POLITIQUE DE CONFIDENTIALITE ET COOKIES

La présente Politique de confidentialité a pour objet de définir les conditions et modalités dans lesquelles sont traitées les Données à caractère personnel (ci-après « Données ») et les Cookies. 

Mise à disposition et traitement des données personnelles

Vous pouvez visiter notre page sans rentrer vos données personnelles. En effet, nous enregistrons uniquement les données d'accès, mais pas vos données personnelles telles que le nom de votre fournisseur d'accès à Internet, la page à partir de laquelle vous naviguez, ou encore le nom du fichier demandé. Ces données servent uniquement à améliorer notre offre et ne permettent en aucun cas de faire le lien avec votre personne. Vos données personnelles ne sont recueillies que si vous nous les communiquez de plein gré dans le cadre de vos commandes, si vous ouvrez un compte client ou si vous vous inscrivez à notre Newsletter. Nous utilisons les données communiquées sans accord exprès uniquement pour traiter votre commande. Une fois le contrat exécuté dans son intégralité et le paiement effectué dans sa totalité, vos données personnelles ne seront plus utilisées et ensuite effacées en accord avec les délais légaux de conservation des données, sauf si vous avez explicitement consenti à l'utilisation de vos données personnelles. Lors de votre inscription à la newsletter, votre adresse e-mail sera utilisée à des fins publicitaires, jusqu'à ce que vous vous désabonniez. Vous pouvez vous désabonner à tout moment.

 

La société MD développement SAS au nom commercial daydreams France, et la société Freedreams BV propriétaire du concept daydreams/Freedreams ainsi que du site internet www.daydreams-france.com sont soucieuses de la protection qui est réservée à vos Données et à la façon dont elles peuvent être traitées sur le site www.daydreams-france.com (ci-après le « Site »). Elles veillent et s’engagent à ce qu’elles soient collectées dans le respect de la loi Informatique et Libertés n° 78-17 du 6 janvier 1978 modifiée (ci-après « Loi Informatique et Libertés »), et du Règlement européen 2016/679 (ci-après « Règlement »). 

Toute utilisation du Site implique votre acceptation sans réserve et votre adhésion pleine et entière aux présentes qui prévalent sur tout autre document, sauf conditions particulières expressément consenties par écrit par daydreams. 

La présente Politique de confidentialité entre en vigueur à compter du 25/05/2018. Elle annule et remplace toutes les versions antérieures. daydreams se réserve le droit de la modifier à tout moment en publiant une nouvelle version sur le Site. Par conséquent nous vous invitons à visiter régulièrement cette page. 

La nullité d'une clause n'entraîne pas la nullité de l’intégralité de la Politique de confidentialité. L'inapplication temporaire ou permanente d'une ou plusieurs clauses par daydreams ne saurait valoir renonciation de sa part. 

1 - RESPONSABLE DU TRAITEMENT

Le Responsable de traitement est :

MD développement SAS, Société par Actions Simplifiée au capital de 3.000,00 euros, ayant son siège social 678, Rue de Pacy- 28260 La Chaussée d’Ivry, immatriculée au Registre du Commerce et des Sociétés de Chartres sous le N° 837 610 328.

 

 

et,

 

Freedreams GmbH, Kalkarer Str. 81, 47533 Kleve – Commercial register number HRB 166866

 

 

2 - NATURE DES DONNEES COLLECTEES

Lors de votre utilisation du Site certaines Données sont susceptibles d’être traitées, il s’agit des Données suivantes :

  • Données liées à votre identité : Nom, prénom, adresse de facturation, adresse de livraison, adresse email, n° de téléphone, date de naissance
  • Données de connexion : Adresse IP, identifiants de connexion
  • Données relatives au suivi de commande : Produit acheté, prestation réalisée, historique des commandes, historique de réservation, avis sur la prestation, produits consultés, utilisation d’un code promotionnel, moyen et frais de livraison, détail de l’achat, N° de chèque ou de la carte hôtel.
  • Données relatives au paiement : Mode de paiement, données de carte de paiement, n° de transaction
  • L’abonnement auquel vous avez, ou non, souscrit (newsletters, etc.) 

Le caractère obligatoire ou facultatif des données vous est signalé lors de la collecte par un astérisque. Certaines données sont collectées automatiquement du fait de vos actions sur le Site.

3 - FINALITE DES DONNEES COLLECTEES

Finalités

Durée de conservation

Base légale

1. L’envoi de newsletters, bons plans et offres commerciales de daydreams, ainsi que les actions de fidélisation, de prospection, de test produit, de publicité et de promotion

3 ans à compter de la collecte ou du dernier contact, conformément à la norme simplifiée n°NS-048 de la CNIL.

Ce traitement est réalisé sur la base de votre consentement conformément à l’article 6 paragraphe 1 a) du Règlement

2. L’envoi d’offres commerciales des Partenaires de daydreams

3 ans à compter de la collecte ou du dernier contact, conformément à la norme simplifiée n°NS-048 de la CNIL.

Ce traitement est réalisé sur la base de votre consentement conformément à l’article 6 paragraphe 1 a) du Règlement

3. La réalisation d’étude statistiques et/ou de mesurer l’audience, le nombre de page vues ou encore le nombre de visites du Site

13 mois à compter de la collecte des Données.

Ce traitement est réalisé sur (i) la base de votre consentement conformément à l’article 6 paragraphe 1 a) du Règlement ou (ii) pour l’exécution de nos obligations contractuelles respectives conformément à l’article 6 paragraphe 1 b) du Règlement

4. La lutte contre la fraude

3 ans à compter de la fin de la relation commerciale pour les clients-prospects et les clients non prospects conformément à la norme simplifiée n°NS-048 de la CNIL, ou 3 ans à compter de la survenance de l’impayé en cas de non régularisation

En dehors de toute commande, ce traitement est réalisé la base de votre consentement conformément à l’article 6 paragraphe 1 a) du Règlement. Dans le cadre d’une commande ce traitement est réalisé pour notre intérêt légitime (bonne gestion d’entreprise) conformément à l’article 6 paragraphe 1 f) du Règlement. 

5. L’exécution de commande réalisée sur le Site ainsi que mettre en place le procédé de suivi des commandes

3 ans à compter de la fin de la relation commerciale pour les clients-prospects et les clients non prospects conformément à la norme simplifiée n°NS-048 de la CNIL. S’agissant des contrats conclus par voie électronique la durée de conservation est de 10 ans (art D213-2 Code de la consommation), il en est de même pour les factures (art L123-22 du code de commerce).

Ce traitement est nécessaire à l’exécution de nos obligations contractuelles respectives conformément à l’article 6 paragraphe 1 b) du Règlement

6. Données de carte bancaire

Les données sont conservées 14 jours dans le respect de la Délibération CNIL n°2017-222 du 20 juillet 2017.

Ce traitement est nécessaire à l’exécution de nos obligations contractuelles respectives conformément à l’article 6 paragraphe 1 b) du Règlement

7. La gestion des demandes d’échanges ou de prolongation 

3 ans à compter de la fin de la relation commerciale pour les clients-prospects et les clients non prospects conformément à la norme simplifiée n°NS-048 de la CNIL.

Ce traitement est nécessaire à l’exécution de nos obligations contractuelles respectives conformément à l’article 6 paragraphe 1 b) du Règlement

8. La mise à disposition d’un compte client sur le Site (l’ouverture de votre compte client, etc.)

3 ans à compter de la fin de la relation commerciale ou la collecte ou du dernier contact émanant de la personne concernée, conformément à la norme simplifiée n°NS-048 de la CNIL.

Ce traitement est nécessaire à l’exécution de nos obligations contractuelles respectives, et la mise en œuvre de toutes mesures d’ordre précontractuelles conformément à l’article 6 paragraphe 1 b) du Règlement

9. Personnaliser le contenu de notre Site et/ou les offres publicitaires visibles sur notre Site et/ celles accessibles lorsque vous naviguez sur internet

13 mois à compter de la collecte des Données

Ce traitement est réalisé sur la base de votre consentement conformément à l’article 6 paragraphe 1 a) du Règlement

10. Participation à des programmes de fidélisation, des jeux concours, etc.

3 ans à compter de la collecte ou du dernier contact, conformément à la norme simplifiée n°NS-048 de la CNIL.

Ce traitement est nécessaire à l’exécution de nos obligations contractuelles respectives conformément à l’article 6 paragraphe 1 b) du Règlement

4 - DESTINATAIRES DES DONNEES PERSONNELLES

Les données collectées sur le Site sont destinées à daydreams et à l'ensemble des sociétés qu'elle contrôle et/ou aux Partenaires et sous-traitants de daydreams. 

5 - TRANSFERT DES DONNEES 

Par principe nous veillons à ce que les Données ne soient pas transférées en dehors de l’Union européenne ou au sein d’un pays n’ayant pas fait l’objet d’une décision d’adéquation par la Commission européenne. 

Toutefois, des transferts hors Union Européenne peuvent être réalisés notamment dans le cadre des activités suivantes : 

  • Relation client
  • Exploitation des données vers les réseaux sociaux
  • Prestations informatiques

Dans un tel cas, daydreams prend les garanties appropriées conformément à l’article 46. 2. d) du Règlement par la mise en place de clauses contractuelles types de la Commission européenne. En application de l’article 13.1 f) du Règlement, les garanties appropriées sont mises à disposition ci-dessous au sein de l’article 13 de la présente Politique de confidentialité.

6 - MODES DE COLLECTE DES DONNEES PERSONNELLES 

Vos données peuvent être collectées lorsque :

  • Vous créez votre compte client « Votre Espace Personnel » 
  • Vous effectuez une commande sur notre Site 
  • Vous effectuez une réservation sur notre Site 
  • Vous participez à un jeu ou un concours 
  • Vous naviguez sur notre Site et consultez des Produits 
  • Vous contactez notre service client 
  • Vous rédigez un commentaire

7 - CONSENTEMENT DES MINEURS

Afin de respecter les réglementations visant à protéger les mineurs, daydreams ne collecte pas, ni ne traite les Données de personne mineure. 

Ainsi les services disponibles sur ce site s’adressent aux personnes âgées de plus de 18 ans. Toute personne âgée de moins de 18 ans souhaitant procéder à une commande ou à la création d’un compte doit demander à son représentant légal de le faire pour lui.

8 - COOKIES

 

8.1 POLITIQUE D’UTILISATION DES COOKIES 

Nous utilisons des cookies sur plusieurs pages afin de rendre notre site internet plus attractif et de permettre l’utilisation de certaines fonctionnalités. Il s’agit ici de petits fichiers texte qui sont stockés sur votre ordinateur.   La plupart des cookies que nous utilisons sont supprimés de votre disque dur à la fin de la session de navigation (c'est ce qu'on appelle les cookies de sessions). D'autres cookies restent dans votre ordinateur et nous permettent de vous reconnaître lors de votre prochaine visite (c'est ce qu’on appelle les cookies permanents). Nos partenaires ne sont pas autorisés à se procurer ou à traiter des données personnelles sur notre site Web à l'aide de cookies. Vous avez la possibilité d'empêcher la sauvegarde des cookies sur votre ordinateur. Pour ce faire, utilisez la barre de menu » Outils > Options Internet > Protection des données" (Internet Explorer), ou bien "Paramètres > Protection des données » (Firefox) afin de limiter ou d'arrêter la sauvegarde et la lecture des cookies. Veuillez noter que vous ne pouvez pas utiliser certaines fonctions de notre site Internet sans cookies. Lors de la consultation du Site, des cookies sont déposés sur votre ordinateur, votre mobile ou votre tablette. Notre Site est conçu pour être attentif aux besoins et attentes de nos clients. C'est entre autres pour cela que nous faisons usage de cookies afin par exemple de vous identifier et d'accéder à votre compte. Cette page vous permet de mieux comprendre comment fonctionnent les cookies et comment les paramétrer.

8.2 DEFINITION D'UN COOKIE

Un cookie est un fichier texte déposé sur votre ordinateur lors de la visite d'un site ou de la consultation d'une publicité. Il a pour but de collecter des informations relatives à votre navigation et de vous adresser des services adaptés à votre terminal (ordinateur, mobile ou tablette). Les cookies sont notamment gérés par votre navigateur internet.

8.3 LES DIFFERENTS EMETTEURS

Les cookies du Site : il s'agit des cookies déposés par daydreams sur votre terminal pour répondre à des besoins de navigation, d'optimisation et de personnalisation des services sur le Site.

Les cookies tiers : il s'agit des cookies déposés par des sociétés tierces (par exemple des partenaires) pour identifier vos centres d'intérêt et éventuellement personnaliser l'offre publicitaire qui vous est adressée sur et en dehors du Site. 

Ils peuvent être déposés quand vous naviguez sur le Site ou lorsque vous cliquez dans les espaces publicitaires du Site. 

8.4 MODIFIER LE PARAMETRAGE DES COOKIES 

Les cookies techniques - indispensables au fonctionnement du site wonderbox.fr

Ces cookies sont indispensables pour la navigation sur le Site. Ils vous permettent d’utiliser les principales fonctionnalités du Site et de sécuriser votre connexion.

Les cookies fonctionnels

Ces cookies sont essentiels à votre navigation car ils permettent de vous donner accès aux fonctionnalités temporaires du Site (mémoriser votre panier ou vos informations de connexion par exemple). Ils vous permettent également d'adapter le rendu graphique du site aux préférences d'affichage de votre terminal. Ces cookies vous permettent ainsi d'avoir une navigation fluide et sur mesure. Ils sont conservés 24h et ne nécessitent pas de consentement de votre part.

De plus, ces cookies nous permettent de connaître l'utilisation et les performances de notre Site, d'établir des statistiques, des volumes de fréquentation et d'utilisation des divers éléments de notre Site (contenus visités, parcours) nous permettant d'améliorer l'intérêt et l'ergonomie de nos services (les pages ou les rubriques les plus souvent consultées, les articles les plus lus, ...). Les cookies nous servent également à compter les visiteurs d'une page. Ponctuellement, des cookies peuvent être déposés afin de mesurer, sur la base de données statistiques agrégées et anonymes, l'efficacité de campagnes publicitaires menées par daydreams.

Les cookies fonctionnels optionnels 

Il s'agit des mêmes cookies fonctionnels qui seront conservés pour une durée plus longue, au maximum de 13 mois, si vous y consentez.

Les cookies de contenus personnalisés sur notre site

Il s’agit des cookies utilisés pour vous proposer des contenus personnalisés sur notre Site et récompenser votre fidélité (par exemple : programme de parrainage). Le refus de ces cookies n'a pas d'impact sur l'utilisation de notre Site.

Les cookies publicitaires sur d'autres sites 

Il s'agit des cookies utilisés pour vous présenter des informations adaptées à vos centres d'intérêts lors de votre navigation sur Internet. Le refus de ces cookies n'a pas d'impact sur l'utilisation de notre Site. Cependant, le fait de refuser les cookies publicitaires n'entraînera pas l'arrêt de la publicité durant votre navigation. Cela aura seulement pour effet d'afficher des publicités qui ne tiendront pas compte de vos centres d'intérêts ou de vos préférences quand vous naviguez sur internet.

Les cookies déposés par les organismes publicitaires permettent une identification anonyme des internautes. Les données de navigation remontées sont des informations non-identifiables personnellement telles que l’url des pages visitées, les mots-clés utilisés dans les moteurs de recherche ou les interactions avec les publicités. 

Il peut également s’agir de cookies de partenaires de daydreams qui identifient des internautes qui ont visité notre Site et adressent ensuite des sollicitations commerciales. Cela peut être un email, alors que vous n'auriez pas confié votre adresse email à daydreams. Ce traitement fait intervenir des prestataires spécialisés dans le retargeting, qui ont obtenu votre adresse email auprès de leurs partenaires, ainsi que votre consentement pour autoriser l'envoi de publicité.

Paramétrer les cookies

 

Google analytics

Ce site utilise Google Analytics, un service d'analyse de site internet fourni par Google Inc. (“Google”).
Google Analytics utilise des cookies, qui sont des fichiers texte placés sur votre ordinateur, pour aider le site internet à analyser l'utilisation du site par ses utilisateurs. Les données générées par les cookies concernant votre utilisation du site (y compris votre adresse IP) seront transmises et stockées par Google sur des serveurs situés aux États-Unis. Google utilisera cette information dans le but d'évaluer votre utilisation du site, de compiler des rapports sur l'activité du site à destination de son éditeur et de fournir d'autres services relatifs à l'activité du site et à l'utilisation d'Internet. Google est susceptible de communiquer ces données à des tiers en cas d'obligation légale ou lorsque ces tiers traitent ces données pour le compte de Google, y compris notamment l'éditeur de ce site. Google ne recoupera pas votre adresse IP avec toute autre donnée détenue par Google. Vous pouvez désactiver l'utilisation de cookies en sélectionnant les paramètres appropriés de votre navigateur. Cependant, une telle désactivation pourrait empêcher l'utilisation de certaines fonctionnalités de ce site. Vous pouvez exprimer votre consentement au traitement de vos données nominatives par Google dans les conditions et pour les finalités décrites ci-dessus en paramétrant votre navigateur.

Vous pouvez vous opposer au recueil des données par Google-Analytics (avec effet futur) en installant une application de désactivation pour votre navigateur. Cette application de désactivation vous trouvez ici: http://tools.google.com/dlpage/gaoptout?hl=fr

Utilisation des plug-ins sociaux

Nous utilisons sur notre site Internet et dans l'intégration par défaut des plug-ins sociaux provenant de plusieurs fournisseurs :

·       Le bouton "J'aime" de Facebook par Facebook Inc., 1601 S. California Ave, Palo Alto, CA 94304, USA. Le bouton est marqué du logo et du "J'aime" Facebook.

·       Le bouton "+1" de Google + (Google Plus) par Google Inc. 1600 Amphitheatre Parkway, Mountain View, Kalifornien, 94043 USA.

Si vous consultez un de nos sites Internet qui contient un tel plug-in, il se peut qu'un cookie du fournisseur du plug-in soit sauvegardé dans votre navigateur. Nous n'avons aucune emprise sur la quantité de données que le fournisseur rassemble à l'aide de ce plug-in.

Grâce à ce plug-in, il se peut que le fournisseur reçoive des informations comme la date et l'heure de votre visite sur notre site, votre adresse IP ou le type de navigateur que vous utilisez. Si vous êtes enregistré chez le fournisseur de plug-in en question lors de votre visite sur notre site Internet, il peut, dans le cas où vous interagissez avec le plug-in, attribuer d'éventuelles données à votre compte utilisateur, comme par exemple cliquer sur le bouton correspondant sur notre site ou laisser un commentaire. Vos recommandations ou commentaires accompagnés de vos nom et photo de profil peuvent être présentés aux autres internautes dans les services du fournisseur, sous la forme de résultats de recherche ou dans votre profil utilisateur, ou en d'autres circonstances sur des sites Internet et publicités sur Internet. Si vous n'êtes pas membre du fournisseur correspondant, ce dernier peut néanmoins obtenir et sauvegarder votre adresse IP. Pour en savoir plus sur le but et la portée de la collecte de données, le traitement et l'utilisation des données par un fournisseur ainsi que vos droits en résultant et les procédés permettant de protéger votre vie privée, veuillez consulter la politique de confidentialité de Facebook et Google+.

Si vous êtes membre du fournisseur en question, et que vous ne souhaitez pas que ce dernier rassemble des informations vous concernant via notre site, et les relie aux données vous concernant déjà enregistrées chez le fournisseur, vous devez vous déconnecter du fournisseur correspondant avant de visiter notre site.

9- LIENS HYPERTEXTES

Le Site peut contenir certains liens vers d’autres sites dont le contenu est hors de notre contrôle et non couverts par la présente Politique de confidentialité. Nous ne sommes pas responsables du contenu des sites ainsi présentés, ni de la façon dont vos Données y seront collectées et traitées.

10 - SECURITE DES DONNEES PERSONNELLES 

Vos données personnelles seront communiquées à nos fournisseurs si elles sont nécessaires à la livraison des marchandises ou services. Pour procéder au paiement, nous transmettons vos données relatives au paiement à notre banque. Elle ne traite vos données que dans la mesure où nous avons nous-même le droit de les traiter. En outre, vos données personnelles ne seront pas communiquées à des tiers.

Nous nous engageons à mettre en œuvre les mesures visant à assurer la sécurité des Données.

Il s’agit de mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté. Il peut s’agir entre autres de : 

 la pseudonymisation et le chiffrement des Données

 les moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement 

 les moyens permettant de rétablir la disponibilité des Données et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique 

 une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement 
Dans cet objectif, nous vous demandons de conserver la confidentialité de votre mot de passe et de ne le communiquer à personne. Vous demeurez responsable de tout défaillance ayant pour origine le non-respect de la confidentialité du mot de passe que nous vous avez choisi pour accéder à votre compte. 
 

Pour les besoins du paiement, les coordonnées de carte de paiement sont collectées par OGONE® ou STRIPE nos prestataires en matière de paiement, qui sera seul destinataire des Données collectées et en charge de la conservation de celles-ci. Ainsi les Données sont stockées sur les serveurs OGONE et ou STRIPE et ne sont à aucun moment transmises sur les serveurs de daydreams. OGONE et STRIPE sont en charge de la demande d’autorisation auprès de la banque et nous transmet le n° de transaction permettant les opérations. OGONE et ou STRIPE conserve les Données associées, le temps nécessaire à la réalisation de la transaction et à la mise en œuvre du droit de rétractation.

11- DROITS SUR VOS DONNEES PERSONNELLES

Conformément à la réglementation, vous disposez d'un droit d'accès gratuit à vos données sauvegardées (Art5 paragraphe 2 de la LPD), de suppression, de portabilité des Données vous concernant et d’opposition ou de limitation à leur traitement. Vous disposez également du droit de définir les directives concernant le sort de vos Données après votre décès dans les conditions définies à l’article 40.1 de la Loi informatique et Libertés. Enfin, vous disposez du droit d’introduire une réclamation auprès de l’autorité de contrôle compétente.

Vos données personnelles seront cryptées durant la commande grâce au protocole SSL (Secure Socket Layer - protocole sécurisé de cryptage). Les données de cartes de crédit ne seront pas sauvegardées, mais elles seront directement rassemblées et traitées par notre prestataire de paiement Datatrans. Nous protégeons notre site et d'autres systèmes grâce à des mesures techniques et organisationnelles contre la perte, la destruction, le piratage, la modification ou la divulgation de vos données dont pourraient être responsables des personnes non autorisées. L'accès à votre compte client n'est possible qu'après avoir entré votre mot de passe personnel. Ne dévoilez jamais vos informations de paiement et veillez à toujours fermer la fenêtre du navigateur lorsque votre communication avec notre service est terminée, en particulier si vous partagez votre ordinateur avec d'autres personnes.

À tout moment, lors de votre navigation sur le Site, vous pouvez accéder à vos Données via votre espace client, rectifier vos données si votre situation a changé ou encore, vous opposer à ce que nous collections vos données à des fins de prospection.

En revanche, certaines données sont indispensables au traitement de votre commande. A défaut de collecte de ces Données, nous ne pourrons donner suite à votre commande.

Enfin, à tout moment, vous pouvez également exercer vos droits. Il vous suffit de nous transmettre votre demande, en nous indiquant vos nom, prénom, e-mail et adresse, par courrier à l’adresse suivante :


Daydreams France / Service clients
BP 50059
28106 DREUX Cedex


Conformément à la réglementation en vigueur, votre demande doit être signée et accompagnée d’un justificatif d’identité permettant de s’assurer que la demande provient de la personne concernée. Une réponse vous sera alors adressée dans un délai de 1 mois suivant la réception de la demande. Le cas échéant, ce délai peut être prolongé d’une durée de 2 mois compte tenu de la complexité de la demande ou en raison du nombre de demande.

 

12 -DELEGUE A LA PROTECTION DES DONNEES 


DPO – daydreams - MD développement SAS

678, Rue de Pacy

28260 La Chaussée-d ’Ivry

13 - GARANTIES APPROPRIEES 

CLAUSES CONTRACTUELLES TYPES APPLICABLES AUX SOUS-TRAITANTS EFFECTUANT DES TRANSFERTS HORS UE

« Les Parties SONT CONVENUS des clauses contractuelles suivantes (ci-après dénommées « les clauses ») afin d’offrir des garanties adéquates concernant la protection de la vie privée et des libertés et droits fondamentaux des personnes lors du transfert, par l’exportateur de données vers l’importateur de données, des données à caractère personnel visées en Annexe 1.

 

1. Définitions 

Au sens des clauses :

a) « données à caractère personnel », « catégories particulières de données », « traiter/traitement », « responsable du traitement », « sous-traitant », « personne concernée » et « autorité de contrôle » ont la même signification que dans la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données 

b) l’ « exportateur de données» est le responsable du traitement qui transfère les données à caractère personnel ; 

c) l’ « importateur de données» est le sous-traitant qui accepte de recevoir de l’exportateur de données des données à caractère personnel destinées à être traitées pour le compte de ce dernier après le transfert conformément à ses instructions et aux termes des présentes clauses et qui n’est pas soumis au mécanisme d’un pays tiers assurant une protection adéquate au sens de l’article 25, paragraphe 1, de la directive 95/46/CE ;

d) le «sous-traitant ultérieur» est le sous-traitant engagé par l’importateur de données ou par tout autre sous-traitant ultérieur de celui-ci, qui accepte de recevoir de l’importateur de données ou de tout autre sous-traitant ultérieur de celui-ci des données à caractère personnel exclusivement destinées à des activités de traitement à effectuer pour le compte de l’exportateur de données après le transfert conformément aux instructions de ce dernier, aux conditions énoncées dans les présentes clauses et selon les termes du contrat de sous-traitance écrit ; 

e) le « droit applicable à la protection des données » est la législation protégeant les libertés et les droits fondamentaux des personnes, notamment le droit à la vie privée à l’égard du traitement des données à caractère personnel, et s’appliquant à un responsable du traitement dans l’État membre où l’exportateur de données est établi ; 

f) les « mesures techniques et d’organisation liées à la sécurité » sont les mesures destinées à protéger les données à caractère personnel contre une destruction fortuite ou illicite, une perte fortuite, une altération, une divulgation ou un accès non autorisé, notamment lorsque le traitement suppose la transmission de données par réseau, et contre toute autre forme illicite de traitement. 

 

2. Détails du transfert 

Les détails du transfert et, notamment, le cas échéant, les catégories particulières de données à caractère personnel, sont spécifiés dans l’Annexe 1 qui fait partie intégrante des présentes clauses.

3. Clause du tiers bénéficiaire 

1. La personne concernée peut faire appliquer contre l’exportateur de données la présente clause, ainsi que la clause 4, points b) à i), la clause 5, points a) à e) et points g) à j), la clause 6, paragraphes 1 et 2, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12 en tant que tiers bénéficiaire. 

2. La personne concernée peut faire appliquer contre l’importateur de données la présente clause, ainsi que la clause 5, points a) à e) et g), la clause 6, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12 dans les cas où l’exportateur de données a matériellement disparu ou a cessé d’exister en droit, à moins que l’ensemble de ses obligations juridiques n'ait été transféré, par contrat ou par effet de la loi, à l’entité qui lui succède, à laquelle reviennent par conséquent les droits et les obligations de l’exportateur de données, et contre laquelle la personne concernée peut donc faire appliquer lesdites clauses. 

3. La personne concernée peut faire appliquer contre le sous-traitant ultérieur la présente clause, ainsi que la clause 5, points a) à e) et g), la clause 6, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12, mais uniquement dans les cas où l’exportateur de données et l’importateur de données ont matériellement disparu, ont cessé d’exister en droit ou sont devenus insolvables, à moins que l’ensemble des obligations juridiques de l’exportateur de données n'ait été transféré, par contrat ou par effet de la loi, au successeur légal, auquel reviennent par conséquent les droits et les obligations de l’exportateur de données, et contre lequel la personne concernée peut donc faire appliquer lesdites clauses. Cette responsabilité civile du sous-traitant ultérieur doit être limitée à ses propres activités de traitement conformément aux présentes clauses. 

4. Les parties ne s’opposent pas à ce que la personne concernée soit représentée par une association ou un autre organisme si elle en exprime le souhait et si le droit national l’autorise. 

 

4. Obligations de l’exportateur de données

L’exportateur de données accepte et garantit ce qui suit :

a) le traitement, y compris le transfert proprement dit des données à caractère personnel, a été et continuera d’être effectué conformément aux dispositions pertinentes du droit applicable à la protection des données (et, le cas échéant, a été notifié aux autorités compétentes de l’État membre dans lequel l’exportateur de données est établi) et n’enfreint pas les dispositions pertinentes dudit État ; :

b) il a chargé, et chargera pendant toute la durée des services de traitement de données à caractère personnel, l’importateur de données de traiter les données à caractère personnel transférées pour le compte exclusif de l’exportateur de données et conformément au droit applicable à la protection des données et aux présentes clauses ; :

c) l’importateur de données offrira suffisamment de garanties en ce qui concerne les mesures techniques et d’organisation liées à la sécurité spécifiées dans l’Annexe 2 du présent contrat ; :

d) après l’évaluation des exigences du droit applicable à la protection des données, les mesures de sécurité sont adéquates pour protéger les données à caractère personnel contre une destruction fortuite ou illicite, une perte fortuite, une altération, une divulgation ou un accès non autorisé, notamment lorsque le traitement suppose la transmission de données par réseau, et contre toute autre forme illicite de traitement et elles assurent un niveau de sécurité adapté aux risques liés au traitement et à la nature des données à protéger, eu égard au niveau technologique et au coût de mise en œuvre; :

e) il veillera au respect des mesures de sécurité ; :

f) si le transfert porte sur des catégories particulières de données, la personne concernée a été informée ou sera informée avant le transfert ou dès que possible après le transfert que ses données pourraient être transmises à un pays tiers n’offrant pas un niveau de protection adéquat au sens de la directive 95/46/CE ; :

g) il transmettra toute notification reçue de l’importateur de données ou de tout sous-traitant ultérieur conformément à la clause 5, point b), et à la clause 8, paragraphe 3), à l’autorité de contrôle de la protection des données s’il décide de poursuivre le transfert ou de lever sa suspension ; :

h) il mettra à la disposition des personnes concernées, si elles le demandent, une copie des présentes clauses, à l’exception de l’Annexe 2, et une description sommaire des mesures de sécurité, ainsi qu’une copie de tout contrat de sous-traitance ultérieure ayant été conclu conformément aux présentes clauses, à moins que les clauses ou le contrat ne contienne(nt) des informations commerciales, auquel cas il pourra retirer ces informations ; :

i) en cas de sous-traitance ultérieure, l’activité de traitement est effectuée conformément à la clause 11 par un sous-traitant ultérieur offrant au moins le même niveau de protection des données à caractère personnel et des droits de la personne concernée que l’importateur de données conformément aux présentes clauses ; et :

j) il veillera au respect de la clause 4, points a) à i). :

 

5. Obligations de l’importateur de données

L’importateur de données accepte et garantit ce qui suit : :

a) il traitera les données à caractère personnel pour le compte exclusif de l’exportateur de données et conformément aux instructions de ce dernier et aux présentes clauses ; s’il est dans l’incapacité de s’y conformer pour quelque raison que ce soit, il accepte d’informer dans les meilleurs délais l’exportateur de données de son incapacité, auquel cas ce dernier a le droit de suspendre le transfert de données et/ou de résilier le contrat ; :

b) il n’a aucune raison de croire que la législation le concernant l’empêche de remplir les instructions données par l’exportateur de données et les obligations qui lui incombent conformément au contrat, et si ladite législation fait l’objet d’une modification susceptible d’avoir des conséquences négatives importantes pour les garanties et les obligations offertes par les clauses, il communiquera la modification à l’exportateur de données sans retard après en avoir eu connaissance, auquel cas ce dernier a le droit de suspendre le transfert de données et/ou de résilier le contrat; :

c) il a mis en œuvre les mesures techniques et d’organisation liées à la sécurité spécifiées dans l’Annexe 2 avant de traiter les données à caractère personnel transférées ; :

d) il communiquera sans retard à l’exportateur de données : :

i) toute demande contraignante de divulgation des données à caractère personnel émanant d’une autorité de maintien de l’ordre, sauf disposition contraire, telle qu’une interdiction de caractère pénal visant à préserver le secret d’une enquête policière ; :

ii) tout accès fortuit ou non autorisé ; et :

iii) toute demande reçue directement des personnes concernées sans répondre à cette demande, à moins qu’il n’ait été autorisé à le faire ; :

e) il traitera rapidement et comme il se doit toutes les demandes de renseignements émanant de l’exportateur de données relatives à son traitement des données à caractère personnel qui font l’objet du transfert et se rangera à l’avis de l’autorité de contrôle en ce qui concerne le traitement des données transférées ; :

f) à la demande de l’exportateur de données, il soumettra ses moyens de traitement de données à une vérification des activités de traitement couvertes par les présentes clauses qui sera effectuée par l’exportateur de données ou un organe de contrôle composé de membres indépendants possédant les qualifications professionnelles requises, soumis à une obligation de secret et choisis par l’exportateur de données, le cas échéant, avec l’accord de l’autorité de contrôle ; :

g) il mettra à la disposition de la personne concernée, si elle le demande, une copie des présentes clauses, ou tout contrat de sous-traitance ultérieure existant, à moins que les clauses ou le contrat ne contienne(nt) des informations commerciales, auquel cas il pourra retirer ces informations, à l’exception de l’Annexe 2, qui sera remplacé par une description sommaire des mesures de sécurité, lorsque la personne concernée n’est pas en mesure d’obtenir une copie de l’exportateur de données ; :

h) en cas de sous-traitance ultérieure, il veillera au préalable à informer l’exportateur de données et à obtenir l’accord écrit de ce dernier ; :

i) les services de traitement fournis par le sous-traitant ultérieur seront conformes à la clause 11 ; :

j) il enverra dans les meilleurs délais une copie de tout accord de sous-traitance ultérieure conclu par lui en vertu des présentes clauses à l’exportateur de données. :

 

6. Responsabilité

1. Les parties conviennent que toute personne concernée ayant subi un dommage du fait d’un manquement aux obligations visées à la clause 3 ou à la clause 11 par une des parties ou par un sous-traitant ultérieur a le droit d’obtenir de l’exportateur de données réparation du préjudice subi. 

2. Si une personne concernée est empêchée d’intenter l’action en réparation visée au paragraphe 1 contre l’exportateur de données pour manquement par l’importateur de données ou par son sous-traitant ultérieur à l’une ou l’autre de ses obligations visées à la clause 3 ou à la clause 11, parce que l’exportateur de données a matériellement disparu, a cessé d’exister en droit ou est devenu insolvable, l’importateur de données accepte que la personne concernée puisse déposer une plainte à son encontre comme s’il était l’exportateur de données, à moins que l’ensemble des obligations juridiques de l’exportateur de données n'ait été transféré, par contrat ou par effet de la loi, à l’entité qui lui succède, contre laquelle la personne concernée peut alors faire valoir ses droits. 

L’importateur de données ne peut invoquer un manquement par un sous-traitant ultérieur à ses obligations pour échapper à ses propres responsabilités. 

3.Si une personne concernée est empêchée d’intenter l’action visée aux paragraphes 1 et 2 contre l’exportateur de données ou l’importateur de données pour manquement par le sous-traitant ultérieur à l’une ou l’autre de ses obligations visées à la clause 3 ou à la clause 11, parce que l’exportateur de données et l’importateur de données ont matériellement disparu, ont cessé d’exister en droit ou sont devenus insolvables, le sous-traitant ultérieur accepte que la personne concernée puisse déposer une plainte à son encontre en ce qui concerne ses propres activités de traitement conformément aux présentes clauses comme s’il était l’exportateur de données ou l’importateur de données, à moins que l’ensemble des obligations juridiques de l’exportateur de données ou de l’importateur de données n'ait été transféré, par contrat ou par effet de la loi, au successeur légal, contre lequel la personne concernée peut alors faire valoir ses droits. La responsabilité du sous-traitant ultérieur doit être limitée à ses propres activités de traitement conformément aux présentes clauses. 

 

7. Médiation et juridiction

1. L’importateur de données convient que si, en vertu des clauses, la personne concernée invoque à son encontre le droit du tiers bénéficiaire et/ou demande réparation du préjudice subi, il acceptera la décision de la personne concernée : 

 

8. Droit applicable

Les clauses sont régies par le droit de l’État membre où l’exportateur de données est établi, à savoir le droit français. 

 

9. Modification du contrat

Les parties s’engagent à ne pas modifier les présentes clauses. Les parties restent libres d’inclure d’autres clauses à caractère commercial qu’elles jugent nécessaires, à condition qu’elles ne contredisent pas les présentes clauses. 

 

10. Sous-traitance ultérieure

1.L’importateur de données ne sous-traite aucune de ses activités de traitement effectuées pour le compte de l’exportateur de données conformément aux présentes clauses sans l’accord écrit préalable de l’exportateur de données. L’importateur de données ne sous-traite les obligations qui lui incombent conformément aux présentes clauses, avec l’accord de l’exportateur de données, qu’au moyen d’un accord écrit conclu avec le sous-traitant ultérieur, imposant à ce dernier les mêmes obligations que celles qui incombent à l’importateur de données conformément aux présentes clauses (3). En cas de manquement, par le sous-traitant ultérieur, aux obligations en matière de protection des données qui lui incombent conformément audit accord écrit, l’importateur de données reste pleinement responsable du respect de ces obligations envers l’exportateur de données. 

2.Le contrat écrit préalable entre l’importateur de données et le sous-traitant ultérieur prévoit également une clause du tiers bénéficiaire telle qu’énoncée à la clause 3 pour les cas où la personne concernée est empêchée d’intenter l’action en réparation visée à la clause 6, paragraphe 1, contre l’exportateur de données ou l’importateur de données parce que ceux-ci ont matériellement disparu, ont cessé d’exister en droit ou sont devenus insolvables, et que l’ensemble des obligations juridiques de l’exportateur de données ou de l’importateur de données n’a pas été transféré, par contrat ou par effet de la loi, à une autre entité leur ayant succédé. Cette responsabilité civile du sous-traitant ultérieur doit être limitée à ses propres activités de traitement conformément aux présentes clauses. 

3.Les dispositions relatives aux aspects de la sous-traitance ultérieure liés à la protection des données du contrat visé au paragraphe 1 sont régies par le droit de l’État membre où l’exportateur de données est établi, à savoir le droit français. 

4. L’exportateur de données tient une liste des accords de sous-traitance ultérieure conclus en vertu des présentes clauses et notifiés par l’importateur de données conformément à la clause 5, point j), qui sera mise à jour au moins une fois par an. Cette liste est mise à la disposition de l’autorité de contrôle de la protection des données de l’exportateur de données. 

12. Obligation après la résiliation des services de traitement des données à caractère personnel

1. Les parties conviennent qu’au terme des services de traitement des données, l’importateur de données et le sous-traitant ultérieur restitueront à l’exportateur de données, et à la convenance de celui-ci, l’ensemble des données à caractère personnel transférées ainsi que les copies, ou détruiront l’ensemble de ces données et en apporteront la preuve à l’exportateur de données, à moins que la législation imposée à l’importateur de données ne l’empêche de restituer ou de détruire la totalité ou une partie des données à caractère personnel transférées. Dans ce cas, l’importateur de données garantit qu’il assurera la confidentialité des données à caractère personnel transférées et qu’il ne traitera plus activement ces données. 

2. L’importateur de données et le sous-traitant ultérieur garantissent que si l’exportateur de données et/ou l’autorité de contrôle le demandent, ils soumettront leurs moyens de traitement de données à une vérification des mesures visées au paragraphe 1. »