DPA Annonceurs | FR

ACCORD SUR LA PROTECTION DES DONNEES

Affilae à toujours eu à coeur la protection des données de ses clients, notre DPA (Data Protection Agreement) vous garantie que nous traitons sérieusement vos données collectées et que nous continuerons de le faire dans le cadre juridique européen à venir.

TABLE DES MATIERES

DEFINITIONS
1. DUREE
2. ROLE DES PARTIES
3. OBLIGATIONS GENERALES DES PARTIES
4. PERSONNEL DES PARTIES
5. APPEL A LA SOUS-TRAITANCE
6. INFORMATION DES PERSONNES CONCERNEES ET GESTION DES DROITS
7. COOPERATION A LA MISE EN CONFORMITE 8. MESURES DE SECURITE
9. VIOLATION DE DONNEES A CARACTERE PERSONNNEL
10. TENUE DU REGISTRE DES ACTIVITES DE TRAITEMENT
11. TRANSFERTS DE DONNEES EN DEHORS DE L’UNION EUROPENNE
12. PROPRIETE DES DONNEES
13. DROIT APPLICABLE ET JURIDICTION  

APPENDICE 1 : DESCRIPTIF DU TRAITEMENT
APPENDICE 2 : DESTINATIRES ET SOUS-TRAITANTS DES DONNEES        

ETANT PREALABLEMENT RAPPELE QUE

  AFFILAE permet à l’Annonceur de bénéficier d’un outil de gestion de ses campagnes d’affiliation et des commissions versées à ses Affiliés.   Afin d’utiliser les Services, l’Annonceur a accepté les conditions générales de vente et d’utilisation d’AFFILAE (ci-après le « Contrat »).   Les Parties ont décidé de se rapprocher pour définir ensemble les finalités et les moyens des traitements de données à caractère personnel détaillés en Appendice 1.   Le présent Accord, établi en application de l’article 26 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, a pour objet de définir conjointement les conditions dans lesquelles les Parties s’engagent à mettre en œuvre les opérations de traitements de données à caractère personnel définies en Appendice 1 selon les modalités définies ci-après.   Dans le cadre de leurs relations contractuelles, les Parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 précité (ci-après, « le règlement européen sur la protection des données »), la loi « Informatique et libertés » n°78-17 du 6 janvier 1978 modifiée et les réglementations en matière de propriété industrielle et intellectuelle.   Il est entendu expressément que le présent Accord a fait l’objet d’une négociation entre les Parties.  

LES PARTIES ONT CONVENU CE QUI SUIT  

DEFINITIONS

  Pour les besoins des présentes, les termes suivants auront le sens qui est donné ci-dessous :

• « Annonceur» : désigne toute personne physique ou morale ayant accepté les conditions générales de vente et d’utilisation d’AFFILAE et utilisant ses Services pour gérer ses programmes d’affiliation.

• « Affiliés» : désigne toute personne physique ou morale adhérant au programme d’affiliation proposé par l’Annonceur.

• « Autorité Publique» : désigne toute personne morale de droit public ou de droit privé agissant sous délégation de service publique et requérant un accès de quelque sorte qu’il soit aux Données.

• « Cookies» ou « Traceurs » : désigne tout fichier, pixel ou script utilisé par AFFILAE et implémenté sur le Site Internet afin de collecter les informations nécessaires à la fourniture des Services.

• « Données » : désigne tous types d’informations et/ou données auxquelles les Parties ont accès dans le cadre des relations contractuelles, quel que soit le format ou le support, que ce soit des Données personnelles (définies ci-après) ou non (ex : données financières, opérateurs, usagers, partenaires, données stratégiques, techniques, professionnelles, administratives, commerciales, juridiques, comptables …)

• « Données personnelles » : désigne toute information relative à une personne physique identifiée ou qui peut être identifiée comme telle, soit directement soit indirectement par regroupement d’informations, par référence à un numéro d’identification ou à des éléments qui lui sont propres : nom, adresse, numéro de téléphone, adresse IP, adresse email, numéro d’immatriculation d’un véhicule, matricule professionnel, identifiant/login, mot de passe, données de connexion, etc.

• « Données sensibles» : désigne les catégories particulières de données dont le traitement est par principe interdit. Il s’agit des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.

• « Internautes» : désigne l’ensemble des personnes navigant sur le Site Internet de l’Annonceur.

• « Personne concernée» : désigne l’ensemble des personnes dont les données à caractère personnel font l’objet d’un traitement de données.

• « Responsable de traitement» : désigne les personnes qui déterminent ensemble les finalités et les moyens du traitement.

• « Services » : Désigne les services fournis par AFFILAE à l’Annonceur dans le cadre du Contrat.

• « Site Internet» : désigne le site Internet de l’Annonceur.

• « Sous-traitant» : désigne la personne traitant des données à caractère personnel pour le compte du responsable du traitement, il agit sous l’autorité du responsable du traitement et sur instruction de celui-ci.

• « Terminal» : désigne le dispositif utilisé par l’Internaute pour naviguer sur le Site des Annonceurs et sur lequel les Cookies sont susceptibles d’être déposés.

• « Traitement » : désigne toute opération portant sur des informations, quel que soit le procédé utilisé (automatisé ou non automatisé). Sont donc visées toutes formes de traitement des Données, que ce soit sur support informatique ou autres (papier, enregistrement vidéo, audio, …). S’agissant en particulier de Données personnelles, il peut s’agir d’opérations de collecte, d’enregistrement, d’organisation, de conservation, d’adaptation, de modification, d’extraction, de consultation/visualisation, de diffusion ou de mise à disposition.

• « Violation de données à caractère personnel » : désigne une faille de sécurité qui entraîne accidentellement ou illicitement l’accès à ou la destruction, la perte, l’altération, la divulgation non autorisée d’Informations personnelles transmises, stockées ou traitées.

1. DUREE

  Le présent Accord entre en vigueur à compter de sa signature et est conclu pour toute la durée du Contrat.  

2. ROLE DES PARTIES

  Dans le cadre du présent Accord, les Parties sont amenées à agir en qualité de co-responsables du traitement en fonction des opérations de traitements effectuées et détaillées en Appendice 1. Il est précisé que les obligations prévues au présent Accord ne s’imposent qu’aux opérations de traitements réalisées par les Parties en qualité de responsables conjoints.  

3. OBLIGATIONS GENERALES DES PARTIES

3.1 Obligations de l’Annonceur

  L’Annonceur s’engage à :

• respecter le principe de licéité du traitement prévu à l’article 6 du RGPD. En particulier, l’Annonceur s’engage à collecter le consentement dans les conditions précisées ci-dessous (Bandeau Cookie) ;
• traiter les données uniquement pour la ou les seule(s) finalité(s) du traitement renseignée(s) en Appendice 1 ;
• garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent Accord ;
• prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut ;
• superviser le traitement, y compris réaliser les audits et les inspections auprès de l’autre Partie ;
• veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen sur la protection des données de la part de l’autre Partie ;
• désigner un interlocuteur privilégié. Cet interlocuteur privilégié devra être doté de l’expérience, de la compétence, de l’autorité et des moyens nécessaires à l’exercice de sa mission ;
• informer les personnes concernées conformément aux articles 13 et 14 du règlement européen sur la protection des données et à la recommandation de la CNIL n° 2020-092 du 17 septembre 2020 ;
• mettre à disposition des Personnes concernées les grandes lignes du présent Accord à première demande en sus des mentions d’information détaillées à l’article 6.1 en adaptant le modèle suivant :

  Le présent traitement de vos données a fait l’objet d’un contrat entre AFFILAE et [__l’Annonceur__] chacun co-responsable au sens de l’article 26 du Règlement Général Européen sur la Protection des données du 27 avril 2016 entré en vigueur le 25 mai 2018.  AFFILAE et [______l’Annonceur________] se sont ainsi conjointement engagés à vous informer de la nature de ce traitement des droits dont vous disposez et à mettre en œuvre les mesures organisationnelles et techniques appropriées pour assurer la sécurité et la confidentialité de vos données.

• collaborer de bonne foi, notamment en communiquant à toute Partie tous les documents, renseignements et informations nécessaires ou demandés pour permettre d’assurer la conformité des traitements co-traités détaillés en Appendice 1.

  L’Annonceur s’engage à collecter un consentement libre, éclairé, spécifique et univoque via un « bandeau cookie » conformément à l’article 4 du RGPD et à la recommandation de la CNIL n°2020-092 du 17 septembre 2020 (ci-après le « Bandeau Cookie »). A cet effet, l’Annonceur garantit à AFFILIAE que :

• Le Bandeau Cookie ne disparaît pas tant que l’Internaute n’a pas expressément accepté ou refusé le dépôt de Cookies sur son terminal ;
• Aucun Cookie ou Traceur n’est déposé sur le Terminal de l’Internaute sans son consentement exprès et préalable. En particulier, l’Annonceur reconnaît que la poursuite de la navigation ne constitue en aucun cas un consentement valable et s’interdit toute collecte de Cookies reposant sur un tel fondement ;
• Le délai de validité du consentement au dépôt de Cookies est porté à six (6) mois maximum. A l’expiration de ce délai, l’Annonceur s’engage à recueillir de nouveau le consentement de l’Internaute pour déposer des Cookies sur son Terminal ;
• Il a mis en place, sur son Site Internet, un dispositif rapide et aisément accessible permettant aux Internautes de retirer leur consentement au dépôt de Cookies à tout moment ;
• Le Bandeau Cookie contient les informations listées à l’article 7 du présent Accord ainsi qu’un renvoi vers une politique de confidentialité ou une mention d’information spécifique et

3.2 Obligations d’AFFILAE

  AFFILAE s’engage à :

• garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent Accord ;
• prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut ;
• collaborer de bonne foi, notamment en communiquant tous les documents, renseignements et informations nécessaires ou demandés pour permettre d’assurer la conformité des traitements co-traités détaillés en Appendice 1.

4.     PERSONNEL DES PARTIES

• Qualification du personnel

  Les Parties affecteront à la réalisation des Missions des équipes suffisantes et qualifiées. Ces équipes devront être formées à la règlementation en matière de protection des données à caractère personnel.  

• Non-subordination du personnel

  Dans le cadre des Missions et Traitements y afférents tels que détaillés en Appendice 1, il est ici précisé que le personnel de l’une des Parties ne sera en aucune manière lié à l’autre Partie, par un quelconque lien de subordination. La seule personne habilitée à prendre des mesures d’ordre disciplinaire, d’organisation de travail et d’une manière générale, à régler tous problèmes relatifs à la gestion du personnel, est la Partie aux bénéfices de laquelle les contrats de travail ont été conclus. Ainsi, le personnel de chacune des Parties demeure placé sous leur seule autorité, direction et surveillance.  

5. APPEL A LA SOUS-TRAITANCE

  Les Parties peuvent faire appel à un ou plusieurs sous-traitants pour mener des activités de traitement spécifiques dans le respect des finalités définies pour le Traitement défini en Appendice 1. Dans ce cas, les Parties s’engagent et veillent à ce que les sous-traitants sélectionnés présentent des niveaux de garantie suffisants permettant de respecter strictement le droit applicable en matière de protection des données.   Si le ou les sous-traitants sélectionnés ne remplissent pas les obligations qui leur incombent en matière de protection des données, la Partie ayant sélectionné ce sous-traitant demeure, à elle seule, pleinement responsable de ces manquements.   Dans l’hypothèse où le sous-traitant est sélectionné conjointement par les Parties, la responsabilité en cas de manquement par ce sous-traitant des obligations en matière de protection des données sera partagée.

6. INFORMATION DES PERSONNES CONCERNEES ET GESTION DES DROITS

6.1. Information des personnes

  Il appartient à l’Annonceur, de fournir aux Personnes concernées l’information relatives aux opérations de traitement détaillées en Appendice 1, ainsi qu’aux grandes lignes du présent accord conformément aux dispositions des articles 13 et 26 du RGPD. En particulier, l’Annonceur s’engage à mettre en place un « bandeau cookie » conforme à la recommandation de la CNIL n°2020-092 du 17 septembre 2020 et comportant notamment la mention :

• Des finalités précises des Traceurs d’AFFILAE utilisés sur le Site Internet ;
• De la qualité d’éditeur de Cookies d’AFFILAE, laquelle doit figurer dans son « bandeau cookie »;
• Du droit et de la faculté de l’internaute à s’opposer, à tout moment, au dépôt de ces Cookies sur son terminal, à l’aide d’un bouton dédié ;
• De la possibilité d’accepter ou de refuser le dépôt de Cookies sur son terminal.

  L’Annonceur s’engage à fournir, en sus des informations mentionnées sur le « bandeau cookie », les informations suivantes et à adapter pour ce faire le modèle disponible ci-dessous : « Les informations personnelles recueillies par AFFILAE pour son compte et celui de [Annonceur] en leur qualité de responsables conjoints du traitement, sont destinées mesurer la performance de ses campagnes de publicité et de calculer le montant de la commission de ses partenaires affiliés. Ces informations sont conservées en base active pendant une durée de 12 mois à l’issue de laquelle elles seront supprimés. Les informations enregistrées ne peuvent être communiquées qu’aux sous-traitants d’AFFILAE et à nos partenaires affiliés afin de calculer le montant de leur commission. Vous bénéficiez d’un droit d’accès, de rectification, de portabilité, d’effacement de vos données personnelles, d’un droit de définir des directives relatives au sort de vos données post-mortem ou de limitation du traitement vous concernant. Vous pouvez exercer ces droits en vous adressant par écrit à  notre Délégué à la protection des données par mail à l’adresse [insérer l’adresse email du DPO de l’Annonceur] ou par courrier à l’adresse [insérer l’adresse postale du DPO de l’Annonceur]. Vous pouvez également vous opposer au traitement de données vous concernant et disposez du droit de retirer votre consentement à tout moment. Vous avez également la possibilité d’introduire une réclamation auprès d’une autorité de contrôle. ».   Dans l’hypothèse où un transfert de données hors UE est effectué durant le traitement, la mention suivante sera ajoutée : « Certains de ces destinataires sont susceptibles d’être situés en dehors de l’Union Européenne. Dans cette hypothèse, nous nous sommes assurés que :

• Le pays concerné a fait l’objet d’une décision d’adéquation de la commission européenne ;
• Dans le cas contraire, le destinataire a signé des clauses contractuelles types et que nous serons alertés de toute demande d’accès à vos données émanant d’une autorité publique. ».

  Les frais relatifs à la fourniture de l’information aux personnes seront partagés par les Parties  

6.2. Gestion des droits

  Les Parties s’entraident pour donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage), droit d’organiser le sort de ses données personnelles après la mort notamment.   L’Annonceur assurera prioritairement le contact avec la personne concernée afin qu’elle puisse exercer ses droits, notamment en rendant disponible sur son site Internet une procédure de contact. Toutefois, la personne concernée pouvant exercer ses droits sur ses Données personnelles à l’égard de et contre chacun des Responsables de Traitement, les Parties devront se communiquer toute demandes d’exercice de droits d’une personne concernée, dans les plus brefs délais et au plus tard dans les deux (2) jours après leur réception. AFFILAE assurera également la communication de l’exercice des droits des personnes à ses partenaires, destinataires des Données personnelles. En cas de demande d’exercice des droits intéressant les deux Parties, celles-ci s’accordent dans un délai de vingt (20) jours maximum à compter de la réception de la demande pour donner suite à la demande. La Partie qui refusera seule d’exercer les droits de la personne concernée devra justifier de ce refus vis-à-vis de l’autre Partie et de la personne concernée, prendra seule à sa charge les frais engagés et assumera seule les éventuelles sanctions résultant du non-exercice des droits de la personne concernée.  

7. COOPERATION A LA MISE EN CONFORMITE

  Les Parties mettent tous les moyens nécessaires pour s’aider mutuellement dans leur mise en conformité à la règlementation sur la protection des données.   Lorsque la réalisation d’analyse d’impact relative à la protection des données ou la réalisation de la consultation préalable de l’autorité de contrôle sont nécessaires pour les traitements effectués conjointement, les Parties travailleront de concert à la réalisation de ces analyses d’impact. Les frais engagés pourront être partagés entre les Parties.   Les Parties communiquent le nom et les coordonnées des délégués à la protection des données désignés par elles, ou à défaut de leur représentant. Ces coordonnées figurent en Appendice 1 et devront être portées à la connaissance des personnes concernées au même titre que les différentes mentions d’informations prévues aux articles 13 et 14 du RGPD.  

8. MESURES DE SECURITE

  Les Parties s’engagent à mettre en œuvre les mesures de sécurité techniques et organisationnelles détaillées en Appendice 1 pour assurer la sécurité et la confidentialité des Données.  

9. VIOLATION DE DONNEES A CARACTERE PERSONNNEL

9.1 Notification auprès des services de la CNIL

  Les Parties s’engagent à se notifier réciproquement et dans les meilleurs délais toute Violation de données à caractère personnel mettant en péril ou ayant des conséquences sur les Données Personnelles collectées à l’adresse email de leur DPO telle que précisée en Appendice 1. Les Parties notifient conjointement toute violation de données à caractère personnel dans les soixante-douze (72) heures au plus tard après en avoir pris connaissance auprès des services de la CNIL, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes concernées.   Lorsque cette notification ne pourra être réalisée dans le délai de soixante-douze (72) heures, les Parties présenteront des motifs de retard légitimes et valables.   La notification contient au moins :  

• la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
• le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
• la description des conséquences probables de la violation de données à caractère personnel ;
• la description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

  Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être raisonnablement communiquées de manière échelonnée sans retard indu.   La notification est accompagnée de toute documentation utile afin de permettre d’apprécier la violation.   Avant envoi, la notification effectuée par une des Parties est soumise à validation par l’autre Partie.  

9.2 Communication aux personnes concernées

  Les Parties communiquent également la violation de données à caractère personnel à la personne concernée dans les meilleurs délais, lorsque cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique.   La communication à la personne concernée décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins :  

• la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
• le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
• la description des conséquences probables de la violation de données à caractère personnel ;
• la description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

  Les moyens et le contenu de la communication seront déterminés ensemble par les Parties.  

10. TENUE DU REGISTRE DES ACTIVITES DE TRAITEMENT

  Les Parties font leur affaire de la tenue du registre des activités de traitement en leur qualité respective de Responsable de traitement.  

11. TRANSFERTS DE DONNEES EN DEHORS DE L’UNION EUROPENNE

  Dans le cadre des traitements visés en Appendice 1, l’Annonceur accepte et reconnaît que les données sont susceptibles d’être transférées à des Affiliés situés en dehors de l’Union européenne.   AFFILAE s’engage à :

• S’assurer que le Pays tiers dans lequel est établi l’Affilié est un pays qui, selon la Commission européenne, justifie d’un niveau adéquat de protection des Données Personnelles ; ou
• Conclure avec l’Affilié :
  • Les clauses contractuelles types de la Commission européenne ;
  • Un Data Agreement prévoyant que celui-ci s’engage à :
    • alerter AFFILAE de toute demande d’accès aux Données par une Autorité Publique sous quarante-huit (48) heures à compter de ladite demande ;
    • lorsque la loi le prévoit, former tout recours permettant de contester ladite demande d’accès devant les juridictions compétentes avant de donner accès aux données ;
    • permettre à AFFILAE de suspendre son accès aux Services dans un délai de quarante-huit (48) heures à compter de la notification de la demande d’accès ou de la découverte de la demande d’accès ;
  • Veiller à ce que les transferts effectués avec l’Affilié s’inscrivent, le cas échéant, dans le régime d’exception visé à l’article 49 du Règlement Général sur la Protection des Données.

  AFFILAE s’engage à notifier à l’Annonceur, dans les meilleurs délais, toute demande d’accès émanant d’une Autorité Publique dont elle aurait été alertée par un Affilié ou qu’elle aurait découverte par ses propres moyens.

12. PROPRIETE DES DONNEES

  Les Parties conviennent qu’elles resteront propriétaires de leurs bases de données respectives.  

13. DROIT APPLICABLE ET JURIDICTION

  Le présent Accord sera régi et interprète conformément à la loi française et tout litige découlant de ou en relation avec le présent Accord sera soumis à la juridiction exclusive des tribunaux français, auxquelles chacune des parties se soumet irrévocablement. Avant toute action contentieuse, les parties chercheront, de bonne foi, à régler à l’amiable leurs différends relatifs à la validité, l’interprétation, l’exécution ou l’inexécution, l’interruption, la résiliation ou la dénonciation du présent Accord ainsi qu’à la cessation partielle ou totale des relations commerciales entre les parties et ce, pour quelques causes et sur quelques fondements que ce soient. Les parties devront se réunir afin de confronter leurs points de vue et effectuer toutes constatations utiles pour leur permettre de trouver une solution au conflit qui les oppose. Les Parties s’efforceront de trouver un accord amiable dans un délai de 30 jours à compter de la notification par l’une d’elle de la nécessite d’un accord amiable, par lettre recommandée avec avis de réception.      

APPENDICE 1 : DESCRIPTIF DU TRAITEMENT CONJOINT

APPENDICE 2 : DESTINATAIRES ET SOUS-TRAITANT DES DONNEES