Bepaid sera amenée à traiter des données personnelles au titre desquelles le Client est responsable de traitement et agira en conséquence sur la base des seules instructions du Client, conformément au rôle de sous-traitant de Bepaid en vertu de la réglementation applicable en matière de protection des données à caractère personnelle.
Pour les besoins du présent contrat, les termes « traitement », « Responsable de traitement », « sous-traitant », « personnes concernées », et « données à caractère personnel » ont le sens donné par le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après, le « RGPD »).
Bepaid est autorisé à traiter pour le compte du responsable de traitement les données à caractère personnel nécessaires pour fournir le ou les service(s) suivant(s) : Mise à disposition au personnel de l’entreprise d’une application à des fins de gestion des paiements Nature des traitements : Collecte, extraction, saisie manuelle, exports CSV, importations automatiques, enregistrement, consultation, communication par email et effacement Types de donnée à caractère personnel traitées : Données d’identification, données de contact (email), données relatives à la vie professionnelle, données bancaires Catégories de personnes concernées : Base de données clients et de manière plus spécifique la/les personne(s) destinataire(s) des factures et le(s) responsable(s) du paiement des factures au sein de ces entreprises ou entreprises individuelles. Durée des traitements sous-traités : Durée du contrat, les Données pouvant toutefois être supprimées à tout moment par le Client. Il appartient notamment au Client de supprimer les données personnelles à l’issue de leur durée de conservation maximale.
En sa qualité de sous-traitant, Bepaid s’engage à mettre en œuvre l’ensemble des mesures nécessaires permettant au Client de respecter le RGPD et la réglementation applicable en matière de protections des données à caractère personnel. Conformément à son rôle de sous-traitant, Bepaid s’engage plus spécifique à : traiter les données à caractère personnel dans le cadre strict et nécessaire des services prévus au titre du Contrat et, d'une manière générale, à n'agir que sur la seule instruction écrite et documentée du Client ; informer immédiatement le Client si une de ses instructions constitue une violation de la réglementation applicable en matière de protection des données à caractère personnel et suspendre l’exécution de ladite instruction jusqu’à confirmation ou modification de l’instruction par le Client ; s’assurer que les personnes autorisées à accéder aux données à caractère personnel ont connaissance des instructions du Client et s’engagent à ne les traiter que dans le strict respect de celles-ci ; veiller à ce que les personnes autorisées à accéder aux données à caractère personnel reçoivent la formation nécessaire en matière de protection des données à caractère personnel ; ne pas concéder, louer, céder ou autrement communiquer à toute personne, tout ou partie des données à caractère personnel, même à titre gratuit, ainsi que, plus généralement, ne pas utiliser les données à caractère personnel à d'autres fins que celles strictement prévues au Contrat ; le cas échéant, aider le Client à la réalisation d’analyses d’impact relatives à la protection des données à caractère personnel ; le cas échéant, aider le Client à la réalisation de consultation préalable de l’autorité de contrôle.
Bepaid est autorisée en vertu du présent contrat à héberger les données à caractère personnel confiés par le Client aux sous-traitants ultérieurs suivants : Heroku.com au titre de l’hébergement des données de l’Application Digiteal à des fins d’exécution des ordres de paiement passé via l’Application Bepaid peut faire appel à un autre sous-traitant (ci-après, « le sous-traitant ultérieur ») pour mener des activités de traitement spécifiques. Dans ce cas, Bepaid informera préalablement et par écrit le Client de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants. Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées du sous-traitant et les dates du contrat de sous-traitance. Le Client dispose d’un délai maximum d’un (1) mois à compter de la date de réception de cette information pour présenter ses objections. Cette sous-traitance ne peut être effectuée que si le responsable de traitement n'a pas émis d'objection pendant le délai convenu. Bepaid s’assure que tout sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD. Bepaid demeure en tout état pleinement responsable devant le Client de l’exécution par tout autre sous-traitant de ses obligations.
Le Client garantit à Bepaid qu’il a respecté l’ensemble des obligations nécessaires à la collecte et au traitement des données personnelles recueillies, lui incombant notamment aux termes du RGPD et qu’il a informé les personnes concernées de l’usage qui est fait desdites données personnelles via l’Application. Il conviendra également à cet égard d’informer les personnes concernées que Bepaid pourra procéder, sur instruction du Client, à l’importation de leurs données personnelles au sein de l’Application. Dans la mesure du possible, Bepaid aidera le Client à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage). Lorsque les personnes concernées exercent auprès de Bepaid des demandes d’exercice de leurs droits, Bepaid adressera ces demandes dès réception par courrier électronique au Client à l’adresse indiquée au sein du Bon de Commande afin de déterminer avec le Client comment traiter la demande. Notification des violations de données à caractère personnel Bepaid notifie au Client toute violation de données à caractère personnel dans un délai maximum de 72 heures après en avoir pris connaissance et par tout moyen de contact approprié, notamment par e-mail ou téléphone. Cette notification est accompagnée de toute documentation utile afin de permettre au Client, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.
Pendant la durée du Contrat, les parties devront prendre toutes les mesures techniques et organisationnelles appropriées afin de protéger les données à caractère personnel contre toute destruction accidentelle ou illicite, perte accidentelle, détérioration, diffusion ou accès non autorisés, notamment pendant le processus de transmission de données sur un réseau, et contre tout traitement illégal. Bepaid a par ailleurs mis en place les mesures techniques et organisationnelles de sécurité listées au sein de la politique de sécurité en annexe C du présent Contrat.
Bepaid met à la disposition du Client la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d'audits, y compris des inspections, par le Client ou un autre auditeur qu'il a mandaté, et contribuer à ces audits. Il est toutefois précisé que ces audits seront réalisés aux frais du Client et strictement limités à l’audit des mesures prises en matière de protection des données à caractère personnel, dans la limite d’un audit par an notifié par écrit au moins un (1) mois à l’avance à Bepaid.
Au terme du Contrat, Bepaid s’engage, selon le choix du Client devant être notifié pendant un délai maximum de deux (2) mois à compter de la date de notification de la résiliation du Contrat, à détruire les données à caractère personnel ou à les restituer au Client dans un format et selon des modalités de restitution à convenir par les parties. Le renvoi doit s’accompagner de la destruction de toutes les copies existantes dans les systèmes d’information de Bepaid. Une fois détruites, Bepaid justifiera par écrit de la destruction. Nonobstant ce qui précède, Bepaid est autorisée à conserver une copie des Données du Client dont la conservation est nécessaire aux fins de démontrer la bonne exécution de ses obligations au titre du Contrat pendant une durée qui ne saura être supérieure au délai de prescription applicable.
Le Client s’engage à : documenter par écrit toute instruction concernant le traitement des données par Bepaid, veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le RGPD, notamment vis-à-vis des personnes concernées par les traitements ; superviser le traitement, y compris réaliser les audits et les inspections auprès de Bepaid ; respecter l’ensemble des obligations mises à sa charge en vertu du RGPD auprès des personnes concernées dont notamment leur information et le respect des durées de conservation en supprimant leurs données personnelles sur l’Application lorsque ladite durée de conservation des données est atteinte.