X

We detected that you log in from the United States, do you want to visit our US website?  Cliquez ici Parcourir les régions

Choisissez une marque

Clauses relatives au traitement des données à caractère personnel

En plus des Conditions Générales, les clauses suivantes s’appliqueront à certains services annexes et / ou toute option offerte au Marchand pour lesquels il est expressément indiqué que Ingenico FS est le sous-traitant (ci-après « l’Option »).

Le « Règlement RGPD » aura la même signification que la définition de « Législation Données Personnelles » énoncée dans les Conditions Générales.

1. Description du traitement

 

Les traitements de Données à Caractère Personnel qui seront réalisés par Ingenico FS en qualité de sous-traitant lorsqu’elle fournit l’Option dans le cadre du contrat conclu présentent les caractéristiques suivantes :

 

  1. Pour chacun des traitements dont les finalités sont précisées ci-après, le Marchand agit en qualité de responsable du traitement et s’engage à ce titre à respecter les obligations lui incombant en cette qualité aux termes du Règlement RGPD ;
  2. Ingenico FS intervient pour sa part, dans le cadre de chacun de ces traitements, en tant que sous-traitant du Marchand au sens du Règlement RGPD, et à ce titre, agit sur instructions documentées du Marchand et non comme responsable du traitement ;
  3. Le Marchand a sélectionné l’Option comme le moyen le plus adéquat pour réaliser les traitements des Données à Caractère Personnel dont la finalité est précisée ci-après ;
  4. La finalité des traitements définies par le Marchand est la fourniture du service liée à l’Option tel que décrite dans le contrat conclu ;
  5. Les Données à Caractère Personnel objet des traitements sont les Données à Caractère Personnel recueillies et traitées lors du traitement des Transactions, telles que les données de Transaction, en ce compris le numéro de carte bancaire, sa date d’expiration, la date et le montant de la Transaction;
  6. Les personnes concernées par le traitement sont les porteurs de la méthode de paiement (les clients du Marchand) dont les Données à Caractère Personnel sont traitées dans le cadre de l’Option;
  7. Les Données à Caractère Personnel seront conservées pendant la période indiquée dans la description du service. A l’issue de cette période, sous réserve de dispositions contraires d’ordre règlementaire, légal ou contractuel imposant à Ingenico FS la rétention de ces Données à Caractère Personnel, les Données à Caractère Personnel sont effacées par Ingenico FS dans les conditions prévues à l’article 2)g) ci-après ou anonymisées. Sans préjudice des back up effectués par Ingenico FS, et lorsque la Plate-forme Ingenico le permet, le Marchand peut réduire cette période de rétention. Le Marchand assume la responsabilité de la période choisie. La description du service peut préciser d’autres modalités de rétention et de réduction de la durée de rétention des Données à Caractère Personnel, lesquelles prévalent sur les stipulations du présent article dans ce cas de figure.

 

2. Engagements d’Ingenico FS

 

Ingenico FS déclare mettre en œuvre, dans le cadre de son organisation certifiée PCI-DSS, des mesures techniques et organisationnelles appropriées dans le domaine de sa profession de manière à ce que les traitements répondent aux exigences du Règlement RGPD et garantissent la protection des droits de la personne concernée. En sa qualité de sous-traitant, Ingenico FS s’engage à :

 

  1. ne traiter les Données à Caractère Personnel que sur instruction documentée du Marchand, y compris en ce qui concerne les transferts de Données à Caractère Personnel vers un pays tiers ou à une organisation internationale, étant précisé que les modalités de fourniture de l’Option telles que décrites dans le contrat conclu, constituent les instructions du Marchand ;
  2. veiller à ce que les membres de son personnel ou du personnel de ses sous-traitants (ci-après individuellement le «Sous-traitant ultérieur») autorisés à traiter les Données à Caractère Personnel s'engagent à respecter la confidentialité ou soient soumis à une obligation légale appropriée de confidentialité;
  3. mettre en œuvre, compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ;
  4. dans la mesure du possible et en tenant compte de la nature du traitement concerné, aider le Marchand, par des mesures techniques et organisationnelles appropriées, à s'acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d'exercer leurs droits prévus au Règlement RGPD. Dans la mesure autorisée par la loi, le Marchand sera responsable de tout coût résultant de la fourniture d’une telle assistance par Ingenico FS;
  5. tenant compte de la nature du traitement concerné et des informations à la disposition  d’Ingenico FS, aider le Marchand à respecter ses obligations de notification prévues au Règlement RGPD, ce qui implique de la part d’Ingenico FS qu’en cas de violation de Données à Caractère Personnel, Ingenico FS notifie la violation en question au Marchand dans les meilleurs délais après en avoir pris connaissance;
  6. tenant compte de la nature du traitement concerné et des informations à la disposition d’Ingenico FS, aider le Marchand pour la réalisation d’analyses d’impact relatives à la protection des Données à Caractère Personnel, ainsi que pour la réalisation de la consultation préalable de l’autorité de contrôle, lorsqu’applicable. Dans la mesure autorisée par la loi, le Marchand sera responsable de tout coût résultant de la fourniture d’une telle assistance par Ingenico FS;
  7.  selon le choix du Marchand et à moins qu’une loi, un règlement ou une autorité judiciaire ou administrative n'exige la conservation de ces Données à Caractère Personnel, supprimer toutes les Données à Caractère Personnel ou les renvoyer au Marchand au terme de la fourniture de l’Option ou à la fin de la période de rétention des données, et détruire les copies existantes, sous réserve des copies de back up et des Données à Caractère Personnel enregistrées dans les logs lesquelles sont conservées jusqu’à expiration des fichiers de sauvegarde et logs conformément aux politiques de conservation des sauvegardes et logs d’ Ingenico FS;
  8. mettre à la disposition du Marchand toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d'audits, y compris des inspections, par le Marchand ou un autre auditeur qu'il a mandaté, et contribuer à ces audits.
    En cas d’audit, les principes suivants seront respectés: le Marchand ne demandera qu’un (1) audit par an, sauf si Ingenico FS manque gravement à ses obligations, auquel cas le Marchand pourra demander un audit supplémentaire, en vue de l’audit 1) le Marchand informera par lettre recommandée avec avis de réception Ingenico FS au moins 6 semaines avant la date de l’audit prévue et inclura un plan détaillé de sa demande dans cette notification. En cas d’audit suite à un manquement grave commis par Ingenico FS, le Marchand informera Ingenico FS moyennant préavis écrit de quarante-huit (48) heures. Les principes suivants s’appliqueront en toutes circonstances: ; 1) Le référentiel de mesures applicable à l’audit sera le référentiel PCI applicable au Service d’Ingenico FS ; à cet égard il est expressément convenu que ne seront pas soumis à l’audit : toute donnée financière ou Données à Caractère Personnel qui ne concerne pas le Marchand, toute information dont la divulgation serait susceptible d’affecter la sécurité des systèmes et/ou données d’ Ingenico FS (dans ce cas, Ingenico FS devra motiver son refus par des motifs légitimes, par exemple problème de confidentialité ou de sécurité) ou d’autres clients d’ Ingenico FS, et le code source des logiciels Ingenico FS ou de tout autre outil utilisé par INGENICO ; 2) tous les frais relatifs à l’audit, en ce compris les frais internes Ingenico FS, seront à charge exclusive du Marchand ; 3) la durée de l’audit ne dépassera pas trois (3) jours ouvrables. Ingenico FS adressera au Marchand une facture relativement à tous les frais issus de cet audit, en ce compris les journées de travail de son personnel, étant précisé que le tarif d’un jour de travail sera facturé au taux de journée homme mentionné dans le contrat conclu, ou, à défaut, mille quatre-cents (1.400,00) euros hors taxes; 4) l’auditeur ne pourra pas faire copie de document, fichier, donnée ou information, en tout ou partie, ni prendre des photos, numériser, ou capter des enregistrements sonores, vidéo ou informatiques ; il ne pourra pas non plus demander que tout ou partie de ces éléments lui soient fournis ou envoyés ; Ingenico FS pourra organiser une montrée de documents sensibles dans une salle sécurisée (black room) ; 5) tout auditeur personne physique ne pourra être admis sur un site Ingenico FS ou d’un de ses Sous-traitants ultérieurs qu’après déclaration par le Marchand de son identité ; le Marchand devra s’assurer de la probité des auditeurs mandatés, qu’ils soient employés du Marchand ou d’un cabinet d’audit externe, et le Marchand garantit à Ingenico FS que l’auditeur respectera les obligations de confidentialité mentionnées dans le contrat conclu ; 6) l’audit devra se dérouler pendant les heures d’ouverture normales des bureaux d’ Ingenico FS et sera conduit de façon à ne pas gêner la réalisation du Service d’Ingenico FS confiés ni la production pour d’autres clients d’ Ingenico FS, laquelle reste en tous cas de figure prioritaire sur la réalisation de l’audit ; Ingenico FS pourra à tout moment interrompre l’Audit si la production exige que les ressources et moyens occupés par l’audit soient mobilisés à d’autres fins.
  9. informer immédiatement le Marchand si, selon Ingenico FS, une instruction du Marchand constitue une violation du Règlement RGPD.

 

3. Sous-traitants ultérieurs

 

Ingenico FS peut faire appel à un ou plusieurs Sous-traitant(s) ultérieur(s) pour mener des activités de traitement spécifique des Données à Caractère Personnel collectées et/ou traitées dans le cadre de l’exécution de l’Option. Le(s) Sous-traitant(s) ultérieur(s) ainsi que leurs locations respectives sont précisés dans la description des Services.

Ingenico FS pourra recruter d’autres Sous-traitants ultérieurs ou remplacer un Sous-traitant ultérieur existant à condition d’en informer le Marchand quatre-vingt-dix (90) jours à l’avance, afin de permettre à ce dernier d’évaluer ces changements et en cas d’objections de terminer l’usage de l’Option, selon les modalités suivantes. Le Marchand disposera d’une période de trente (30) jours à partir de la notification effectuée par Ingenico FS pour notifier par écrit ses objections éventuelles (la « Notification d’Objections »). Comme Ingenico FS offre un service partagé, et sauf si les Parties se sont entendues sur une solution alternative permettant de lever ces objections, l’usage de l’Option pourra être terminé de plein droit par l’une ou l’autre des Parties moyennant notification écrite qui devra être effectuée au plus tard dans les (30) jours suivant la Notification d’Objections du Marchand. Cette résiliation sera effective à l’issue d’un délai de trente (30) jours suivant la date de notification de la résiliation de l’usage de l’Option et le Marchand ne pourra plus utiliser l’Option à compter de cette date. A défaut de Notification d’Objections du Marchand dans le délai précité de trente (30) jours, l’Option continuera d’être fournie au Marchand par Ingenico FS selon les nouvelles conditions de sous-traitance ultérieure.

En toute hypothèse, dans le cas où Ingenico FS recrute un Sous-traitant ultérieur pour mener des activités de traitement spécifiques de Données à Caractère Personnel dans le cadre de la fourniture de l’Option au Marchand, les mêmes ou similaires obligations en matière de protection des Données à Caractère Personnel que celles fixées dans les présentes clauses seront imposées à ce Sous-traitant ultérieur, par contrat ou au moyen d'un autre acte, en particulier pour ce qui est de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que les traitements réalisés par le Sous-traitant ultérieur répondent aux exigences du Règlement RGPD. Lorsque ce Sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des Données à Caractère Personnel, Ingenico FS demeure pleinement responsable vis-à-vis du Marchand de l'exécution par le Sous-traitant ultérieur de ses obligations.

En cas d'urgence, tel que défini ci-après, Ingenico FS est autorisé par le Marchand à désigner un Sous-traitant ultérieur ou à remplacer un Sous-traitant ultérieur existant, avec effet immédiat, pour la réalisation d’activités de traitement spécifiques. Dans de telles circonstances, Ingenico FS doit aviser le Marchand d'une telle nomination ou d'un tel remplacement sans délai. A compter de cette date, le Marchand disposera d’une période de trente (30) jours à partir de la notification effectuée par Ingenico FS pour notifier par écrit ses objections éventuelles (la « Notification d’Objections »). Comme Ingenico FS offre un service partagé, et sauf si les Parties se sont entendues sur une solution alternative permettant de lever ces objections, l’usage de l’Option pourra être terminé de plein droit par l’une ou l’autre des Parties moyennant notification écrite qui devra être effectuée au plus tard dans les (30) jours suivant la Notification d’Objections du Marchand. Cette résiliation sera effective à l’issue d’un délai de trente (30) jours suivant la date de notification de la résiliation de l’usage de l’Option et le Marchand ne pourra plus utiliser l’Option à compter de cette date. A défaut de Notification d’Objections du Marchand dans le délai précité de trente (30) jours, l’Option continuera d’être fournie au Marchand par Ingenico FS selon les nouvelles conditions de sous-traitance ultérieure. Une urgence est décrite comme un événement qui a rendu la fourniture de l’Option raisonnablement ou commercialement excessivement difficile.

 

4. Engagements du Marchand

 

Le Marchand s’engage à respecter les obligations qui sont les siennes au titre du Règlement RGPD.

 

5. Transferts

 

5.1. Transferts pour les besoins de traitement des Transactions et/ou sur instructions du Marchand

Le Marchand est informé et reconnaît que, lors de la fourniture de l’Option, Ingenico FS ou ses Sous-traitants ultérieurs peuvent être amenés à communiquer les Données à Caractère Personnel à des tiers intervenant dans la chaîne de traitement des Transactions, en ce compris les acquéreurs, institutions financières et systèmes internationaux, avec lesquels Ingenico FS ou ses Sous-traitants ultérieurs n’ont aucune relation contractuelle mais dont l’intervention est nécessaire pour le traitement de la Transaction conformément au contrat conclu et/ou aux instructions du Marchand. Ceci peut engendrer le transfert de Données à Caractère Personnel dans un pays situé hors de l’Espace Economique Européen qui n’a pas un niveau adéquat de protection. Dans ce cas, il appartient au Marchand de s’assurer qu’Ingenico FS et ses Sous-traitants ultérieurs, peuvent opérer pareil transfert de Données à Caractère Personnel conformément aux lois et règlements applicables.

 

5.2. Transferts résultant de la fourniture du Service d’Ingenico FS par Ingenico FS

Dans l’hypothèse où l’usage de Sous-traitant(s) ultérieur(s) par Ingenico FS requiert le transfert de Données à Caractère Personnel dans un pays situé hors de l’Espace Economique Européen et ne disposant pas d’un niveau adéquat de protection, Ingenico FS s’engage à mettre en œuvre une solution d’encadrement de ce transfert conforme aux dispositions du Règlement RGPD.

A cette fin et dans la mesure où la solution d’encadrement envisagée consisterait en la signature d’un contrat de transfert de données reposant sur les clauses contractuelles types pour le transfert de Données à Caractère Personnel vers des Sous-traitants ultérieurs établis dans des pays tiers adoptées par la Commission européenne (telles que ces clauses pourraient être amendées ou remplacées), le Marchand, en sa qualité d’exportateur des données, donne mandat, par les présentes, à Ingenico FS pour signer en son nom et pour son compte, un tel contrat de transfert de données avec le ou le(s) importateur(s) de données concerné(s).

En outre si Ingenico FS est tenue de procéder à un transfert de Données à Caractère Personnel vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, Ingenico FS doit informer le Marchand de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs d’intérêt public.

 

6. Demandes d’autorités répressives et d'autres autorités judiciaires ou administratives

La communication par Ingenico FS de toutes Données à Caractère Personnel aux autorités de contrôle et autres autorités judiciaires ou administratives (les « Autorités »), lorsque pareille communication est requise par une telle Autorité, sera faite seulement si le Marchand a donné instruction à Ingenico FS de le faire sauf si Ingenico FS est obligée par la loi de 1) fournir les informations aux Autorités et 2) ce sans en informer le Marchand. Dans telle circonstance, Ingenico FS fournira les informations aux Autorités sans avoir reçu l’autorisation du Marchand de le faire et sans informer le Marchand de ce traitement de Données à Caractère Personnel.

Votre choix concernant les cookies sur ce site

Nous utilisons des cookies pour améliorer votre navigation sur ce site. Certains enregistrent vos préférences d'utilisation (langue, localisation, personnalisation), d'autres collectent des statistiques. On vous donne le choix d'accepter tous ces cookies en cliquant sur le bouton "Accepter" ou bien de les paramétrer en cliquant sur "Définir mes préférences".

Accepter Définir mes préférences