ACCORD RELATIF À LA PROTECTION DES DONNÉES

PREAMBULE

Conformément au Règlement européen 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données personnelles et à la libre circulation de ces données (le « RGPD ») et la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés telle que modifiée.

Tous les termes non définis au titre de la présente Annexe, ont le sens qui leur est donné dans le RGPD.

Le présent contrat est conclu entre :

Alma, société par actions simplifiée, immatriculée au RCS de Nanterre, sous le numéro 839 100 575, sise 176, avenue Charles de Gaulle, 92200 Neuilly-sur-Seine, agréée en qualité d'Établissement de paiement et Société de Financement enregistrée sous le numéro 90786, consultable sur le site du Regafi,

Agissant en qualité de Responsable de traitement indépendant agissant dans la limite des traitements réalisés dans le cadre du Contrat qui lie les parties,

Ci-après dénommé le Prestataire ,

Et

La société ou la personne physique agissant à titre professionnel proposant les services d'Alma à ses clients agissant en qualité de responsable de traitement indépendant.

Agissant en qualité de Responsable de traitement indépendant,

Ci-après dénommé Vendeur ,

1. Objet

Il est entendu que chaque Partie est responsable de ses propres Traitements de Données Personnelles et finalités, et s'engage à collecter et à traiter toute Donnée Personnelle en conformité avec la réglementation en vigueur applicable au Traitement de ces données.

Le présent accord de protection des données vise à établir le périmètre de responsabilité et les obligations de chacune des Parties, qui reconnaissent être deux Responsables de traitement indépendants.

Les Parties s'engagent à respecter toute réglementation en matière de protection de données qui pourrait être applicable pour l'exécution du Contrat et en particulier (i) le Règlement (UE) 2016/679 du 27 avril 2016 ci après « Règlement Européen sur la Protection des Données » ou « RGPD », (ii) la loi n°78-17 du 6 janvier 1978 modifiée (ci-après « loi Informatique et Libertés ») et (iii) toute autre réglementation applicable aux traitements de données personnelles applicable pendant la durée du Contrat. Les Parties veilleront à ce que leurs collaborateurs et leurs sous-traitants respectent ces termes.

2. Catégories des données personnelles

Les données personnelles des Acheteurs collectées et traitées sur le site du Vendeur quand ils sélectionnent la solution de paiement Alma sont les suivantes :

  • Les données d'identité / d'état civil (Nom, Prénom, Email, Numéro de mobile, adresse postale avec le pays de résidence - Ces données sont collectées et transmises par le Vendeur, l'Acheteur est informé par le Vendeur et à travers la politique de confidentialité)

Les données personnelles des Acheteurs collectées et traitées sur la plateforme de la solution Alma sont les suivantes :

  • (Pour le P10X: document d'identification nécessaire conformément à la réglementation tel que carte d'identité, permis de conduire, justificatif de domicile, résidence fiscale - Ces données sont collectées directement auprès de l'acheteur) ;
  • Les données de connexion (adresse IP) ;
  • Les données d'ordre économique et financier (Tokenisation de la carte bancaire et pour le P10X: agrégation du compte bancaire).

3. Finalités et Fondements des Traitements

La principale finalité d'Alma est d'octroyer des crédits aux Acheteurs pour l'achat des produits proposés par les Vendeurs. Dans le cadre de l'exécution de la finalité ultime, plusieurs finalités s'interposent :

  • L'évaluation de l'éligibilité de l'Acheteur ou scoring ;
  • Le recouvrement de la dette de l'Acheteur ;
  • La lutte contre la fraude ;
  • La lutte contre le blanchiment et le financement du terrorisme.

Le fondement est contractuel, légal (réglementations qui encadrent l'activité du Responsable de traitement) et d'intérêt légitime.

Les finalités annexes sont de permettre à Alma de proposer à l'Acheteur d'ouvrir son espace client Alma afin de visualiser ses échéances et profiter des services Alma. Ainsi que de promouvoir auprès de l'Acheteur la solution et les produits Alma. Ces finalités ne concernent que le nom, prénom, adresse email et numéro de téléphone.

Le fondement des finalités annexes est le consentement de l'Acheteur collectés par Alma lors du parcours sur son site internet.

4. Durée du Traitement

Concernant l'octroi de crédit, le Traitement dure tout au long du contrat de crédit conclu entre le Prestataire et l'Acheteur, jusqu'au recouvrement de la dette.

Le Prestataire conserve les données conformément à la réglementation, jusqu'à cinq ans après le recouvrement de la dette.

5. Engagements de chaque Responsable de traitement

Chaque Responsable de traitement veille à ce que les personnes autorisées à traiter les données à caractère personnel soient soumises à une stricte obligation de confidentialité.

Chaque Responsable de traitement prend les mesures techniques et organisationnelles appropriées pour garantir la sécurité du traitement.

Chaque Responsable de traitement garantit la confidentialité, l'intégrité, la sauvegarde et l'archivage des données à caractère personnel recueillies et transmises.

6. Obligation d'information

Le Vendeur informe via sa politique de vie privée les Acheteurs des traitements de données personnelles dont il est responsable de traitement au regard des articles 13 et 14 du RGPD.

L'obligation d'information du Prestataire pour les traitements dont il est Responsable de traitement sera réalisée par la mise à disposition des CGU ou du contrat de crédit ainsi que la politique de confidentialité du Prestataire.

7. Notification d'une violation de données personnelles

Chaque Partie prend les mesures nécessaires pour limiter et notifier à l'autre Partie toute violation des données personnelles dont il fait l'objet et dont il aura eu connaissance au cours de l'exécution du contrat. Chacun doit sans délai (inférieur à 48 heures suivant la prise de connaissance) informer l'autre Partie de toute violation ou soupçon de violation de données personnelles. Cette notification doit être complétée de toute documentation utile.

8. Recours à la Sous-traitance ultérieure

Chaque Responsable de traitement peut faire appel à des sous-traitants dans le cadre de ces traitements. En cas de modification, il en informe l'autre Partie.

Chaque Responsable de traitement s'engage à ce que ses sous-traitants présentent des garanties suffisantes et mettent en œuvre de mesures techniques et organisationnelles appropriées, de manière que le traitement réponde aux mêmes exigences que le présent accord de traitement des données.

Chaque Partie demeure pleinement responsable de l'exécution de ses obligations par ses sous-traitants.

9. Transfert des données hors Espace Économique Européen

Si les Parties ont recours à des sous-traitants situés en dehors de l'Espace Économique Européen, elles s'engagent à mettre en place les garanties appropriées pour l'encadrement de ce transfert de données hors Espace Économique Européen, et notamment à signer avec tous leurs sous-traitants ultérieurs situés en dehors de l'Espace Économique Européen la dernière version des clauses contractuelles types de la Commission Européenne.

10. Assistance

Chaque Partie s'engage à fournir à l'autre Partie toutes informations et alertes utiles dans les plus brefs délais pour lui permettre de respecter ses obligations en matière de traitement des données personnelles.

Par ailleurs, le Prestataire s'engage à aider le Vendeur pour la réalisation, le cas échéant des analyses d'impact relatives à la protection des Données Personnelles et, au besoin, pour la consultation préalable de l'autorité de contrôle.

11. Exercice des droits des personnes concernées

Chaque Responsable de traitement doit s'acquitter de ses obligations en cas d'exercice des droits des Personnes Concernées (droit d'accès, de rectification, d'effacement et d'opposition, droit à la limitation du Traitement, droit à la portabilité des Données Personnelles, droit de ne pas faire l'objet d'une décision individuelle automatisée y compris le profilage).

Si la personne concernée exerce ses droits auprès du mauvais Responsable de traitement, le Responsable de traitement doit adresser la demande, dès réception, à l'autre Partie par courrier électronique à adresse électronique suivante :

12. Contact

Chaque Responsable de Traitement communique à l'autre Partie le nom et les coordonnées de son délégué à la protection des données ou, le cas échéant, du point de contact en matière de protection des Données Personnelles.

Pour Alma :