantes :
- Adresse IP des internautes (informations liées aux bornes),
- Références et informations de transactions dont adresses e-mail (cryptées).
Les catégories de personnes concernées sont les internautes du ou des site(s) internet du Client.
3.3 MESURES DE SECURITE
Le sous-traitant s’engage à mettre en œuvre les mesures de sécurité suivantes :
- Adresses e-mail cryptées,
- Serveurs sécurisés.
ARTICLE 4 — OBLIGATIONS DU SOUS-TRAITANT
4.1 OBLIGATIONS RELATIVES AUX TRAITEMENTS
Le sous-traitant s’engage à :
- Traiter les données uniquement pour les seules finalités qui font l’objet de la sous-traitance ;
- Traiter les données conformément aux instructions documentées du responsable de traitement ;
- Informer immédiatement le Responsable de Traitement s’il considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données.
4.2 OBLIGATIONS RELATIVES A LA CONFIDENTIALITE
Le sous-traitant s’engage à :
- Garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent contrat ;
- Veiller à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
- Prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut.
4.3 OBLIGATIONS DE NOTIFICATION
En cas de violation de Données Personnelles qui lui incombe, le Sous-traitant s’engage à informer le Responsable de Traitement, dans les meilleurs délais après en avoir eu connaissance, par courrier électronique dans le respect des procédures de notifications prévues par le Règlement européen sur la protection des données et en joignant l’ensemble de la documentation utile afin de permettre au Responsable de Traitement, si nécessaire, de notifier cette violation de données personnelles à l’autorité de contrôle compétente.
4.4 OBLIGATIONS DE FIN DE CONTRAT
Au terme de la prestation de services relatifs au traitement de ces données, le Client informera le sous-traitant du sort des données. Il pourra opter à ce moment-là pour la destruction des données à caractère personnel ou leur renvoie au Responsable de Traitement.
ARTICLE 5 — TRANSFERE DE DONNEES HORS UE ET SOUS-TRAITANCE ULTÉRIEURE
5.1 Les données à caractère personnel du Client et traitées par le Sous-traitant dans le cadre de ses missions sont traitées en Union Européenne.
5.2 Par exception aux dispositions de l’article 5.1, le Sous-traitant peut confier ponctuellement les Traitements de données aux salariés de sa ou ses filiale(s) hors Union Européenne, détenue(s) à au moins 99%. Dans ce cas, le Sous-traitant s’engage à mettre en place les dispositions de l’article 4.2 relatives à la confidentialité des données.
Le Client reconnaît qu’il accepte les dispositions précédentes et que, dans le cas où son Responsable de Traitement s’opposerait à ces conditions, le Sous-traitant serait en droit de proposer au Client une clause spécifique relative aux traitements de données sur le territoire français, moyen un surcoût à la charge du Client.
ARTICLE 6 — OBLIGATIONS DU RESPONSABLE DE TRAITEMENT
Le Responsable de Traitement s’engage à :
- Fournir au sous-traitant les données visées à l’Article 3.2 des présentes clauses ;
- Documenter par écrit toute instruction concernant le traitement des données par le sous-traitant ;
- Veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen sur la protection des données de la part du sous-traitant ;
- Superviser le traitement, y compris réaliser les audits et les inspections auprès du sous-traitant.
Il appartient au Responsable de Traitement de notifier la violation de données personnelles à la CNIL ou toute autorité de contrôle compétente.
Le Client et le Responsable de traitement sont seuls responsables des obligations d’information relatives aux traitements de données des personnes concernées au moment de la collecte des données.
ARTICLE 7 — CONTACTS
Délégué à la Protection des Données : Angèle Allant | aa@alphalyr.com.