Addendum de traitement des données
Cet Addendum de Traitement de Données Shoprocket ("Addendum") modifie les Conditions Générales de Shoprocket ("Accord") entre vous ("Vous") et Shoprocket LTD (numéro de société 12656598, enregistré en Angleterre & Pays de Galles à 20-22 Wenlock Road, Londres, NG 17U). Si vous avez un SLA séparé avec Shoprocket, les références à l'Accord signifient ce SLA. Cet Addendum est soumis et incorporé dans l'Accord. Tout terme en majuscule non défini ici a la signification donnée dans l'Accord.
Définitions
Paramètres du Compte : Configurations pour votre Compte Shoprocket (y compris la sécurité) qui vous permettent de gérer comment Shoprocket traite les Données Personnelles.
Objectifs Commerciaux : Les Services définis dans l'Accord.
Données du Compte Client : Données Personnelles concernant votre relation avec Shoprocket (par exemple, contacts autorisés, détails de facturation), plus les informations que Shoprocket collecte pour la gestion des comptes, les vérifications d'identité ou les exigences légales.
Données d'Utilisation du Client : Données d'utilisation traitées par Shoprocket en lien avec votre utilisation des Services (par exemple, journaux, métriques de performance, données de prévention des abus).
Législation sur la Protection des Données : Comprend le CCPA, le RGPD de l'UE, la Loi Fédérale Suisse sur la Protection des Données, le RGPD du Royaume-Uni, la DPA 2018, et la PECR 2003, chacune telle que mise à jour. Les termes (par exemple, "Responsable du Traitement," "Sous-traitant") suivent le RGPD de l'UE.
EEE : Espace Économique Européen.
CSS de l'UE : Les Clauses Contractuelles Standards selon la Décision de la Commission 2021/914.
Transfert Ex-EEE : Un transfert de Données Personnelles (selon le RGPD de l'UE) en dehors de l'EEE sans décision d'adéquation en vertu de l'Article 45 du RGPD de l'UE.
Transfert Ex-RU : Un transfert de Données Personnelles (selon le RGPD du Royaume-Uni) en dehors du Royaume-Uni sans décision d'adéquation par le Secrétaire d'État britannique.
Fournisseur de Services : Comme défini dans le CCPA.
Services : Les outils de Shoprocket pour créer/gerer des boutiques en ligne ("Boutique Shoprocket"), gérer des produits, des paiements, des expéditions, du marketing, et tout outil ou service que Shoprocket pourrait offrir.
Compte Shoprocket : Votre compte donnant accès aux Services, y compris les Paramètres du Compte, à https://www.shoprocket.io.
Politique de Confidentialité de Shoprocket : L'avis sur https://shoprocket.io/privacy, tel que mis à jour.
Boutique Shoprocket : Votre site de commerce électronique hébergé ou facilité par Shoprocket.
Données de Catégorie Spéciale : Comme défini dans les Articles 4(13), 4(14), 4(15) et 9 du RGPD de l'UE/Royaume-Uni (le cas échéant).
Clauses Contractuelles Standards (CSS) : Les CSS de l'UE et CSS du Royaume-Uni, selon ce qui est pertinent.
CSS du Royaume-Uni : Les CSS de l'UE telles que modifiées par l'Addendum IDTA du Bureau du Commissaire à l'Information du Royaume-Uni.
Nous/Nous/Notre : Shoprocket LTD (y compris "Shoprocket" et "Shoprocket.io").
Vous/Votre : La partie contractante nommée dans l'Accord.
Instructions aux Clients
Ce Addendum et l'Accord (y compris les instructions dans vos Paramètres de Compte) constituent les Instructions Documentées pour la manière dont Shoprocket traite les Données Personnelles. Shoprocket ne traitera les Données Personnelles que selon les instructions données. Des instructions supplémentaires en dehors de ces termes nécessitent un accord écrit préalable (et peuvent entraîner des frais supplémentaires).
Shoprocket peut mettre fin à cet Addendum et à l'Accord si vos instructions contreviennent à la Législation sur la Protection des Données ou s'écartent des instructions convenues. Étant donné la nature du traitement, Shoprocket ne peut généralement pas juger si vos instructions enfreignent la loi ; si cela devait être son avis, il vous en informera, et vous pourrez modifier ou retirer les instructions.
Traitement des Données
Traitement de Shoprocket
Sous-traitant/Fournisseur de Services : Sauf pour les Données du Compte Client et les Données d'Utilisation du Client, Shoprocket traite les Données Personnelles (selon le RGPD de l'UE/Royaume-Uni) ou des informations personnelles (selon le CCPA) pour votre compte.
Responsable de Données Indépendant : Shoprocket est un Responsable de Données pour les Données Personnelles collectées directement auprès des clients de la Boutique et pour les Données du Compte Client ou les Données d'Utilisation du Client.
Stockage
Les Données Personnelles sont stockées sur :
Serveurs AWS en Irlande (ou dans d'autres régions de l'EEE),
Serveurs Hetzner à Nuremberg/Falkenstein (Allemagne).
Portée et Objectif
Shoprocket ne traite les Données Personnelles que si nécessaire pour les Objectifs Commerciaux que vous spécifiez (en conformité avec les Services achetés) et conformément à la Législation sur la Protection des Données.
Si la loi exige un traitement différent, Shoprocket vous en informera sauf si la loi l'interdit.
Shoprocket suit rapidement vos instructions écrites pour modifier, transférer ou supprimer des Données Personnelles ou pour cesser tout traitement non autorisé.
Shoprocket garde les Données Personnelles confidentielles sauf si une divulgation est autorisée ou légalement requise.
Shoprocket vous assiste avec vos obligations de conformité (par exemple, demandes des personnes concernées, DPIA) sans frais supplémentaires.
Shoprocket vous informe de tout changement légal qui pourrait affecter l'Accord ou cet Addendum.
Shoprocket en tant que Responsable de Données Indépendant
Pour les Données du Compte Client et les Données d'Utilisation du Client, Shoprocket n'est pas un co-responsable, mais traite ces données pour gérer sa relation avec vous, prévenir la fraude/incidents de sécurité, répondre aux obligations légales, etc., conformément à la Politique de Confidentialité de Shoprocket.
CCPA
Sauf pour les Données du Compte Client et les Données d'Utilisation du Client, Shoprocket est votre Fournisseur de Services selon le CCPA ; il ne "vendra" pas ces informations personnelles et ne les utilisera que pour exécuter les Services ou comme autrement permis par la loi.
Add-ons
Vous pouvez intégrer des add-ons de tiers ("Add-Ons") sous des EULAs séparées avec chaque éditeur. Shoprocket transfère les Données Personnelles nécessaires à l'Éditeur de l'Add-On, mais n'est pas responsable de leur traitement. Les Add-Ons actuels commercialisés par Shoprocket incluent :
Amazon, eBay, Facebook Marketplace, Google Shopping, Instagram Shopping : Remplissage multi-canal et synchronisation.
Affirm, Afterpay, Alipay, Apple Pay, Click to Pay, GrabPay, GooglePay, iDEAL, Klarna, Microsoft Pay, PayPal, P24, Sofort, Stripe, WeChat Pay : Intégrations de paiement prenant en charge divers modes/devises.
Zapier : Automatise les transferts de données / flux de travail entre Shoprocket et d'autres applications.
Si Shoprocket et vous avez des CSS, votre instruction d'intégrer des Add-Ons est un consentement pour transférer des Données Personnelles à ces Éditeurs d'Add-Ons si cela est requis par les CSS.
Vos Responsabilités
Vous êtes le Responsable de Données pour toute Donnée Personnelle collectée ou traitée par Shoprocket en votre nom.
Vous êtes responsable de respecter les exigences de notification/consentement et de garantir la conformité avec la Législation sur la Protection des Données.
Types de Données Personnelles et Objectifs de Traitement
Sujet : Données Personnelles que vous téléversez sur les Services, y compris votre Compte Shoprocket ou Boutique.
Durée : Déterminée par vous (jusqu'à ce que vous suspendiez/mettez fin à votre abonnement Shoprocket ou à des intégrations pertinentes).
Objectif : Fournir les Services selon votre instruction (par exemple, gérer votre Boutique/Compte Shoprocket).
Nature du Traitement : La plateforme de commerce électronique de Shoprocket (et tout sous-traitant/éditeur d'Add-On) peut stocker ou traiter des Données Personnelles.
Types de Données Personnelles : Données que vous téléversez (par exemple, informations de contact, détails clients, enregistrements de transactions).
Sujets de Données : Vous, vos clients, employés, contractants, agents, fournisseurs ou vendeurs.
Sécurité du Traitement des Données
Shoprocket maintiendra des mesures techniques et organisationnelles appropriées pour protéger les Données Personnelles contre le traitement non autorisé ou illégal, la perte accidentelle ou la destruction, conformément à l'Article 32 du RGPD de l'UE/Royaume-Uni. Les mesures incluent (le cas échéant) :
Pseudonymisation/chiffrement des données;
Assurer la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes;
Restaurer la disponibilité des données en temps utile après des incidents;
Tester, évaluer et revoir régulièrement ces mesures.
Employés de Shoprocket
Shoprocket veille à ce que les employés, contractants et agents manipulant des Données Personnelles soient formés, tenus à la confidentialité et pleinement conscients de leurs obligations en matière de protection des données.
Sécurité (Rappel)
Shoprocket met continuellement à jour les mesures de sécurité techniques/organisationnelles pour empêcher le traitement non autorisé, y compris le chiffrement, la résilience des systèmes, la récupérabilité, et des tests d'efficacité.
Violation de Données Personnelles
Notification
Shoprocket vous avertit dans un délai de 72 heures (et sans retard injustifié) s'il prend connaissance de :
Perte/dommages de Données Personnelles;
Tout traitement accidentel, non autorisé ou illégal;
Une violation de Données Personnelles.
Information
Shoprocket fournit une description de l'incident, des catégories/nombres de données affectées, et des mesures prises ou proposées pour atténuer l'impact.
Coopération
Shoprocket coopère avec vous pour l'enquête et n'informera pas des tiers sans votre consentement écrit sauf si cela est légalement requis.
Frais
Shoprocket couvre des frais raisonnables pour ces obligations sauf si l'incident provient de vos instructions, négligence ou violation, auquel cas vous couvrez les frais raisonnables de Shoprocket (y compris ceux des conseillers professionnels).
Sous-traitants
Shoprocket utilise actuellement ces Sous-traitants pour l'hébergement/le traitement des données, des services d'infrastructure/réseau, ou d'autres fonctions de service :
| Nom | Description | Emplacement |
|---|---|---|
| 200OK LLC (Profitwell) | Rapports/analyse des abonnements. | MA, USA |
| Amazon Web Services EMEA SARL | Hébergement cloud, calcul, stockage. | Luxembourg, UE |
| Automattic, Inc. (Gravatar) | Permet aux utilisateurs de télécharger des images de profil sur des comptes Shoprocket. | CA, USA |
| Cloudflare, Inc. | Sécurité et connectivité réseau. | CA, USA |
| Crisp IM SAS | Application de chat en direct et de messagerie client pour le support utilisateur. | France, UE |
| Facebook Technologies Ireland | Pixels Facebook pour les conversions, optimisation des publicités, construction d'audiences. | Irlande, UE |
| Google Ireland Limited | Google Analytics (analyse comportementale), Adwords (placement monétisation des annonces). | Irlande, UE |
| GmbH | Hébergement cloud, calcul et stockage. | Allemagne, UE |
| TPS Unlimited, Inc. (Taxjar) | Automatisation fiscale pour la TVA de l'UE et la taxe sur les ventes américaines sur les Boutiques Shoprocket. | CA, USA |
| Twilio, Inc. (Sendgrid) | Messagerie multi-canaux (email, SMS, WhatsApp). | Irlande, UE |
| Twitter, Inc. | Pixel Twitter pour le suivi des conversions et les métriques de performance des annonces. | CA, USA |
Vous autorisez Shoprocket à utiliser les sous-traitants ci-dessus et donnez une autorisation générale à Shoprocket pour en ajouter d'autres ("Sous-traitants Autorisés"). Shoprocket vous fournira un préavis d'au moins 30 jours (par le biais du site web, de l'email ou de la notification de Compte) avant d'utiliser un nouveau Sous-traitant. Vous pouvez vous opposer dans les 10 jours suivant le préavis, par écrit, pour des raisons de protection des données raisonnables. Si un Sous-traitant essentiel est impliqué et qu'aucune alternative n'est trouvée dans un délai de 90 jours, vous pouvez interrompre ou mettre fin aux Services concernés (sans oublier de payer les frais dus).
Si vous ne vous opposez pas dans les 10 jours, le nouveau Sous-traitant est réputé approuvé. Lorsqu'un Sous-traitant est engagé, Shoprocket :
Restreint l'accès uniquement à ce qui est nécessaire pour fournir ou améliorer les Services;
Impose les mêmes obligations en matière de protection des données;
Reste responsable de leur conformité.
Si des CSS s'appliquent, votre autorisation compte comme consentement écrit préalable en vertu de la Clause 9(c) ou des clauses pertinentes des CSS du Royaume-Uni. Shoprocket peut rayer les détails commerciaux non essentiels avant de partager les contrats de sous-traitance avec vous.
Transferts de Données Personnelles
Shoprocket peut transférer des Données Personnelles en dehors de l'EEE, du Royaume-Uni ou de la Suisse pour fournir les Services (par exemple, certains Éditeurs/Sous-traitants d'Add-On aux États-Unis). Lorsqu'aucune décision d'adéquation ne s'applique, Shoprocket veillera à garantir des protections appropriées conformément à la Législation sur la Protection des Données.
Transferts Ex-EEE : Couvert par les CSS de l'UE (Module Un pour Shoprocket en tant que Responsable, Module Deux pour Shoprocket en tant que Sous-traitant). Certaines clauses (par exemple, le docking de la clause 7) ne s'appliquent pas ; les litiges sont régis par la loi/tribunaux irlandais.
Transferts Ex-RU : Couvert par l'Addendum IDTA.
Transferts depuis la Suisse : Semblable aux CSS de l'UE, avec des modifications pour la LPD suisse.
Mesures Complémentaires :
Aucune demande formelle d'accès aux données gouvernementales n'existe à ce jour.
Si l'on vous oblige à divulguer vos données, Shoprocket vous informera (sauf interdiction) et vous aidera à chercher des mesures de protection.
- Shoprocket et vous discuterez régulièrement si les lois du pays d'importation offrent une protection équivalente ou nécessitent des mesures supplémentaires.
Si un mécanisme de transfert cesse d'être valide ou qu'une Autorité de Contrôle le suspend, Shoprocket pourra mettre en œuvre des arrangements alternatifs ou suspendre les transferts.
Lorsque vous approuvez un Sous-traitant/Addon en dehors de l'EEE, vous autorisez également Shoprocket à signer des CSS en votre nom.
Plainte, Demandes de Personnes Concernées et Droits de Tiers
Shoprocket vous fournira rapidement toute information ou assistance dont vous avez besoin pour :
Respecter les droits des personnes concernées (accès, rectification, effacement, portabilité, objections, etc.).
Répondre ou se conforme aux notifications d'information/évaluation des régulateurs.
Shoprocket vous notifiera immédiatement s'il reçoit des plaintes ou des communications concernant le traitement, et dans un délai de 14 jours s'il reçoit une demande d'une personne concernée. Shoprocket aide à la réponse et ne divulguera pas de Données Personnelles à des tiers sauf si la loi le requiert ou selon vos instructions.
Durée et Résiliation
Ce Addendum reste en vigueur tant que l'Accord le fait, ou que Shoprocket conserve des Données Personnelles associées. Les dispositions qui doivent survivre pour la protection des données demeurent en vigueur. Toute violation substantielle du présent DPA est une violation substantielle de l'Accord, vous donnant le droit de mettre fin immédiatement sans autre responsabilité.
Si des changements dans la Législation sur la Protection des Données empêchent une partie de remplir ses obligations, les parties peuvent suspendre le traitement jusqu'à ce que la conformité soit atteinte. Si ce n'est pas résolu dans un délai de 90 jours, l'une ou l'autre des parties peut résilier avec effet immédiat sur préavis.
Retour et Destruction des Données
Sur demande, Shoprocket vous fournit (ou à un tiers que vous désignez par écrit) des copies ou l'accès aux Données Personnelles dans un format que vous spécifiez (si cela est raisonnable).
À la résiliation, Shoprocket retourne ou supprime les Données Personnelles sauf si le stockage continu est légalement requis. Si la suppression est impraticable ou illégale, Shoprocket bloque tout traitement supplémentaire et continue à protéger les données.
Certifications CSS : Si les CSS s'appliquent, Shoprocket certifiera la suppression en vertu de la Clause 8.1(d) des CSS de l'UE (ou CSS du Royaume-Uni) sur demande écrite de votre part.
Si une loi/réglementation exige que Shoprocket conserve certaines données, il vous notifiera la base, le calendrier et les supprimera lorsque cela ne sera plus nécessaire.
Shoprocket certifie la suppression dans un délai de 30 jours après l'avoir effectuée.
Registres
Shoprocket conserve des registres détaillés, précis et à jour de tout traitement de Données Personnelles (par exemple, mesures de sécurité, sous-traitants, objectifs de traitement, tout transfert international). Ces registres doivent vous permettre de vérifier la conformité de Shoprocket. Des copies sont fournies sur demande.
Garanties
Shoprocket garantit que :
Ses employés, sous-traitants ou agents ayant accès aux Données Personnelles sont fiables, dignes de confiance et adéquatement formés.
Il traitera les Données Personnelles en pleine conformité avec la Législation sur la Protection des Données et les lois liées.
Il n'a aucune raison de croire que la loi empêche la fourniture des Services convenus.
Compte tenu de la technologie et des coûts, il prendra des mesures appropriées pour empêcher tout traitement non autorisé ou dommage/perte accidentels, assurant une sécurité proportionnée au risque et à la sensibilité des données.
Exécution et Modifications
En signant l'Accord, vous acceptez et êtes lié par cet Addendum. Shoprocket peut mettre à jour cet Addendum avec un préavis écrit de 30 jours si nécessaire pour des raisons légales ou réglementaires. Si vous vous opposez et qu'aucune solution mutuelle n'est trouvée, vous pouvez résilier les Services concernés par un préavis écrit dans ce délai (devant payer tous les frais engagés). Aucune autre réclamation ne découle d'une telle résiliation.
Annexe A
Normes de Sécurité de Shoprocket
(Les termes en majuscule non définis ici ont les significations attribuées dans l'Addendum.)
Cette Annexe décrit les mesures techniques et organisationnelles de Shoprocket pour :
Sécuriser les Données Personnelles contre la perte, l'accès ou la divulgation accidentels ou illégaux;
Identifier les risques prévisibles en matière de sécurité et prévenir l'accès non autorisé aux Services (y compris votre compte Shoprocket);
Minimiser les risques de sécurité grâce à des évaluations des risques et des tests.
Shoprocket désigne un ou plusieurs employés pour superviser ces pratiques de sécurité de l'information et répondre aux inquiries connexes.
1. Modèle de Responsabilité Partagée
Shoprocket est une application cloud basée, SaaS hébergée par :
Amazon Web Services (AWS) dans la région eu-west-1 (Irlande)
Hetzner Online à Falkenstein, Allemagne
AWS gère la principale plateforme Shoprocket, l'infrastructure et l'hébergement des données. Hetzner Online fournit un espace serveur dédié supplémentaire pour les images, téléchargements numériques, journaux et factures. Dans ce modèle :
Shoprocket gère la sécurité au niveau de l'application (par exemple, accès utilisateur, correctifs d'application).
AWS / Hetzner gèrent la sécurité physique et l'environnement cloud sous-jacent.
Pour plus de détails sur la sécurité d'AWS et de Hetzner, veuillez consulter leur documentation respective.
2. Serveurs AWS et Hetzner Online
AWS
Shoprocket a choisi AWS après un examen attentif en vertu des Articles 28(3)(c) et 32 du RGPD du Royaume-Uni. AWS est certifié sous plusieurs normes (par exemple, SOC 1/2/3, ISO 27001/27017/27018, PCI DSS, FedRAMP, HITRUST) et fournit une documentation de conformité exhaustive. Shoprocket configure AWS pour stocker les Données Personnelles uniquement dans l'UE/EEE.
Hetzner Online
Hetzner Online, certifié selon DIN ISO/IEC 27001, fournit un espace serveur dédié pour certaines sauvegardes de données et journaux. Les centres de données de Hetzner Online à Nuremberg et Falkenstein sont audités et certifiés par des tiers, implémentant un Système de Gestion de la Sécurité de l'Information (SGSI).
3. Conception, Intégrité et Disponibilité de l'Application Shoprocket
Architecture : Construite avec un framework JavaScript, l'application Shoprocket repose sur le Service de Base de Données Relationnelles d'Amazon (Amazon RDS) pour MySQL.
Haute Performance et Redondance : AWS gère automatiquement l'équilibrage de charge, et Shoprocket maintient des sauvegardes quotidiennes sur Amazon S3. Les sauvegardes sont stockées dans différentes régions AWS pour la résilience. De plus, les sauvegardes sont stockées sur les serveurs dédiés de Hetzner Online (avec des systèmes de disque RAID-1).
Sécurité par Conception : Shoprocket vérifie régulièrement les vulnérabilités web connues (par exemple, OWASP Top Ten) et met en œuvre la protection XSS et la désinfection. Un spécialiste tiers teste chaque année le code et l'infrastructure pour des vulnérabilités, complété par un service de scan de vulnérabilités tiers.
4. Chiffrement
Au Repos : Les Données Personnelles sur AWS/Hetzner sont chiffrées en utilisant AES-256 ou supérieur.
Gestion des Clés : Le Service de Gestion des Clés AWS (KMS) veille à ce que personne (y compris le personnel d'AWS) ne puisse accéder aux clés en clair ; les clés tournent chaque année. Hetzner implémente un chiffrement de disque complet AES-256 plus une authentification obligatoire.
En Transit : Tous les transferts de données externes utilisent TLS 1.2+. Les API et interfaces web nécessitent HTTPS (pas de connexions non chiffrées).
5. Restriction des Emplacements des Serveurs à l'EEE/UE
Shoprocket stocke des données exclusivement dans l'EEE (AWS en Irlande, Hetzner en Allemagne), minimisant les risques liés aux transferts de données hors de l'EEE (par exemple, conformité avec la décision Schrems II).
6. Zones de Disponibilité
Les systèmes front-end/back-end de Shoprocket sont redondants et répartis sur plusieurs zones de disponibilité (à la fois AWS et Hetzner). Chaque zone a plusieurs FAI, sources d'énergie et liaisons à haute vitesse, garantissant une haute disponibilité et une performance optimale.
7. Détection d'Intrusion
Shoprocket utilise un Système de Détection d'Intrusion (IDS) pour surveiller :
Les fichiers journaux pour des entrées inhabituelles,
Les changements d'intégrité des fichiers,
Le trafic réseau (usurpation, exploits connus, rootkits),
Les changements de ports, et
Les événements du compte AWS (par exemple, changements de configuration).
Les anomalies critiques déclenchent des mesures préventives automatiques. L'IDS aide également à satisfaire les exigences PCI DSS 3.0.
8. Journalisation / Traçabilité
Shoprocket enregistre :
Les événements système,
Les erreurs,
L'activité utilisateur,
Les connexions/demandes de base de données,
D'autres événements liés à la sécurité.
En utilisant AWS CloudTrail, Shoprocket enregistre tous les événements dans ses environnements cloud pour la transparence et l'analyse.
9. Surveillance
Shoprocket utilise plusieurs outils de surveillance pour assurer la disponibilité et la performance, suivant :
Disponibilité : Accessibilité de l'application, état de santé backend/système;
Ressources : CPU, interfaces réseau, utilisation du stockage;
Performance : Temps de réponse de l'application/base de données;
Sécurité : État de l'IDS, mises à jour système, journaux d'erreurs/d'accès.
Le personnel de Shoprocket surveille également les mises à jour de sécurité, les rapports de vulnérabilités et les blogs de sécurité pertinents (comme OWASP).
10. Audits de Sécurité et Tests d'Intrusion
Shoprocket effectue des tests de sécurité internes et externes périodiquement. Les fournisseurs externes vérifient les vulnérabilités, tandis que les audits internes évaluent l'efficacité des mesures techniques et organisationnelles.
11. Gestion des Changements
Shoprocket maintient des dépôts de changement de code sous version contrôlée, avec un environnement de staging qui reflète la production. Les modifications sont testées avant le déploiement, assurant la traçabilité du temps/contenu.
12. Contrôle d'Accès
Principe du Besoin de Savoir : Seuls les employés dont les rôles nécessitent un accès au système y ont accès.
Systèmes IAM : Le contrôle d'accès utilise la gestion des identités AWS/Hetzner.
Sécurité : Les systèmes backend ne sont accessibles que via des connexions sécurisées et authentifiées. Un nombre très limité de personnes a un accès direct aux données à des fins de diagnostic ; cet accès est enregistré et surveillé.
Annexe B
Transferts Transfrontaliers
PARTIE 1 - Transferts Ex-EEE
Annexe I.A des Clauses Contractuelles Standards (CSS)
Exportateur de Données : Vous (selon l'Accord).
Détails de contact : Comme dans l'Accord.
Rôle : Responsable de Données.
Module Un : L'importateur de données est un Responsable de Données (pour les Données de Compte Client et les Données d'Utilisation du Client).
Module Deux : L'importateur de données est un Sous-traitant (pour toutes les autres Données Personnelles).
Signature/Date : En entrant dans l'Accord & DPA, l'Exportateur de Données est réputé avoir signé les CSS à compter de la Date d'Effet.
Importateur de Données : Shoprocket.
Détails de contact : Comme dans l'Accord.
Signature/Date : En entrant dans l'Accord & DPA, l'Importateur de Données est réputé avoir signé les CSS à compter de la Date d'Effet.
Annexe I.B des CSS
Sujets de Données : Décrits dans la clause 4.6 de l'Addendum.
Catégories de Données Personnelles : Décrites dans la clause 4.5 de l'Addendum.
Aucune Donnée de Catégorie Spéciale prévue pour le transfert.
Fréquence : Base continue pendant la durée de l'Accord.
Nature : Voir la clause 4.4 de l'Addendum.
Objet : Voir la clause 4.3 de l'Addendum.
Conservation : Durée de l'Accord sauf indication contraire.
Transferts de Sous-traitants : Sujet, nature et durée selon la clause 9 de l'Addendum.
Annexe I.C des CSS
Autorité de Contrôle Compétente : Comme dans la clause 10(e) de l'Addendum.
Normes de Sécurité de Shoprocket (Annexe A) remplissent les exigences de l'Annexe II des CSS.
Conflit
En cas de conflit entre les CSS et le DPA ou l'Accord, les CSS prévalent.
PARTIE 2 - Transferts Ex-RU
L'Addendum IDTA s'applique aux Transferts Ex-RU, en vigueur depuis le 21 mars 2022.
Les termes non définis dans l'Accord ou le DPA suivent la signification de Partie 2 de l'Annexe 2 (Clauses Obligatoires).
Partie 1 : Tableaux
Tableau 1 de l'Addendum IDTA
Tableau 1
Exportateur de Données : Vous (selon l'Accord).
Détails de contact : Comme dans l'Accord.
Signature/Date : En entrant dans l'Accord & Addendum, l'Exportateur est réputé avoir signé l'Addendum IDTA à compter de la Date d'Effet.
Importateur de Données : Shoprocket.
Détails de contact : Comme dans l'Accord.
Signature/Date : En entrant dans l'Accord & DPA, l'Importateur est réputé avoir signé l'Addendum IDTA à compter de la Date d'Effet.
Tableau 2 de l'Addendum IDTA
Tableau 2
CSS de l'UE Approuvées : Les clauses/modules des CSS de l'UE Approuvées en vigueur pour cet Addendum.
Modules/clauses utilisés :
Le Module 1 et le Module 2, la Clause 7 et la Clause 11 (option) ne s'appliquent pas, la Clause 9a est une Autorisation Générale avec un préavis de 30 jours (clause 9.2 de l'Addendum).
Aucune combinaison de Données Personnelles de l'Importateur avec des données de l'Exportateur.
Tableau 3 de l'Addendum IDTA
Annexe I.A
Exportateur de Données : Vous (responsable).
Importateur de Données : Shoprocket (responsable pour les Données de Compte/Utilisation Client ; sous-traitant pour d'autres Données Personnelles).
Signature/Date : Réputé signé lors de l'entrée dans l'Accord & DPA.
Annexe I.B
Sujets de données, catégories de données, absence de Données de Catégorie Spéciale, transferts continus, nature/objectif du traitement et conservation correspondent aux clauses 4.4, 4.3, 4.5, 4.6 de l'Addendum.
Informations sur les Sous-traitants selon la clause 9 de l'Addendum.
L'Annexe III (liste des Sous-traitants) ne s'applique pas, car Shoprocket utilise une autorisation générale.
Tableau 4 de l'Addendum IDTA
L'Importateur peut mettre fin à cet Addendum IDTA selon la clause 26 de cet Addendum IDTA.
Partie 2 : Clauses Obligatoires
Chaque Partie est liée par ces termes de l'Addendum IDTA en échange de l'accord de l'autre Partie, permettant aux personnes concernées d'appliquer des droits comme indiqué.
Entrer dans cet Addendum IDTA équivaut à signer les CSS approuvées de l'UE (y compris toute signature requise selon l'Annexe 1A/Clause 7).
Interprétation
Les termes des CSS approuvées portent la même signification ici ; d'autres termes pertinents (par exemple, "CSS de l'Addendum de l'UE," "Addendum Approuvé," "Lois de Protection des Données du Royaume-Uni") sont définis dans cet Addendum IDTA.
Ce Addendum IDTA doit être interprété de manière cohérente avec les Lois de Protection des Données du Royaume-Uni et doit répondre aux "Garanties Appropriées".
Tout amendement aux CSS approuvées non permis en raison d'eux ou de l'Addendum approuvé est nul. Les dispositions contradictoires reviennent aux termes non modifiés des CSS.
En cas de conflit avec les Lois de Protection des Données du Royaume-Uni, celles-ci s'appliquent.
Toute ambiguïté est résolue pour s'aligner au mieux sur les Lois de Protection des Données du Royaume-Uni.
Les références à la législation incluent toute version révisée ou consolidée.
Hiérarchie
La Clause 5 des CSS approuvées stipule qu'elles prévalent sur d'autres accords, mais pour les Transferts Restrictifs, la hiérarchie mentionnée dans la Section 17 ci-dessous s'applique.
En cas d'incohérence ou de conflit avec les CSS approuvées, l'Addendum approuvé l'emporte sauf si les CSS offrent une protection accrue aux personnes concernées, auquel cas les clauses CSS prévalent.
Rien ici n'affecte les CSS que les parties utilisent pour la conformité au RGPD de l'UE.
Incorporation et Changements aux CSS de l'UE
L'Addendum IDTA incorpore les CSS approuvées de l'UE avec les modifications nécessaires pour qu'elles fonctionnent pour les transferts concernés au Royaume-Uni, renversent la hiérarchie de la Clause 5 et assurent qu'elles sont régies par le droit/tribunaux anglais (sauf autre choix pour l'Écosse ou l'Irlande du Nord).
Si aucune alternative spécifique n'est convenue, la Section 22 s'applique.
Aucun autre amendement aux CSS approuvées n'est permis en dehors de ce qui est nécessaire dans la Section 19.
Modifications aux CSS de l'Addendum de l'UE incluent des clarifications concernant les références aux Lois de Protection des Données du Royaume-Uni, remplaçant les références au Règlement (UE) 2016/679 par "Lois de Protection des Données du Royaume-Uni," en supprimant les références au Règlement (UE) 2018/1725, ajustant les Clauses 17/18 au droit/tribunaux anglais, etc. Les notes de bas de page ne font pas partie de l'IDTA sauf les notes de bas de page 8, 9, 10, 11.
Amendements à cet IDTA
Les Parties peuvent modifier les Clauses 17 ou 18 pour faire référence à des tribunaux écossais ou nord-irlandais.
Les Parties peuvent également ajuster le format des tableaux avec accord écrit mutuel, veillant à ce que le même niveau de protection reste.
Le ICO peut émettre un Addendum approuvé révisé de temps en temps, qui modifie automatiquement cet Addendum IDTA à partir de sa date d'effet, nécessitant éventuellement une révision par les parties.
Si les changements du ICO augmentent considérablement et de manière disproportionnée les coûts ou risques d'une partie, et qu'aucune réduction des coûts/risques n'est jugée faisable, cette partie peut mettre fin à cet IDTA avec un préavis raisonnable à l'autre avant que le nouvel Addendum modifié prenne effet.
Aucun consentement d'un tiers n'est requis pour les changements, mais les modifications doivent respecter les termes de cet Addendum IDTA.
Prêt à commencer à vendre ?
Tous les outils nécessaires pour vendre depuis votre site, réseaux sociaux et plus.
Aucune compétence technique requise.
34,384 les vendeurs ont traité plus de 3 090 935,20 $US
tel que présenté dans
