Les présentes clauses s’appliquent uniquement aux traitements de données à caractère personnel réalisés par le Vendeur lorsqu’il utilise les Services de la Marketplace.
Comme indiqué dans les CGA :
Conformément à l’article 28 du RGPD, un accord contractuel de sous-traitance doit être convenu entre le responsable de traitement, à savoir le Vendeur, et le sous-traitant, à savoir PIGGUMS.
PIGGUMS est autorisée à traiter, pour le compte du Vendeur, les données à caractère personnel que le Vendeur utilise dans le cadre des ventes qu’il effectue sur la Marketplace.
| Services fournis par PIGGUMS : | Service d’intermédiation de la Marketplace |
| Catégorie de personnes concernées : | Les Acheteurs qui entrent en relation contractuelle avec le Vendeur via la Marketplace. |
| Finalité du traitement réalisé par le Vendeur : | Le Vendeur est amené à traiter les données personnelles des Acheteurs pour les
finalités suivantes : • Gestion de la relation commerciale avec les Acheteurs : ‐ Conclusion des ventes ; ‐ Traitement et suivi des commandes ; ‐ Service après-vente ; ‐ Gestion des réclamations. • Respect des obligations comptables, fiscales et légales applicables à la relation commerciale avec les Acheteurs (Conservation de preuve). Seules les finalités indiquées ci-dessus peuvent être traitées par le biais de la Marketplace, conformément aux fonctionnalités pour lesquelles elle est conçue. |
| Données personnelles traitées concernant les Acheteurs : | Identité de l’Acheteur : nom, prénom, email. Commande : contenu de la commande (quantité, type de Produits, prix détaillé et total), instructions spécifiques données par l’Acheteur ; Transaction : statut du paiement (traité, rejeté, en cours, incident de paiement), montant de la transaction, date et heure de paiement. Correspondance : actions, demandes et messages échangés entre le Vendeur et l’Acheteur par le biais de la Marketplace et concernant le suivi d’une commande, le service après-vente, la gestion des retours, la gestion des réclamations, etc. |
| Nature des opérations réalisées par PIGGUMS sur les données personnelles : | Toute opération rendue nécessaire pour fournir les services faisant l’objet des CGA, et en particulier : • l’hébergement des données et les autres opérations techniques nécessaires pour fournir, maintenir et mettre à jour les Services fournis au Vendeur ; • la communication des données nécessaires aux prestataires pour fournir les Services (sous-traitant PSP, sous-traitant transporteur). A l’issue de leur relation contractuelle, les opérations réalisées sur les données consisteront pour PIGGUMS à lui restituer, effacer ou détruire les données selon le choix exprimé par le Vendeur. |
Le présent Accord de sous-traitance entre en vigueur au même moment que la conclusion des CGA auxquelles il est annexé et pour la même durée stipulée entre les Parties.
Il pourra être amendé selon les mêmes modalités de modifications stipulées pour les CGA.
PIGGUMS s’engage à :
Si PIGGUMS considère qu’une instruction constitue une violation du RGPD ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le Vendeur.
En outre, si PIGGUMS est tenue de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le Vendeur de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public.
PIGGUMS peut faire appel à un autre sous-traitant (ci-après, « le sous-traitant ultérieur ») pour mener des activités de traitement spécifiques.
Dans ce cas, il informe préalablement et par écrit le Vendeur de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants ultérieurs.
Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées du sous-traitant ultérieur et les dates du contrat de sous-traitance.
Le Vendeur dispose d’un délai de quinze (15) jours à compter de la date de réception de cette information pour présenter ses objections.
Si le Vendeur émet des objections et que le changement de sous-traitant ultérieur est indispensable à PIGGUMS pour continuer de fournir ses Services, le Vendeur sera libre de résilier les Conditions Générales d’Adhésion selon les modalités stipulées dans celles-ci en cas de modification contractuelle.
Les sous-traitants ultérieurs actuels auxquels le sous-traitant fait appel sont les suivants :
| Sous-traitant ultérieur | Activité de traitement sous-traitées |
| AWS | Hébergement des serveurs |
| PLANETSCALE | Gestion de la base de données |
Si PIGGUMS souhaite procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu de la règlementation précitée, il doit au préalable s’assurer que le sous-traitant ultérieur prend des garanties adéquates pour encadrer le transfert de données conformément aux exigences du RGPD, telle que :
Le sous-traitant ultérieur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions de PIGGUMS.
Il appartient à PIGGUMS de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière que le traitement réponde aux exigences du RGPD.
Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, PIGGUMS demeure pleinement responsable devant le Vendeur de l’exécution par le sous-traitant ultérieur de ses obligations.
Il appartient au Vendeur d’informer les Acheteurs de l’existence de son traitement de données à caractère personnel les concernant.
Si le Vendeur réalise d’autres traitements à partir des données à caractère personnel des Acheteurs, il s’engage à en informer ces derniers par ses propres moyens.
Le présent accord de sous-traitance ne s’appliquera en aucun cas à ces autres traitements.
Toutes mentions d’informations devront être concises, transparentes, complètes et compréhensibles conformément aux exigences du RGPD.
Elles devront notamment contenir les informations suivantes :
Pour en savoir plus, le Vendeur est invité à consulter le site de la CNIL : https://www.cnil.fr/fr/conformite-rgpd-information
Dans la mesure du possible, PIGGUMS doit aider le Vendeur à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des Acheteurs : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).
Lorsque les personnes concernées exercent auprès de PIGGUMS des demandes d’exercice de leurs droits, PIGGUMS doit adresser ces demandes dès réception par courrier électronique à en adressant un courrier électronique au Vendeur à l’adresse email que celui-ci a fourni.
PIGGUMS notifie au Vendeur toute violation de données à caractère personnel dans un délai maximum de 48 heures après en avoir pris connaissance et le fera en adressant un courrier électronique au Vendeur à l’adresse email que celui-ci lui a fourni. Cette notification est accompagnée de toute documentation utile afin de permettre au Vendeur, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.
PIGGUMS aide le Vendeur pour la réalisation d’analyses d’impact relative à la protection des données. Cette aide se limitera à fournir des informations techniques sur les mesures de sécurité mises en œuvre et ne dégage pas le Vendeur de mener la réalisation de l’analyse d’impact qu’il lui incombe.
PIGGUMS aide également le Vendeur pour la réalisation de la consultation préalable de l’autorité de contrôle.
Ces prestations d’assistance seront indemnisées par le Vendeur moyennant une facturation supplémentaire raisonnable, compte-tenu de la nécessité de mobiliser des ressources techniques et humaines pour l’exécution de ces prestations.
PIGGUMS s’engage à mettre en œuvre des mesures de sécurité physiques, logiques et organisationnelles adaptées dont les suivantes :
Le Vendeur reconnaît que les mesures techniques et organisationnelles listées ci-dessus répondent à ses attentes afin de garantir de façon adéquate la sécurité et la confidentialité des traitements qu’il souhaite mettre en œuvre.
Le Vendeur demeure néanmoins tenu de mettre en place au sein de son organisation une politique de sécurité qui lui soit propre afin notamment de :
Au terme de la prestation de services relatifs au traitement de ces données, PIGGUMS s’engage à mettre à disposition du Vendeur toutes les données à caractère personnel concernant les Acheteurs.
PIGGUMS pourra conserver une copie de certaines de ces données à caractère personnel des Acheteurs lorsqu’elles sont également utilisées par PIGGUMS pour un traitement mis en œuvre par elle en tant que responsable de traitement.
Chaque Partie communique à l’autre l’identité et les coordonnées de son délégué à la protection des données si elle en désigne un, conformément à l’article 37 du RGPD.
PIGGUMS déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du Vendeur, comprenant :
PIGGUMS met à la disposition du Vendeur la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d'audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits.
Toute demande d’audit et/ou d’inspection devra être demandée par le Vendeur par lettre recommandée avec accusé de réception au moins 15 jours avant la date envisagée pour sa réalisation ainsi que sur l’identité des auditeurs envisagés. PIGGUMS confirmera sous 7 jours au Vendeur la possibilité de cette date et faire d’éventuelles réserves objectives (non-concurrence) sur les auditeurs envisagés. Tout audit et/ou inspection ne pourra être réalisée qu’après qu’un accord de confidentialité ait été signé entre PIGGUMS et l’ensemble des auditeurs.