ACCORD SUR LE TRAITEMENT DES DONNÉES PERSONNELLES

Le présent accord sur le traitement des données (ci-après dénommé le DPA) fait partie des conditions générales d’utilisation des services de Sendinblue (ci-après dénommées l’accord). Tous les termes en majuscules qui ne sont pas définis dans la présente DPA ont la même signification que celle qui leur est donnée dans l’Accord.

Le présent DPA a pour objet de définir les conditions dans lesquelles Sendinblue s’engage à effectuer, pour le compte de l’Utilisateur, les traitements de données définis ci-après.

Dans le cadre du présent DPA, l’Utilisateur agit en tant que Contrôleur de données et Sendinblue en tant que Processeur de données au sens de la loi européenne sur la protection des données.

1 – DÉFINITIONS

Données de l’Utilisateur désigne toutes les Données Personnelles que Sendinblue traite pour le compte de l’Utilisateur en tant que Responsable du Traitement dans le cadre de la fourniture des services.

Le contrôleur de données est l’utilisateur (Werku Tools SA).

Processeur de données signifie Sendinblue.

Loi européenne sur la protection des données désigne le Règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement général sur la protection des données).

(GDPR).

EEE : Espace économique européen.

Informations personnelles : toute information concernant une personne physique identifiée ou identifiable.

Traitement a la signification qui lui est attribuée dans le GDPR et processus, processus et traité seront interprétés en conséquence.

Sous-traitant désigne tout processeur de données engagé par Sendinblue pour l’aider à remplir ses obligations en ce qui concerne la fourniture des services conformément à l’accord ou à ce DPA. Les sous-traitants peuvent être des tiers ou des membres du groupe Sendinblue.

2 – DÉTAILS DU TRAITEMENT DES DONNÉES

2.1 Sendinblue traitera les données de l’utilisateur uniquement aux fins décrites dans le RGPD et uniquement conformément aux instructions légales documentées de l’utilisateur. Les Parties conviennent que cette DPA et l’Accord établissent les instructions complètes et finales de l’Utilisateur à Sendinblue en ce qui concerne le traitement des données de l’Utilisateur.

2.2 Durée : Entre Sendinblue et l’Utilisateur, la durée du traitement des données en vertu de cette DPA est jusqu’à la résiliation de l’Accord conformément à ses termes.

2.3 Finalité : La finalité du traitement des données en vertu du présent DPA est l’envoi d’e-mails et/ou de SMS marketing et/ou transactionnels.

2.4 Les opérations de traitement des données effectuées par Sendinblue pour le compte de l’utilisateur sont définies ci-dessous :

– Stockage des listes de contacts téléchargées par l’utilisateur
– Envoi de messages électroniques ou SMS automatisés ou non automatisés (y compris le suivi des commandes, la confirmation des commandes, les lettres d’information)
– Conservation et analyse des données de délivrabilité des courriels (affichage de reciblage)
– Collecte des désinscriptions et des informations relatives à l’utilisateur
– Collecte des consentements (dans le cas où l’utilisateur utilise le formulaire Sendinblue pour récupérer les données de contact de son propre site)
– Analyse du comportement des destinataires des courriers électroniques (suivi des taux d’ouverture, des taux de clics et des taux de rebond au niveau individuel).

 2.5 Catégories de personnes concernées : Toute personne : (i) dont l’adresse électronique est incluse dans la liste de distribution de l’Utilisateur ; (ii) dont les informations sont stockées ou collectées par le biais des Services ; ou (iii) à qui l’Utilisateur envoie des courriers électroniques ou s’engage ou communique par le biais des Services et, plus précisément, les clients et les prospects.

2.6 Types de données de l’utilisateur : tout type de données déterminées et contrôlées par l’utilisateur à sa seule discrétion, dans le cadre de son utilisation et de la configuration des services, telles que les coordonnées (telles que l’adresse électronique et le numéro de téléphone) ; les informations informatiques (adresses IP, données des cookies).

3 – OBLIGATIONS DE L’UTILISATEUR

3.1 Si l’Utilisateur est établi dans l’Union européenne, ou si sa Liste de distribution contient des Données personnelles de citoyens membres de l’Union européenne, l’Utilisateur accepte de se conformer à ses obligations en tant que Responsable du traitement en vertu de la Loi européenne sur la protection des données, et en particulier :
– que les données personnelles contenues dans les fichiers transmis ont été collectées et traitées conformément à la réglementation applicable
– que l’utilisateur a informé les personnes concernées conformément à la réglementation applicable
– Le cas échéant, que les personnes concernées ont donné leur consentement à la collecte et au traitement
– que les personnes concernées pourront exercer leurs droits conformément à la réglementation applicable
– Que l’utilisateur s’engage à faire rectifier, compléter, clarifier, mettre à jour ou effacer les informations qui sont inexactes, incomplètes, équivoques, périmées ou dont la personne concernée souhaite interdire la collecte, l’utilisation, la communication ou la conservation.

3.2 Il est précisé que l’Utilisateur est seul responsable de la gestion des durées de conservation des Données Personnelles qu’il télécharge sur la plateforme Sendinblue, et qu’il lui appartient de supprimer les données à l’expiration de leur durée de conservation. Sendinblue est seul responsable de la suppression de ces données à la fin de sa relation contractuelle avec l’Utilisateur.

3.3 L’Utilisateur s’engage à ne pas inclure dans les listes de distribution téléchargées sur la plateforme des Données Personnelles dites « sensibles » au sens de l’article 9 du RGPD.

4 – OBLIGATIONS DE SENDINBLUE

4.1 Respect des instructions et réglementations de l’Utilisateur.
Sendinblue s’engage à :
– Traiter les Données à caractère personnel uniquement aux fins énoncées dans le présent RGPD.
– Traiter les Données à caractère personnel conformément aux instructions du responsable du traitement. Si Sendinblue considère qu’une instruction constitue une violation de la législation européenne sur la protection des données, elle en informera immédiatement l’utilisateur.
– Assurer la confidentialité des données personnelles traitées dans le cadre de cet accord
– Veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent DPA :

– s’engagent à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité
– Recevoir la formation nécessaire à la protection des données personnelles ; nommer un délégué à la protection des données : Jules Jeanroy, dpo@sendinblue.com

– Tenir un registre répertoriant les traitements effectués pour le compte du Responsable du traitement, comprenant l’ensemble des informations énumérées à l’article 30 (2) du RGPD.

4.2 Sécurité : Sendinblue s’engage à prendre toutes précautions utiles, au regard de la nature des Données Personnelles et des risques présentés par le traitement, pour préserver la sécurité des Données Personnelles et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. Sendinblue s’engage dans ce cadre à mettre en œuvre les moyens techniques et organisationnels appropriés pour assurer la sécurité et la confidentialité des Données Personnelles.

techniques et organisationnelles appropriées en matière de sécurité et de confidentialité.

4.3 Fuite de données : Dès qu’elle aura connaissance d’une violation de Données à caractère personnel, Sendinblue en informera l’Utilisateur dans les 72 heures suivant sa prise de connaissance, par notification via le compte client de l’Utilisateur ou par courriel à l’adresse, notamment pour permettre à l’Utilisateur, de se conformer à l’obligation prévue à l’article 33 du GDPR.

4.4 Destruction : A tout moment au cours de l’exécution du Contrat, l’Utilisateur peut accéder ou supprimer les Données Personnelles traitées par Sendinblue directement depuis son compte client en cliquant sur le « bouton d’exportation » dans son compte client. A la fin de la relation contractuelle, Sendinblue s’engage, à la demande de l’Utilisateur, à détruire toutes les Données Personnelles, ou à les retourner à l’Utilisateur ou à un autre responsable du traitement désigné par eux si cela est techniquement possible et dans un délai maximum de 3 mois. La restitution doit s’accompagner de la destruction des copies existantes dans les systèmes d’information de Sendinblue, à moins qu’une loi applicable n’exige leur conservation. Sendinblue s’engage à fournir à l’Utilisateur, sur demande, la preuve de cette destruction.

5 – ASSISTANCE ET AUDIT

 5.1 Assistance : Dans la mesure où l’Utilisateur ne peut pas accéder de manière indépendante aux Données de l’Utilisateur pertinentes au sein des services, Sendinblue fournira (aux frais de l’Utilisateur) une coopération raisonnable pour aider l’Utilisateur à répondre à toute demande émanant d’individus ou d’autorités de protection des données applicables concernant le traitement des Données à caractère personnel en vertu de l’Accord. Dans le cas où une telle demande est adressée directement à Sendinblue, Sendinblue ne répondra pas directement à cette communication sans l’autorisation préalable de l’Utilisateur, sauf si elle est légalement tenue de le faire. Si Sendinblue est tenu de répondre à une telle demande, Sendinblue en informera rapidement l’Utilisateur et lui fournira une copie de la demande, sauf si la loi l’interdit.

5.2 Audit : Sendinblue s’engage à fournir à l’Utilisateur toutes les informations et tous les documents nécessaires pour démontrer le respect des obligations énoncées dans le présent DPA. Sendinblue autorise l’Utilisateur ou tout autre auditeur externe non concurrent de Sendinblue et mandaté par l’Utilisateur, aux frais de l’Utilisateur, à inspecter et à auditer ses activités de traitement des données à caractère personnel et s’engage à accéder à toutes les demandes raisonnables formulées par l’Utilisateur pour vérifier que Sendinblue a respecté les obligations contractuelles imposées par le présent DPA. Ces audits ne peuvent être effectués plus d’une (1) fois par année contractuelle. Dans tous les cas, l’Utilisateur doit donner à Sendinblue un préavis minimum de trente (30) jours, et l’audit ne doit en aucun cas interrompre les activités en cours de Sendinblue. L’audit sera limité aux activités de traitement des données à caractère personnel effectuées par Sendinblue pour le compte de l’Utilisateur, et l’Utilisateur ne pourra pas accéder aux données relatives à d’autres clients de Sendinblue. Une copie du rapport d’audit sera fournie gratuitement à Sendinblue.

6 – TRANSFERTS DE DONNÉES ET SOUS-TRAITEMENT

6.1 Sous-traitants autorisés : L’Utilisateur est informé et accepte expressément que, dans le cadre de la fourniture du service en vertu de l’Accord, Sendinblue peut utiliser des Sous-traitants, qui accéderont/traiteront les Données à caractère personnel confiées par l’Utilisateur en son nom. La liste des sous-traitants concernés est disponible à l’adresse https://bit.ly/subcontactors-SIB-EN-int.

6.2 Obligations des Sous-Traitants : Sendinblue doit : (i) conclure un accord écrit avec les Sous-Traitants imposant des conditions de protection des données qui exigent que le Sous-Traitant protège les Données de l’Utilisateur au niveau requis par la Loi européenne sur la protection des données ; et (ii) rester responsable de sa conformité avec ses obligations en vertu de ce DPA et de tout acte ou omission du Sous-Traitant qui amène Sendinblue à violer l’une de ses obligations en vertu de ce DPA.

6.3 Modifications des Sous-Traitants : En cas de modification de la liste de ses Sous-Traitants, Sendinblue en informera l’Utilisateur par email ou par notification via le compte client, et l’Utilisateur aura la possibilité de résilier l’Accord en cas d’objection.
Il est précisé que cette notification inclura toute information concernant d’éventuels transferts de données à caractère personnel vers l’EEE.

7 – DIVERS

7.1 Le présent DPA peut être modifié à tout moment. Toutes les modifications sont publiées sur le site web de Sendinblue et communiquées à l’Utilisateur via le site web.

A moins que l’Utilisateur ne résilie les Services en envoyant une lettre recommandée avec accusé de réception à Sendinblue dans les trente (30) jours suivant ces modifications, l’Utilisateur sera réputé avoir accepté les modifications.

7.2. Le présent DPA a été rédigé en plusieurs langues. Aux fins de l’interprétation du présent DPA, la version française prévaut.

8 – DROIT APPLICABLE ET JURIDICTION COMPÉTENTE

Le droit applicable et la juridiction compétente restent ceux stipulés dans le Contrat.