Accord de traitement des données à caractère personnel
Le présent Accord de traitement des données («ATD») constitue un accord électronique entre Retail Rocket et le Client. Les Parties ont signé la Lettre de mission, et ainsi conclu l’Accord sur la prestation de Services de marketing en ligne spécifiée dans la Lettre de mission (ci-après respectivement dénommés: «Accord» et «Services» ou «Prestations») sur le traitement des données à caractère personnel.
Le Client conclut le présent ATD en son propre nom, et Retail Rocket, dans le cadre des Prestations fournies au Client, (a) traitera les données personnelles dont le Client est Responsable du traitement pour le compte du Client (le «Client» à cet égard désigne le client final / l’utilisateur final) et Retail Rocket agira en tant que Sous-traitant; (b) pour le compte du Client, stockera et/ou aura accès aux informations stockées dans le terminal d’un utilisateur d’Internet (ci-après dénommé le stockage ou l’accès aux «Cookies») ou (c) enverra des messages électroniques commerciaux sollicités au nom du Client;
1. Objet du présent Accord de traitement de données
1.1. Le présent ATD s’applique exclusivement (a) au traitement des données personnelles dont le Client est Responsable du traitement, (b) au stockage et/ou à l’accès aux Cookies pour le compte du Client dans le but de délivrer lesdites Prestations, et (c) à l’envoi de messages commerciaux sollicités dans le cadre des Prestations fournies, en vertu de l’Accord, pour le compte du Client.
1.2. Dans le présent ATD, les termes «Responsable du traitement», «Sous-traitant», «Données à caractère personnel» et «Traitement» auront la signification donnée à l’article 4 du règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (ci-après dénommé le «Règlement général sur la protection des données» ou «RGPD»).
1.3. Le Client est responsable du respect de la législation applicable en matière de protection des données, en particulier du Règlement général sur la protection des données. Le Client garantit que les données personnelles qui seront fournies à Retail Rocket dans le cadre des Prestations ont été collectées conformément aux lois applicables et qu’il est autorisé à communiquer les données mentionnées à Retail Rocket pour traitement conformément à ce qui est établi dans le présent ATD.
2. Droits et obligations
2.1. En ce qui concerne le traitement des données personnelles dans le cadre des Prestations, le Client est le Responsable du traitement des données et Retail Rocket, le Sous-traitant.
2.2. En tant que Responsable du traitement des données, le client déterminera les moyens et les finalités du traitement des données à caractère personnel. Le principal objectif du traitement des données à caractère personnel est la fourniture de Services. Comme cela est indiqué dans le Consentement au traitement des données à caractère personnel («le consentement au traitement des données à caractère personnel», à cet égard, désigne le consentement au traitement des données à caractère personnel avec le client final tel que défini à l’article 6, paragraphe 1, du RGPD) qui déterminera les détails du traitement des données à caractère personnel, qui peuvent être modifiés et/ou mis à jour par écrit.
2.3. En tant que Sous-traitant, Retail Rocket s’engage à ne traiter lesdites données personnelles que pour le compte du Client et uniquement aux fins déterminées par le Client et nécessaires à la réalisation des Prestations, sauf si le traitement entre dans le cadre d’une mise en conformité avec une obligation légale à laquelle le Sous-traitant est soumis, ou répond aux instructions du Responsable du traitement. Retail Rocket s’engage à ne divulguer aucune donnée à un tiers, sauf si la loi à laquelle le Sous-traitant est soumis l’y contraint, ou sur demande expresse du Client, conformément aux dispositions prévues par le RGPD.
2.4. Retail Rocket sera autorisée à choisir et employer, selon les instructions du Responsable du traitement des données, et conformément aux exigences du RGPD, les moyens qu’elle juge nécessaires pour atteindre les objectifs fixés par le Client.
2.5. Retail Rocket ne traite les données à caractère personnel que sur instruction documentée du Responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, sauf si la loi à laquelle le Sous-traitant est soumis l’y oblige ; dans ce cas, le Sous-traitant informe le Responsable du traitement de cette obligation légale avant de traiter lesdites données, à moins que ladite loi ne l’interdise pour des motifs importants d’intérêt public. Retail Rocket informe immédiatement le Responsable du traitement s’il lui semble qu’une instruction enfreint le présent Règlement ou toute autre disposition de l’Union européenne ou de l’un de ses États membres en matière de protection des données.
2.6. Le Client garantit à Retail Rocket la disponibilité des preuves confirmant la collecte du Consentement de l’utilisateur au Traitement des Données Personnelles reçu par le Client, conformément aux lois applicables et les soumet à tout moment à Retail Rocket à la demande de cette dernière. Dans le cas où une plainte est déposée contre Retail Rocket pour violation des droits de confidentialité des données d’un tiers découlant directement de la fourniture des Services en vertu de l’Accord, le Client mènera et supervisera, à ses propres frais, tout litige qui s’ensuit et toutes les négociations pour un règlement de la plainte. Le Client financera les coûts de tout paiement à effectuer dans le cadre d’un règlement ou à la suite d’une sentence dans un jugement contre Retail Rocket en cas de litige.
3. Sécurité
3.1. Retail Rocket s’engage à mettre en œuvre les mesures techniques et organisationnelles appropriées pour assurer la sécurité du traitement des données à caractère personnel. Il peut s’agir:
a) des mesures garantissant que les données à caractère personnel ne peuvent être consultées que par le personnel autorisé aux fins énoncées à l’annexe 1 du RGPD;
b) de mesures appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte ou l’altération accidentelle, le stockage, le traitement, l’accès ou la divulgation non autorisés ou illicites;
(c) de mesures visant à identifier les failles en ce qui concerne le traitement des données à caractère personnel par l’intermédiaire des systèmes exploités pour fournir des services au Client.
3.2. Retail Rocket s’assure que les personnes autorisées à traiter les données personnelles se sont engagées à respecter la confidentialité ou qu’elles sont soumises à une obligation légale de confidentialité appropriée.
3.3. Retail Rocket prend toutes les mesures requises en vertu de l’article 32 du RGPD.
3.4. Tenant compte de la nature du traitement, Retail Rocket assiste le Client en recourant à des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour se conformer à l’obligation du Client de répondre aux demandes d’exercice des droits de la personne concernée énoncés au chapitre III du RGPD.
3.5. Retail Rocket assiste le Client dans le respect des obligations prévues aux articles 32 à 36 du RGPD en tenant compte de la nature du traitement et des informations dont dispose le Sous-traitant.
3.6. Retail rocket met à la disposition du Responsable du traitement des données toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent Article et pour permettre la réalisation d’audits, y compris de contrôles, par le Client ou tout autre auditeur mandaté par le Responsable du traitement des données.
4. Transferts de données
4.1 Le Client accepte que si les Services impliquent des transferts (planifiés) permanents ou temporaires de données à caractère personnel vers un pays de l’Espace économique européen, un tel transfert de données à caractère personnel est permis et autorisé.
4.2. Retail Rocket est autorisée par le Client à transférer des données personnelles aux sociétés de son groupe établies dans l’Espace économique européen et aux Etats-Unis et fournissant des services en support aux activités liées aux Prestations, et à ces fins, est autorisée à transférer les données au Sous-traitant désigné de Retail Rocket dans l’Espace économique européen et aux Etats-Unis tel qu’indiqué à l’Annexe 2.
5. Accords de sous-traitance
5.1. En adhérant aux termes du présent ADT, le Client accepte et autorise que Retail Rocket puisse sous-traiter à tout tiers une partie de ses activités consistant à traiter des données personnelles ou nécessitant le traitement de données personnelles dans le cadre de la réalisation des Prestations, y compris les services liés ou nécessaires à la réalisation de celles-ci.
5.2 Retail Rocket ne fait appel à aucun sous-traitant ultérieur sans l’autorisation écrite préalable, expresse ou générale du Client. En cas d’autorisation générale écrite, Retail Rocket informera le Client de tout changement souhaité concernant l’ajout ou le remplacement d’autres sous-traitants, donnant au Client la possibilité de s’opposer à ces changements dans un délai de 15 (quinze) jours.
5.3. Retail Rocket s’assure que le sous-traitant ultérieur est lié par les obligations de Retail Rocket en vertu du même Accord de protection des données et doit en contrôler la conformité.
5.4 L’engagement de sous-traitants ultérieurs sera soumis à ce qui est établi à l’article 28.4 du Règlement général sur la protection des données.
6. Registre des activités de traitement
6.1. Le client est responsable de la tenue d’un registre des activités de traitement. Ce registre recense les informations définies à l’article 30, paragraphe 1, points a) à g), du Règlement général sur la protection des données.
7. Restitution ou destruction des données personnelles
7.1. À la cessation du présent ADT, les données personnelles soumises aux Prestations, ainsi que toutes les copies existantes, seront conservées sans être exploitées dans un délai de 180 (cent quatre-vingts) jours et supprimées une fois ce délai expiré, sauf si le Client, selon son choix et sur demande écrite, sollicite: 1) la suppression préalable des données personnelles du Client au cours de cette période; 2) la restitution de toutes les données personnelles du Client avec ou sans transfert des copies des données personnelles du Client au Client. Toutefois, Retail Rocket peut conserver une copie correctement sécurisée des données, dans la mesure où des responsabilités pourraient découler de l’exécution de la Prestation de services ou à moins que le stockage de ces données personnelles ne soit requis en vertu de la législation applicable.
7.2. Retail Rocket s’engage à informer tous les tiers impliqués dans le traitement des données personnelles de la résiliation du présent ATD et de la destruction des données personnelles et veillera à ce que tous ces tiers détruisent lesdites données personnelles.
7.3. Dans le respect de l’article 17 du RGPD, Retail Rocket procède également à l’effacement des données personnelles, si une personne concernée a demandé au Client d’effacer lesdites données.
8. Stockage et accès aux cookies
8.1. Si, dans le cadre des Prestations, des Cookies sont stockés ou consultés par Retail Rocket ou un tiers engagé par Retail Rocket pour le compte du Client, le Client est seul responsable du respect de toutes les lois et réglementations applicables.
Le Client sera donc dans l’obligation de :
(a) fournir à l’internaute des informations claires et complètes (lesquelles informations peuvent être fournies intégralement ou partiellement par Retail Rocket pour le compte du Client), conformément à la législation et à la réglementation applicables, au moins sur l’utilisation de Cookies et de technologies similaires (HTML5, etc.) (ci-après «Cookies»); les finalités du stockage et de l’accès aux Cookies; le type de Cookies; le traitement des données obtenues au moyen des Cookies par le Client et par Retail Rocket ou un tiers engagé par Retail Rocket en tant que sous-traitant pour la fourniture de Prestations au Client; et les finalités d’un tel traitement conformément aux dispositions du Règlement général sur la protection des données. Le Client dispose d’une déclaration de confidentialité, d’une clause de non-responsabilité et d’une déclaration relative aux Cookies claires;
(b) obtenir le consentement (préalable) (en utilisant la méthode «opt-in») de l’internaute pour le stockage et l’accès aux Cookies par Retail Rocket ou un tiers engagé par Retail Rocket, et pour le traitement des données à caractère personnel obtenues par ces moyens aux fins définies à la section 8.1.a ci-dessus ;
(c) fournir à l’utilisateur des informations sur la manière de révoquer son consentement et d’éliminer les Cookies du Client et ceux de tiers (Retail Rocket et/ou un tiers engagé par Retail Rocket).
8.2. Le Client doit immédiatement informer Retail Rocket par écrit dans le cas où un utilisateur révoque son consentement légitimement accordé dans le but de cesser l’utilisation de ses données à caractère personnelles et de supprimer les Cookies.
9. Envoi de messages électroniques commerciaux sollicités
9.1. Si, dans le cadre des Prestations, Retail Rocket envoie des messages électroniques commerciaux sollicités au nom du Client, le Client (en tant qu’expéditeur de matériel) est seul responsable du respect de toutes les lois et réglementations applicables.
Le Client sera donc dans l’obligation de:
a) recueillir le consentement libre, spécifique et éclairé préalable du destinataire du message électronique, lequel consentement doit être enregistré, et veiller à ce que des mesures adéquates soient prises pour prouver que ce consentement a été obtenu; et
(b) fournir les informations nécessaires requises par la législation et les (auto)réglementations applicables; et
(c) offrir un droit d’opposition, dont une adresse électronique du Client où ledit droit peut être exercé, le cas échéant, au moment d’obtenir les coordonnées électroniques du destinataire («Client») et/ou dans tout message électronique commercial envoyé ultérieurement par Retail Rocket pour le compte du Client; et fournir un mécanisme facile et gratuit permettant à l’utilisateur d’exercer son droit de révoquer son consentement, dont une adresse électronique du Client prévue à cet effet.
Le Client notifiera immédiatement Retail Rocket par écrit, dans le cas où l’un des utilisateurs recevant les messages électroniques exercerait son droit d’opposition ou aurait révoqué son consentement, de cesser d’envoyer les messages électroniques à cet utilisateur.
Le Client est seul responsable du fait que le message électronique commercial sollicité respecte, avant d’être envoyé, les exigences relatives au contenu et aux informations requises par la législation et la réglementation en vigueur. Il est, entre autres, tenu d’identifier clairement l’e-mail en tant que «communication commerciale» et de fournir les informations d’identification du Client en tant qu’expéditeur.
10. Coopération avec l’Autorité de contrôle
10.1. Le Client et Retail Rocket, et, le cas échéant, leurs représentants, coopèrent, sur demande, avec l’autorité de contrôle dans l’exécution de ses tâches.
11. Notification à l’autorité de contrôle d’une violation de données à caractère personnel
11.1. En cas de violation de données à caractère personnel, le responsable du traitement notifie sans retard injustifié et, si possible, au plus tard 72 (soixante-douze) heures après en avoir eu connaissance, la violation de données à caractère personnel à l’autorité de contrôle compétente conformément à l’article 33 du RGPD.
12. Durée et cessation
12.1. Le traitement des données, en vertu du présent ATD, est valide jusqu’à la fin des Prestations fournies conformément à l’Accord conclu entre Retail Rocket et le Client ; délai auquel s’ajoute la période allant de la cessation de l’Accord jusqu’à la suppression des données à caractère personnel par Retail Rocket conformément aux termes du présent ATD.
12.2. La cessation du présent Accord, pour quelque motif que ce soit, entraînera la résiliation automatique du présent Accord de traitement des données.
Annexe 1: Données personnelles traitées dans le cadre des Prestations et finalités du traitement desdites données.
1. Finalités du traitement des données à caractère personnel
Retail Rocket traite les données personnelles dans un objectif d’amélioration de l’expérience d’achat des visiteurs du site Internet; le traitement des données à caractère personnel permettant un ajustement des recommandations de produits en fonction des intérêts et de l’historique de navigation de chaque visiteur.
2. Aux fins du traitement des données personnelles, Retail Rocket utilise les Cookies suivants:
| Nom du Cookie | Finalité du Cookie |
| rcuid | Identifiant unique de l’utilisateur |
| rrpuid | Identifiant unique de l’utilisateur pour les tests A/B des recommandations de produits |
| rr-VisitorSegment | Segment d’un utilisateur dans un test A/B |
| rrpusid | Identifiant de session unique, utilisé pour suivre différentes personnes sur un même dispositif |
| rrlpuid | Identifiant du visiteur reçu par le Client |
| rrrbt | Ce cookie stocke un signal indiquant qu’un visiteur est un robot (par exemple, un robot d’exploration de moteur de recherche) |
| rrviewed | Identifiants numériques de dix produits récemment consultés |
| rr-viewItemId | Identifiant numérique du dernier produit visualisé |
| rrbasket | Identifiants numériques de dix produits récemment ajoutés au panier |
| rr-addToBasketItemId | Identifiant numérique du dernier produit ajouté au panier |
| rr-RecomAddToCartItemId | Identifiant numérique du dernier produit ajouté au panier à partir d’un bloc de recommandations Retail Rocket |
| rr-RecomItemId | Identifiant numérique d’un produit consulté via un bloc de recommandations Retail Rocket |
| rr-MethodName | Nom de l’algorithme ayant généré une recommandation d’un produit consulté sur un bloc de recommandations Retail Rocket |
| rr-subFormLastView | Ce cookie stocke un signal indiquant que la fenêtre de sortie de l’e-mail d’acquisition a été affichée pour la première fois |
| rrmailid | Identifiant unique de l’e-mail Retail Rocket sur lequel un visiteur a cliqué |
| rrutmsource | Ce cookie stocke la valeur du paramètre d’URL utm_source le plus récent |
3. À des fins du traitement des données personnelles, Retail Rocket peut suivre les actions des visiteurs suivantes:
- N’importe quelle page vue
- Page catégorie de produit
- Vue de la page produit
- Action ajouter au panier
- Achat
- Recherche sur le site Internet
- Abonnement à la newsletter par e-mail
- Clics sur les blocs de recommandation de produit
- Clics sur les e-mails envoyés par Retail Rocket
- Interactions avec les widgets du site Internet Retail Rocket
4. À des fins du traitement des données personnelles, Retail Rocket peut exploiter le stockage local du navigateur (également connu sous le nom de stockage local HTML5) pour stocker des données sur les actions suivantes des visiteurs:
- N’importe quelle page vue
- Page catégorie de produit
- Vue de la page produit
- Action ajouter au panier
- Achat
- Recherche sur le site Internet
- Abonnement à la newsletter par e-mail
- Clics sur les blocs de recommandation de produit
- Clics sur les e-mails envoyés par Retail Rocket
- Interactions avec les widgets du site Internet Retail Rocket
Ces informations sont stockées dans la chaîne retailRocketEvents au format JSON. Chaque action est stockée pour une durée de 24 heures à partir du moment où elle s’est produite.
Annexe 2: Liste des Sous-traitants agréés.
| 1. Entité | 2. Adresse, y compris la juridiction | 3. Tâche(s) | 4. Transfert de solution |
| Retail Rocket Iberia, SL | Edificio K2M. C/ Jordi Girona, 1. Planta 2, 08034 Barcelone, Espagne. | Personnalisation du site Internet. E-mails déclenchés Formulaire smart Opt‐In. Personnalisation des e-mails. | Pays concerné |
| Retail Rocket Germany GmbH | Horbeller Str.1 31, 50858 Cologne, Allemagne | Personnalisation du site Internet. E-mails déclenchés Formulaire smart Opt‐In. Personnalisation des e-mails. | Pays concerné |
| Retail Rocket Netherlands B.V. | Laan van Vredenoord 33, 2289 DA Rijswijk, the Netherlands | Personnalisation du site Internet. E-mails déclenchés Formulaire smart Opt‐In. Personnalisation des e-mails. | Pays concerné |
| Amazon Services Europe S.A.R.L. | 5, Rue Plaetis, L-‐2338 Luxembourg| | Service d’infrastructure de stockage d’objets. Exécute un code en réponse aux événements et gère automatiquement les ressources informatiques. Service de réseau mondial de distribution de contenu (CDN). | Pays concerné |
| Google Pays-Bas BV | Claude Debussylaan 34/15EETAGE 1082 MD Amsterdam, Pays-Bas | Analyse de données. Serveur de messagerie | Pays concerné |
| Hetzner Online GmbH | Industriestr. 25, 91710 Gunzenhausen Allemagne | Services d’hébergement | Pays concerné |
| Baker Tilly Business Consulting Services S.A. | Patmou & Olympou, Marousi 15123 Athens, Greece | Délégué à la protection des données (DPD) | Pays concerné |
| Pipedrive UK Limited | Hogarth House, 136 High Holborn, Londres, Angleterre, WC1V 6PX | CRM | Pays concerné |
| Sailplay, Inc. | 401 Park Ave South,9e étage NEW YORK, NY 10016 (États-Unis) | CRM, Fidélité, Campagnes, Analyse des indicateurs clés. | Clauses contractuelles types (CCT) |
| Vodafone Libertel B.V. | Avenue Ceramique 300, 6221 KX, Maastricht Pays-Bas | Communications téléphoniques | Pays concerné |