Pay - CM Payments - Data Processing Addendum (DPA)

Version: Avril 1, 2023

Le présent Addendum relatif au Traitement des Données (« ATD ») fait partie intégrante de l’Accord entre le Marchand et CMP couvrant l’utilisation des Services CMP par le Marchand.

1. Définitions et interprétation

Les termes commençant par une majuscule dans les présentes Conditions générales sont des termes définis qui ont la signification qui leur est attribuée dans la présente clause.

Mesures techniques et organisationnelles: mesures visant à protéger les Données à caractère personnel contre la destruction accidentelle ou illégale, la perte accidentelle, l’altération, la divulgation ou l’accès non autorisé et contre toutes autres formes illégales de Traitement.

Personne concernée: une personne physique identifiée ou identifiable par des Données à caractère personnel.

Responsable du traitement: la personne physique ou morale, l’autorité publique, l’agence ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des Données à caractère personnel.

Sous-traitant: la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du Responsable du traitement.

Sous-traitant ultérieur: une partie engagée par CMP pour des activités de traitement pour lesquelles CMP est un Sous-traitant en vertu du présent ATD, répertoriée sur : www.cm.com/trust-center/privacy/.

Traitement/Traiter: toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des Données à caractère personnel ou des ensembles de Données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Violation de Données à caractère personnel: une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation ou la consultation non autorisée des Données à caractère personnel transmises, stockées ou autrement traitées.

L’expression « Analyse d’impact relative à la protection des données » s’entend au sens qui lui est donné dans les Lois applicables sur la protection des données.

1.2. Les références aux Lois applicables sur la protection des données devront être substituées par ou intégrer les lois remplaçant ou modifiant lesdites Lois applicables sur la protection des données, et les termes équivalents définis dans ces lois, une fois en vigueur et applicables.

1.3. Le présent Addendum relatif au Traitement des Données s’applique exclusivement au traitement des Données à caractère personnel par CMP en tant que Sous-traitant pour le compte du Marchand. En cas de conflit, les clauses du présent Addendum relatif au Traitement des Données concernant le Traitement des Données à caractère personnel prévaudront sur les clauses de l’ Accord. Si des clauses individuelles du présent Addendum relatif au Traitement des Données étaient déclarées nulles ou inapplicables, la validité et l’applicabilité des autres clauses n’en seraient pas affectées. Trust Center : www.cm.com/trust-center/.

2. Portée et applicabilité

2.1 Le présent ATD s’applique aux activités de traitement des Données à caractère personnel, pour lesquelles CMP est un Sous-traitant soumis aux Lois applicables sur la protection des données.

2.2 CMP est un Sous-traitant pour les activités de traitement visées à la clause 6 du présent ATD.

3. Obligations du Marchand

3.1 Dans le cadre de son utilisation du Service CMP, le Marchand devra traiter les Données à caractère personnel conformément aux exigences des Lois applicables sur la protection des données. Les instructions du Marchand pour le Traitement des Données à caractère personnel devront être conformes aux Lois applicables sur la protection des données. Le Marchand est responsable de l’exactitude, de la qualité et de la légalité des Données à caractère personnel et des modalités de leur acquisition. Le Marchand veille à répondre à toutes les exigences de traitement et de transfert des Données à caractère personnel en vertu des Lois applicables, y compris, mais sans s’y limiter, en s’assurant de l’existence d’un fondement juridique pour le traitement et/ou les transferts transfrontaliers. Si le Marchand ne peut plus remplir ses obligations en ce qui concerne le traitement des Données à caractère personnel en vertu des Lois applicables et/ou de l’Accord, le Marchand doit en informer CMP dans les meilleurs délais.

3.2 Sans limiter la portée générale de toute autre disposition de l’Accord, avant d’utiliser le Service CMP, le Marchand devra obtenir le consentement éclairé vérifiable des Utilisateurs finaux ou être en mesure de fournir une confirmation de toute autre base légale applicable pour le Traitement, et devra conserver un dossier sur chaque consentement et/ou base juridique. Sur notification écrite raisonnable, le Marchand devra fournir les informations demandées et requises par CMP, tout Réseau de paiement, tout régulateur ou toute autre autorité compétente concernant la base juridique du traitement.

4. Obligations du Sous-traitant

4.1 Instructions

CMP traitera les Données à caractère personnel conformément au présent ATD et à l’Accord, et aux fins et de la manière spécifiées par le Marchand de temps à autre dans l’Accord, et à d’autres instructions qui relèvent du champ d’application de l’Accord.

4.2 Mesures techniques et organisationnelles

4.2.1 En tenant compte du niveau de sophistication, de la nature, de la portée, du contexte et des finalités du Traitement, ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, CMP mettra en œuvre des Mesures techniques et organisationnelles appropriées (y compris la protection contre le Traitement non autorisé ou illégal et contre la destruction accidentelle ou illégale, la perte, l’altération ou l’endommagement, la divulgation ou la consultation non autorisées des Données à caractère personnel) pour garantir un niveau de sécurité approprié en fonction du risque. Des informations à jour concernant les Mesures techniques et organisationnelles sont disponibles sur www.cm.com/trust-center/security/.

4.2.2 CMP examinera, évaluera et testera l’efficacité des Mesures techniques et organisationnelles pour assurer la sécurité permanente du Traitement. CMP devra continuellement améliorer et renforcer les Mesures techniques et organisationnelles au besoin.

4.3 Exigences relatives au personnel

CMP s’assure que les personnes autorisées à traiter les Données à caractère personnel s’engagent à en respecter la confidentialité ou sont soumises à une obligation légale de confidentialité appropriée. L’accès aux Données à caractère personnel est limité au personnel qui en a besoin pour exécuter les Services CMP en vertu de l’Accord.

4.4. Confidentialité

CMP accepte de préserver la confidentialité des Données à caractère personnel. Plus particulièrement, CMP convient de ne pas divulguer les Données à caractère personnel qui lui sont fournies de la part, pour le compte ou au nom du Marchand à un tiers, sans avoir préalablement obtenu le consentement du Marchand, sauf en fonction de ce qui est prévu et requis pour exécuter le Service CMP en vertu du Accord ou d’impératifs législatifs.

4.5 Droits des Personnes concernées

4.5.1 Si le Marchand le demande à CMP, CMP doit transférer, corriger, supprimer ou bloquer les Données à caractère personnel si le Marchand reçoit une demande de la part d’une Personne concernée d’exercer son droit d’accès, son droit de rectification, de limitation du Traitement, d’effacement (« droit à l’oubli »), son droit à la portabilité des données, d’opposition au Traitement, ou son droit de ne pas faire l’objet d’une prise de décision individuelle automatisée (« Demande de personne concernée »).

4.5.2 CMP doit informer le Marchand si CMP reçoit une Demande de personne concernée. Compte tenu de la nature du Traitement, CMP devra aider le Marchand à répondre à une Demande de personne concernée en vertu des Lois applicables sur la protection des données. CMP devra aider le Marchand, dans la mesure où CMP est légalement autorisée à le faire et où la réponse à ladite Demande de personne concernée est requise en vertu des Lois sur la protection des données.

4.6 Aide à la conformité du Marchand

CMP devra fournir au Marchand l’aide supplémentaire raisonnablement requise pour assurer que le Marchand se conforme à ses obligations en vertu des Lois sur la protection des données, y compris en ce qui concerne :

a) l’analyse d’impact relative à la protection des données, en fournissant les informations et la collaboration que le Marchand peut exiger afin de l’aider à effectuer une analyse d’impact relative à la protection des données et procéder à des examens périodiques permettant d’évaluer si le Traitement des Données à caractère personnel est effectué conformément à l’analyse d’impact relative à la protection des données ;

b) la consultation préalable d’une autorité de contrôle chargée de la protection des données concernant le Traitement à haut risque.

4.7 Conformité, informations et audit

4.7.1 CMP a obtenu les certifications de tiers spécifiées dans le Trust Center sur le site Web de CMP à l’adresse www.cm.com/trust-center/, qui fournit des informations sur les Mesures techniques et organisationnelles, la confidentialité, la conformité, la gestion des risques et la sécurité des données. Sur demande écrite du Marchand, et sous réserve des obligations de confidentialité énoncées dans l’Accord, CMP mettra à la disposition du Marchand, qui n’est pas un concurrent de CMP (ou l’auditeur tiers indépendant du Marchand qui n’est pas un concurrent de CMP), une copie des informations et certificats tiers les plus récents de CMP concernant l’architecture et la sécurité informatiques, selon ce qui est applicable et raisonnablement demandé. Il appartient au Marchand d’évaluer les informations mises à disposition par CMP et de déterminer si elles satisfont aux exigences et obligations du Marchand en vertu des Lois applicables sur la protection des données. Le Marchand convient que les informations fournies en vertu des présentes serviront à satisfaire les droits d’audit du Marchand en vertu des Lois applicables sur la protection des données.

4.7.2 Si les informations fournies par CMP sont insuffisantes pour prouver le respect du présent ATD, le Marchand est en droit de nommer un expert externe accrédité au plus une fois par an pour vérifier les procédures de Traitement des données pour le Marchand. CMP apportera son concours à un tel audit après avoir été notifiée par écrit au minimum dix (10) Jours ouvrables à l’avance. Le Marchand devra rembourser le temps consacré par CMP à un tel audit sur la base des tarifs que CMP applique alors à ses Services CMP professionnels et qui seront mis à la disposition du Marchand sur demande. Avant d’initier un tel audit, les Parties devront convenir mutuellement de la portée, la date et la durée de l’audit, en plus du taux de remboursement dont le Marchand sera responsable.

4.7.3 CMP est en droit de demander à l’expert externe de signer une déclaration de confidentialité en faveur de CMP. La déclaration de confidentialité doit contenir les conditions générales habituellement utilisées pour ce type de déclaration. Tout rapport ou toute déclaration fournis par l’expert externe doit être mis à la disposition de CMP. Le Marchand doit s’assurer que l’audit entrave le moins possible les opérations de CMP.

4.8 Dossiers

CMP devra conserver des dossiers complets, exacts et à jour des activités de Traitement effectuées pour le compte de ses Marchands.

4.9 Sociétés affiliées et sous-traitants ultérieurs

4.9.1 Certaines ou l’ensemble des obligations de CMP en vertu du Accord peuvent être assumées par les Sociétés affiliées de CMP. CMP est responsable de la conformité de ses Sociétés affiliées au Accord.

4.9.2 Le Marchand reconnaît et accepte que a) les Sociétés affiliées de CMP peuvent être engagées en tant que Sous-traitants ultérieurs ; et b) CMP et les Sociétés affiliées de CMP peuvent respectivement engager des Sous-traitants ultérieurs tiers dans le cadre de la fourniture des Services CMP. À condition dans tous les cas que CMP ou une Société affiliée de CMP ait conclu un accord écrit avec chaque Sous-traitant ultérieur contenant des obligations de protection des données au minimum aussi protectrices que celles de l’Accord en ce qui concerne la protection des Données à caractère personnel dans la mesure applicable à la nature du Service CMP fourni par ledit Sous-traitant ultérieur et CMP tient à jour une liste de Sous-traitants ultérieurs. La liste à jour des Sous-traitants ultérieurs de CMP est disponible sur : www.cm.com/trust-center/privacy/. CMP informera le Marchand trente (30) jours avant toute modification apportée à la liste des Sous-traitants ultérieurs. Dans ce délai, le Marchand peut s’opposer à la modification de la liste des Sous-traitants ultérieurs, à condition que cette opposition soit formulée par écrit et repose sur des motifs raisonnables en vertu des Lois applicables sur la protection des données. Les Parties s’efforceront de bonne foi de résoudre l’opposition du Marchand. Si l’opposition n’est pas résolue dans les trente (30) jours, l’une ou l’autre des Parties peut résilier l’Accord.

4.9.3 CMP sera responsable de chacun de ses Sous-traitants ultérieurs tout autant que CMP serait responsable si elle fournissait les services de chaque Sous-traitant ultérieur directement en vertu des conditions de l’Accord.

4.10 Notification de violation

En cas de Violation de données à caractère personnel, CMP devra :

a) notifier le Marchand de la Violation de données à caractère personnel impliquant CMP ou un sou- traitant, sans retard injustifié (mais, en aucun cas, plus de quarante-huit heures après avoir pris connaissance de la Violation de données à caractère personnel) ;

b) coopérer avec le Marchand et l’aider de manière raisonnable concernant toute mesure à prendre en réponse à une Violation de données à caractère personnel en vertu des Lois applicables sur la protection des données, telles que l’article 33 paragraphe 3) et l’article 34 paragraphe 3) du RGPD, y compris concernant toute communication de la Violation de Données à caractère personnel à la Personne concernée et aux autorités chargées de la protection des données.

CMP enquêtera rapidement sur toute Violation de données à caractère personnel et prendra des mesures raisonnables pour identifier sa ou ses causes profondes et prévenir toute récurrence. Au fur et à mesure que les informations seront recueillies ou deviendront autrement disponibles, à moins que la loi ne l’interdise, CMP fournira au Marchand une description de la Violation de données à caractère personnel, du type de données qui a fait l’objet de la Violation de données à caractère personnel, et d’autres informations que le Marchand pourra raisonnablement demander. Les Parties conviennent de coordonner de bonne foi la formulation du contenu de toute déclaration publique connexe ou de toute notification requise à l’intention des Personnes concernées et/ou des autorités compétentes en matière de protection des données.

5.Transfert transfrontalier de données

Dans la mesure où l’engagement d’un Sous-traitant ultérieur en vertu de la clause 4.9 nécessite un mécanisme de transfert transfrontalier en vertu des Lois applicables sur la protection des données pour transférer légalement des données à caractère personnel d’un pays (c.-à-d., l’Espace économique européen, le Royaume-Uni ou tout autre pays concerné) vers un tiers situé en dehors de ce pays, les conditions suivantes s’appliqueront. Le Marchand autorise CMP à transférer des Données à caractère personnel en dehors du pays dans lequel CMP est situé et dans lequel les Données à caractère personnel ont été reçues pour la première fois, pour autant que CMP veille à ce que ces transferts soient réalisés conformément au présent ATD et à un mécanisme de transfert de données légal qui offre un niveau de protection adéquat en vertu des Lois applicables sur la protection des données.

6.Stockage, conservation et suppression des Données à caractère personnel

CMP devra traiter et conserver les données, y compris les Données à caractère personnel, conformément au Droit applicable, aux réglementations, et notamment, la législation nationale sur les télécommunications et les Lois applicables sur la protection des données. Les données, y compris les Données à caractère personnel, transmises à la plateforme de CMP devront être Traitées et stockées conformément à la politique de conservation des données de CMP. Les Données à caractère personnel ne devront pas être conservées plus longtemps que nécessaire pour fournir les Services CMP en vertu de l’ Accord, aux fins énoncées dans l’Accord et dans la mesure où cela est requis et/ou autorisé en vertu du Droit applicable. CMP devra désidentifier ou dépersonnaliser les données pour obtenir des données anonymisées après la période de conservation applicable. Les données résultant de ces opérations ne renfermeront pas de Données à caractère personnel ou d’identifiants uniques qui pourraient ultérieurement être utilisés pour faire référence aux Données à caractère personnel auxquelles elles étaient associées auparavant.

7.Description du Traitement

7.1 Nature et finalité du Traitement

CMP Traitera les Données à caractère personnel dans la mesure nécessaire pour exécuter les Services CMP conformément à l’Accord, tel que spécifié plus en détail dans l’Accord, et selon les instructions du Marchand dans le cadre de l’Accord.

7.2 Durée du Traitement

CMP traitera les Données à caractère personnel pendant la durée de l’Accord et conformément à la clause 6 du présent ATD.

7.3 Catégories de Personnes concernées

Le Marchand pourra soumettre des données à CMP en utilisant le Service CMP, dont le contenu est déterminé et contrôlé par le Marchand, à son entière discrétion, et qui peuvent inclure, mais sans s’y limiter, les Données à caractère personnel relatives aux catégories de Personnes concernées énumérées en Annexe 1

7.4 Type de Données à caractère personnel

Le Marchand pourra transmettre des Données à caractère personnel aux Services CMP, dont le type sera déterminé et contrôlé par le Marchand, à son entière discrétion, et qui peuvent inclure, mais sans s’y limiter, les catégories de Données à caractère personnel énumérées en Annexe 1.

Annexe 1 : Description des personnes concernées et catégories de données à caractère personnel

Personnes concernées:

• Marchands ou Marchands potentiels (qui sont des personnes physiques) du Marchand ou de ses Clients;

• Employés, sous-contractants, conseillers, travailleurs indépendants ou personnes embauchées par le Marchand ou ses Clients;

• Interlocuteurs des prospects, Clients et partenaires commerciaux du Marchand;

• Utilisateurs du Marchand autorisés par le Marchand à utiliser les Services CMP.

Catégories de données à caractère personnel:

• Nom du Client;

• Email et/ou numéro de téléphone du Client;

• Mode de paiement;

• Détails de la Carte;

• Données de consommation;

• Données relatives aux Transactions;

• Données sur la probabilité de fraude.