Conditions d'utilisation de la Marketplace LEADRS — Data sellers

Sommaire

1. Préambule
2. Objet
3. Durée
4. Opposabilité
5. Description de la Marketplace
6. Spécifications techniques
7. Accès à la Marketplace (conditions d'accès et d'inscription)
8. Obligations relatives aux offres proposées par l'intermédiaire de la Marketplace
9. Rôle d'ADELA en qualité d'éditeur de la Marketplace
10. Paiement et modalités de règlement
11. Force majeure
12. Données à caractère personnel
13. Cookies
14. Propriété intellectuelle
15. Responsabilité
16. Suspension
17. Résiliation
18. Assurance
19. Convention de preuve
20. Nullité
21. Loi applicable et juridiction compétente

Annexe : Accord de sous-traitance de données à caractère personnel

1. Préambule

La société ADELA MEDIA LTD, sise 85 Great Portland Street, First Floor, London, England, W1W 7LT (ci-après « ADELA ») met en place, sur sa Marketplace LEADRS accessible à l'adresse https://app.leadrs.co (ci-après la « Marketplace »), une place de marché permettant à des vendeurs professionnels (ci-après les « Vendeurs ») de vendre des données de prospection (ci-après les « Données »), après validation de leur inscription, de rentrer, par son intermédiaire, en relation avec des Clients (ci-après les « Clients »), ainsi que les services de gestion de ces ventes afférents (ci-après les « Services »).

Pour utiliser la Marketplace, le Vendeur accepte de se soumettre aux présentes conditions générales d'utilisation (ci-après les « CGU Vendeur ») sans restriction ni réserve. Cette acceptation se matérialise par un clic de validation lors de son inscription sur le Service.

Les droits et obligations qui découlent de la relation entre ADELA et le Vendeur sont personnels, incessibles et non transférables.

Les ventes réalisées par l'intermédiaire de la Marketplace entre les Clients et les Vendeurs sont, quant à elles, régies par les Conditions Générales de Vente qui sont réputées acceptées par le Vendeur lors de chaque confirmation de commande ; elles complètent les présentes CGU Vendeur.

2. Objet

Les présentes CGU Vendeur ont pour objet de définir les conditions dans lesquelles ADELA permet au Vendeur d'utiliser la Marketplace.

3. Durée

Les présentes CGU Vendeur entrent en vigueur à partir de leur acceptation par le Vendeur au moment de la création de son compte Vendeur et jusqu'à sa clôture définitive.

4. Opposabilité

Les présentes CGU Vendeur sont opposables dès leur acceptation par le Vendeur, lors de son inscription à la Marketplace.

ADELA se réserve la possibilité de modifier les présentes CGU Vendeur. À cet effet, ADELA avertira le Vendeur dans un délai d'1 (un) mois avant leur mise en œuvre. Elles ne s'appliqueront pas pour les transactions en cours au moment de leur entrée en vigueur. Le Vendeur peut librement renoncer à ce préavis au moyen d'une déclaration écrite ou d'un acte positif clair. La mise en ligne de nouvelles offres de biens vaut renoncement à ce délai de préavis.

En tout état de cause, le Vendeur est libre d'accepter les CGU Vendeur modifiées ou de mettre fin à son utilisation du service de la Marketplace.

5. Description de la Marketplace

La Marketplace est constituée d'un ensemble d'outils permettant aux Vendeurs de se mettre en relation avec des Clients, afin de leur proposer des Données ou Services à la vente, de référencer et de décrire ces Données ou Services, d'accepter les commandes passées par les Clients et de percevoir le prix des Données ou Services achetés.

Le Vendeur déclare avoir été bien informé des conditions d'utilisation de la Marketplace, de ses obligations et du respect d'un certain nombre de prérequis techniques.

ADELA pourra faire évoluer la Marketplace pour tenir compte des évolutions technologiques et des usages et en informera préalablement les Vendeurs.

6. Spécifications techniques

En utilisant la Marketplace, le Vendeur reconnaît disposer des moyens et compétences nécessaires à l'utilisation des fonctionnalités proposées.

Les équipements et logiciels nécessaires à l'accès et à l'utilisation de la Marketplace sont à la charge du Vendeur.

7. Accès à la Marketplace (conditions d'accès et d'inscription)

Peuvent s'inscrire comme Vendeurs sur la Marketplace, les personnes morales (en ce compris les personnes physiques ayant la capacité de vendre des Données ou Services à titre professionnel), immatriculées auprès du Registre du Commerce et des Sociétés ou au Répertoire des Métiers pour les sociétés domiciliées sur le territoire français et auprès de tout registre équivalent pour les sociétés domiciliées sur un autre territoire, agissant dans le cadre de leur activité professionnelle habituelle et régulièrement déclarées en tant que telles auprès des organismes fiscaux et sociaux dont elles relèvent.

Toute demande de création de compte sur la Marketplace doit passer par un processus de validation par ADELA.

La demande de création d'un compte Vendeur se fait via le formulaire accessible au bout du lien : app.leadrs.co/auth/seller/sign-up.

Le Vendeur sera alors tenu de communiquer un certain nombre d'informations sur son statut de professionnel et son activité. Ces informations devront être exactes, complètes et actualisées en temps réel.

Le Vendeur recevra une réponse définitive sur son référencement dans un délai maximum de 1 jour ouvré à compter de la date à laquelle il aura communiqué l'ensemble des informations requises. Passé ce délai, le silence de ADELA vaut refus d'inscription.

En cas d'acceptation de la demande d'inscription du Vendeur, ADELA crée le compte Vendeur via son interface administrateur. Le Vendeur recevra alors un mail de confirmation de création de compte.

Le compte Vendeur est alors rendu actif et les CGU Vendeur sont applicables à compter de cette date. Le Vendeur pourra alors publier ses offres depuis la Marketplace.

Une même personne morale ou physique qui souhaite vendre sur la Marketplace ne peut disposer que d'un seul compte Vendeur.

En tout état de cause, l'identifiant et le mot de passe du Vendeur sont placés sous son entière et unique responsabilité. Le Vendeur s'engage à prendre toutes mesures utiles pour qu'ils ne soient pas connus de tiers ou utilisés par des personnes non autorisées.

En cas de perte, de détournement ou d'utilisation frauduleuse de son identifiant et/ou de son mot de passe, le Vendeur s'engage à en avertir immédiatement ADELA à l'adresse : [•].

Le Vendeur est responsable des accès indus, dommages, perturbations et conséquences dommageables causés par son manquement à la confidentialité des identifiants et mots de passe.

Le Vendeur s'interdit tout acte de nature à altérer ou perturber, de quelque manière que ce soit, le fonctionnement normal de la Marketplace.

Le compte Vendeur sera désactivé en cas de suspension et/ou résiliation des CGU Vendeur, selon les modalités définies aux articles « Suspension » et « Résiliation ».

Toute question ou réclamation concernant l'utilisation ou le fonctionnement de la Marketplace peut être formulée par courrier électronique à l'adresse suivante : [•].

8. Obligations relatives aux offres proposées par l'intermédiaire de la Marketplace

Le Vendeur bénéficie d'une interface unique, le compte Vendeur, pour administrer ses catalogues et ses ventes.

Le compte Vendeur permet notamment au Vendeur de créer son catalogue de Données, de gérer la mise en ligne de ses Données, de valider la disponibilité des Données sur chaque commande faite par le Client, de revoir l'historique des ventes qu'il a réalisées via la Marketplace.

Le Vendeur est seul responsable en cas d'indisponibilité des Données. Dans cette hypothèse, ADELA remboursera le Client dans un délai raisonnable et exigera le montant du remboursement au Vendeur par le biais d'une facture.

Sur le descriptif associé aux offres de Données qu'il propose sur la Marketplace, le Vendeur s'engage à agir de bonne foi. Le Vendeur doit communiquer aux Clients toutes les informations obligatoires en vertu de la loi, et notamment les informations leur permettant de connaître les caractéristiques essentielles des Données.

En tout état de cause, conformément à la règlementation en vigueur, en cas d'annonces de réduction de prix, le Vendeur est tenu de renseigner le prix le plus bas qu'il a pratiqué au cours des 30 (trente) derniers jours avant l'application de la réduction de prix.

9. Rôle d'ADELA en qualité d'éditeur de la Marketplace

Le Vendeur et ADELA ne sont liés contractuellement que dans la mesure où ADELA met à la disposition du Vendeur, dans le cadre des présentes CGU Vendeur, des Services techniques permettant d'opérer des ventes.

À cet égard, il n'existe pas de contrat de vente entre ADELA et le Vendeur, le contrat de vente étant établi uniquement entre le Vendeur et le Client.

ADELA recueille et exploite l'ensemble des données de navigation et de vente (historique de navigation, résultats des recherches sur le moteur interne, historiques de vente, avis clients, etc.) des Clients. Ces données ont vocation à optimiser les outils de présentation des Données ou Services et ne sont donc pas communiquées au Vendeur.

Le Vendeur reconnaît expressément que ADELA n'a en aucun cas la qualité de revendeur des Données proposées par lui sur la Marketplace. En conséquence, ADELA n'assumera :

• aucun coût lié à l'achat des Données ou Services vendus par le Vendeur via la Marketplace ;
• aucun coût lié au financement des stocks du Vendeur, à la perte des stocks ou aux invendus ;
• aucun frais lié à la promotion des ventes ;
• aucun investissement spécifique aux Données ou Services et plus largement à l'activité du Vendeur.

En tout état de cause, ADELA se réserve le droit de modérer les mentions associées aux Données ou Services.

ADELA n'est pas responsable des contenus diffusés par les Vendeurs et n'a aucune obligation générale de surveillance de ces contenus. ADELA se réserve néanmoins la possibilité de retirer tout contenu qui lui aura été signalé et qu'elle considérera comme manifestement illicite au sens de l'article 6 I 2° de la LCEN.

10. Paiement et modalités de règlement

10.1. Paiement des Données ou Services par le Client

Le Client effectue le paiement des Données achetées sur la Marketplace avec un moyen de paiement proposé par ADELA sur la Marketplace, parmi lesquels notamment :

• Stripe ; ou encore
• le virement SEPA.

Le Vendeur s'engage à accepter le moyen de paiement choisi par le Client.

Il appartient au Vendeur de facturer la société ADELA, soit à son initiative, soit dans un délai maximum de quinze (15) jours à compter de la réception d'une demande en ce sens émise par ADELA.

Cette obligation s'applique sauf dans le cas où la transmission de la facture est rendue possible via le dispositif prévu par la réforme relative à la facturation électronique obligatoire (ordonnance n° 2021-1190 du 15 septembre 2021 et ses textes d'application), auquel cas la transmission s'effectue par ce biais.

10.2. Commissions et frais de Services

ADELA facture au Vendeur une commission sur chaque commande de Données acceptée par le Client.

Les commissions sont exigibles dès que le Client a acquitté le prix de la vente, à l'exception de la première vente du Vendeur.

Les commissions restent acquises à ADELA dans les hypothèses où la vente est annulée ou résolue pour tout motif étranger à ADELA.

ADELA facturera au Vendeur des frais relatifs à tout Service faisant l'objet d'une facturation spécifique. La fourniture de ces Services fera l'objet de conditions particulières.

10.3. Reversement du fruit de ses ventes au Vendeur

Les versements des fruits des ventes des Données et Services par ADELA au Vendeur sont effectués par virement et, sauf exception dûment justifiée auprès de ADELA ou accord de ce dernier, sur un compte bancaire au nom du Vendeur.

Lorsque de nouvelles Données sont soumises par le Vendeur pour offre de vente sur la Marketplace, le Vendeur devra attendre un délai de dix (10) jours ouvrés avant que le premier versement des fruits de la vente de Données ne soit initié par ADELA. Il s'agit du temps qu'ADELA répute nécessaire pour vérifier la qualité de ces Données. Après cette première phase, ADELA initiera les versements des fruits de vente précités de ces mêmes Données sous un délai de un (1) jour ouvré au Vendeur.

Dans l'hypothèse où le Vendeur aurait indiqué des coordonnées bancaires erronées ou incomplètes sur son compte Vendeur, il ne pourrait engager la responsabilité de ADELA pour non-paiement du fruit de ses ventes.

AFIN DE PROTÉGER LES CLIENTS ET DURANT LE TEMPS NÉCESSAIRE À TOUTES INVESTIGATIONS CONCERNANT LES ACTIONS ET/OU L'EXÉCUTION PAR LE VENDEUR DE SES OBLIGATIONS DANS LE CADRE DE SES VENTES CONCLUES AVEC LES CLIENTS, ADELA SE RÉSERVE LE DROIT DE RETARDER LE VERSEMENT DE TOUT OU PARTIE DES SOMMES DUES AU VENDEUR, NOTAMMENT DANS L'HYPOTHÈSE OÙ LES INFORMATIONS À DISPOSITION DE ADELA, NOTAMMENT AU REGARD DES RÉCLAMATIONS DES CLIENTS, AMÈNENT À LA CONCLUSION QUE LES VENTES RÉALISÉES PAR LE VENDEUR RISQUENT DE PROVOQUER UN NOMBRE ANORMAL DE RÉCLAMATIONS.

11. Force majeure

La responsabilité du Vendeur ou de ADELA ne pourra pas être mise en œuvre si la non-exécution ou le retard dans l'exécution de l'une de leurs obligations décrites dans les présentes CGU Vendeur découle d'un cas de force majeure.

Il y a force majeure en matière contractuelle lorsqu'un événement échappant au contrôle du débiteur, qui ne pouvait être raisonnablement prévu lors de la conclusion du contrat et dont les effets ne peuvent être évités par des mesures appropriées, empêche l'exécution de son obligation par le débiteur. De façon expresse, sont considérés comme cas de force majeure ou cas fortuits, ceux habituellement retenus par la jurisprudence des cours et tribunaux français.

Dans un premier temps, les cas de force majeure suspendront l'exécution des présentes CGU Vendeur.

Si les cas de force majeure ont une durée d'existence supérieure à 2 (deux) mois, les présentes CGU Vendeur seront résiliées automatiquement.

12. Données à caractère personnel

Les Données susceptibles d'être vendues sur la Marketplace peuvent constituer des données à caractère personnel au sens du Règlement (UE) 2016/679 du 27 avril 2016 (ci-après, le « RGPD »).

Dans le cadre du service de vente de fichiers de prospection, le Vendeur agit en qualité de responsable de traitement au sens du RGPD. À ce titre, il détermine seul les finalités et les moyens essentiels du traitement des Données.

ADELA intervient exclusivement en qualité de sous-traitant technique du Vendeur, en mettant à disposition une infrastructure permettant notamment la rencontre entre le Vendeur et les Clients. ADELA ne participe pas à la détermination des finalités du traitement ni aux choix des moyens essentiels, mais met uniquement en œuvre, pour le compte du Vendeur, des moyens non-essentiels du traitement, tels que la mise en ligne et l'hébergement de la Marketplace, la transmission des Données, et la facilitation des échanges.

Le Vendeur, en sa qualité de responsable de traitement, conclut avec les présentes conditions générales l'accord de sous-traitance conforme aux exigences de l'article 28 du RGPD, figurant en Annexe.

13. Cookies

Les informations relatives à l'utilisation des cookies sur la Marketplace, leur gestion et leur suppression par le Vendeur sont détaillées au sein de la « politique cookies » accessible sur le site ADELA.

14. Propriété intellectuelle

14.1. Les droits de propriété intellectuelle de ADELA

La Marketplace est la propriété exclusive de ADELA.

ADELA est à ce titre seul titulaire de l'ensemble des droits de propriété intellectuelle portant sur la Marketplace, qu'il s'agisse du back office ou du front office, ainsi que de tous les contenus produits par elle ou sous sa responsabilité.

Le droit d'utiliser la plateforme ne constitue pas une cession de droit d'aucune sorte.

Toute extraction, par transfert permanent ou temporaire, de la totalité ou d'une partie du contenu de la Marketplace ou des bases de données qu'elle contient sur un autre support, par tout moyen ou sous toute forme que ce soit, ainsi que la réutilisation, par la mise à disposition du public de la totalité ou d'une partie du contenu de la Marketplace, quelle qu'en soit la forme, est illicite.

14.2. Les droits de propriété intellectuelle du Vendeur

Le Vendeur a des droits sur ses contenus.

Pour les besoins de la Marketplace, le Vendeur accorde à ADELA a minima les droits de diffusion sur ses Données bien qu'en pratique le Vendeur procède à la mise en ligne desdites Données.

Le Vendeur s'engage et garantit qu'il ne vendra que des Données dont il est propriétaire ou sur lesquelles il dispose des droits lui permettant de les vendre. Il garantit qu'elles ne contreviennent en aucune façon aux lois, règlementations en vigueur et normes applicables, obligatoires ou non, et qu'elles ne portent pas atteinte aux droits des tiers. Le Vendeur s'interdit notamment, à ce titre, de vendre toute Donnée consistant en des œuvres contrefaisantes au sens du Code de la propriété intellectuelle ou toute Donnée dont la commercialisation est réglementée en vertu de dispositions législatives ou règlementaires.

Le Vendeur garantit ADELA contre toutes les conséquences financières des réclamations ou actions de tiers pour de telles violations, quel qu'en soit le fondement et notamment en cas d'action en contrefaçon, action en concurrence déloyale ou parasitisme. Cette garantie couvre toute somme dont serait redevable ADELA, au stade précontentieux (somme versée dans le cadre d'un règlement amiable du litige) ou contentieux (toute somme versée dans le cadre d'une décision de justice, que celle-ci soit définitive ou non) sans préjudice de tous dommages-intérêts que ADELA pourrait réclamer.

15. Responsabilité

15.1. Responsabilité du Vendeur

À partir de son compte Vendeur, le Vendeur gèrera sous sa seule et unique responsabilité toute son activité sur la Marketplace, à savoir la création de ses offres et leur publication, la mise à jour des informations relatives aux offres, les informations sur le suivi des commandes, son historique de ventes, [•].

Le Vendeur est seul responsable de l'exactitude des éventuelles mentions et informations y figurant, qui ne sauraient aucunement engager la responsabilité de ADELA, et s'engage à ce qu'elles ne risquent pas d'induire en erreur les Clients potentiels, tant sur les caractéristiques des Données et les garanties associées que sur leur prix.

Le Vendeur est seul responsable des informations précontractuelles et de l'exécution de ses obligations à l'égard des Clients.

Dès lors, le Vendeur renonce à engager la responsabilité de ADELA en cas d'action de tiers ou de litige portant sur les informations communiquées par le Vendeur sur la Marketplace (textes, images, photos, marques, logos, etc.), les Données ou leur vente.

15.2. Responsabilité d'ADELA

La responsabilité d'ADELA est limitée à la réparation des dommages directs et prévisibles dans la limite :

• d'une commande, du prix de vente des Données objets du litige ; ou
• de toute autre hypothèse, du montant des commissions perçues au titre de l'activité du Vendeur au cours du mois précédant le fait générateur de responsabilité.

La responsabilité d'ADELA ne pourra en aucun cas être engagée au titre de tout dommage indirect tel que les pertes de chiffre d'affaires ou bénéfice, pertes ou altérations des données, atteinte à l'image, etc.

ADELA décline toute responsabilité sur l'utilisation de la Marketplace et de ses contenus par le Vendeur, et elle ne saurait être tenue responsable en cas d'erreur, d'interruption, de dysfonctionnement, de perte de données, de saturation du réseau internet, de défaillance de tout matériel de réception ou des lignes de communication, ou de tout autre évènement impactant ou résultant de l'utilisation de la Marketplace.

16. Suspension

En cas de manquement aux obligations des CGU Vendeur par le Vendeur, ADELA se réserve le droit, sans indemnité ni remboursement, 8 (huit) jours après l'envoi au Vendeur d'une lettre recommandée avec avis de réception demeurée sans effet lui demandant de se conformer aux présentes, de suspendre le compte Vendeur jusqu'à ce que la cause de la suspension ait disparu.

Une suspension de plus de 30 (trente) jours non traitée par le Vendeur entraîne la résiliation automatique du compte Vendeur.

ADELA peut suspendre le compte Vendeur de manière immédiate et sans préavis en cas d'usage frauduleux et de mise en cause de sa responsabilité par ADELA. Toute suspension du compte Vendeur sera notifiée au Vendeur.

17. Résiliation

Les présentes CGU Vendeur sont conclues pour une durée indéterminée. Chaque Partie peut en conséquence résilier les CGU Vendeur à tout moment sans avoir à en justifier, moyennant le respect d'un préavis de 2 (deux) mois.

En cas de manquement par le Vendeur à l'une quelconque de ses obligations, ADELA pourra, après mise en demeure envoyée par tous moyens restée sans effet pendant une durée de 30 (trente) jours, résilier les présentes CGU Vendeur par simple envoi d'une lettre recommandée avec avis de réception.

En cas de résiliation des présentes CGU Vendeur pour quelque raison que ce soit, toutes les sommes dues par le Vendeur à la date d'effet de la résiliation sont immédiatement exigibles, et le Vendeur perd sa qualité de Vendeur, en conséquence de quoi toutes ses offres de Données ou Services sont immédiatement retirées de la Marketplace.

Dans tous les cas de clôture de l'inscription d'un compte Vendeur, le Vendeur est tenu d'achever l'exécution de toute commande d'un Client en cours à la date de clôture, et d'assurer ses obligations d'après-vente (légales et contractuelles) afférentes, notamment la bonne gestion des réclamations jusqu'à leur résolution.

Tout Vendeur dont le compte aura été clôturé pour non-respect des présentes CGU Vendeur ne pourra soumettre une nouvelle demande d'ouverture de compte qu'après un délai de 1 (un) an suivant la date de clôture du compte et présenter les garanties nécessaires à une nouvelle inscription.

ADELA s'engage à étudier toute demande de réouverture soumise après ce délai et se réserve le droit d'accepter ou refuser toute nouvelle demande.

18. Assurance

Le Vendeur atteste avoir souscrit une police d'assurance auprès d'une compagnie d'assurance notoirement solvable pour toutes les conséquences pécuniaires de sa responsabilité civile professionnelle, délictuelle et/ou contractuelle du fait de dommages corporels, matériels et immatériels causés à ADELA et à tout tiers dans le cadre de l'exécution des présentes. À ce titre, le Vendeur s'engage à acquitter les primes et cotisations afférentes à ladite police d'assurance et, de manière générale, à respecter l'ensemble des obligations, afin de couvrir l'ensemble de ses activités.

19. Convention de preuve

Les données de connexion, logs et autres données techniques sont considérées par ADELA et le Vendeur comme ayant valeur probante.

La présente disposition doit être considérée comme une convention de preuve.

20. Nullité

Si une ou plusieurs stipulations des présentes sont tenues pour non valides ou déclarées comme telles en application d'une loi, d'un règlement ou à la suite d'une décision passée en force de chose jugée d'une juridiction compétente, les autres stipulations garderont toute leur force et leur portée.

21. Loi applicable et juridiction compétente

Les présentes CGU Vendeur sont régies par la loi française.

Il en est ainsi pour les règles de fond et les règles de forme et ce, nonobstant les lieux d'exécution des obligations substantielles ou accessoires.

Toute difficulté sera tranchée par le ressort de la juridiction de Paris.

Annexe : Accord de sous-traitance de données à caractère personnel

Section I — Préambule

Clause 1 — Objet et champ d'application

Les présentes clauses de sous-traitance de données à caractère personnel (ci-après les « clauses ») ont pour objet de garantir la conformité avec l'article 28, paragraphes 3 et 4, du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

Les parties ont accepté ces clauses afin de garantir le respect des dispositions de l'article 28, paragraphes 3 et 4, du règlement (UE) 2016/679 et/ou des dispositions de l'article 29, paragraphes 3 et 4, du règlement (UE) 2018/1725. Les présentes clauses sont sans préjudice des obligations auxquelles le responsable du traitement est soumis en vertu du règlement (UE) 2016/679. Les clauses ne suffisent pas à elles seules pour assurer le respect des obligations relatives aux transferts internationaux conformément au chapitre V du règlement (UE) 2016/679.

Il est entendu que le Vendeur agit en qualité de responsable de traitement et qu'ADELA agit en tant que sous-traitant.

Clause 2 — Invariabilité des clauses

Les parties s'engagent à ne pas modifier les clauses, sauf en ce qui concerne l'ajout d'informations aux annexes ou la mise à jour des informations qui y figurent.

Clause 3 — Interprétation

Lorsque des termes définis dans le règlement (UE) 2016/679 figurent dans les clauses, ils s'entendent comme dans le règlement en question. Les présentes clauses doivent être lues et interprétées à la lumière des dispositions du règlement (UE) 2016/679. Les présentes clauses ne doivent pas être interprétées d'une manière contraire aux droits et obligations prévus par le règlement (UE) 2016/679 / le règlement (UE) 2018/1725. [Phrase tronquée dans le source — à compléter.]

Clause 4 — Hiérarchie

En cas de contradiction entre les présentes clauses et les dispositions des accords connexes qui existent entre les parties au moment où les présentes clauses sont convenues ou qui sont conclus ultérieurement, les présentes clauses prévaudront.

Clause 5 — Clause d'amarrage

Toute entité qui n'est pas partie aux présentes clauses peut, avec l'accord de toutes les parties, y adhérer à tout moment, en qualité soit de responsable du traitement soit de sous-traitant, en complétant les annexes et en signant la présente annexe. Une fois que l'annexe est complétée et signée, l'entité adhérente est considérée comme une partie aux présentes clauses et jouit des droits et est soumise aux obligations d'un responsable du traitement ou d'un sous-traitant, conformément à sa désignation à l'annexe.

Section II — Obligations des parties

Clause 6 — Description du ou des traitements

Les détails des opérations de traitement, et notamment les catégories de données à caractère personnel et les finalités du traitement pour lesquelles les données à caractère personnel sont traitées pour le compte du responsable du traitement, sont les suivants :

RubriqueDétailCatégories de personnes concernéesClients du Vendeur ; Prospects du VendeurCatégories de données traitéesDonnées d'identité (nom, prénom, civilité) ; Attributs (genre, âge, date de naissance, nationalité, etc.) ; Identification (pseudonyme, ID client, ID tiers — ex. Google ID, etc.) ; État civil (situation maritale, nombre d'enfants, etc.) ; Coordonnées (adresse postale, courrier électronique, téléphone, réseaux sociaux) ; Habitudes de vie (sport pratiqué, hobby, langues parlées, vie associative) ; Vie professionnelle (coordonnées professionnelles, fonction, statut particulier, titre) ; Comportement de consommation (opt-in, profil, inscription à une newsletter, panier type, wish list, historique d'achat) ; Données de localisation (à l'exception de données de géolocalisation) ; Données techniques collectées par des cookiesFinalité du traitementDonner au Vendeur les moyens techniques de téléverser ses données sur la Marketplace afin de les revendre à des Clients intéressés.

Nature des traitements :

• Collecte : les données sont collectées par ADELA via la mise en place d'une API sur les formulaires de collecte de données du responsable de traitement, ou transmises directement par le Vendeur à ADELA.
• Enregistrement : les données sont enregistrées sur la Marketplace après avoir été collectées.
• Rapprochement et interconnexion : la qualité des données est vérifiée et notée par ADELA.
• Organisation et structuration : les données sont organisées et structurées sur l'Espace Vendeur après avoir été vérifiées.
• Conservation : les données sont conservées sur l'Espace Vendeur pour permettre le rapprochement et l'acte d'achat entre le Vendeur et le Client.
• Communication par transmission : les données sont communiquées au Client après que l'acte d'achat est passé entre le Vendeur et le Client.
• Effacement ou destruction : les données sont effacées ou détruites sur instruction du Vendeur par ADELA.

Durée du traitement : le Vendeur est seul responsable de la durée du traitement. Le Vendeur prend l'engagement de ne jamais laisser sur la Marketplace des données à caractère personnel en violation du principe de limitation des durées de conservation. Le Vendeur entend ne jamais dépasser les durées recommandées par la CNIL, en traitant distinctement les données de ses clients des données de ses prospects.

Clause 7 — Obligations des parties

7.1. Instructions

Le sous-traitant ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, à moins qu'il ne soit tenu d'y procéder en vertu du droit de l'Union ou du droit de l'État membre auquel il est soumis. Dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si la loi le lui interdit pour des motifs importants d'intérêt public. Des instructions peuvent également être données ultérieurement par le responsable du traitement pendant toute la durée du traitement des données à caractère personnel. Ces instructions doivent toujours être documentées.

Le sous-traitant informe immédiatement le responsable du traitement si, selon lui, une instruction donnée par le responsable du traitement constitue une violation du règlement (UE) 2016/679 ou d'autres dispositions du droit de l'Union ou du droit français relatives à la protection des données.

7.2. Limitation de la finalité

Le sous-traitant traite les données à caractère personnel uniquement pour la ou les finalités spécifiques du traitement, telles que définies ci-dessus, sauf instruction complémentaire du responsable du traitement.

7.3. Durée du traitement des données à caractère personnel

Le traitement par le sous-traitant n'a lieu que pendant la durée précisée ci-dessus.

7.4. Sécurité du traitement

Le sous-traitant met au moins en œuvre les mesures techniques et organisationnelles précisées ci-après pour assurer la sécurité des données à caractère personnel. Figure parmi ces mesures la protection des données contre toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel ou l'accès non autorisé à de telles données (violation de données à caractère personnel). Lors de l'évaluation du niveau de sécurité approprié, les parties tiennent dûment compte de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques pour les personnes concernées.

DomaineMesuresPilotage de la sécurité des donnéesFaire de la sécurité un enjeu partagé et porté par l'équipe dirigeante ; évaluation régulière de l'efficacité des mesures de sécurité mises en œuvre et adoption d'une démarche d'amélioration continueFormation des utilisateursSensibilisation des personnes manipulant les données ; adaptation du contenu des sensibilisations à la population ciblée et à leurs tâchesGestion des habilitationsDéfinition des profils d'habilitation ; suppression des permissions d'accès obsolètesSécurisation de l'informatique mobileSensibilisation des utilisateurs aux risques spécifiques du nomadismeSécurité des serveursDésinstallation ou désactivation des services et interfaces inutiles ; limitation des accès aux outils et interfaces d'administration aux seules personnes habilitéesSécurité des sites webSécurisation des flux d'échange des données ; aucun secret ou donnée personnelle ne passe par les URL ; contrôle des entrées des utilisateursEncadrement des développements informatiquesPrivacy by default ; utilisation de données fictives ou anonymisées pour le développement et les testsSécurité des échanges avec l'extérieurChiffrement des données avant envoi ; vérification des destinatairesSauvegardesSauvegardes régulières ; protection des sauvegardes en transit et au reposAnalyse des risques cyberAnalyse des risques cyber sur les traitements de données personnellesChiffrementUtilisation d'algorithmes, de logiciels et de bibliothèques reconnus et sécurisésAPIOrganisation et documentation de la sécurité des accès aux API et aux données ; limitation du partage des données uniquement aux personnes et aux finalités prévuesAuthentification et contrôle des actionsAuthentification forteSécurité des postesActivation et configuration du pare-feu local des postes de travailSécurité du réseauMise en place d'une passerelle d'accès sécurisé à internet ; protection de la messagerie professionnelle ; sécurité des interconnexions réseau dédiées avec les partenairesSécurité de l'administrationInterdiction d'accès à Internet depuis les postes ou serveurs utilisés pour l'administration du système d'information ; utilisation d'un réseau dédié et cloisonné pour l'administration du système d'informationJournalisationActivation et configuration des journaux des composants les plus importants

Le sous-traitant n'accorde aux membres de son personnel l'accès aux données à caractère personnel faisant l'objet du traitement que dans la mesure strictement nécessaire à l'exécution, à la gestion et au suivi du contrat. Le sous-traitant veille à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

7.5. Données sensibles

Le sous-traitant n'accepte pas, sauf accord préalable exprès et univoque, que le traitement porte sur des données à caractère personnel révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que des données génétiques ou des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique, ou des données relatives aux condamnations pénales et aux infractions (« données sensibles »).

7.6. Documentation et conformité

Le responsable de traitement peut, à tout moment, contrôler la bonne application des présentes stipulations par le sous-traitant. Cet audit sera réalisé par voie documentaire et au maximum une fois par an. L'audit documentaire consiste pour le responsable de traitement à adresser un questionnaire au sous-traitant. Le sous-traitant devra y répondre dans un délai maximum de 45 jours. Les frais d'audit seront intégralement supportés par le responsable de traitement. Le responsable de traitement s'assurera que toute information recueillie dans le cadre de l'audit reste confidentielle. Le sous-traitant aura un droit de refuser un tiers auditeur s'il existe un risque en termes d'indépendance ou de concurrence. Par ailleurs et de manière exceptionnelle, le responsable de traitement pourra faire réaliser un audit par inspection dans le cadre d'une violation de sécurité ou d'un contrôle d'une autorité compétente.

7.7. Recours à des sous-traitants ultérieurs

Le sous-traitant dispose de l'autorisation générale du responsable du traitement pour ce qui est du recrutement de sous-traitants ultérieurs sur la base d'une liste convenue et accessible à l'adresse [•]. Il revient au responsable de traitement de se tenir informé de toute modification de la liste précitée en consultant régulièrement ce lien. Si le responsable du traitement souhaite s'opposer à l'approbation du nouveau sous-traitant ultérieur, il doit fournir cette objection par écrit au sous-traitant rapidement après la réception de la notification du sous-traitant. Dans le cas où le responsable de traitement s'oppose à ce nouveau sous-traitant ultérieur, il peut alors résilier les présentes sans pénalité en fournissant une notification écrite de résiliation qui comprend une explication sur les motifs de la non-approbation.

Lorsque le sous-traitant recrute un sous-traitant ultérieur pour mener des activités de traitement spécifiques (pour le compte du responsable du traitement), il le fait au moyen d'un contrat qui impose au sous-traitant ultérieur, en substance, les mêmes obligations en matière de protection des données que celles imposées au sous-traitant en vertu des présentes clauses. Le sous-traitant veille à ce que le sous-traitant ultérieur respecte les obligations auxquelles il est lui-même soumis en vertu des présentes clauses et du règlement (UE) 2016/679 et/ou du règlement (UE) 2018/1725. À la demande du responsable du traitement, le sous-traitant lui fournit une copie de ce contrat conclu avec le sous-traitant ultérieur et de toute modification qui y est apportée ultérieurement. Dans la mesure nécessaire à la protection des secrets d'affaires ou d'autres informations confidentielles, y compris les données à caractère personnel, le sous-traitant peut expurger le texte du contrat avant d'en diffuser une copie. Le sous-traitant demeure pleinement responsable, à l'égard du responsable du traitement, de l'exécution des obligations du sous-traitant ultérieur conformément au contrat conclu avec le sous-traitant ultérieur. Le sous-traitant informe le responsable du traitement de tout manquement du sous-traitant ultérieur à ses obligations contractuelles. Le sous-traitant convient avec le sous-traitant ultérieur d'une clause du tiers bénéficiaire selon laquelle — dans le cas où le sous-traitant a matériellement disparu, a cessé d'exister en droit ou est devenu insolvable — le responsable du traitement a le droit de résilier le contrat conclu avec le sous-traitant ultérieur et de donner instruction au sous-traitant ultérieur d'effacer ou de renvoyer les données à caractère personnel.

7.8. Transferts internationaux

Tout transfert de données vers un pays tiers ou une organisation internationale par le sous-traitant ne s'effectue que conformément au chapitre V du règlement (UE) 2016/679.

Le responsable du traitement convient que lorsque le sous-traitant recrute un sous-traitant ultérieur conformément à la clause 7.7 pour mener des activités de traitement spécifiques (pour le compte du responsable du traitement) et que ces activités de traitement impliquent un transfert de données à caractère personnel au sens du chapitre V du règlement (UE) 2016/679, le sous-traitant et le sous-traitant ultérieur peuvent garantir le respect du chapitre V du règlement (UE) 2016/679 en utilisant les clauses contractuelles types adoptées par la Commission sur la base de l'article 46, paragraphe 2, du règlement (UE) 2016/679, pour autant que les conditions d'utilisation de ces clauses contractuelles types soient remplies.

Clause 8 — Assistance au responsable du traitement

Le sous-traitant informe sans délai le responsable du traitement de toute demande qu'il a reçue de la part de la personne concernée. Il ne donne pas lui-même suite à cette demande, à moins que le responsable du traitement des données ne l'y ait autorisé.

Le sous-traitant prête assistance au responsable du traitement pour ce qui est de remplir l'obligation qui lui incombe de répondre aux demandes des personnes concernées d'exercer leurs droits, en tenant compte de la nature du traitement. Dans l'exécution de ses obligations, le sous-traitant se conforme aux instructions du responsable du traitement.

Outre l'obligation incombant au sous-traitant d'assister le responsable du traitement en vertu des stipulations précédentes, le sous-traitant aide en outre le responsable du traitement à garantir le respect des obligations suivantes, compte tenu de la nature du traitement et des informations dont dispose le sous-traitant :

• l'obligation de procéder à une évaluation de l'incidence des opérations de traitement envisagées sur la protection des données à caractère personnel (« analyse d'impact relative à la protection des données ») lorsqu'un type de traitement est susceptible de présenter un risque élevé pour les droits et libertés des personnes physiques ;
• l'obligation de consulter l'autorité de contrôle compétente / les autorités de contrôle compétentes préalablement au traitement lorsqu'une analyse d'impact relative à la protection des données indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque ;
• les obligations prévues à l'article 32 du règlement (UE) 2016/679.

Clause 9 — Notification de violations de données à caractère personnel

En cas de violation de données à caractère personnel, le sous-traitant coopère avec le responsable du traitement et lui prête assistance aux fins de la mise en conformité avec les obligations qui lui incombent en vertu des articles 33 et 34 du règlement (UE) 2016/679, selon celui qui est applicable, en tenant compte de la nature du traitement et des informations dont dispose le sous-traitant.

En cas de violation de données à caractère personnel en rapport avec des données traitées par le responsable du traitement, le sous-traitant prête assistance au responsable du traitement :

• aux fins de la notification de la violation de données à caractère personnel à l'autorité de contrôle compétente / aux autorités de contrôle compétentes, dans les meilleurs délais après que le responsable du traitement en a eu connaissance, le cas échéant (sauf si la violation de données à caractère personnel est peu susceptible d'engendrer un risque pour les droits et libertés des personnes physiques) ;
• aux fins de l'obtention des informations suivantes qui, conformément à l'article 33, paragraphe 3, du règlement (UE) 2016/679, doivent figurer dans la notification du responsable du traitement, et inclure, au moins :
  • la nature des données à caractère personnel, y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ;
  • les conséquences probables de la violation de données à caractère personnel ;
  • les mesures prises ou les mesures que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Lorsque, et dans la mesure où, il n'est pas possible de fournir toutes les informations en même temps, la notification initiale contient les informations disponibles à ce moment-là et, à mesure qu'elles deviennent disponibles, des informations supplémentaires sont communiquées par la suite dans les meilleurs délais.

Le sous-traitant prête également assistance au responsable du traitement aux fins de la satisfaction, conformément à l'article 34 du règlement (UE) 2016/679, de l'obligation de communiquer dans les meilleurs délais la violation de données à caractère personnel à la personne concernée, lorsque la violation est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques.

Section III — Dispositions finales

Clause 10 — Non-respect des clauses et résiliation

Le sous-traitant ne sera tenu pour responsable du dommage causé par le traitement que s'il n'a pas respecté les obligations prévues par le RGPD qui lui incombent spécifiquement ou s'il a agi en dehors des instructions licites du client ou contrairement à celles-ci. Dans tous les cas, la réparation du préjudice est limitée par les stipulations du contrat principal et, à défaut, ne saurait excéder le coût total annuel du contrat principal.

Clause 11 — Liste de sous-traitants ultérieurs

Le responsable du traitement a autorisé le recours aux sous-traitants ultérieurs suivants : [liste à compléter].