Les clients passent des commandes sur l’un ou l’autre plateforme de la société marchande OJA SOLUTIONS ou par tout moyen électronique ou papier.
Ce document présente la politique de protection des données mise en place par OJA SOLUTIONS dans le cadre la politique européenne, dites RGPD.
1 DEFINITIONS
Clients : désignent toute personne physique ou morale ayant acheté un Produit au Marchand par le biais de la Plateforme ou par tout autre moyen.
Données : désignent l’ensemble des données à caractère personnel relatives aux Clients, ayant passé une commande de Produits auprès du Marchand, objet du Traitement mis en œuvre conjointement par les Parties. La liste des données à caractère personnel collectées et traitées dans le cadre du Traitement figure en Annexe 1 du présent Accord sur la Protection des Données.
Plateforme : désigne les sites internet édités et exploités par OJA SOLUTIONS, accessible :
- Pour les osmoseurs : www.josmose.fr ;
- Pour la présentation de OJA : www.oja-solution.com .
Produits : désigne les articles de filtration d’eau commercialisés par leMarchand au sein de la Plateforme.
Services : désignent l’ensemble des prestations fournies par le Marchand au client dans le cadre du Contrat conclu entre les Parties.
Sous-traitants : désignent toute personne physique ou morale à laquelle le Marchand sous-traite tout ou partie des opérations du Traitement.
Traitement : désigne le traitement des Données des Clients mis en œuvre conjointement par le Marchand et le Prestataire pour la gestion des opérations de vente en ligne réalisées par le biais de la Plateforme.
2 OBJET
Le présent Accord sur la Protection des Données a pour objet de :
(i) définir les rôles effectifs du Marchand, en sa qualité de responsable conjoint du Traitement,
(ii) d’articuler leur responsabilité à l’égard du Traitement.
3 DESCRIPTION DU TRAITEMENT
La finalité du Traitement est la gestion des Données des Clients dans le cadre des opérations de vente en ligne réalisées par le biais de la Plateforme.
Les sous-finalités du Traitement sont les suivantes :
- la gestion des Commandes ;
- la gestion de la livraison des Produits ;
- la gestion des factures ;
- la gestion de la comptabilité et en particulier la gestion des comptes clients ;
- la gestion des réclamations et du service après-vente ;
- la gestion des demandes d’exercice des droits des Clients (droit d'accès, de rectification et d'opposition) ;
- la gestion des impayés et du contentieux ;
- la gestion des avis des Clients sur les Produits.
Les opérations de traitement réalisées par le Marchand sur les Données sont :
. (i) la collecte et le traitement des Données des Clients nécessaires pour réaliser les sous- finalités décrites ci-avant ;
. (ii) la transmission au logisticien et aux transporteurs des Données leur permettant d’assurer la logistique et la livraison des Produits qui ont été commandés ;
. (iii) le stockage des Données des Clients au sein de ses infrastructures et systèmes d’information ;
. (iv) la gestion des droits des Clients (accès, opposition, rectification, etc.) à l’égard de leurs Données.
Les catégories de personnes concernées sont les Clients de la Plateforme.
Les Données des Clients traitées dans le cadre du Traitement sont listées en Annexe 1 du présent Accord.
4 DUREE
Le présent Accord est conclu pour la durée du Contrat conclu entre les Parties.
5 RESPECT DE LA REGLEMENTATION APPLICABLE EN MATIERE DE PROTECTION DES DONNEES A CARACTERE PERSONNEL
Dans le cadre de leurs relations contractuelles, les Parties s’engagent à respecter la réglementation en vigueur applicable en matière de protection des données à caractère personnel (ci-après « la Règlementation applicable ») et, en particulier :
- le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après « le Règlement Européen ») ;
- la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée (ci-après « la loi Informatique et libertés ») ;
- les lignes directrices du G 29 et les recommandations de la Commission Informatique et Libertés (ci-après « la CNIL »).
6 COOPERATION
De manière générale, chaque Partie s’engage à coopérer avec l’autre Partie afin d’assurer le respect des obligations légales qui leur sont imparties du fait leur mise en œuvre conjointe du Traitement.
Les Parties s’engagent à coopérer avec la CNIL dans l’exercice de ses missions, notamment en cas de contrôle par cette dernière du Traitement mis en œuvre conjointement par les Parties.
7 REGISTRE DES TRAITEMENTS
Conformément aux obligations légales qui incombent aux responsables de traitement, le marchand s’engage à :
- tenir, par écrit (y compris sous la forme électronique), un registre du Traitement dans le respect des dispositions de l’article 30 du Règlement Européen ;
- à le mettre régulièrement à jour.
8 CONFIDENTIALITE
Le Marchand s’engage respectivement à :
- garantir la confidentialité des Données traitées ;
- veiller à ce que les personnes autorisées au sein de leur entreprise à traiter les Données s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité et reçoivent la formation nécessaire en matière de protection des données à caractère personnel.
9 RESPECT DES DROITS DES PERSONNES
Il est expressément convenu entre les Parties que le Prestataire sera en charge :
- d’informer les Clients sur le Traitement de leurs Données qui sera mis en œuvre;
- de créer une adresse email par le biais de laquelle les Clients pourront exercer directement auprès de lui leurs droits d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage) ;
- de communiquer aux Clients ladite adresse ;
- d’informer les Clients sur les conditions et modalités à respecter pour exercer leurs droits ;
- de donner suite aux demandes d’exercice des droits des Clients qui seront formulées directement auprès de lui par le biais de cette adresse dédiée, et ce, dans les délais fixés par la Règlementation applicable. Nonobstant ce qui précède, dans l’hypothèse où le Marchand recevrait directement une demande d’un Client portant sur le Traitement de ses Données, en particulier une demande d’opposition et/ou de rectification, il s’engage à en informer immédiatement le Prestataire, et au plus tard dans un délai de 48 (quarante-huit) heures afin de lui permettre de traiter ladite demande dans les délais légaux prévus par la Règlementation applicable.
10 EXPLOITATION DES DONNEES
Le Client est informé et reconnaît que le Marchand traite les Données des Clients dans un premier temps pour les besoins de l'exécution des Commandes passées par le biais de la Plateforme et des obligations légales qui s'y rattachent.
Le Client est informé et reconnaît que le Marchand pourra utiliser les Données des Clients pour d’autres finalités que celles mentionnées dans l’Accord pour la Protection des Données (notamment à des fins de prospection commerciale, pour la réalisation de statistiques ou encore pour l’amélioration de ses Services ou de l’ergonomie de la Plateforme), sous sa seule responsabilité et dans le respect des dispositions de la Règlementation applicable.
11 MESURES DE SECURITE
Le Marchand s’engage à mettre en œuvre, toutes les mesures de sécurité techniques et organisationnelles requises pour assurer la sécurité et l’intégrité des Données qui seraient stockées sur sa propre infrastructure et/ou ses systèmes d’information.
12 RECOURS A DES SOUS-TRAITANTS
12.1 Par le Marchand
Le Client est informé et accepte que le Marchand fasse appel à des sous-traitants pour la réalisation de certaines opérations de Traitement.
La liste des sous-traitants auxquels le Marchand fait appel dans le cadre de la mise en œuvre du Traitement figure en Annexe 2 du présent Accord sur la Protection des Données.
Le Client est informé que cette liste est susceptible de changer au cours de l’exécution du présent Accord.
Le Marchand garantit le Client que :
- les sous-traitants auxquels il fait appel dans le cadre du Traitement présentent les garanties requises en matière de sécurité et confidentialité des Données ;
- répond auprès du Marchand de tout manquement à la Règlementation applicable des sous-traitants auxquels il aura fait appel dans le cadre de la mise en œuvre du Traitement, et, des éventuels dommages en résultant ;
- fera son affaire des mesures correctives à apporter.
12.2 Pour les transporteurs
Le Marchand s’engage à transmettre aux Transporteurs les seules Données strictement nécessaires à la livraison des Produits, et ce, dans le respect des obligations légales en vigueur et exigences requises par la CNIL en matière de sécurité et confidentialité des données à caractère personnel.
Il appartient au Marchand de s’assurer que le Transporteur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le Traitement réponde aux exigences de la Règlementation applicable. Si le Transporteur ne remplit pas ses obligations en matière de protection des Données, le Marchand demeure pleinement responsable à l’égard du Prestataire de l’exécution de ses obligations, et partant, de tout manquement à la Règlementation applicable dont le Transporteur se serait rendu coupable, sans que la responsabilité du Prestataire ne puisse être engagée.
13 VIOLATIONS DE DONNEES
Chaque Partie s’engage à mettre en œuvre toutes les mesures nécessaires afin d’assurer la sécurité et l’intégrité des Données des Clients et limiter au maximum tout risque de violation des Données.
Par violation des Données, il convient d’entendre toute violation des mesures de sécurité mises en place par les Parties, entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée des Données des Clients ou l'accès non autorisé aux Données.
Dans l’hypothèse où l’une des Parties constaterait une violation de Données, elle s’engage à :
- en informer immédiatement l’autre Partie ;
- informer la CNIL dans les délais et selon le formalisme imposés par la Règlementation applicable, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des Clients ;
- informer les Clients concernés de cette violation de leurs Données, lorsque cette violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés et qu’une telle information est requise conformément aux dispositions de l’article 34 du Règlement Européen ;
- mettre en place dans les meilleurs délais toutes les mesures correctives nécessaires pour mettre un terme à la violation de Données intervenue. Il est expressément entendu que chaque Partie est responsable des violations de Données intervenues dans sa propre infrastructure et/ou ses systèmes d’information, sauf à démontrer une faute imputable à l’autre Partie dans la violation intervenue. A cet égard, il est rappelé au Marchand qu’il :
- est seul responsable de la sécurité et la confidentialité de ses identifiant et mot de passe lui permettant d’accéder à la Plateforme et à sa Toolbox ;
- lui appartient de prendre toutes mesures utiles pour assurer leur parfaite confidentialité, notamment afin qu’aucun tiers ne puisse usurper son identité et accéder frauduleusement à sa Toolbox et ainsi aux Données des Clients ;
- est seul responsable de tous les actes accomplis au sein de la Plateforme, et notamment au sein de sa Toolbox, sous son identifiant et son mot de passe ;
- sera seul responsable de toute violation de Données qui trouverait son origine dans une négligence ou un manquement de sa part à ses obligations en matière de confidentialité et sécurité de ses identifiants et mot de passe. En cas de vol ou d’utilisation frauduleuse de ses identifiants/mot de passe ou plus largement d’accès frauduleux à sa Toolbox, le Marchand est tenu d’en informer immédiatement le Prestataire et de procéder dans les meilleurs délais au changement de son mot de passe.
14 RESPONSABILITE
De manière générale, chaque Partie est tenue de s’acquitter des obligations légales qui lui incombent au titre de la Règlementation applicable et sera seule responsable en cas de manquement à ces obligations, sans que la responsabilité de l’autre Partie ne puisse être engagée sauf à démontrer un quelconque manquement de l’autre Partie.
15 SORT DES DONNEES A L’EXPIRATION DE L’ACCORD SUR LA PROTECTION DES DONNEES
15.1 Usage des Données par le Marchand à l’expiration de l’Accord
A l’expiration de l’Accord, le Marchand pourra conserver les Données Clients auxquels il aura eu accès dans le cadre de son activité commerciale, dans le respect de la Règlementation applicable et notamment des obligations légales et recommandations de la CNIL en matière de conservation des données à caractère personnel.
A l’expiration de l’Accord, le Marchand pourra continuer à utiliser et/ou conserver les Données, dans les limites fixées par la Règlementation applicable, à des fins de :
- prospection ;
- réalisation d’études statistiques ;
- preuve et/ou pour le respect de ses obligations légales et réglementaires en matière d’archivage (paiement, garantie, litige...).
16 DELEGUE A LA PROTECTION DES DONNEES
Conformément à l’article 37 du Règlement Européen, le Marchand s’engage à communiquer le nom et les coordonnées de son délégué à la protection des données, s’il en a désigné un.
Le Délégué à la Protection des Données du Prestataire sera joignable à l’adresse email suivante : [email protected]
17 LOI APPLICABLE
Le présent Accord sur la Protection des Données est soumis au droit français.
ANNEXE 1 - LISTE DES DONNEES DES CLIENTS COLLECTEES DANS LE CADRE DU TRAITEMENT
(i) les Données permettant l’identification des Clients et notamment :
- leurs noms et prénoms ;
- leur adresse de livraison ;
- leur adresse de facturation ;
- leur adresse email ;
- leur numéro de téléphone portable et/ou mobile ;
(ii) les Données relatives aux moyens de paiement utilisés par les Clients :
- relevé d'identité postale ou bancaire,
- numéro de chèque,
- numéro de carte bancaire,
- date de fin de validité de la carte bancaire,
- cryptogramme visuel ;
(iii) les Données relatives à la transaction telles que :
- le numéro de la transaction,
- le détail de l'achat du Produit ;
(iv) les Données relatives au suivi de la relation commerciale :
- produit acheté,
- quantité,
- montant,
- périodicité,
- adresse de livraison,
- historique des achats,
- retour des produits,
- correspondances avec le client et service après-vente,
- échanges et commentaires des clients et prospects ;
(v) les Données relatives aux règlements des Commandes :
- modalités de règlement,
- soldes ;
- impayés ;
- paiement par trois fois sans frais.
(vi) les Données relatives aux contributions des Clients qui déposent des avis sur des Produits, notamment leur pseudonyme ;
(vii) les Données collectées dans le cadre des demandes de droit d’accès, rectification, opposition, portabilité et suppression.
Cette liste pourra évoluer en cours d’exécution du présent Accord pour la Protection des Données.
Il est précisé que les Données relatives aux moyens de paiement utilisés par les Clients ne seront pas accessibles au Marchand, et que, seul le prestataire spécialisé en matière de paiement sécurisé, auquel le Prestataire a choisi de faire appel, aura accès auxdites données et sera habilité à les traiter.
ANNEXE 2 - LISTE DES SOUS-TRAITANTS AUXQUELS LE MARCHAND FAIT APPEL DANS LE CADRE DU TRAITEMENT
- PAYPAL et CM-CIC : prestataires en charge du paiement au sein de la Plateforme ;
- MAILCHIMP / SENDINBLUE / AGILONAUTE : prestataires en charge de l’envoi aux Clients des emails de confirmation de commande ;
- NEXSTEP LOGISTIQUE : prestataire en charge de la logistique ;
- AGILONAUTE: prestataire en charge de l’hébergement des Données et des Plateformes Internet.
- LAPOSTE, GLS, UPS, MONDIAL RELAY: prestataire en charge du transport des colis ;