Date d’entrée en vigueur : 01/01/2025

Objet
Le présent avenant relatif au traitement des données, incluant ses annexes (ci-après le « DPA »), est conclu entre Zapp et le Client (chacune une « Partie », collectivement les « Parties »).
Le DPA fait partie intégrante du contrat principal de service ou de tout autre accord écrit ou conditions générales électroniques (« Contrat ») liant les Parties.
Sauf modification expresse par écrit de Zapp, le DPA entre en vigueur à la date la plus proche entre :
(i) le premier accès du Client à un Service via un processus en ligne (inscription, commande, provisionnement) ; ou
(ii) la date d’entrée en vigueur du premier bon de commande de service applicable (la « Date d’entrée en vigueur »).
Les obligations du DPA s’appliquent uniquement dans la mesure où :
(i) les données personnelles sont soumises aux lois applicables en matière de protection des données ; et
(ii) ces lois sont en vigueur.

Modifications
Zapp peut modifier ce DPA de temps à autre. Sauf indication contraire, les modifications prennent effet à la date de renouvellement de la période d’abonnement en cours ou à la signature d’un nouveau bon de commande faisant référence au DPA mis à jour.
Zapp s’engage à informer le Client des changements par le biais de son compte, par e-mail ou tout autre moyen approprié.

Acceptation
En acceptant le présent DPA ou en utilisant le Service, vous confirmez avoir lu, compris et accepté les termes du DPA au nom du Client, et vous déclarez disposer de l’autorité légale nécessaire pour engager ce dernier.

Relations contractuelles
Sauf définition contraire dans le DPA ou le Contrat, les termes en majuscule ont la signification donnée à la clause 10 du DPA.
En cas de contradiction entre le DPA et le Contrat, le DPA prévaut dans la mesure du conflit.
Si les Parties utilisent un mécanisme de transfert international des données, en cas de contradiction entre ses obligations et celles du DPA, le mécanisme prévaut.

2. Traitement des données

a. Champ d’application et rôles
Le présent DPA s’applique à tout traitement de données personnelles effectué par Zapp.
La section 5 s’applique lorsque Zapp agit en tant que sous-traitant (Processor) pour le Client, qui agit en qualité de responsable de traitement (Controller).
La section 6 s’applique lorsque Zapp traite certaines données personnelles relatives au Client ou à ses utilisateurs en tant que responsable de traitement indépendant, conformément à sa politique de confidentialité disponible sur https://www.zapp.com/privacy.

b. Détails du traitement
L’annexe 1 du présent DPA décrit :
(i) les finalités du traitement par Zapp, les catégories de données personnelles concernées, ainsi que les catégories de personnes concernées ;
(ii) les statuts respectifs des Parties au regard des lois applicables en matière de protection des données.

c. Lieu de traitement
Les données personnelles traitées par Zapp en qualité de sous-traitant peuvent être stockées dans ou hors de l’Union européenne, selon le produit ou service utilisé.
Les données personnelles traitées par Zapp en qualité de responsable indépendant peuvent également être traitées ou stockées dans ou hors de l’Union européenne.

d. Transferts internationaux de données

i. Lorsque la législation applicable l’exige, les Parties s’engagent à mettre en place un mécanisme valide de transfert international de données (« mécanisme de transfert ») pour tout transfert vers une juridiction ne garantissant pas un niveau de protection adéquat.

ii. En cas d’invalidation ou de remplacement du mécanisme utilisé, les Parties coopéreront de bonne foi pour adopter une solution alternative appropriée.

iii. L’annexe 4 détaille :
(i) les obligations spécifiques selon les juridictions ;
(ii) les informations relatives aux transferts internationaux, y compris les clauses contractuelles types (Standard Contractual Clauses).

e. Respect des lois
Chaque Partie s’engage à respecter ses obligations respectives au titre des lois applicables en matière de protection des données.

f. Notification d’impossibilité de conformité
Zapp notifiera le Client sans délai indu si elle estime ne plus pouvoir respecter ses obligations légales applicables.

3. Obligations de Zapp en tant que sous-traitant

a. Champ d’application du traitement
Zapp ne traitera les données personnelles que dans le cadre de l’exécution de ses obligations au titre du Contrat et conformément aux instructions documentées du Client.

b. Instructions de traitement

i. Le présent DPA constitue les instructions initiales du Client à Zapp.
Le Client peut à tout moment modifier ces instructions par notification écrite. Zapp s’engage à respecter ces instructions, sauf en cas de conflit avec la loi applicable ou si elles sortent du cadre du Contrat.

ii. Nonobstant toute restriction prévue par le présent DPA ou le Contrat, le Client autorise Zapp à traiter les données personnelles nécessaires à :
– la détection ou la réponse à des incidents de sécurité ;
– la prévention de fraudes ou autres activités illicites ;
– la maintenance et la réparation ;
– la continuité et l’amélioration des Services.

iii. Toute nouvelle activité de traitement hors du cadre de ce DPA fera l’objet d’un accord écrit préalable entre les Parties, pouvant nécessiter une modification contractuelle.

iv. Sur instruction écrite du Client, Zapp corrigera, supprimera ou bloquera les données personnelles concernées.

v. Zapp informera promptement le Client par écrit si elle estime qu’une instruction viole les lois applicables, en précisant les motifs.

vi. Zapp ne pourra être tenue responsable des pertes résultant du traitement conforme aux instructions légales du Client.

c. Confidentialité
Zapp veillera à ce que toute personne autorisée à traiter des données personnelles soit soumise à une obligation de confidentialité, contractuelle ou légale.

d. Divulgation à des tiers
Zapp ne communiquera pas de données personnelles à des tiers, y compris autorités publiques, sauf :
– dans les cas prévus par ce DPA ;
– avec le consentement écrit préalable du Client ;
– ou lorsque la loi l’exige.

Si Zapp est légalement tenue de divulguer des données personnelles, elle :
– informera le Client préalablement, sauf si la loi l’en interdit ;
– prendra des mesures raisonnables pour protéger les données contre toute divulgation excessive, comme si elles étaient ses propres informations confidentielles.

e. Demandes des personnes concernées

i. Lorsque le Client reçoit une demande relative aux données personnelles (« Demande »), Zapp coopérera pleinement pour permettre au Client d’y répondre.

ii. Si Zapp reçoit directement une Demande, elle :
– ne répondra pas elle-même à la demande ;
– la transmettra au Client dans un délai de trois (3) jours ouvrés ;
– fournira une assistance selon les instructions du Client.

f. Assistance

i. Zapp assistera le Client, dans la mesure du raisonnable, à se conformer aux articles 32 à 36 du RGPD, en tenant compte de la nature du traitement et des informations disponibles.

ii. Sur demande, Zapp aidera le Client à réaliser des analyses d’impact ou consultations préalables auprès des autorités de contrôle, dans la limite des informations à sa disposition.

g. Droits d’information et audit

i. Sur demande écrite, Zapp fournira au Client les informations nécessaires pour démontrer sa conformité avec ce DPA et les lois applicables.

ii. Zapp détient des certifications et audits de tiers. Elle pourra communiquer au Client ces documents, sous réserve des obligations de confidentialité.

iii. Zapp autorisera et contribuera à des audits ou inspections raisonnables réalisés par le Client ou un tiers désigné (non concurrent), sur préavis écrit et en heures ouvrées, sous réserve de confidentialité.

iv. Si le Client demande plus d’un audit dans une période de 12 mois, Zapp pourra facturer des frais raisonnables.

v. En cas d’usage non autorisé des données par Zapp ou ses sous-traitants, le Client pourra prendre des mesures raisonnables après notification.

4. Obligations de Zapp en tant que responsable indépendant

Cette section s’applique uniquement au traitement par Zapp de certaines données personnelles concernant le Client ou ses utilisateurs lorsque Zapp agit en tant que responsable indépendant, conformément à sa politique de confidentialité disponible à l’adresse https://www.zapp.com/privacy.

a. Zapp reconnaît et accepte qu’elle est seule responsable de la conformité au RGPD et aux lois applicables lorsqu’elle agit en tant que responsable du traitement, notamment pour toutes les obligations incombant aux responsables.

b. Zapp est responsable de fournir aux personnes concernées les informations nécessaires conformément aux exigences légales, ainsi que de répondre aux demandes d’exercice de leurs droits prévues par le RGPD.

c. Si Zapp reçoit une demande, plainte, requête ou autre prise de contact (« Demande ») d’une autorité administrative, judiciaire, législative ou de contrôle relative aux traitements décrits dans l’annexe 1, Zapp :
– informera le Client sans délai indu, et au plus tard dans les dix (10) jours ouvrés, sauf interdiction légale ;
– fournira au Client toute information et coopération nécessaire pour répondre ou se défendre contre cette Demande.

5. Sécurité

a. Zapp mettra en œuvre et maintiendra des mesures techniques et organisationnelles appropriées afin de protéger les données personnelles contre la destruction accidentelle ou illicite, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé, conformément aux articles 32 et 33 du RGPD.

b. Dès qu’elle aura connaissance d’une violation confirmée des données personnelles (Data Breach), Zapp :
i. notifiera le Client sans délai indu ;
ii. fera tous les efforts raisonnables pour identifier la cause de l’incident et y remédier dans la mesure de son contrôle ;
iii. fournira une assistance raisonnable au Client afin de l’aider à respecter ses obligations légales en matière de notification auprès des autorités de contrôle et des personnes concernées.

6. Modifications et dispositions diverses

a. Modifications pour conformité
Si des modifications du présent DPA sont nécessaires pour assurer la conformité aux lois applicables en matière de protection des données ou pour satisfaire aux exigences des autorités de contrôle compétentes, les Parties coopéreront de bonne foi pour convenir de ces modifications à la demande du Client, sans frais supplémentaires pour ce dernier.
En cas d’échec des négociations, chacune des Parties pourra résilier le Contrat et le présent DPA moyennant un préavis écrit de quatre-vingt-dix (90) jours.

b. Limitation de responsabilité
La limitation de responsabilité prévue dans le Contrat s’applique à toute violation du présent DPA.

c. Absence de contrepartie
Aucune des Parties ne percevra de rémunération pour l’exécution de ses obligations en vertu du présent DPA, sauf disposition contraire expresse dans le DPA ou dans le Contrat.

d. Notifications
Les notifications requises par le présent DPA peuvent être envoyées par courrier électronique aux contacts désignés dans l’annexe 1.

e. Modifications
Zapp peut modifier ce DPA périodiquement. Sauf indication contraire, ces modifications prendront effet à la date de renouvellement de la période d’abonnement en cours ou lors de la signature d’un nouveau bon de commande faisant référence au DPA mis à jour.
Zapp s’efforcera d’informer le Client des modifications via son compte, par e-mail ou tout autre moyen approprié.

f. Amendements complémentaires
Tout amendement supplémentaire au présent DPA devra être réalisé par écrit et signé par les deux Parties, sauf disposition contraire du Contrat ou du DPA.

g. Clause de sauvegarde
Si une disposition du présent DPA est déclarée invalide ou inapplicable par un tribunal compétent, les autres dispositions demeureront en vigueur.

 

Annexe 1 : Description du traitement

A. Parties

Exportateur des données :
Le Client tel que défini dans le Contrat.
Nom, adresse, coordonnées et personne à contacter figurent dans le Contrat ou peuvent être communiqués à la demande d’une des Parties.

Activités liées aux données transférées :
Exportation des données personnelles en lien avec l’utilisation des services du sous-traitant.

Rôle :
Responsable de traitement ou sous-traitant selon le contexte.

Importateur des données :
Nom : Zapp S.L.
Adresse : Calle Asturias 4, 28850 Torrejón de Ardoz, Madrid, Espagne
Personne à contacter : Sandra Lçopez, sandra.lopez@ecaldima.com

Activités liées aux données transférées :
Traitement des données personnelles pour le compte du Client, en qualité de sous-traitant.

Rôle :
Sous-traitant

B. Description du transfert

Catégories des personnes concernées :
Les personnes concernées peuvent inclure les utilisateurs, agents, utilisateurs finaux, prospects, clients, fournisseurs, partenaires commerciaux, employés, contractuels, agents et conseillers du Client, tous étant des personnes physiques.

Catégories de données personnelles :
Peuvent inclure, sans s’y limiter : noms, coordonnées (courriel, téléphone, adresse), identifiants uniques (adresse IP), données d’activité internet ou réseau électronique (historique de navigation, recherches), informations de compte, données utilisateurs, communications, historiques d’achats et transactions, ainsi que les inférences qui en découlent.

Données sensibles (le cas échéant) :
Peuvent comprendre des données révélant l’origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données de santé, vie sexuelle ou orientation sexuelle.

Fréquence du transfert :
Continue pendant la durée du Contrat.

Nature et finalités du traitement :
Le traitement est nécessaire à la fourniture des Services conformément au Contrat et aux instructions du Client.

Durée de conservation :
Les données sont conservées pendant la durée du Contrat, conformément à la politique de conservation définie dans le Contrat.

Sous-traitants :
Les informations relatives aux sous-traitants figurent dans l’Annexe 3.

Annexe 2 : Mesures techniques et organisationnelles (MTO) assurant la sécurité des données

Zapp met en œuvre et maintient des mesures techniques et organisationnelles appropriées visant à protéger les données personnelles contre la destruction accidentelle ou illicite, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé.
Ces mesures sont régulièrement révisées et mises à jour pour garantir une conformité continue avec les lois applicables en matière de protection des données.

Les mesures comprennent notamment, sans s’y limiter :

Contrôles d’accès visant à limiter l’accès du personnel aux données personnelles ;

Chiffrement et pseudonymisation des données personnelles, selon les besoins ;

Sécurité physique dans les centres de données et bureaux ;

Formations régulières à la sécurité pour les employés ;

Procédures de détection et de réponse aux incidents de sécurité ;

Plans de continuité d’activité et de reprise après sinistre ;

Politiques de minimisation et de conservation des données ;

Audits et tests d’intrusion périodiques.

Sur demande raisonnable du Client et sous réserve d’obligations de confidentialité, Zapp pourra fournir des preuves ou certifications de conformité à ces mesures.

Annexe 3 : Liste des sous-traitants

Le Client autorise par la présente Zapp à faire appel aux sous-traitants listés ci-dessous pour l’assistance dans la fourniture des Services.
Zapp s’engage à ce que chaque sous-traitant soit lié par un contrat écrit lui imposant des obligations équivalentes à celles prévues dans le présent DPA.

Zapp informera le Client par écrit au moins quinze (15) jours calendaires avant tout ajout, remplacement ou suppression de sous-traitants.
Le Client pourra s’opposer à ces modifications en notifiant Zapp par écrit dans ce délai.
En cas d’opposition justifiée, Zapp s’abstiendra d’engager le sous-traitant concerné ou le Client pourra suspendre ou résilier les Services affectés, sans pénalité, sous réserve du paiement des sommes dues avant suspension ou résiliation.

Sous-traitants actuels :
Microsoft
OVH

Annexe 4 : Obligations spécifiques par juridiction et informations relatives aux transferts internationaux

A. Dispositions générales

Les Parties conviennent que pour toute juridiction non explicitement mentionnée ci-après, qui requiert un mécanisme de transfert international de données, elles seront liées par les Clauses Contractuelles Types (« CCT ») ou tout autre mécanisme approprié exigé par les lois applicables en matière de protection des données.
En cas d’invalidation ou de remplacement d’un tel mécanisme, les Parties coopéreront de bonne foi afin de mettre en œuvre une alternative adéquate.

Les Parties reconnaissent que des garanties techniques, organisationnelles et/ou contractuelles supplémentaires peuvent être nécessaires en fonction des résultats des évaluations d’impact sur les transferts.

B. Clauses Contractuelles Types

En signant le présent DPA, les Parties acceptent également d’être liées par les Clauses Contractuelles Types annexées et incorporées par référence, qui font partie intégrante du Contrat.

Le Module 2 (Responsable à Sous-traitant) s’applique lorsque le Client est responsable de traitement.

Le Module 3 (Sous-traitant à Sous-traitant) s’applique lorsque le Client agit également en tant que sous-traitant.

Les Parties reconnaissent que pour les données personnelles transférées depuis des juridictions soumises aux CCT, ce DPA et ses annexes 1 à 4 contiennent les informations et engagements pertinents.

La signature du Contrat vaut acceptation des CCT même si celles-ci ne sont pas signées séparément.

C. Union européenne

Pour les transferts depuis l’Union européenne qui ne bénéficient pas d’une décision d’adéquation ou d’un mécanisme alternatif (tel que le cadre de protection des données UE-États-Unis), les Parties sont liées par les CCT mises en œuvre par la Commission européenne (décision d’exécution (UE) 2021/914).
Les Parties conviennent des options suivantes :

Clause 7 (Clause de rattachement) – application optionnelle ;

Clause 9(a) (Utilisation de sous-traitants) – option 2, avec droits de notification et d’opposition ;

Clause 11(a) (Recours) – clause optionnelle non applicable ;

Clause 17 (Droit applicable) – option 1 (droit espagnol) ;

Clause 18(b) (Choix de for et juridiction) – compétence exclusive des tribunaux de Madrid, Espagne.

D. Suisse

Pour les transferts depuis la Suisse sans décision d’adéquation ni mécanisme alternatif, les Parties adoptent des CCT modifiées selon les exigences des autorités suisses, notamment sur les autorités compétentes et les droits des personnes concernées.

E. Royaume-Uni

Pour les transferts depuis le Royaume-Uni, les Parties intègrent l’Accord international sur les transferts de données (« UK IDTA »), tel que mis à jour par l’Information Commissioner britannique.
Le UK IDTA est coterminous avec le présent DPA.
Il inclut notamment le droit applicable (Angleterre et Pays de Galles), la compétence juridictionnelle (Angleterre et Pays de Galles), ainsi que les droits et obligations en vertu du UK GDPR.