Juridique

Accord de traitement des données (DPA)

Dernière mise à jour : [DATE DE PUBLICATION]

Le présent Accord de traitement des données (« DPA ») est conclu entre BLUBAO, SASU au capital de 1 000 €, RCS Saint-Malo 910 331 040, 87 Couvelou, 35270 Combourg, France (« Polen » ou le « Sous-traitant »), et tout utilisateur professionnel de la plateforme app.polen.bio (le « Client » ou le « Responsable de traitement »).

Le DPA fait partie intégrante des Conditions Générales d'Utilisation (CGU) et s'applique automatiquement dès lors que le Client traite, via la plateforme, des données personnelles relatives à des tiers (notamment ses clients, prospects et fournisseurs). Il est conclu en application de l'article 28 du Règlement (UE) 2016/679 (« RGPD »).

Article 1 — Rôles des parties

Pour les données personnelles que le Client saisit, importe ou fait transiter dans la plateforme au sujet de ses propres contacts (les « Données Client »), le Client agit en qualité de responsable de traitement et Polen en qualité de sous-traitant.

Le présent DPA ne s'applique pas aux données relatives au compte du Client lui-même, pour lesquelles Polen est responsable de traitement (voir la Politique de confidentialité).

Article 2 — Description du traitement

  • Objet : hébergement, stockage, structuration, affichage et traitement des Données Client aux fins de fourniture des fonctionnalités de la plateforme (gestion des clients, commandes, ventes, factures, expéditions, emails).
  • Durée : durée du compte du Client, augmentée des délais de suppression prévus à l'article 9.
  • Nature des opérations : collecte (saisie et import, notamment depuis WooCommerce), enregistrement, conservation, consultation, structuration, transmission aux services connectés à l'initiative du Client, effacement.
  • Finalité : exécution du service Polen tel que décrit aux CGU.
  • Catégories de données : données d'identification (nom, prénom, dénomination), coordonnées (adresse postale, email, téléphone), données commerciales (historique de commandes, statut de la relation, réductions appliquées), données de facturation (montants, références de factures), données de livraison. La plateforme n'est pas conçue pour traiter des données sensibles au sens de l'article 9 du RGPD et le Client s'engage à ne pas en saisir.
  • Catégories de personnes concernées : clients, prospects et fournisseurs du Client, et leurs interlocuteurs.

Article 3 — Obligations du Client

Le Client garantit que les Données Client ont été collectées licitement, qu'il dispose d'une base légale pour leur traitement, qu'il a informé les personnes concernées conformément aux articles 13 et 14 du RGPD, et que ses instructions sont conformes à la réglementation. Le Client est seul responsable de l'exercice des droits des personnes concernées sur les Données Client.

Article 4 — Obligations de Polen

Polen s'engage à :

  1. ne traiter les Données Client que sur instruction documentée du Client, l'utilisation de la plateforme et le paramétrage des fonctionnalités constituant les instructions du Client, sauf obligation légale contraire (auquel cas Polen en informe le Client, sauf interdiction légale) ;
  2. ne pas utiliser les Données Client pour son propre compte, et ne pas les vendre, louer ou divulguer à des tiers en dehors des cas prévus au présent DPA ;
  3. garantir que les personnes autorisées à traiter les Données Client sont soumises à une obligation de confidentialité ;
  4. informer le Client si, selon Polen, une instruction constitue une violation du RGPD ;
  5. assister le Client, dans la mesure du raisonnable et compte tenu de la nature du traitement, pour répondre aux demandes d'exercice des droits des personnes concernées, ainsi que pour ses obligations au titre des articles 32 à 36 du RGPD (sécurité, notification de violations, analyses d'impact). Toute assistance excédant les fonctionnalités standard de la plateforme pourra faire l'objet d'une facturation raisonnable.

Article 5 — Sécurité

Polen met en œuvre les mesures techniques et organisationnelles appropriées au regard du risque, décrites sur la page « Sécurité » du site, incluant notamment : chiffrement des communications (TLS), contrôle des accès et authentification, hébergement auprès de prestataires certifiés et audités, sauvegardes régulières, journalisation.

Article 6 — Sous-traitance ultérieure

Le Client autorise de manière générale Polen à recourir à des sous-traitants ultérieurs pour l'exécution du service. La liste à jour, leur rôle et leur localisation figurent sur la page « Sous-traitants » du site, qui fait partie intégrante du présent DPA.

Polen informe le Client de tout ajout ou remplacement de sous-traitant ultérieur (par email ou notification dans la plateforme) au moins quinze (15) jours avant sa prise d'effet. Le Client peut s'y opposer pour motif légitime et documenté ; à défaut d'accord entre les parties, le Client peut clôturer son compte conformément aux CGU, sans pénalité.

Polen conclut avec chaque sous-traitant ultérieur un contrat imposant des obligations de protection des données équivalentes à celles du présent DPA, et demeure responsable envers le Client de l'exécution de leurs obligations.

Article 7 — Transferts hors de l'Union européenne

Le Client est informé et accepte que l'hébergement de la plateforme (Base44, opéré par Wix.com Ltd.) repose sur des serveurs situés aux États-Unis, et que certains sous-traitants ultérieurs peuvent traiter des données hors de l'Espace économique européen.

Tout transfert hors de l'EEE est encadré par des garanties appropriées au sens du chapitre V du RGPD : décision d'adéquation (notamment le EU-US Data Privacy Framework pour les prestataires certifiés) et/ou clauses contractuelles types de la Commission européenne, complétées le cas échéant de mesures additionnelles. La documentation applicable peut être obtenue sur demande à app@polen.bio.

Article 8 — Violations de données

Polen notifie au Client toute violation de Données Client dans les meilleurs délais après en avoir pris connaissance, en fournissant, dans la mesure des informations disponibles, la nature de la violation, les catégories et le volume approximatif de données et de personnes concernées, les conséquences probables et les mesures prises ou proposées. Il appartient au Client, en sa qualité de responsable de traitement, de procéder le cas échéant aux notifications auprès de l'autorité de contrôle et des personnes concernées.

Article 9 — Sort des données en fin de contrat

À la clôture du compte, le Client peut exporter l'ensemble des Données Client via les fonctionnalités de la plateforme, avant suppression. Après clôture, Polen supprime les Données Client, sous réserve des données dont la conservation est imposée par la loi et des sauvegardes techniques, purgées selon leurs cycles normaux.

Article 10 — Audit

Polen met à la disposition du Client les informations nécessaires pour démontrer le respect du présent DPA : documentation de sécurité, certifications et rapports d'audit de ses hébergeurs, réponses écrites aux questionnaires raisonnables du Client (au plus une fois par an).

Si ces éléments s'avèrent insuffisants pour satisfaire une exigence légale du Client, celui-ci peut faire réaliser, à ses frais, un audit limité au périmètre du présent DPA, par un auditeur indépendant soumis à confidentialité, moyennant un préavis écrit de trente (30) jours, au plus une fois par an, sans perturber les opérations de Polen ni accéder aux données d'autres clients.

Article 11 — Responsabilité

La responsabilité de chaque partie au titre du présent DPA est soumise aux limitations et plafonds prévus aux CGU, sauf disposition impérative contraire du RGPD.

Article 12 — Durée, hiérarchie et droit applicable

Le présent DPA prend effet à la création du compte et demeure en vigueur tant que Polen traite des Données Client. En cas de contradiction entre le DPA et les CGU sur la protection des données, le DPA prévaut. Le DPA est régi par le droit français ; tout litige relève du Tribunal de commerce de Saint-Malo.