Accord de traitement des données Jimdo pour les partenaires (ATD)

Préambule

Jimdo GmbH, Stresemannstrasse 375, 22761 Hambourg, Allemagne et la personne morale qui accepte le présent accord (dénommée ci-après « partenaire »), ont conclu un accord portant sur le programme d’affiliation de Jimdo (et notamment sur l’acceptation du partenaire des conditions de participation au programme d’affiliation de Jimdo, suivie de l’acceptation de la confirmation de commande par Jimdo), dans le cadre duquel le Partenaire a rejoint le programme d’affiliation de Jimdo. Les deux parties du présent contrat de traitement des données sont désignées ci-après conjointement en tant que « parties », et séparément en tant que « partie ».

Le présent accord de traitement des données est conclu entre les parties mentionnées ci-dessus, et s’applique en complément des conditions de participation au programme d’affiliation de Jimdo.

Le partenaire est conscient du fait que Jimdo offre ses prestations d’affiliation à un grand nombre de partenaires. Par conséquent, la possibilité que le partenaire donne des instructions complémentaires, par ex. sous la forme d’un accord de traitement des données personnalisé, influençant ou compromettant les prestations d’affiliation de Jimdo pour d’autres partenaires ou utilisateurs, est limitée par le présent accord. Instaurer un programme d’affiliation de Jimdo comprenant un grand nombre d’instructions spécifiques du partenaire serait alors impossible.

1. Généralités

1.1 Le présent ATD contient les termes suivants, dont la définition est la suivante :

  • RGPD désigne le Règlement général sur la protection des données no. 2016/679 de l’Union européenne (RGPD).
  • Les dispositions en matière de protection des données représentent l’ensemble des prescriptions et lois diverses applicables en ce domaine, et notamment dans le contexte du traitement des données effectué dans le présent accord, pour les citoyens de l’UE incluant le Règlement (UE) 2016/679 du Parlement européen et du Conseil datant du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, à la libre circulation de ces données et à l’abrogation de la directive 95/46/CE (Règlement général sur la protection des données, dénommé ci-après RGPD) (applicable le cas échéant) et la directive 2002/58/CE relative aux communications électroniques.
  • Le sous-traitant désigne toute personne (à l’exception des employés des parties), qui a été mandaté par/ou pour le compte d’une des parties, afin de traiter des données à caractère personnel pour le compte de cette partie ou encore dans le cadre des conditions de participation au programme d’affiliation de Jimdo.

1.2 Dès lors que le terme « traitement des données » ou « traitement » (de données) est utilisé dans le présent accord, la définition de « traitement » s’applique au sens de l’art. 4 al. 2 du RGPD.

1.3 Les termes « responsable », « personne concernée », « État membre », « données à caractère personnel », « violation de la protection des données personnelles », « traitement », et « profils » possèdent la même définition que celle figurant dans le RGPD.

1.4 Sauf indication contraire, les prescriptions mentionnées dans les conditions de participation au programme d’affiliation de Jimdo demeurent pleinement effectives.

1.5 Le présent ATD prévaut en cas de divergences entre les spécifications du présent ATD et les conditions de participation (portant sur le traitement des données).

1.6 Le présent ATD s’applique uniquement dans le cadre du traitement des données à caractère personnel par les parties, dans le contexte du programme d’affiliation de Jimdo.

2. Obligations et droits des parties

2.1 Le partenaire et Jimdo exécutent leurs obligations respectives conformément aux dispositions régissant la protection des données. Chaque partie coopère de façon appropriée avec l’autre partie, afin d’assurer le respect du présent point 2.

2.2 Conformément aux dispositions régissant la protection des données, le partenaire s’engage à recueillir préalablement auprès des visiteurs leur consentement quant à l’utilisation des cookies, de façon volontaire, spécifique, informative, explicite et révocable, au moyen d’un clic sur une annonce affichée à l’utilisateur Jimdo.

2.3 Le partenaire ne met aucune donnée personnelle à disposition de Jimdo, tant que cette mesure n’est pas attendue par Jimdo dans le cadre du fonctionnement habituel du programme d’affiliation de Jimdo.

2.4 Les obligations suivantes s’appliquent quant au traitement des données dans le cadre des conditions de participation au programme d’affiliation de Jimdo, pour lesquelles le partenaire et Jimdo partagent la responsabilité commune :

Transparence

2.4.1 Le partenaire doit prendre des mesures appropriées, afin de transmettre aux personnes concernées des informations sur la manière dont sont traitées les données personnelles par le partenaire, ou pour le compte de celui-ci. Cette mesure inclut au moins l’ensemble des informations prescrites aux articles 13, 14, et 26 du RGPD. Le partenaire transmet ces informations sous une forme spécifique, transparente, intelligible et facilement accessible, dans un langage clair et simple (annonce du partenaire relative au traitement).

2.4.2 Jimdo doit prendre des mesures appropriées, afin de transmettre aux personnes concernées des informations sur la manière dont sont traitées les données personnelles par Jimdo, ou pour le compte de celui-ci. Cette mesure inclut au moins l’ensemble des informations prescrites aux articles 13, 14, et 26 du RGPD. Dans la Politique de confidentialité de Jimdo, ce dernier transmet ces informations sous une forme spécifique, transparente, intelligible et facilement accessible, dans un langage clair et simple.

2.4.3 Dans son annonce relative au traitement des données, le partenaire doit mettre à disposition de son partenaire un lien hypertexte redirigeant vers la politique de confidentialité actuelle de Jimdo.

Personnel

2.4.4 Chaque partie prend des mesures appropriées afin de garantir la fiabilité de l’ensemble des employés, représentants et mandataires pouvant avoir accès aux données à caractère personnel. Dans chaque situation, il convient de s’assurer que l’accès :

  • est limité aux personnes qui nécessitent un accès aux données personnelles pertinentes et/ou doivent en avoir connaissance, et
  • est impérativement nécessaire afin d’atteindre les objectifs de l’accord principal et d’assurer le respect du droit applicable dans le cadre des obligations de ces personnes.

2.4.5 Chaque partie s’assure que l’ensemble des personnes mentionnées au point 2.4 sont soumises à des obligations de confidentialité, ou à des obligations légales ou professionnelles de respect de la confidentialité.

Sécurité et confidentialité des données

2.4.6 Chaque partie instaure des mesures techniques et organisationnelles, afin de garantir un niveau de protection approprié des données à caractère personnel. Le cas échéant, ce point inclut les mesures énoncées dans l’article 32(1) du RGPD. À cet effet, les parties doivent prendre en compte les points suivants :

  • l’état actuel de la technique, les coûts d’implémentation et le type, l’étendue, les circonstances ainsi que les objectifs d’un tel traitement, et
  • les différentes probabilités d’occurrence et la gravité du risque engagé vis-à-vis des droits et libertés des personnes physiques.

2.4.7 Lors de l’évaluation du niveau de protection approprié à instaurer, les parties prennent notamment en compte les risques liés au traitement. Ces risques incluent toute destruction, perte ou modification (accidentelle ou illicite) ou toute divulgation non autorisée de données personnelles, qui ont été transmises, sauvegardées ou traitées d’une toute autre manière.

Traitement des commandes

2.4.8 Lorsqu’ils prévoient de confier le traitement à un sous-traitant, les parties ont alors les obligations suivantes :

a.) Avant que le sous-traitant puisse traiter les données personnelles pour la première fois, les parties doivent garantir, avec le soin qui s’impose, que le sous-traitant est en capacité de garantir le niveau de protection prescrit par les dispositions régissant la protection des données personnelles.

b.) Les parties doivent garantir que le traitement confié à un tel sous-traitant fait l’objet d’un accord écrit, incluant les conditions énoncées dans l’article 28(3) du RGPD.

c.) Chaque partie doit sélectionner soigneusement le sous-traitant, et avant toute délégation de tâche, vérifier que celui-ci peut respecter les accords conclus entre les parties. Les parties doivent notamment contrôler, avant le traitement puis régulièrement durant celui-ci, que le sous-traitant a pris les mesures techniques et organisationnelles requises conformément à l’art. 32 du RGPD, portant sur la protection des données à caractère personnel. Le résultat de ce contrôle doit être documenté par chaque partie responsable et transmis à l’autre partie sur simple demande.

Droits des personnes concernées

2.4.9 Chaque partie remplit ses obligations de répondre aux personnes concernées, et de satisfaire à l’exercice des droits de ces dernières, conformément aux dispositions régissant la protection des données. Chaque partie coopère de façon appropriée avec l’autre partie, afin d’assurer le respect du présent point.

Violation de la protection des données personnelles

2.4.10 Chaque partie :

a.) doit informer immédiatement l’autre partie sous forme écrite (fax/e-mail), et au plus tard dans un délai de 48 heures, dès qu’elle a connaissance d’une violation de la protection des données personnelles (« violation de la protection des données de réseau »), et

b.) doit mettre à disposition de l’autre partie suffisamment d’informations, afin que celle-ci puisse exercer ses obligations de contact ou de notification de la personne concernée, lui indiquant la violation de la protection des données de réseau, dans le cadre ou en relation avec les dispositions régissant la protection des données, et

c.) doit consulter l’autre partie au sujet de la stratégie externe de communication et RP, dans le contexte d’une violation de la protection des données de réseau, et

d.) sous réserve du respect des lois applicables, ne doit pas informer les autorités chargées de la protection des données de la violation de la protection des données de réseau, sans avoir préalablement recueilli de l’autre partie une autorisation écrite, et

e.) ne doit publier aucun communiqué de presse, ou contacter un journaliste au sujet de la violation de la protection des données de réseau, sans avoir préalablement recueilli l’autorisation écrite de l’autre partie.

f.) informe immédiatement l’autre partie lorsqu’une autorité de surveillance va intervenir auprès d’une partie conformément à l’art. 58 du RGPD, et lorsque cette intervention peut également concerner un contrôle du traitement des données personnelles recueillies et traitées conjointement par les parties dans le cadre du programme d’affiliation de Jimdo.

2.4.11 La notification énoncée au point 2.4.10 (a) doit remplir au moins les conditions suivantes :

a.) dans cette notification doivent être énoncés le type de violation de la protection des données de réseau, (si possible, avec indication des catégories), ainsi que les types et le nombre de bases de données personnelles concernées.

b.) dans cette notification doivent être décrites les conséquences possibles d’une violation de la protection des données de réseau,

c.) dans cette notification doivent être décrites les mesures prises, proposées ou planifiées, devant permettre de traiter la violation de la protection des données de réseau, et le cas échéant, de mettre en place des mesures devant permettre de réduire les éventuelles conséquences négatives.

2.4.12 Le partenaire doit coopérer avec Jimdo, et prendre des mesures appropriées et requises par Jimdo afin de l’accompagner dans l’analyse, la réduction des risques et l’élimination de toute violation de la protection des données de réseau.

Transferts de données

2.4.13 Aucune des parties n’a le droit de transférer des données à caractère personnel dans des pays situés hors de l’UE, sous peine de contrevenir aux dispositions régissant la protection des données.

2.5 Durant le déroulement de l’accord principal, le partenaire garantit et s’engage à veiller à :

  • ce que le traitement effectué par Jimdo, en tant que responsable du traitement, dans le cadre des conditions de participation au programme d’affiliation de Jimdo, incluant le traitement des données à caractère personnel concernant le partenaire et l’ensemble des utilisateurs autorisés, respecte les dispositions régissant la protection des données ;
  • ce qu’il dispose de l’ensemble des droits ou consentements nécessaires au transfert de données à caractère personnel hors de l’UE par Jimdo.

Droits et obligations de contrôle

2.6 Dans la mesure où Jimdo agit en tant que responsable du traitement, et le partenaire en tant que mandataire (ou si applicable, Jimdo en tant que mandataire et le partenaire en tant que sous-traitant), le partenaire :

a.) traite les données à caractère personnel en se référant uniquement à la méthode de de documentation de Jimdo, même dans des cas de suppression ou de restitution de données à caractère personnel.

b.) met à disposition de Jimdo toute information liée aux données à caractère personnel, incluant, dans la mesure où le partenaire a reçu préalablement au moins dans les 30 jours une communication écrite à ce sujet, le fait de donner l’autorisation à Jimdo, ses auditeurs ou conseillers de pénétrer sur le site du partenaire durant les heures de service habituelles, afin d’analyser les systèmes et documents du partenaire, nécessaires (lorsque Jimdo l’atteste) pour apporter la preuve que le partenaire respecte ce point 2. Chaque partie veille à ce que ces contrôles surviennent uniquement dans une absolue nécessité, afin de ne pas perturber excessivement le déroulement des activités de l’autre partie. Le temps investi pour une inspection sur le site de chaque partie respective se limite catégoriquement à un jour par année civile. Chaque partie s’engage à préserver la confidentialité des informations secrètes et internes de l’autre partie dont elle aura eu connaissance lors d’un tel contrôle, et notamment de garder confidentiels les détails relatifs aux mesures techniques et organisationnelles, à ne pas les divulguer ou les rendre accessibles à des tiers, tant qu’une telle divulgation n’est pas nécessaire aux objectifs fixés par la relation contractuelle établie entre les parties.

c.) satisfait aux exigences des points 2.4.4, 2.4.5, 2.4.6, 2.4.7, 2.4.8, 2.4.9, 2.4.10, 2.4.11, 2.4.12, et 2.4.13.

d.) Afin que les parties puissent exercer, le cas échéant, leurs droits et obligations de contrôle avant le début et durant la relation contractuelle établie, une partie peut mettre à disposition de l’autre partie, sur simple demande, un rapport créé par le responsable à la protection des données, portant sur les mesures techniques et organisationnelles prises par la partie concernée, et instaurées également dans les centres de données utilisés par ladite partie. Le rapport est actualisé au plus tard tous les 24 mois.

2.7 Le partenaire n’utilise pas les rapports, générés sur la plateforme d’affiliation externe mise à disposition par Jimdo, afin de créer des profils d’utilisateur.

3. Obligations de confidentialité

3.1 Les deux parties s’engagent à traiter de façon strictement confidentielle et illimitée toutes les informations liées à l’exécution du présent accord, et à les utiliser uniquement afin d’exécuter l’accord.

3.2 L’obligation susmentionnée ne s’applique pas aux informations pour lesquelles une des deux parties peut prouver qu’elles proviennent d’un tiers, qu’elles ne sont soumises à aucune obligation de non-divulgation ou qu’elles relèvent du domaine public.

4. Limitation de responsabilité

4.1 Chaque partie est responsable de toute violation des dispositions régissant la protection des données lorsque l’existence d’une telle violation lui incombe ; dans un tel cas, les parties ne sont donc pas conjointement et solidairement responsables.

4.2 Les parties s’informent immédiatement lorsqu’une partie constate une erreur ou des anomalies liées au traitement des données à caractère personnel effectué par l’autre partie.

5. Droit applicable et lieu de compétence

5.1 Le droit applicable et le lieu de compétence régissant la validité du présent ATD correspondent à ceux mentionnés dans les conditions de participation au programme d’affiliation de Jimdo.

6. Durée de la commande

6.1 Le présent accord entre en vigueur avec l’acceptation de la confirmation de commande par Jimdo (point 2.3 des conditions de participation au programme d’affiliation de Jimdo), et reste valide pour la durée du contrat principal conclu entre les parties, ou pour la durée de participation au programme d’affiliation de Jimdo. Le présent accord est résiliable sous observation d’un délai de 5 jours avant la fin de la période contractuelle restante. Lorsque la participation au programme d’affiliation de Jimdo prend fin, le présent accord de traitement des données est résilié de façon automatique et simultanée.

7. Dispositions finales

7.1 Tout accord annexe requiert la forme écrite.

7.2 Si certaines des dispositions du présent ATD deviennent invalides, la validité des autres dispositions de l’accord n’en est pas affectée.

7.3 En cas de divergence entre la version allemande et sa traduction, la version allemande prévaut.

Version :

16.01.2019