# Modèle d’accord de traitement des données

{% hint style="info" %}
Ce document est un **modèle/gabarit** Contrat de traitement des données (DPA). Veuillez le lire et l’adapter à votre contexte spécifique avant utilisation.
{% endhint %}

## ENTRE

Neostore, société par actions simplifiée française (Société par Actions Simplifiée), ayant son siège social et son principal établissement situés au 465 Avenue Chemin des sables 01600 Reyrieux (France), immatriculée au Registre du Commerce et des Sociétés de Bourg-en-Bresse sous le n° 892 973 348, dûment représentée par Davy DAUVERGNE agissant en qualité de Directeur Général,

Ci-après dénommée « Neostore » ;

ET

\_\_\_\_\_\_\_\_\_, société \[...] au capital social de \[...] euros, ayant son siège social et son principal établissement situés à \[...], immatriculée à \[...] sous le n° \[...], dûment représentée par \[...] agissant en qualité de \[...],

Ci-après dénommée le « Client » ;

Le Client et Neostore sont ci-après désignés individuellement comme une « Partie » et collectivement comme les « Parties ».

## PRÉAMBULE

Conformément au Règlement général sur la protection des données UE 2016/679 (le « RGPD »), les Parties cherchent à délimiter leurs obligations concernant le traitement des données personnelles du Client effectué dans le cadre du contrat signé et en vigueur entre Neostore et le Client relatif aux services fournis par Neostore (ci-après désigné le « Contrat »). À ce titre, les Parties ont décidé de conclure le présent accord conformément aux obligations de l’article 28 du RGPD (ci-après désigné l’« Accord »).

**IL A ÉTÉ CONVENU CE QUI SUIT :**

## ARTICLE 1 – OBJET DE L’ACCORD

Le présent Accord vise à compléter le Contrat et à définir des dispositions contractuelles relatives à la protection des Données Personnelles conformément aux Règles Applicables.

## ARTICLE 2 – OBLIGATIONS DES PARTIES RELATIVES À LA PROTECTION DES DONNÉES PERSONNELLES

1. **Définitions**: Les Parties attribuent aux termes utilisés dans l’Accord les définitions visées par les Règles Applicables, telles que notamment mais pas exclusivement « Données Personnelles », « Traitement », « Responsable du traitement », « Sous-traitant », « Destinataire », « Autorité de contrôle », « Personne concernée », etc.
2. **Conformité**: Chaque Partie s’engage à respecter les règles applicables et en particulier les dispositions et règlements européens relatifs à la protection des données personnelles dont elle est responsable, en particulier le règlement européen n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après le « RGPD »), ainsi que toute réglementation nationale ou européenne applicable et toutes recommandations, délibérations et autres normes émises par l’Autorité de contrôle compétente (ci-après, collectivement, les « Règles Applicables »).
3. **Obligations de Neostore**: Dans le cadre des services tels que définis dans le Contrat (ci-après les « Services »), Neostore agit en tant que Sous-traitant, et le Client en tant que Responsable du traitement. Ainsi, les Parties conviennent que Neostore doit traiter les Données Personnelles pour le compte du Client et conformément aux instructions de ce dernier, conformément à la description du Traitement ci-après.

   À ce titre, Neostore s’engage à :

   * Traiter les Données Personnelles uniquement pour la/les finalité(s) seule(s) visée(s) par le Contrat ;
   * Traiter les Données Personnelles conformément aux instructions documentées du Client. Si Neostore estime qu’une instruction constitue une violation des Règles Applicables ou de toute autre disposition du droit de l’Union européenne ou du droit des États membres relatif à la protection des données personnelles, il en informera immédiatement le Client ;
   * Garantir la confidentialité des Données Personnelles traitées dans le cadre des Services ;
   * Supprimer les Données Personnelles à la fin du Contrat, sauf si le droit de l’Union ou le droit d’un État membre impose la conservation des Données Personnelles ;
   * Tenir un registre des activités de traitement dans les conditions de l’article 30 du RGPD ;
   * Fournir au Client toutes les informations nécessaires pour démontrer le respect des obligations prévues par le présent Accord, et permettre la réalisation d’audits, y compris des inspections, par un auditeur indépendant nommé par le Client, dans la limite d’une fois par an, et contribuer à ces audits. Le cas échéant, le Client devra informer Neostore par écrit de l’audit au moins 30 (trente) jours à l’avance et fera valider le plan d’audit par Neostore, étant précisé que l’audit ne peut être réalisé que par un tiers indépendant et ne peut concerner que les données du Client. L’auditeur fournira à Neostore un rapport pré-audit afin que Neostore puisse formuler des commentaires. L’audit sera aux frais exclusifs du Client, étant précisé que Neostore se réserve le droit de facturer le Client pour tout audit durant plus de 2 (deux) jours ;
   * Aider le Client, dans la mesure du possible, à répondre aux demandes des Personnes concernées.
4. **Sécurité**: En outre, Neostore garantit avoir mis en place des mesures techniques et organisationnelles appropriées afin que le traitement réponde aux exigences des Règles Applicables, et en particulier pour lutter contre la destruction, la perte, l’altération, la divulgation non autorisée de Données Personnelles ou l’accès non autorisé à de telles données, de manière accidentelle ou illicite.

   À ce titre, Neostore garantit au Client :

   * Que les personnes ayant accès aux Données Personnelles sont soumises à une obligation de confidentialité ;
   * Disposer des moyens appropriés pour garantir la confidentialité, l’intégrité, la disponibilité et la résilience constante des systèmes et services de traitement.
5. **Violation de Données**: Neostore s’engage à notifier le Client de toute violation de Données Personnelles dès qu’il en a connaissance.

   Dans ladite notification, Neostore s’engage à décrire :

   * La nature de la violation de Données Personnelles ;
   * Les conséquences probables de la violation de Données Personnelles ;
   * Les mesures prises pour remédier à la violation de Données Personnelles, y compris, le cas échéant, les mesures visant à atténuer toute conséquence négative.
6. **Sous-traitance ultérieure**: Le Client accorde à Neostore une autorisation générale de sous-traiter tout ou partie du Traitement relatif aux Services. Neostore s’engage à conclure des contrats avec ses Sous-traitants contenant des obligations au moins aussi contraignantes que celles prévues dans le présent Accord.

   En tout état de cause, Neostore veillera à ce que lesdits Sous-traitants présentent des garanties suffisantes, notamment en matière de sécurité, et restera responsable envers le Client des Services sous-traités.

   À la date de signature du présent Accord, les Sous-traitants de Neostore sont :

   * Microsoft Azure : hébergement de l’Application (centres de données situés dans l’Union européenne).
   * Cloudflare : sécurisation de l’Application (centres de données situés au plus proche du lieu de la Personne concernée : pour une Personne concernée utilisant l’Application dans un point de vente de l’Union européenne, aucun transfert en dehors de l’Union européenne).

   Neostore informera le Client de tout changement prévu d’un Sous-traitant ultérieur dès que possible avant la mise en œuvre dudit nouveau Sous-traitant. Le Client disposera alors d’un délai de 8 (huit) jours pour émettre des objections motivées à l’encontre du Sous-traitant ultérieur envisagé.
7. **Transfert hors de l’Union européenne**: Dans l’hypothèse où Neostore serait amené à transférer des Données Personnelles vers un pays reconnu comme « n’assurant pas un niveau de protection adéquat des Données Personnelles » par la Commission européenne, Neostore s’engage à signer les clauses contractuelles types de la Commission européenne dans leur dernière version applicable, sous réserve de l’application de tout autre mécanisme conformément aux Règles Applicables.
8. **Description du traitement**:
   * Nature des opérations de traitement : collecte, lecture, transfert vers et/ou depuis l’outil CRM, en fonction de l’utilisation des Services faite par la Personne concernée.
   * Finalité du traitement : création et gestion du compte client du Client, affichage et/ou installation de leur carte de fidélité dans le Wallet virtuel de leur smartphone.
   * Catégories de données collectées : données d’identification et, le cas échéant, vie personnelle (selon la configuration du formulaire par le Client).
   * Catégories de Personnes concernées : clients et prospects du Client.
   * Durée de conservation des données : la durée de la session d’une Personne concernée sur l’Application.
   * Destinataire des données : l’outil CRM.
9. **Obligations du Client**: Pour sa part, le Client garantit à Neostore :

   * Qu’il informera les Personnes concernées des opérations de Traitement conformément aux Règles Applicables ;
   * Que la collecte des Données Personnelles effectuée par le Client via l’Application est conforme aux Règles Applicables, en particulier en ce qui concerne la collecte du consentement des Personnes concernées pour l’envoi d’offres promotionnelles ;
   * Veiller à informer les Personnes concernées de leurs droits et à répondre dans les délais fixés par les Règles Applicables à toute demande émanant de celles-ci.

   Pour plus de clarté, il est rappelé que le formulaire d’inscription présent dans l’Application est entièrement créé par le Client, sous sa seule responsabilité. Il appartient au Client de veiller à ce qu’il respecte ses obligations conformément aux Règles Applicables.
10. **Coordonnées**: Pour toute question relative au Traitement des Données Personnelles, le Client est invité à contacter Neostore à <privacy@neostore.cloud>.
11. **Statistiques anonymes**: Par ailleurs, afin d’établir des statistiques anonymes sur l’utilisation des Services et de les optimiser, le Client autorise expressément Neostore à utiliser les données techniques collectées par celui-ci dans le cadre du Service. Lesdites données seront agrégées par Neostore avant toute utilisation.

## ARTICLE 3 – ENTRÉE EN VIGUEUR

Le présent Accord prend effet à sa signature et restera valable pendant la durée du Contrat.

## ARTICLE 4 – DISPOSITIONS DIVERSES

Toutes les dispositions du Contrat non expressément modifiées par le présent Accord demeurent inchangées et en vigueur entre les Parties.

**En deux (2) exemplaires originaux, à \_\_\_\_\_ le \_\_\_\_\_\_\_\_**

Pour Neostore

\*Signature