Addenda sur le traitement des données par Shopify

Addenda sur le traitement des données par Shopify

I. OBJECTIF

Le présent Addenda sur le Traitement des Données par Shopify (« ATD ») complète et est incorporé par renvoi dans les Conditions de service de Shopify, ainsi que dans toute condition applicable aux services supplémentaires de Shopify que vous choisissez d’utiliser (les « Conditions ») entre Vous (ou « Marchand ») et l’entité contractante de Shopify telle que définie dans les Conditions (« Shopify »), qui décrivent les objectifs commerciaux spécifiques et les services liés à l’ATD. En cas de conflit entre ces Conditions et l’ATD, ce dernier prévaudra en ce qui concerne le traitement de Vos Données personnelles.

Lorsque le traitement des Données personnelles en vertu de l’ATD est soumis aux exigences en matière de protection des données dans l’Espace économique européen (l’« EEE »), au Royaume-Uni (le « Royaume-Uni ») ou en Suisse, l’Annexe C complète le présent ATD. En cas de conflit entre l’Annexe C et d’autres sections du présent ATD, l’Annexe C prévaudra en ce qui concerne le traitement de Vos Données personnelles soumises aux exigences de confidentialité de l’EEE, du Royaume-Uni et de la Suisse.

Vous et Shopify (chacune étant une « Partie » et ensemble les « Parties ») convenez que le présent ATD définit les obligations des Parties régissant le traitement de Vos Données personnelles en lien avec les Conditions et Votre utilisation de ces Services. Pour éviter toute ambiguïté, le présent ATD ne s’applique pas au traitement par Shopify de Données personnelles en tant que Responsable du traitement des données, y compris les Données personnelles concernant les Clients que Shopify reçoit en raison de la relation directe ou de l’interaction intentionnelle du Client avec Shopify, telles que par le biais des services orientés vers les consommateurs de Shopify comme Shop et Shop Pay.

II. DÉFINITIONS

Les termes en majuscules utilisés mais non définis dans le présent ATD auront la même signification que celle qui leur est attribuée dans les Conditions :

A. Législation(s) applicable(s) sur la protection des données : toute législation sur la protection des données ou la confidentialité applicable au traitement par Shopify de Vos Données personnelles en vertu des Conditions, ainsi que leurs règlements d’application et législations secondaires, chacun pouvant être modifié, mis à jour ou remplacé ponctuellement, y compris (le cas échéant, en fonction de l’emplacement ou du lieu de résidence du Marchand et/ou de Vos Client(s)) :

1. Loi sur la protection des renseignements personnels et les documents électroniques du Canada de 2000 (« LPRPDE ») ;

2 Les lois des États-Unis suivantes (a) California Consumer Privacy Act, modifiée par la California Privacy Rights Act (« CCPA »), (b) Virginia Consumer Data Protection Act, (c) Colorado Privacy Act, (d) Connecticut Data Privacy Act, (e) Utah Consumer Privacy Act, (f) Oregon Consumer Privacy Act, (g) Texas Data Privacy and Security Act, (h) Montana Consumer Data Privacy Act et (i) une fois en vigueur, les lois relatives à la confidentialité similaires dans d’autres États américains (ensemble, les « Lois des États-Unis sur la protection des données ») ;

3. Le Règlement général sur la protection des données (Règlement (UE) 2016/679) (« RGPD ») et toute législation nationale d’application pertinente ;

4. La directive Vie privée et communications électroniques de l’UE (Directive 2002/58/CE), telle que modifiée (« Loi Vie privée et communications électroniques ») ;

5. Le Règlement général sur la protection des données du Royaume-Uni (« RGPD du Royaume-Uni ») et la Loi sur la protection des données du Royaume-Uni de 2018 (« LPD du Royaume-Uni ») ;

6. La Loi sur la protection des données personnelles de Singapour de 2012 (« LPDP ») ; et

7. La Loi fédérale sur la protection des données suisse (« LFPD suisse »)

B. Client : une personne ou une entité qui visite Votre (Vos) Boutique(s), interagit avec elle(s) et/ou y achète un produit, un bien ou un service.

C. Données personnelles : informations ou données définies comme des « données personnelles », « informations personnelles » ou « informations permettant d’identifier une personne » (ou un terme similaire) en vertu des Lois applicables sur la protection des données, fournies par ou concernant Vos Clients, qui sont mises à la disposition de Shopify (ou de tiers agissant pour le compte de Shopify) par Vous (ou par des tiers agissant pour Votre compte) dans le cadre de l’utilisation des Services, ainsi que d’autres Données personnelles que Vous choisissez de partager avec Shopify concernant Vos Clients dans le cadre de l’utilisation des Services. Pour clarifier, les Données personnelles n’incluront pas les données personnelles concernant les Clients que Shopify traite en tant que Responsable du traitement des données et/ou reçoit en raison de la relation directe du Client avec Shopify ou avec d’autres marchands Shopify.

D. Demande de droits sur les données : une demande valide et légale d’une personne pour exercer les droits disponibles relatifs aux Données personnelles en vertu d’une Loi applicable sur la protection des données.

E. Responsable du traitement des données : la Partie qui détermine les objectifs et les moyens du traitement des Données personnelles, ou telle que définie autrement par toute Loi applicable sur la protection des données.

F. Sous-traitant des données ou Prestataire de services : la Partie ou toute autre entité ou entreprise qui fournit des services pour le compte du Responsable du traitement des données et traite des Données personnelles selon les instructions et pour le compte du Responsable du traitement des données, ce concept sera interprété conformément aux Lois applicables sur la protection des données.

G. Violation de données personnelles : en relation avec Vos Données personnelles, la Violation de données personnelles sera interprétée conformément à la Loi applicable sur la protection des données.

H. « Traiter », « processus » ou « traitement » : (a) toute opération ou tout ensemble d’opérations effectuées sur des Données personnelles ou sur des ensembles de Données personnelles, que ce soit par des moyens automatisés ou non, tels que la collecte, l’enregistrement, l’organisation, la structuration, le stockage, l’adaptation ou la modification, la récupération, la consultation, l’utilisation, la divulgation par transmission, la diffusion ou la mise à disposition d’une autre manière, l’alignement ou la combinaison, la restriction, l’effacement ou la destruction ; ou (b) la définition donnée à ce(s) terme(s) en vertu de la Loi applicable sur la protection des données.

I. « Sous-traitant(s) ultérieur(s) »: sociétés affiliées ou Prestataires de services ou Sous-traitants des données tiers qui peuvent traiter des Données personnelles sous la direction de Shopify dans le but de fournir les Services.

J. « Vous », « Vos », « Votre » ou « Marchand » : désigne l’entreprise qui utilise les Services et est Partie aux Conditions avec Shopify.

III. NATURE DU TRAITEMENT ET RÔLES DES PARTIES

Shopify reçoit et traite Vos Données personnelles afin de Vous fournir les Services et comme décrit ci-dessous. Selon les Services que Vous demandez ou utilisez, Shopify traitera les catégories de Données personnelles spécifiées dans l’Annexe A, de la manière et selon les bases y figurant.

Shopify ne traitera Vos Données personnelles en tant que Sous-traitant ou Prestataire de services uniquement dans la mesure nécessaire pour fournir et améliorer ses Services, ou comme autrement autorisé par les Lois applicables sur la protection des données. Dans le cadre de la fourniture et de l’amélioration continue de ses Services, Shopify peut agréger, anonymiser ou désidentifier Vos Données personnelles.

Dans la mesure où Shopify reçoit de Votre part des Données personnelles qui ont été désidentifiées, Shopify maintiendra et utilisera ces données uniquement de manière désidentifiée.

IV. OBLIGATIONS DES PARTIES

La section suivante décrit les obligations respectives des Parties en ce qui concerne le traitement des Données personnelles couvertes par le présent ATD.

A. Conformité Générale

1. Les Parties respecteront leurs obligations respectives en vertu des Lois applicables sur la protection des données.

2. Shopify n’aura aucune obligation d’interpréter ou de Vous conseiller sur Vos obligations en vertu des Lois applicables sur la protection des données, y compris concernant les Données personnelles couvertes par le présent ATD. Il revient à Vous seul de déterminer Vos obligations légales et réglementaires, y compris d’évaluer si les mesures techniques et organisationnelles des Services sont conformes avec Vos obligations légales et réglementaires indépendantes.

B. Obligations de Shopify

1. Sécurité des Données
Shopify mettra en œuvre et maintiendra des mesures techniques et organisationnelles appropriées visant à protéger Vos Données personnelles contre un traitement non autorisé ou illégal et contre une perte, une destruction, des dommages, un vol, une modification ou une divulgation accidentels, comme décrit dans l’Annexe B.

2. Notification et enquête sur les Violations de données personnelles
a) Conformément aux Lois applicables sur la protection des données, Shopify Vous informera dès qu’elle aura confirmé toute Violation de données personnelles.

b) Une telle notification comprendra les informations requises par les Lois applicables sur la protection des données, dans la mesure où Shopify dispose raisonnablement de ces informations. La réponse de Shopify à une Violation de données personnelles, ou la notification d’une telle violation, ne constituent pas une reconnaissance de faute ou de responsabilité de la part de Shopify.

c) Shopify s’engage à enquêter sur toute Violation de données personnelles et à déployer les efforts commercialement raisonnables pour identifier, prévenir, atténuer et remédier aux effets d’une telle violation.

3. Demandes de droits sur les données
a) Dans la mesure où cela est requis par les Lois applicables sur la protection des données, Shopify facilitera Votre capacité à traiter et à répondre aux Demandes de droits sur les données de Vos Clients en lien avec Votre utilisation des Services.

b) Pour obtenir de l’aide dans la réponse à une telle Demande de droits sur les données, veuillez transmettre cette Demande à Shopify via la console/le portail administrateur des marchands Shopify, sauf si Shopify Vous informe d’un autre dispositif.

C. Vos obligations en ce qui concerne les données personnelles

1. Avis de confidentialité et transparence : Vous déclarez et garantissez que Vous respectez toutes les obligations prévues par les Lois applicables sur la protection des données concernant la fourniture d’avis et de transparence concernant Votre traitement des Données personnelles en vertu des Conditions et en lien avec Votre utilisation des Services. Dans la mesure où cela est requis par les Lois applicables sur la protection des données, Vous devez communiquer aux personnes concernées toutes les divulgations nécessaires pour que Shopify puisse traiter les Données personnelles de manière légale et équitable dans le cadre du présent ATD, y compris en fournissant un lien vers la Politique de confidentialité de Shopify ou vers Votre propre Politique de confidentialité.

**2. Droits et autorisations des clients : ** Vous déclarez et garantissez que Vous disposez de tous les droits, autorisations et consentements nécessaires pour mettre à la disposition de Shopify les Données personnelles conformément aux Conditions, à Votre utilisation des Services que Vous recevez et aux Lois applicables sur la protection des données.

3. Demandes de droits sur les données : Vous déclarez et garantissez que Vous permettez à Vos Clients d’exercer leurs Demandes de droits sur les données, comme requis par les Lois applicables sur la protection des données, en ce qui concerne toutes les Données personnelles traitées par Shopify pour lesquelles Vous êtes le Responsable du traitement des données.

4. Demandes Réglementaires : Sauf interdiction légale, Vous nous informerez rapidement, conformément à la disposition relative à l’Avis dans les Conditions, de toute demande ou plainte émanant d’un gouvernement, d’un organisme réglementaire ou d’un tiers concernant Votre utilisation des Services.

V. LOIS DES ÉTATS-UNIS SUR LA PROTECTION DES DONNÉES

La présente section s’applique uniquement dans la mesure où : (i) les Lois des États-Unis sur la protection des données s’appliquent à Vous en lien avec Votre utilisation des Services ; et (ii) les dispositions suivantes sont requises par les Lois des États-Unis sur la protection des données et Vous êtes une « entreprise » ou un « responsable du traitement des données » au sens de ces lois.

A. Shopify : (i) ne conservera, n’utilisera ou ne divulguera pas de telles Données personnelles en dehors de sa relation commerciale directe avec Vous ou pour un autre objectif que ceux limités et spécifiés dans le présent ATD et/ou les Conditions, ce qui inclut la conservation, l’utilisation ou la divulgation de ces Données personnelles à des fins commerciales autres que celles limitées et spécifiées dans le présent ATD et/ou les Conditions ; (ii) ne « vendra » ou ne « partagera » pas de telles Données personnelles au sens de la CCPA ; ou (iii) ne combinera pas de telles Données personnelles avec des Données personnelles qu’elle reçoit d’autres sources, sauf dans les cas autorisés par les Lois des États-Unis sur la protection des données.

B. La société Shopify : (i) fournira le même niveau de protection de la confidentialité, tel qu’exigé des entreprises ou des Responsables du traitement des données par ces lois, et Vous informera si elle détermine qu’elle ne peut plus respecter ces obligations, auquel cas Vous pourrez prendre des mesures raisonnables et appropriées pour arrêter tout traitement non autorisé de ces Données personnelles ou y remédier ; (ii) veillera à ce que le personnel autorisé à traiter les Données personnelles signe des accords de confidentialité écrits ou soit soumis à des obligations légales de confidentialité ; (iii) sur demande écrite raisonnable, et dans le cadre de la facilitation de Vos efforts pour garantir que Shopify utilise ces Données personnelles d’une manière conforme aux Lois des États-Unis sur la protection des données, fournira le rapport SOC2 montrant une évaluation raisonnable du programme de sécurité de l’information de Shopify ; et (iv) lorsqu’elle aura cessé de Vous fournir ses Services, Shopify initiera son processus de purge pour supprimer ou désidentifier les Données personnelles.

C. Vous déclarez et garantissez que Vous ne partagerez avec Shopify aucune Donnée personnelle d’une personne ayant exercé un droit d’opposition au partage de données que Vous vous êtes engagé à respecter, ni aucune Donnée personnelle sensible d’une personne n’ayant pas consenti au traitement de telles données sensibles.

VI. DIVERS

A. Transferts de données internationaux
Vous reconnaissez que des Données personnelles peuvent être transférées et traitées dans tout pays où Shopify, ses sociétés affiliées ou des prestataires de services tiers sont situés (y compris à Singapour et au Canada). Tout transfert de Données personnelles vers ces destinataires sera effectué en conformité avec les Lois applicables sur la protection des données. Pour plus d’informations sur les transferts de données internationaux, lorsque Shopify est soumise aux exigences de confidentialité au sein de l’EEE, du Royaume-Uni ou de la Suisse, voir la section II(B)(8) de l’Annexe C.

B. Réponse aux demandes légales

  1. Vous reconnaissez que, dans le cadre de la fourniture des Services qui Vous sont destinés, Shopify peut partager Vos Données personnelles (i) pour se conformer aux exigences légales ou pour répondre à des ordonnances judiciaires ou à d’autres demandes similaires émanant des autorités gouvernementales ou réglementaires ; ou (ii) pour prévenir ou enquêter sur des fraudes suspectées, des menaces pour la sécurité physique, des activités illégales, ou des violations d’un contrat (tel que les Conditions) ou de nos politiques (telles que notre Politique d’utilisation acceptable).
    ).

  2. Shopify mettra en œuvre des efforts raisonnables avant de produire de telles Données personnelles pour s’assurer que cette divulgation est autorisée par les Lois applicables sur la protection des données, et ces données seront traitées comme des informations confidentielles dans le cadre juridique applicable.

C. Divulgation lors d’opérations d’entreprise
Vous reconnaissez que, dans le cadre de la fourniture des Services, Shopify peut être amenée à partager des Données personnelles avec des parties potentielles dans le cadre de toute opération d’entreprise ou restructuration.

D. Utilisation de Sous-traitants/Prestataires de Services ultérieurs par Shopify

  1. Vous reconnaissez que, dans le cadre de la fourniture des Services, Shopify peut recourir à des Sous-traitants ultérieurs pour traiter les Données personnelles. Shopify tient à jour une liste de tous les Sous-traitants ultérieurs utilisés. Si les Lois applicables sur la protection des données Vous accordent de tels droits, Vous pouvez vous opposer au recours à un Sous-traitant ultérieur par Shopify. Si Shopify se déclare incapable ou refuse de satisfaire à de telles demandes, Vous pouvez, conformément à ces lois, résilier Votre utilisation des Services affectés dans les 30 jours suivant un tel avis, conformément aux Conditions.

  2. Le recours par Shopify à des Sous-traitants ultérieurs pour traiter des Données personnelles que Vous fournissez sera conforme aux Lois applicables sur la protection des données. Lorsque Shopify fait appel un Sous-traitant ultérieur, Shopify conclura un accord écrit avec celui-ci qui impose des obligations contractuelles substantiellement équivalentes à celles décrites dans le présent ATD.

E. Modification de l’ATD
Vous reconnaissez et acceptez que Shopify puisse modifier le présent ATD à tout moment en publiant l’ATD modifié et mis à jour pertinent sur le site web de Shopify, disponible à l’adresse https://shopify.com/fr/legal/dpa et que ces modifications de l’ATD entrent en vigueur à la date de publication. Votre utilisation continue des Services après la publication de l’ATD modifié sur le site web de Shopify constitue Votre accord et Votre acceptation de l’ATD modifié. Si Vous n’acceptez pas l’une des modifications de l’ATD, cessez d’utiliser le Service.

VII Annexes

  1. Annexe A - Catégories de données personnelles
  2. Annexe B - Sécurité des données
  3. Annexe C - Annexe relative au RGDP, au RGDP du Royaume-Uni et aux lois sur le traitement des données suisses

ANNEXE A : CATÉGORIES DE DONNÉES PERSONNELLES

Dans le cadre de Votre utilisation des Services, et selon les Services que Vous utilisez, nous pouvons recevoir et traiter les catégories suivantes de Données personnelles pour fournir ces Services :

  • Nom, adresse e-mail, coordonnées, informations de facturation et de livraison du/​de la client(e).
  • Informations sur les achats et autres transactions provenant de Votre(Vos) Boutique(s).
  • Mise(s) à jour sur le statut des transactions avec Vous ou Votre(Vos) Boutique(s).
  • Activité des clients dans Votre(Vos) Boutique(s), y compris les produits consultés et/ou ajoutés aux paniers.
  • Signaux de préférences des clients, y compris le Contrôle global de la confidentialité (« CGC »), les signaux d’opposition ou d’acceptation.
  • Informations relatives aux appareils des clients concernant les appareils utilisés lors de la visite de Votre(Vos) Boutique(s), y compris l’adresse IP, le navigateur et l’activité réseau.
  • Autres informations concernant les interactions des Clients avec Vous.
  • Toute autre Donnée personnelle que Vous choisissez de mettre à la disposition de Shopify.

ANNEXE B : SÉCURITÉ DES DONNÉES

Shopify maintiendra un programme de sécurité de l’information conçu pour (a) Vous permettre de sécuriser Vos Données personnelles contre un traitement non autorisé ou illégal et contre une perte, une destruction, des dommages, un vol, une modification ou une divulgation accidentels ; (b) identifier les risques raisonnablement prévisibles en matière de sécurité et de disponibilité des Services que Vous recevez ; et (c) minimiser les risques de sécurité pour les Services.

I. Le programme de sécurité de l’information de Shopify inclura les mesures de protection suivantes :

A. Sécurité logique

  1. Contrôles d’accès Shopify rendra ses systèmes accessibles uniquement au personnel autorisé, et seulement dans la mesure nécessaire pour maintenir et fournir les Services. Shopify mettra en place des contrôles d’accès et des politiques conçus pour gérer les autorisations d’accès à ses systèmes, y compris par l’utilisation de pare-feu et/ou d’autres technologies et contrôles d’authentification.

  2. Accès utilisateur restreint Shopify (i) provisionnera et restreindra l’accès à ses systèmes conformément aux principes du moindre privilège selon les fonctions professionnelles du personnel, et (ii) exigera une authentification à deux facteurs (2FA) pour accéder à ses systèmes.

  3. Évaluations des vulnérabilités Shopify maintiendra un programme d’évaluation des vulnérabilités et de tests de pénétration, chargé d’enquêter sur les problèmes identifiés avec les Services et d’en assurer le suivi jusqu’à leur résolution si nécessaire.

  4. Sécurité des applications Shopify maintient un programme de sécurité des applications chargé de protéger les Services contre des menaces liées à la sécurité des applications.

  5. Gestion des modifications Shopify maintiendra des contrôles conçus pour enregistrer, autoriser, tester, approuver et documenter les modifications apportées aux ressources des Services existantes, et documentera les détails des modifications dans ses outils de gestion des modifications ou de déploiement. Shopify testera les modifications selon ses normes de gestion des modifications avant leur migration vers la production.

  6. Intégrité des Données Le cas échéant, Shopify mettra en place des contrôles conçus pour garantir l’intégrité des données pendant leur transmission, stockage et traitement au sein des Services.

  7. Disponibilité Shopify (i) mettra en œuvre une redondance, le cas échéant, pour les Services afin de minimiser l’impact d’un dysfonctionnement sur les Services, (ii) concevra les Services afin d’anticiper et de tolérer les pannes, et (iii) mettra en œuvre des processus appropriés pour détourner le trafic de Données personnelles des zones affectées, si nécessaire, afin de surmonter d’éventuelles pannes.

  8. Continuité des activités et reprise après sinistre Shopify maintiendra un programme de gestion des risques conçu pour assurer la continuité de ses fonctions opérationnelles essentielles, y compris des processus et procédures pour l’identification, la réponse et la récupération après des événements pouvant empêcher ou compromettre matériellement la fourniture des Services que Vous recevez.

  9. Gestion des incidents Shopify fournit une documentation Vous permettant de signaler des incidents de sécurité ou de disponibilité, de poser des questions sur la sécurité ou la disponibilité, et de soumettre des informations sur des problèmes potentiels de sécurité ou de disponibilité. Shopify maintiendra des plans d’action corrective et des plans de réponse aux incidents conçus pour détecter les menaces potentielles à la sécurité des Services, les atténuer, enquêter sur celles-ci et y répondre.

B. Sécurité physique Lorsque cela est nécessaire pour protéger les Services, Shopify (i) mettra en œuvre des mesures raisonnables visant à prévenir l’accès physique non autorisé, les dommages ou les interférences avec les Services, (ii) utilisera des dispositifs de contrôle appropriés pour limiter l’accès physique aux Services au personnel autorisé ayant un besoin commercial légitime pour un tel accès, et (iii) effectuera des examens réguliers pour vérifier le respect de ces normes.

C. Employés de Shopify Les employés de Shopify autorisés à accéder aux Données personnelles sont soumis à des obligations de confidentialité dans le cadre de leurs conditions d’emploi. Shopify mettra en place et maintiendra des programmes de formation en sécurité pour les employés concernant les exigences de sécurité des informations de Shopify. Ces programmes de sensibilisation à la sécurité seront examinés et mis à jour régulièrement.

II. Modifications de la présente Annexe

Shopify examine ses mesures de sécurité de temps à autre et peut mettre à jour la présente Annexe à sa seule discrétion. Toute mise à jour remplacera les versions antérieures de la présente Annexe à partir de la date à laquelle Shopify publie la version mise à jour.

ANNEXE C : ANNEXE RELATIVE AU RGDP, AU RGDP DU ROYAUME-UNI ET AUX LOIS SUISSES SUR LE TRAITEMENT DES DONNÉES

Lorsque le traitement des Données personnelles en vertu de l’ATD est soumis aux exigences en matière de protection des données dans l’Espace économique européen (l’« EEE »), au Royaume-Uni (le « RU ») ou en Suisse (collectivement, les « Lois européennes sur la protection des données »), l’Annexe C complète le présent ATD.

I. Nature du traitement et rôle des Parties

A. Données personnelles

  1. En vertu de la présente Annexe, Vous agirez en tant que Responsable du traitement des données et Shopify agira en tant que Sous-traitant des données pour le traitement de Vos Données personnelles telles que décrites dans l’Appendice 1, dans la mesure nécessaire pour remplir les objectifs commerciaux décrits dans les Conditions et pour Vous fournir les Services que Vous choisissez d’utiliser.
  2. Pour éviter toute ambiguïté, Shopify agira en tant que Responsable du traitement des données indépendant pour les Données personnelles concernant les Clients que Shopify reçoit en raison de la relation directe ou des interactions intentionnelles du Client avec Shopify, telles que décrites dans la Politique de confidentialité de Shopify.

II. Obligations des Parties

A. Vos obligations

Vous devez respecter :

  • Les Lois européennes sur la protection des données qui s’imposent à Vous dans l’exécution de la présente Annexe ; et
  • Vos obligations énoncées dans l’ATD, y compris Vos obligations définies dans la présente Annexe.

Vous déclarez et garantissez que Vous disposez d’une base légale valable pour le traitement des Données personnelles (y compris pour mettre ces données à disposition de Shopify) et que Vous avez obtenu tous les consentements, droits et autorisations nécessaires, ainsi que fourni les avis nécessaires aux personnes concernées concernant Votre divulgation de Données personnelles à Shopify, afin de permettre à Shopify de traiter les Données personnelles pour fournir les Services, comme l’exigent les Lois européennes sur la protection des données.

B. Obligations de Shopify

1. Instructions du Responsable du traitement des données et violation des Lois européennes sur la protection des données

a) Les Parties conviennent que les Conditions, conjointement au présent ATD, constituent Vos instructions documentées concernant le traitement de Vos Données personnelles par Shopify (les « Instructions documentées »).

b) Shopify traitera les Données personnelles en tant que Sous-traitant des données uniquement : (i) conformément à Vos Instructions documentées, ou (ii) pour se conformer aux obligations de Shopify en vertu des lois applicables, sous réserve des exigences de notification prévues par le droit de l’Union européenne ou des États membres de l’Union européenne auquel Shopify est soumis.

c) Shopify Vous informera si elle reçoit une instruction qu’elle détermine raisonnablement comme enfreignant les Lois européennes sur la protection des données (mais Shopify n’a aucune obligation de surveiller activement Votre conformité avec ces lois).

2. Obligation de confidentialité

Shopify veillera à ce que les personnes autorisées à traiter des Données personnelles signent des accords de confidentialité ou soient soumises à des obligations légales de confidentialité.

3. Mesures de sécurité

a) Shopify mettra en œuvre et maintiendra des mesures techniques et organisationnelles appropriées visant à protéger Vos Données personnelles contre un traitement non autorisé ou illégal et contre une perte, une destruction, des dommages, un vol, un accès non autorisé, une modification ou une divulgation accidentels, comme décrit dans l’Appendice 2.

b) Compte tenu de la nature des Données personnelles et du traitement associé, Shopify fournira l’assistance raisonnable que Vous pouvez raisonnablement demander pour Vous aider à remplir Vos obligations de sécurité en vertu des Lois européennes sur la protection des données.

c) Shopify Vous informera, sans retard injustifié, dès qu’elle prendra connaissance d’une violation de la sécurité entraînant la destruction, la perte, l’altération, la divulgation non autorisée de vos Données personnelles transmises, stockées ou autrement traitées, ou l’accès à ces données, de manière accidentelle ou illégale.

d) Shopify s’engage à enquêter sur toute atteinte à la sécurité et à déployer les efforts commercialement raisonnables pour en atténuer les effets.

4. Sous-traitants ultérieurs

a) Vous autorisez Shopify à faire appel à des Sous-traitants ultérieurs pour le traitement des Données personnelles. Vous acceptez également que Shopify puisse engager ses affiliés en tant que Sous-traitants ultérieurs.

b) L’utilisation par Shopify de Sous-traitants ultérieurs pour traiter Vos Données personnelles sera conforme aux Lois européennes sur la protection des données.

c) Shopify maintient une liste de tous les Sous-traitants ultérieurs actualisée, comme indiqué dans l’Appendice 3. Shopify mettra à jour cette liste des Sous-traitants ultérieurs si nécessaire et Vous fournira un dispositif pour être informé de l’ajout ou du remplacement d’un Sous-traitant ultérieur. Vous pouvez émettre des objections à l’utilisation par Shopify d’un nouveau Sous-traitant ultérieur.

d) Dans la mesure où Vous vous opposez à l’utilisation par Shopify d’un Sous-traitant ultérieur, et si Shopify est incapable ou refuse de satisfaire à de telles demandes, Vous pouvez arrêter d’utiliser les Services concernés dans les 30 jours suivant un tel avis, conformément aux Conditions.

e) Lorsque Shopify fait appel à un nouveau Sous-traitant ultérieur, elle conclura un accord écrit avec celui-ci et lui imposera des obligations contractuelles substantiellement équivalentes à celles énoncées dans le présent ATD. Shopify sera entièrement responsable des actes et omissions de ses Sous-traitants ultérieurs dans la même mesure que si elle exécutait directement les services de chacun d’entre eux conformément aux termes du présent ATD. La responsabilité de Shopify restera toutefois soumise aux conditions et limitations de responsabilité définies dans les Conditions.

5. Assistance au Responsable du traitement des données
Compte tenu de la nature de Vos Données personnelles et du traitement associé, Shopify fournira l’assistance raisonnable que Vous pouvez raisonnablement demander pour Vous aider à Vous conformer à Vos obligations :

  • - pour répondre aux demandes d’exercice des droits des personnes concernées en vertu des Lois européennes sur la protection des données ;
  • - pour informer les autorités compétentes et/ou les personnes concernées en cas de violation de Données personnelles ;
  • - pour réaliser des évaluations d’impact sur la protection des données et des consultations préalables ;
  • - pour garantir la sécurité du traitement conformément à la section 3.

6. Évaluation de la conformité

a) Shopify peut satisfaire Votre droit d’audit en vertu des Lois européennes sur la protection des données en ce qui concerne le traitement des données personnelles en Vous fournissant, sur demande écrite et sous réserve de confidentialité :

(i) les résultats des derniers audits de Shopify, qu’ils proviennent d’audits internes de Shopify ou d’audits réalisés par un tiers indépendant ;
(ii) des informations supplémentaires sous le contrôle de Shopify, si une autorité de protection des données ou une autorité gouvernementale en fait la demande.

b) Sous réserve et uniquement dans la mesure où les Lois européennes sur la protection des données Vous accordent ce droit, Vous pouvez exercer Votre droit d’audit : (i) dans la mesure où un auditeur indépendant et internationalement reconnu atteste que le rapport d’audit fourni par Shopify ne fournit pas suffisamment d’informations pour Vous permettre de vérifier la conformité de Shopify avec le présent ATD et avec les Lois européennes sur la protection des données, ou (ii) si nécessaire pour répondre à un audit d’une autorité gouvernementale. Chaque audit doit respecter les paramètres suivants : (i) être réalisé par un tiers indépendant qui conclura un accord de confidentialité avec Shopify ; (ii) être limité à des questions raisonnablement requises, et comme convenu mutuellement, pour Vous permettre d’évaluer la conformité de Shopify avec le présent ATD et la conformité des Parties avec les Lois européennes sur la protection des données ; (iii) se dérouler à une date et une heure mutuellement convenues et uniquement pendant les heures d’ouverture habituelles de Shopify ; (iv) se produire uniquement une fois par an (sauf si requis par les Lois européennes sur la protection des données) ; (v) couvrir uniquement les installations contrôlées par Shopify ; (vi) ne présenter que les résultats relatifs aux Données personnelles ; et (vii) traiter tous les résultats comme des informations confidentielles dans toute la mesure permise par les Lois européennes sur la protection des données. Pour clarifier, Shopify respectera Vos droits en vertu de la présente section 6 conformément à ses obligations de confidentialité vis-à-vis des tiers.

7. Fin du traitement

a) Pendant Votre utilisation des Services, Vous pouvez utiliser les outils de Votre compte pour accéder à Vos Données personnelles, Vous les renvoyer ou les supprimer.

b) Suite à la résiliation, Shopify, selon Votre choix, supprimera ou Vous renverra Vos Données personnelles. Nonobstant ce qui précède, Shopify peut conserver des Données personnelles : (i) comme l’exige la loi, y compris les Lois européennes sur la protection des données ; et (ii) conformément à ses politiques standard de sauvegarde ou de conservation des dossiers, à condition que, dans les deux cas, Shopify maintienne la confidentialité des Données personnelles conservées et respecte les dispositions applicables du présent ATD concernant ces dernières, sans les traiter davantage sauf aux fins et pendant la durée autorisées par les lois applicables.

8. Transferts internationaux

a) Sous réserve du respect des Lois européennes sur la protection des données, Shopify International Ltd peut transférer les Données personnelles traitées en vertu de la présente Annexe en dehors de l’EEE, du Royaume-Uni et de la Suisse, si nécessaire pour fournir ses Services (les « Transferts internationaux »).

b) De tels transferts consistent principalement à transférer des Données personnelles à Shopify Inc., basée au Canada, qui bénéficie d’une décision de la Commission européenne 2002/2/CE du 20 décembre 2001 sur la protection adéquate des données personnelles prévue par la Loi sur la protection des renseignements personnels et les documents électroniques du Canada.

c) Tout Transfert international vers des pays qui n’assurent pas un niveau adéquat de protection des données au sens des Lois européennes sur la protection des données sera soumis à des garanties appropriées, y compris les dispositifs de transfert suivants :

  • les modules pertinents des Clauses contractuelles types de 2021 approuvées par la Commission européenne dans sa décision 2021/914/CE du 4 juin 2021 ;
  • l’Addenda sur les Transferts internationaux de données aux Clauses contractuelles types de la Commission européenne pour les transferts internationaux de données émis par le Bureau du Commissaire à l’Information du Royaume-Uni en vertu de l’article S119A(1) de la Loi sur la protection des données du Royaume-Uni de 2018 ;
  • les Clauses contractuelles types de 2021 modifiées pour satisfaire aux exigences de la Loi fédérale sur la protection des données suisse (modifiée de temps à autre) du 19 juin 1992, révisée le 25 septembre 2001 ; et
  • toute clause contractuelle type, tout addenda relatif au transfert international de données ou toute autre clause, tout autre addenda ou tout autre dispositif de transfert qui pourrait remplacer les clauses et addendum en vigueur.

d) Shopify peut, à sa seule discrétion, remplacer tout dispositif de transfert pour garantir que les transferts de données sont conformes aux lois applicables. Si un transfert est basé sur des clauses contractuelles types et que ces clauses sont mises à jour par les autorités compétentes, ces clauses mises à jour ou des accords similaires seront intégrés dans le présent ATD comme s’ils y étaient intégralement énoncés.

APPENDICE 1 - DONNÉES PERSONNELLES

DESCRIPTION DU TRAITEMENT DES DONNÉES PERSONNELLES

I. Objet du traitement

Fourniture des Services de Shopify au Marchand.

II. Catégories des sujets de données

Clients du Marchand.

III. Catégories de Données personnelles traitées

Voir Annexe A ci-dessus.

IV. Fréquence du transfert

Continuel.

V. Nature du traitement

Collecte, enregistrement, hébergement, accès, utilisation, transfert et suppression des Données personnelles comme décrit dans les Conditions.

VI. Objectifs pour lesquels les Données personnelles sont traitées pour le compte du Responsable du traitement des données

Pour l’exécution et l’amélioration des Services tels que décrits dans les Conditions.

VII. Durée du traitement

Durée des Services conformément aux Conditions ou à l’accord applicable, plus la période suivant l’expiration de ceux-ci jusqu’à l’anonymisation, le renvoi ou la suppression des données.

VIII. Autorité de contrôle compétente L’autorité de contrôle compétente est la Commission de protection des données irlandaise.

APPENDICE 2 - MESURES DE SÉCURITÉ

Les informations sur les mesures de sécurité sont fournies dans l’Annexe B de l’ATD.

APPENDICE 3 - LISTE DES SOUS-TRAITANTS ULTÉRIEURS

Les Sous-traitants ultérieurs utilisés par Shopify pour l’exécution des Services conformément aux Conditions sont énumérés ici.

Les Sous-traitants ultérieurs traiteront les catégories de Données personnelles décrites ci-dessus en rapport avec les Services pendant la durée de leur accord avec Shopify.