PROTECTION DES DONNÉES

PREAMBULE

Conformément au Règlement européen 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données personnelles et à la libre circulation de ces données (le « RGPD ») et à la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés telle que modifiée.

Tous les termes non définis au titre de la présente Annexe ont le sens qui leur est donné dans le RGPD.

Le présent contrat est conclu entre :

Lystes, société par actions simplifiée, immatriculée au RCS de Nanterre, sous le numéro 88459973900015, sise 6, avenue emile deschanel, 75007 Paris.

Ci-après dénommé Lystes

Et

La société ou la personne physique agissant à titre professionnel proposant les services d’Lystes à ses clients agissant en qualité de Sous-traitant dans la limite des traitements réalisés dans le cadre du Contrat qui lie les parties. Ce dernier est susceptible d’être Lystes pour les mêmes données dans le cadre d’un autre traitement relatif à son activité.

Ci-après dénommé Vendeur ou Sous-traitant.

Les Parties s’engagent à respecter toute réglementation en matière de protection de données qui pourrait être applicable pour l’exécution du Contrat et en particulier (i) le RGPD, (ii) ses compléments en droit national, et (iii) toute autre réglementation applicable aux traitements de données personnelles applicable pendant la durée du Contrat. Les Parties veilleront à ce que leurs collaborateurs et leurs sous-traitants respectent ces termes.

Définitions

Acheteur : désigne le consommateur qui achète les biens et services proposés par le Vendeur sur son site internet ou en boutique.

Contrat : désigne l’ensemble des contrats signés entre Lystes et le Vendeur (CGV et CGU).

Législation applicable en matière de protection des données : désigne le RGPD et la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés telle que modifiée, ainsi que toute loi ou recommandations de la CNIL ou de la Commission Européenne qui vient compléter cette réglementation.

Parties : désigne Lystes et le Vendeur qui contractualise avec Lystes.

Traitement des données : correspond à toutes les opérations ou les ensembles d’opérations, portant sur une donnée, quel que soit le procédé utilisé (définition CNIL).

Prestataire de services : désigne les personnes morales qui offrent des services essentiels à Lystes.

ARTICLE 1 – Catégories des données personnelles

Les données personnelles collectées et traitées des Acheteurs par le Vendeur quand ils sélectionnent la solution de paiement Lystes sont les suivantes :

  • Les données d’identité / d’état civil (nom, prénom, email, numéro de téléphone, adresse postale avec le pays de résidence – ces données sont collectées et transmises par le Vendeur, l’Acheteur est informé par le Vendeur et à travers la politique de confidentialité ; document d’identification nécessaire conformément à la réglementation tel que carte d’identité, permis de conduire, justificatif de domicile – ces données sont collectées directement auprès de l’Acheteur) ;
  • Les données de connexion (adresse IP notamment) ;
  • Les données d’ordre économique et financier (tokenisation de la carte bancaire, agrégation du compte bancaire).

ARTICLE 2 – Finalités et fondements des traitements

La principale finalité d’Lystes est d’octroyer des crédits aux Acheteurs pour l’achat des produits proposés par les Vendeurs. Dans le cadre de l’exécution de la finalité ultime, plusieurs finalités s’interposent :

  • L’évaluation de l’éligibilité de l’Acheteur ou scoring ;
  • Le recouvrement de la dette de l’Acheteur ;
  • La lutte contre la fraude ;
  • La lutte contre le blanchiment et le financement du terrorisme.

Le fondement est contractuel, légal (réglementations qui encadrent l’activité du Responsable de traitement) et d’intérêt légitime.

ARTICLE 3 – Durée du traitement

Le traitement dure tout au long de la relation d’affaire entre Lystes et l’Acheteur, jusqu’au recouvrement de la dette.

Les données seront conservées conformément à la réglementation, jusqu’à cinq ans après la fin de la relation contractuelle.

ARTICLE 4 – Obligations du Sous-traitant

Conformément à l’article 28.1 du RGPD, le Sous-traitant s’engage à présenter les garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD et garantisse la protection des droits de la personne concernée.

ARTICLE 5 – Suivre les instructions d’Lystes

En sa qualité de sous-traitant d’Lystes, le Vendeur s’engage à ne traiter les données personnelles qu’en stricte conformité avec les instructions documentées d’Lystes, et seulement dans le cadre des finalités définies ci-dessus.

Le manquement aux obligations prévues dans cet accord constitue une faute pouvant donner lieu à une résiliation pour faute du Contrat.

Le Sous-traitant doit informer immédiatement Lystes si :

  • Il n’est plus en mesure d’exécuter le Contrat conformément aux instructions d’Lystes ou de la Législation Applicable en matière de Protection des Données ;
  • Une instruction d’Lystes lui semble en violation de la Législation Applicable en matière de Protection des Données.

ARTICLE 6 – Engagements du Sous-traitant

Le Sous-traitant doit assister Lystes dans le cadre de la gestion des requêtes d’une autorité de contrôle de la protection des données personnelles (une « Autorité de Contrôle »).

Le Sous-traitant dans le cadre de cet accord et conformément à la réglementation :

  • Veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
  • Prend toutes les mesures requises pour garantir la sécurité du Traitement en vertu de l’article 32 du RGPD ;
  • Garantit la confidentialité, l’intégrité, la sauvegarde et l’archivage des données personnelles qu’il recueille et transmet à Lystes dans le cadre des présentes ;
  • Met en place toutes les mesures nécessaires et utiles garantissant la sécurisation de l’accès à son système d’information, limitant l’accès aux seules personnes autorisées ;
  • Assure la continuité de son système d’information pour permettre la restauration du service en cas d’incident, ainsi que la disponibilité des données, la traçabilité de l’accès à tout moment ;
  • Met à la disposition de Lystes toutes les informations nécessaires pour démontrer le respect de ses obligations et pour permettre la réalisation d’audits, y compris des inspections, par Lystes ou un autre auditeur qu’il a mandaté, et contribuer à ces audits ;
  • Tient compte de la nature du traitement, aide Lystes, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits prévus au chapitre III du RGPD. Ce dernier ne répond pas directement aux demandes, il informe Lystes de la demande et invite l’utilisateur à contacter Lystes à l’adresse suivante: help@lynk.bio ;
  • Supprime définitivement, au terme du contrat, l’ensemble des données personnelles encore en sa possession. Si le Sous-traitant souhaite conserver les données pour une autre finalité, il sera Lystes de sa finalité et doit avoir préalablement obtenu le consentement des personnes concernées.
  • Aide Lystes à garantir le respect des obligations prévues aux articles 32 à 36, compte tenu de la nature du traitement et des informations à la disposition du sous-traitant en l’aidant :
    • à réaliser les analyses d’impact relatives à la protection des données ;
    • à garantir le respect de ses obligations issues de la Législation Applicable en matière de Protection des Données en matière de sécurité, notamment de notification à la CNIL et aux personnes concernées

ARTICLE 7 – Obligation d’information spécifique du Sous-traitant

Lystes est Responsable de traitement mais le Vendeur/Sous-traitant est en relation directe avec les personnes concernées – les acheteurs. Il est donc responsable de la réalisation des obligations d’information fixées aux articles 13 et 14 du RGPD. Cette obligation d’information sera réalisée par la mise à disposition des CGU ou du contrat de crédit ainsi que de la politique de confidentialité d’Lystes

ARTICLE 8 – Notification d’une violation de données personnelles

Le Sous-traitant est dans l’obligation d’instaurer un système qui lui permet de détecter, prendre les mesures nécessaires pour arrêter et notifier toute violation des données personnelles traitées. Ce dernier doit sans délai (inférieur à 48 heures suivant la prise de connaissance) informer Lystes de toute violation ou soupçon de violation de données personnelles. Cette notification doit être complétée de toute documentation utile afin de permettre à Lystes, si nécessaire, de notifier cette violation de données personnelles à la CNIL et aux personnes concernées.

Le Sous-traitant ne doit effectuer aucune notification auprès des personnes concernées ou la CNIL sans instructions et accord d’Lystes.

ARTICLE 9 – Recours à la sous-traitance ultérieure

Le Sous-traitant peut faire appel à un autre sous-traitant, le « Sous-traitant Ultérieur », dans le cadre de ces traitements. Dans ce cas, le Sous-traitant informe préalablement et par écrit Lystes de tout changement envisagé concernant l’ajout ou le remplacement d’autres Sous-traitants Ultérieurs. Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées du Sous-Traitant Ultérieur et les dates du contrat de sous-traitance.

Conformément à l’article 28.4 RGPD, lorsqu’un sous-traitant recrute un autre sous-traitant pour mener des activités de traitement spécifiques pour le compte du responsable de traitement, les mêmes obligations en matière de protection de données que celles fixées dans le contrat ou un autre acte juridique entre le responsable de traitement et le sous-traitant conformément au paragraphe 3, sont imposées à cet autre sous-traitant par contrat ou au moyen d’un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, en particulier pour ce qui est de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement. Lorsque cet autre sous-traitant ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable de traitement de l’exécution par l’autre sous-traitant de ses obligations.

ARTICLE 10 – Transfert des données hors Espace Economique Européen

Certains Prestataires de Service d’Lystes sont situés hors de l’Espace Economique Européen. Les transferts de données sont effectués avec les garanties appropriées au titre de la Législation Applicable en matière de Protection des Données.

Le Sous-traitant s’engage à ne procéder à des transferts de données hors Espace Economique Européen que sous réserve d’avoir préalablement informé et obtenu l’accord écrit d’Lystes pour la mise en œuvre du transfert de données hors Espace Economique Européen. Il s’engage aussi à mettre en place les garanties appropriées pour l’encadrement de ce transfert de données hors Espace Economique Européen.

ARTICLE 11 – Obligations du Responsable de traitement

Lystes est dans l’obligation de respecter les dispositions de la réglementation sur les données personnelles dans la réalisation des traitements, en particulier la finalité des traitements, la durée de conservation des données ou l’information des personnes concernées.