Protection des données personnelles Retailink (art.26 RGPD)

Dans le cadre du Contrat dont la présente constitue une annexe, les Parties ont défini les conditions dans lesquelles FNAC DARTY propose des Espaces Publicitaires à l’Annonceur ou son Mandataire sur les Supports dont FNAC DARTY assure la commercialisation en sa qualité de régie publicitaire.

Les Espaces Publicitaires sont mis à disposition par FNAC DARTY, notamment sous format numérique, sur des supports digitaux (les « Sites ») édités, selon le cas :

  • Soit par FNAC DARTY ou par une entité du groupe Fnac Darty (les « Sites FNAC DARTY »),
  • Soit par des tiers partenaires de FNAC DARTY, en « extension d’audience » (les « Sites Tiers »).

Afin notamment de diffuser des Messages Publicitaires personnalisés en fonction de la connaissance client dont bénéficie FNAC DARTY sur ses bases de données et du comportement en ligne des internautes et de mesurer l’efficacité de sa Campagne Publicitaire, l’Annonceur ou son Mandataire est amené à utiliser des technologies de suivi (cookies, tags, etc.) des internautes visitant les Sites précités, afin de collecter des données relatives aux dits visiteurs.

L’Annonceur ou son Mandataire détermine sous sa responsabilité exclusive les technologies de suivi et les fournisseurs auxquels il fait appel à cette fin, et alimente ses propres bases de données, y compris le cas échéant sa propre plateforme de gestion (« DMP »), avec les données ainsi collectées.

De son côté, FNAC DARTY, en sa qualité de régie publicitaire :

  • Procède à l’élaboration des segments d’internautes et à la qualification d’audiences aux fins de diffuser les Messages Publicitaires sur les Sites ;
  • Porte, au sein de la présente Annexe, les engagements contractuels des éditeurs des Sites FNAC DARTY ou des éditeurs des Sites Tiers, en matière de protection des données à caractère personnel.

Sur ce dernier point, FNAC DARTY, portant les engagements (i) d’éditeur des Sites FNAC DARTY ou (ii) des éditeurs des Sites Tiers, autorise les Annonceurs ou leurs Mandataires à implanter les technologies de suivi précitées sur les Sites, et plus généralement opère une sélection préalable des différents intermédiaires techniques ou partenaires auxquels il a recours et intervenant dans les traitements de données des internautes aux fins de publicité ciblée sur lesdits Sites.

Compte tenu des exigences de la réglementation en matière de protection des données personnelles (RGPD n°2016-679 du 27 avril 2016 et loi française n°78-17 du 6 janvier 1978 modifiée par la loi n°2018-493 du 20 juin 2018), les Parties ont convenu de décrire les caractéristiques des traitements de données personnelles collectées sur les Sites dans le cadre du Contrat.

La présente annexe (ci-après « l’Annexe ») fait partie intégrante du Contrat et délimite les engagements et responsabilités des Parties.

1. DÉFINITIONS

1.1. Sauf indication contraire, les définitions figurant dans le RGPD, en particulier les termes « Responsable du traitement », « Responsables conjoints du traitement », « Sous-traitant », « Données à caractère personnel », « Traitement », « Finalités », « Destinataires », « Personne concernée », « État membre », « Violation de Données à caractère personnel », et « Autorité de contrôle », s’appliquent.

1.2 « Données » au sens de la présente Annexe, désigne toute donnée à caractère personnel, telle que définie au RGPD, collectée via les Traceurs implémentés par l’Annonceur ou son Mandataire sur les Sites et/ou traitée par l’une ou l’autre des Parties dans le cadre du Contrat. Ces Données peuvent inclure, selon précisions infra les Données à caractère personnel des clients issus des bases de données de FNAC DARTY (données transactionnelles, données CRM), les Données à caractère personnel des internautes visitant les Sites, en ce compris les données de communication électronique issues de leurs terminaux ou navigateurs, et les données comportementales liées à leur navigation sur les Sites.

1.3 « Traceurs » désigne les traceurs visés à l’article 82 de la loi n°78-17 relative à l’informatique, aux fichiers et aux libertés modifiées, définis comme tout dispositif « tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement. ». Les Traceurs permettent de collecter des données personnelles de l’internaute, notamment à des fins de mesures d’audience ou de fréquentation d’un site web, de diffusion des publicités contextuelles ou des publicités personnalisées en fonction du comportement en ligne de l’internaute, sans que cette liste soit limitative.

2. Objet et durée

2.1 La présente Annexe a pour objet de stipuler (i) les engagements contractés respectivement par FNAC DARTY et l’Annonceur ou son Mandataire au regard des collectes et traitements de données à caractère personnel réalisés sur les Sites dans le cadre du Contrat, et (ii) le périmètre de responsabilité de chaque Partie.

2.2 L’Annexe dure tant que dure le Contrat, sous réserve de l’éventuelle adaptation ultérieure aux évolutions de la réglementation applicable à la protection des données personnelles.

3. QUALIFICATION DES PARTIES

3.1 FNAC DARTY et l’Annonceur ou son Mandataire sont Responsables conjoints des traitements de Données des internautes collectées via les Traceurs implémentés sur les Sites, pour les Finalités décrites à la Sous-Annexe 1.

A. A cet égard, FNAC DARTY prend en charge les diligences suivantes :

  • Dans le cadre de son activité de régie publicitaire en tant que telle :
    • Elaboration des segments d’internautes auprès de qui devront être diffusés les Messages Publicitaires ;
    • Définition et qualification des audiences.
  • En tant que véhicule contractuel entre les éditeurs des Sites FNAC DARTY ou des Sites Tiers et les Annonceurs ou leurs Mandataires : 
    • Implémentation des Traceurs transmis par l’Annonceur ou son Mandataire sur les Messages Publicitaires et/ou les Sites FNAC DARTY;
    • Diffusion des Messages Publicitaires via les Sites FNAC DARTY ;
    • Participation à l’élaboration des messages d’information (articles 12 et 13 du RGPD) ;
    • Diffusion de l’information aux internautes (articles 12 et 13 du RGPD) ;
    • Recueil du consentement des internautes via des CMP ;
    • Sécurisation et hébergement des Sites FNAC DARTY;
    • Point de contact pour l’exercice des droits des internautes.

L’ensemble des diligences précitées est également mis en œuvre par les éditeurs des Sites Tiers partenaires de FNAC DARTY, selon les conditions définies dans leurs propres conditions générales ou toute autre document de même nature, et sous leur responsabilité exclusive.

B. L’Annonceur ou son Mandataire prend quant à lui en charge les diligences suivantes :

  • Transmission des Traceurs à FNAC DARTY en vue de leur implémentation sur les Messages Publicitaires et/ou les Sites ;
  • Participation à l’élaboration des messages d’information (articles 12 et 13 du RGPD) ;
  • Collecte des Données des internautes sur les Sites en vue d’alimenter ses bases de données et, le cas échéant, sa DMP ;
  • Traitement des Données des internautes au cours de la Diffusion des Messages Publicitaires sur les Sites ou postérieurement à celle-ci ;
  • Sécurisation et hébergement des Données sur son environnement technique.

3.2 La Sous-Annexe 1 présente, selon la ventilation des diligences prises en charge par chacune des Parties telle que précisée à l’article 3.1 ci-avant, le détail :

  •  Des finalités des Traitements convenus ;
  • Des catégories de Personnes concernées par les Traitements ;
  • Des délais d’effacement (durée de conservation) des Données ;
  • Du recours à des Sous-traitants, le cas échéant.

En cas de modification d’un Traitement, les Parties conviendront des éventuelles modifications à apporter à la Sous-Annexe 1 pour répondre aux exigences réglementaires.

3.3 Chaque Partie n’intervient sur les Données à caractère personnel définies en Sous-Annexe 1 qu’en application des Finalités définies en Sous-annexe 1, dans le cadre des Traitements décrits à l’article 3.1 ci-avant. La responsabilité conjointe des traitements est strictement limitée à ce périmètre. En conséquence, tout autre traitement de Données à caractère personnel qui serait effectué par l’une ou l’autre des Parties, en dehors du périmètre convenu, serait effectué de son seul fait et sous sa seule responsabilité.

3.4 Les modalités de sécurité et de gouvernance des Données sur le système d’information et les outils respectifs de FNAC DARTY et l’Annonceur ou son Mandataire sont détaillées à la Sous-Annexe 2.

4. Mesures techniques et organisationnelles

4.1 Chacune des Parties, en ce qui concerne les Traitements qu’elle exécute au sens de la répartition stipulée à l’article 3.1 ci-avant, met en œuvre les mesures techniques et organisationnelles appropriées afin de garantir la confidentialité, l’intégrité, la disponibilité et la résilience de Données à caractère personnel qu’elle traite, ainsi que les moyens permettant de rétablir la disponibilité ou l’intégrité et la sécurité des Données et l’accès à celles-ci dans les meilleurs délais en cas d’incident, et plus généralement afin de garantir la conformité des Traitements aux exigences de la règlementation en vigueur.

4.2 Chacune des Parties, en ce qui concerne les Traitements qu’elle exécute au sens de la répartition stipulée à l’article 3.1 ci-avant, met en œuvre les mesures techniques et organisationnelles appropriées afin :

  • D’empêcher (i) le traitement non autorisé des Données; (ii) le détournement de Finalité et (iii) la perte, la destruction ou la détérioration d’origine accidentelle des Données, et
  • D’assurer un niveau de sécurité approprié au regard (i) du préjudice qui pourrait résulter d’un tel traitement non autorisé ou d’une telle perte, destruction ou détérioration des Données d’origine accidentelle ; et (ii) de la nature des Données à protéger (notamment en cas de Données « particulières » au sens de la réglementation, mais aussi en cas de Traitement de Données appelant des diligences renforcées de sécurité compte tenu de leur sensibilité pour les Personnes concernées.

Les mesures de sécurité techniques et organisationnelles mises en œuvre respectivement par chacune des Parties sont décrites à la Sous-Annexe 2 (ci-après les « Mesures »).

4.3 En reconnaissant que les Mesures sont soumises à des progrès et évolutions techniques, les Parties conviennent qu’elles sont autorisées à apporter des améliorations et modifications aux Mesures, à condition toutefois que ces mesures ne se situent pas en-deçà du niveau de sécurité prévu par les Mesures décrites en Sous-annexe 2, qu’elles respectent les exigences du droit applicable et qu’elles soient conformes au meilleur état de l’art le cas échéant. Le cas échéant, le Responsable conjoint de traitement qui fait évoluer les Mesures qu’il a déployées devra alors informer l’autre Responsable conjoint de traitement dans les meilleurs délais de tout changement significatif des Mesures auquel il procéderait afin de de maintenir la sécurité.

4.4 Chacun des Responsables de Traitements, en ce qui concerne les Traitements qu’il exécute au sens de la répartition stipulée ci-avant, doit régulièrement tester et contrôler ses Mesures pour vérifier leur adéquation et leur conformité avec le droit applicable et doit prendre toute mesure corrective nécessaire.

5. Droit des personnes concernées

5.1 Les Parties reconnaissent et conviennent qu’il leur incombe juridiquement, en tant que Responsables conjoints de traitement, d’assurer la réponse prompte et efficace à toutes les demandes ou requêtes des Personnes concernées liées à leurs Données.

5.2 Les Parties conviennent par conséquent des mécanismes suivants afin d’assurer entre elles la bonne réception, l’analyse, la réponse et la validation des demandes émanant des Personnes concernées (tendant à l’accès, à la rectification, à l’effacement ou à la portabilité des Données, ainsi qu’à la limitation, à l’opposition à un Traitement, ou encore à l’intervention d’une personne humaine dans un processus de décision automatisé).

5.3 A cet égard, il est convenu que :

  • Réception. Seule FNAC DARTY peut être destinataire des demandes des Personnes concernées, dans la mesure où seule FNAC DARTY est en contact direct avec lesdites Personnes concernées dans le cadre des Traitements de leurs Données via les Traceurs implémentés sur les Sites FNAC DARTY ;
  • FNAC DARTY est par conséquent responsable de la mise en place et du maintien de dispositifs de recueil des demandes des Personnes concernées ;
  • Instruction. FNAC DARTY est responsable de vérifier que l’ensemble des informations requises, notamment aux fins de vérifier l’identité de la Personne concernée qui forme la demande, sont en sa possession, ou de demander à la Personne concernée tout complément d’information nécessaire à cette fin ;
  • A compter du moment où la demande est complète, FNAC DARTY est responsable de la transmettre en intégralité à l’Annonceur ou son Mandataire, aux fins que ce dernier effectue les diligences nécessaires pour y donner suite, en ce qui concerne les Données en sa possession et les Traitements sous sa responsabilité ;
  • FNAC DARTY est en charge de la vérification de la complétude et la précision de la réponse à apporter à la Personne concernée (et le cas échéant du fichier de Données à adresser à la Personne concernée ou au tiers désignée par elle) ;
  • Réponse. FNAC DARTY est en charge de l’envoi de la réponse (et le cas échéant du fichier de Données) à la Personne concernée.
  • Cependant, dans l’hypothèse où la Personne concernée ferait valoir sa demande auprès de l’Annonceur ou son Mandataire, ce dernier, bien que n’étant pas le point de contact convenu ci-avant, est tenue de traiter la demande et de la relayer à FNAC DARTY aux fins de réponse complète selon la procédure ci-dessus.

5.4 En toute hypothèse, les Parties s’engagent à collaborer afin de saisir l’ensemble des Données concernées par une demande émanant d’une Personne concernée, et de donner effet à celle-ci.

5.5 En conséquence, chacun des Responsables conjoints de traitement reconnait qu’il doit être mesure d’identifier, sur le périmètre des Traitements qu’il effectue et des Données qu’il détient, toutes les Données d’une Personne concernée, et d’assurer notamment leur rectification pérenne et efficace, leur communication intégrale à la Personne concernée via la procédure stipulée ci-dessus, leur portabilité en format standard du marché vers tout prestataire tiers, ainsi encore que la suspension ou la suppression d’un Traitement sur les Données considérées).

5.6 Chacun des Responsables conjoints de traitement s’engage à :

(a) Notifier sans délai à l’autre Responsable conjoint de traitement toute demande de Personne concernée (ou toute autre requête relative à la présente Annexe qu’il recevrait directement ou via son éventuel Sous-traitant), afin de mettre en œuvre la procédure de traitement de la demande susmentionnée ; et

(b) S’assurer que son ou ses Sous-traitant(s) éventuel(s) ne font pas eux-mêmes suite aux demandes des Personnes concernées, sauf instruction contraire expresse des Responsables conjoints de traitement en ce sens, ou si le droit applicable les y oblige, auquel cas le Sous-traitant devra impérativement informer les deux Responsables conjoints de cette obligation juridique avant de faire suite ou que son éventuel Sous-traitant ultérieur fasse suite à la demande.

6. Assistance entre les responsables conjoints de traitement

6.1 Chacun des Responsables conjoints de traitement maintient et fournit rapidement et sur demande de l’Autorité de contrôle un dossier documenté portant sur les Traitements réalisés par ses soins, conformément à l’Art. 30.2) du RGPD, qui contiendra au moins les informations suivantes :

(a) Le nom et les coordonnées du Responsable conjoint de traitement, de ses éventuels Sous-traitants et de son délégué à la protection des données ou équivalent ;

(b) Les catégories de Traitements réalisés dans le périmètre de son intervention, ainsi que les catégories de Données traitées et les Finalités poursuivies ;

(c) Le cas échéant, les transferts de Données vers un pays non membre de l’UE/EEE ou à une organisation internationale, y compris l’identification de ce pays non membre de l’UE/EEE ou de cette organisation internationale, ainsi que les documents attestant de l’existence des garanties appropriées encadrant ledit Transfert et assurant la protection des Données Personnelles par l’importateur des Données Personnelles conformément aux exigences de la présente ; 

(d) La description des Mesures (cf. Sous-annexe 2) techniques et organisationnelles assurant notamment, la disponibilité, la confidentialité, l’intégrité et la sécurité des Données en sa possession, la licéité des Traitements, et le respect des Finalités stipulées.

6.2 Chacun des deux Responsables conjoints de traitement prend toute action requise pour s’assister mutuellement dans le cadre de ses obligations découlant des lois applicables eu égard au Traitement, y compris concernant :

(a) Le renseignement par chacun de son propre registre des activités de traitement conformément à l’Art. 30 RGPD pour les Traitement prévus à la présente Annexe, étant entendu que le registre devra mentionner (i) l’existence et l’identité des deux Responsables conjoints de traitement et (ii) une description identique des Traitements deux leurs deux registres respectifs, sous réserve des spécificités techniques ou opérationnelles propres à l’intervention de chacun ;

(b) L’analyse d’impact préalable relative à la protection des données (AIPD) conformément à l’Art. 35 RGPD si une telle analyse est nécessaire ; et

(c) Les demandes ou consultations auprès de l’Autorité de contrôle.

6.3 Chaque Partie doit notifier dans les meilleurs délais à l’autre Partie tous changements concernant les Traitements sous sa responsabilité technique ou opérationnelle, qui pourraient nécessiter des modifications du registre des traitements des deux Parties, la mise en œuvre ou l’actualisation d’une AIPD, ou toute autre action qui serait à prendre par les Responsables conjoints de traitement en vertu de la réglementation du fait du changement introduit.

7. Personnel / Délégue a la protection des données

7.1 Chacune des Parties s’assure que son personnel impliqué dans les Traitements en vertu de la présente Annexe a reçu une formation en matière de protection des données à caractère personnel, et que son personnel s’est engagé à garder confidentielles les Données.

7.2 Chacune des Parties s’assure que l’accès aux Données en cause est strictement réservé aux personnes physiques de son personnel qui ont besoin de connaître les Données Personnelles ou d’y accéder et qui sont strictement nécessaires pour les Finalités dans le cadre des fonctions desdits membres de son personnel.

7.3 Chacune des Parties a désigné un délégué à la protection des données à caractère personnel ou, à défaut, un responsable interne en la matière, conformément au droit applicable.

8. Sous-traitance

8.1 Chacune des Parties est autorisée à engager un ou plusieurs Sous-traitants dans le cadre du Traitement de données sous réserve d’avoir conclu un accord conforme aux dispositions de l’article 28 du RGPD et des stipulations suivantes. L’Article « Flux transfrontaliers » ci-après s’applique en conséquence à tout Traitement des Données Personnelles par un Sous-traitant hors du territoire de l’Union Européenne.

8.2 Concernant chaque Sous-traitant de chacune des Parties, la Partie qui y a recours doit, sous sa responsabilité exclusive :

(a) Avant que des Données soient transférées au Sous-traitant, effectuer les contrôles adéquats pour garantir que le Sous-traitant fournira le niveau de protection des Données requis par la présente Annexe ;

(b) Conclure un accord écrit avec le Sous-traitant qui impose à ce dernier les mêmes obligations eu égard à la protection des Données Personnelles que celles qui sont imposées dans le cadre de la présente Annexe ;

(c) Réaliser des audits ou obtenir des rapports de conformité émis par le Sous-traitant, pour vérifier que le Sous-traitant respecte la protection des Données ainsi que ses autres obligations contractuelles.

8.3 En cas de manquement par un Sous-traitant à ses obligations contractuelles :

(a) En toute hypothèse, la Partie qui l’a fait intervenir sera intégralement et exclusivement responsable, devant l’autre Partie et devant les Personnes concernées, des dommages causés par ledit manquement. A cet égard, chaque Partie garantit l’autre contre toutes amendes, réclamations, condamnations, préjudices ou dommages-intérêts relatifs à, ou découlant de ses propres manquements ou de ceux de son Sous-traitant, et dégage l’autre Partie de toute responsabilité à cet égard ; et

(b) Chaque Partie peut retirer son consentement à l’égard de l’engagement d’un Sous-traitant par l’autre Partie, à condition d’invoquer un motif légitime exprimé par écrit, auquel cas l’autre Partie doit cesser d’y recourir pour le Traitement des Données.

9. Flux transfrontaliers

9.1 Chacune des Parties s’engage à ne traiter et stocker les Données que dans le territoire de l’Union européenne, et/ou conformément au présent article.

9.2 Cependant, il lui est possible d’effectuer un transfert des Données en dehors du territoire de l’Union européenne aux conditions suivantes. Tout transfert vers un Pays tiers (ci-après « Transfert ») doit respecter les exigences indiquées au présent article (« Pays tiers » désigne les pays qui ne sont pas membres de l’Union européenne (« UE ») et dont la Commission européenne n’a pas reconnu qu’ils fournissaient un niveau de protection adéquat des Données Personnelles) :

(a) Chaque Partie ne peut effectuer un Transfert que vers une entité présentant les garanties appropriées, via un dispositif reconnu par les autorités européennes telles que signature de clauses contractuelles types, déploiement de règles contraignantes d’entreprise, ou bénéficiant une autorisation expresse de l’Autorité de contrôle ;

(b) En particulier, dans le cas où les autorités européennes ou une Autorité de contrôle compétente prévoient des clauses contractuelles types conformément à l’article 28 al. 7 du RGPD, chacune des Parties intégrera ces clauses contractuelles dans le contrat le liant au destinataire (Sous-traitant par exemple), importateur des Données, qui devra s’y conformer pleinement dès le commencement du Transfert ;

(c) Chaque Partie tient copie des garanties en question à l’intention de l’autre Partie, sur demande écrite.

10. Audits et vérifications

10.1 Chaque Partie met à disposition de l’autre, à première demande, et maintient à jour toutes les informations nécessaires pour démontrer le respect par ses soins, pour les Données à caractère personnel en sa possession et pour les Traitements sous sa responsabilité technique ou opérationnelle, des obligations prévues à la présente Annexe et pour permettre la réalisations d’audits dans le cadre des Traitements des Données à caractère personnel, par l’autre Partie ou un auditeur qu’elle aura mandaté conformément au présent Article, sous réserve du secret d’affaire et des règles de sécurité et de production de chaque Responsable conjoint de traitement et de ses Sous-traitants. Le coût des audits sera supporté par moitié par chaque Partie, sauf si l’audit fait apparaître des manquements significatifs de l’un des Responsables de traitement ou de son Sous-traitant, le Responsable conjoint de traitement défaillant supportant alors le coût de l’audit outre les frais de remise en conformité qu’il devra exposer pour remédier au(x) manquement(s) constaté(s).

10.2    La Partie qui diligente un tel audit devra convenir avec l’autre, dans un délai raisonnable, de la date et des modalités de l’audit à déployer. Sauf circonstances exceptionnelles, l’audit ne doit pas entraîner de désorganisation au sein de la production des Parties, ni affaiblir les Mesures de sécurité des Données. Les audits ne doivent pas être réalisés en dehors des heures normales d’ouverture ou sans préavis, à moins (i) que la Partie demanderesse indique de manière motivée que l’audit doit être réalisé en urgence, ou (ii) qu’il soit nécessaire d’enquêter sur un manquement constaté aux obligations prévues dans la présente Annexe, systématiquement en présence des préposés du Responsable conjoint de traitement en cause.

10.3 Si la Partie qui diligente l’audit constate des manquements, défaillances ou irrégularités liées au Traitement des Données à caractère personnel au cours ou en conclusion dudit audit, l’autre Partie s’engage à prendre sans délai toute mesure nécessaire pour remédier au manquement constaté et remettre à la Partie ayant diligenté l’audit les documents écrits prouvant que les conclusions de l’audit ont été réparées comme l’exigent le droit applicable et la présente Annexe.

11. Violations de données personnelles

11.1 Chacun des Responsables de Traitements, en ce qui concerne les Traitements qu’il exécute au sens de la répartition stipulée à l’article 3.1 ci-avant, doit sans aucun délai informer l’autre Responsable conjoint de traitement de toute faille de sécurité, accès non autorisée, intrusion dans son système d’information, piratage, dysfonctionnement, incident technique, organisationnel ou autre (y compris les incidents auprès de ses Sous-traitants), réel ou présumé, ayant donné lieu, ou susceptible de donner lieu, à une Violation des Données à caractère personnel (telle que définie au RGPD) au sens de l’Art. 33 al. 1 du RGPD ou ayant un effet défavorable sur l’intégrité et la sécurité des Données à caractère personnel en question ou le Traitement des Données à caractère personnel.

11.2 En cas de Violation de Données à caractère personnel détectée, constatée ou suspectée par un des Responsables conjoints de traitement, celui-ci est tenu d’informer l’autre Responsable conjoint de traitement dès qu’il prend connaissance de la Violation, et, en tout état de cause, au plus tard quarante-huit (48) heures après sa détection.

11.3 La notification adressée doit inclure les informations demandées par l’article 33 du RGPD et permettant de décrire (i) la nature de la Violation de Données à caractère personnel, (ii) les catégories de Données à caractère personnel et le ou les Traitement(s) en cause, (iii) le nombre et les catégories de Personnes concernées, (iii) dans la mesure du possible, l’origine et les conséquences prévisibles de la Violation pour les Personnes concernées et (iv) les mesures mises en œuvre pour mettre un terme à la Violation de Données à caractère personnel et tenter d’en limiter ou supprimer les conséquences. A défaut, le Responsable conjoint de traitement qui signale la Violation de Données à caractère personnel indiquera à quel terme les informations complémentaires seront fournies, notamment en cas d’investigation technique menée par ses soins ou ceux de son Sous-traitant.  La notification est adressée par tout moyen urgent et confirmée par écrit.

11.4 Chacun des deux Responsables conjoints de traitement est habilité, en tant que tel, à décider et procéder aux notifications qui s’imposeraient, par tout moyen de son choix, auprès de l’Autorité de contrôle et les Personnes concernées. Toutefois, les Parties s’engagent à se concerter en urgence au préalable afin de convenir de la teneur de la notification à effectuer.

11.5 En toute hypothèse, les Parties doivent collaborer afin de s’assurer de l’éventualité de risques voire de risques élevés pour les droits et libertés fondamentales des Personnes concernées, chaque Partie transmettant à l’autre toute information utile sur la Violation de Données à caractère personnel.

11.6 Dans le cas d’une Violation de Données à caractère personnel, la Partie concernée (c’est-à-dire la Partie sur le système d’information de laquelle la Violation est advenue) doit, dans les meilleurs délais et en coordination avec l’autre Partie, prendre les mesures nécessaires en vertu du droit applicable et des normes techniques afin de rétablir la confidentialité, l’intégrité, la sécurité ou la disponibilité des Données à caractère personnel concernées par la Violation, afin d’atténuer le risque de préjudice et/ou les conséquences dommageables pour les Personnes concernées affectées par ladite Violation de Données à caractère personnel. La Partie victime de la faille de sécurité ou de l’incident à l’origine de la Violation de Données à caractère personnel doit rapidement remettre à l’autre Partie un rapport d’incident écrit détaillant lesdites mesures prises ainsi que les mesures prises spécifiquement pour éviter des incidents analogues à l’avenir.

12. Communication avec les autorites

Dans la mesure où le droit applicable le permet,

(a) Chacun des deux Responsables conjoints de traitement doit informer dans les plus brefs délais l’autre Responsable conjoint de traitement en cas de vérifications, enquêtes, investigations, demandes, injonctions ou autres procédures ou événements susceptibles de porter sur des Données Personnelles en sa possession, ou sur ses obligations telles que découlant de la présente Annexe, par une Autorité de contrôle ou autre autorité publique. Chacun des Responsables conjoints de traitement apportera sans délai injustifié toute son assistance à l’autre pour répondre aux questions et investigations de l’Autorité de contrôle.

(b) En cas de litige avec, d’injonctions ou d’amendes imposées ou d’actions engagées par une Autorité de contrôle ou une autre autorité compétente concernant les Traitements des Données Personnelles contre l’une ou l’autre des Parties ou les deux, les Parties doivent rapidement s’informer mutuellement et se coordonner dans le but de se défendre efficacement contre ces actions ou les régler à l’amiable en temps opportun.

13. Suppression des données

13.1 Les Responsables conjoints de traitement conservent les Données pendant la ou les durées définies à la Sous-annexe 1, en fonction de la Finalité en cause et sous réserve des spécificités qui seraient propres au périmètre technique ou opérationnel pris en charge respectivement par chacun.

13.2 L’Annonceur ou son Mandataire procède à la suppression des Données lorsque la ou les durée(s) définie(s) à la Sous-annexe 1 parvien(nen)t à échéance ou (i) sur demande expresse de FNAC DARTY (notamment en cas de retrait du consentement d’un internaute à recevoir des publicités ciblées), (ii) sur demande documentée d’une Personne concernée, relayée et validée conformément à la procédure décrite à l’article « Droits des Personnes concernées » (par exemple, en cas d’exercice du droit de suppression ou d’opposition), et en toute hypothèse (iii) au terme du Contrat, sous réserve cependant des obligations légales liées à la preuve des obligations, aux obligations fiscales ou sociales notamment.

14. Responsabilité

14.1 Principe général

14.1.1 Il est rappelé qu’en tant que Responsables conjoints de traitement, en application de l’article 82, 4° du RGPD, les Parties sont solidairement responsables devant les Personnes concernées des dommages que celles-ci subiraient en cas d’atteinte à leurs Données.

14.1.2 Il est rappelé que dans le cadre de leurs relations et du Contrat, chacun des Responsables conjoints de traitement est responsable unique envers l’autre des conséquences de son éventuel manquement aux engagements qu’il contracte en matière de protection des Données au sein de la présente Annexe, l’autre Partie étant susceptible de le poursuivre en indemnisation des indemnités et/ou amendes administratives qu’il serait amené à verser en vertu de l’article précédent, conformément à l’article 82, 5° du RGPD.

14.2 Information des Personnes concernées

14.2.1 En tant que Responsables conjoints de traitement, il appartient aux Parties d’assurer l’information des Personnes concernées par ses Traitements, au sujet (i) des Données collectées, (ii) des Traitements mis en œuvre, (iii) des Finalités poursuivies, (iv) des bases légales fondant les Traitements, (v) des tiers Destinataires des Données, ainsi que (vi) de l’ensemble des autres informations dues aux personnes selon les articles 13 ou 14 du RGPD, en ce compris le rappel des droits dont elles disposent sur leurs Données.

14.2.2 De convention expresse, cette information (correspondant à l’article 13 du RGPD) est délivrée par FNAC DARTY sur les Sites FNAC DARTY, ou par les partenaires de FNAC DARTY éditeurs des Sites Tiers sous leur responsabilité exclusive. FNAC DARTY tient à la disposition des Personnes concernées un descriptif synthétique des engagements des Parties au titre de la présente Annexe. FNAC DARTY détermine les modalités de diffusion et l’effectivité de cette information sous sa responsabilité.

14.2.3 Chacune des Parties est responsable de l’information due aux Personnes concernées s’agissant des traitements que chacune des Parties met par ailleurs en œuvre sur les Données en tant que Responsable de traitement unique, l’autre Partie n’assumant aucune responsabilité dans lesdits traitements.

14.2.4 Dans le cas où l’Autorité de contrôle prononce une amende administrative à l’encontre de FNAC DARTY comme en cas de préjudice subi par FNAC DARTY du fait d’un manquement imputable à l’Annonceur ou son Mandataire, l’Annonceur ou son Mandataire garantit et tient FNAC DARTY indemne de ladite amende administrative, et prend en charge l’indemnisation des éventuels dommages qui seraient subis par FNAC DARTY.

15.  STIPULATIONS FINALES

15.1 En cas de changement du droit ou des directives applicables par de l’Autorité de contrôle ou en cas d’instructions ou d’injonctions spécifiques données par l’Autorité de contrôle ayant trait à la présente Annexe, les Parties devront rapidement modifier la présente Annexe si cela est raisonnablement requis et approprié pour assurer le respect de ces exigences juridiques modifiées.

15.2 En cas de contradiction ou d’incohérence, les stipulations de la présente Annexe l’emportent sur les stipulations contraires ou incompatibles du Contrat.

Retailink Fnac Darty - Annexe RGPD

SOUS-Annexe 2 – MESURES DE SECURITE TECHNIQUES ET ORGANISATIONNELLES de FNAC DARTY

A. Mesures techniques et organisationnelles déployées sur le périmètre technique et opérationnel pris en charge par FNAC DARTY :

MESURES TECHNIQUES ET ORGANISATIONNELLES DEPLOYEES AUTOUR DES DONNEES ET TRAITEMENTS EFFECTUES PAR FNAC DARTY, SUR LE SYSTEME D’INFORMATION UTILISE PAR FNAC DARTY POUR COLLECTER / TRAITER / STOCKER / TRANSFERER LES DONNEES PERSONNELLES.

CES MESURES PEUVENT INCLURE :

  • LES MESURES DE SECURITE LOGIQUE
  • LES MESURES DE SECURITE PHYSIQUE
  • LES MESURES DE SECURITE RESEAU
  • LA SECURITE DES POSTES DE TRAVAIL
  • LA SECURITE DES ACCES DISTANTS
  • LES DISPOSITIFS DE SECURITE ET CHIFFREMENT
  • LA PSEUDONYMISATION
  • LA GESTION DES ACCES ET HABILITATIONS
  • LES CONTROLES D’ACCES
  • LA SUPERVISION
  • LA MAINTENANCE
  • LES SAUVEGARDES ET REDONDANCES
  • LA GESTION DES INCIDENTS
  • LA CONTINUITE D’ACTIVITE INFORMATIQUE
  • LA GOUVERNANCE DES DONNEES
  • LA PROCEDURE DE GESTION DES DEMANDES DE DROITS LE CAS ECHEANT
  • LA PROCEDURE DE DETECTION/NOTIFICATION DES VIOLATIONS DE DONNEES
  • L’EVENTUELLE AIPD LE CAS ECHEANT
  • ETC.

B. Mesures techniques et organisationnelles déployées sur le périmètre technique et opérationnel pris en charge par l’Annonceur ou son Mandataire :

MESURES TECHNIQUES ET ORGANISATIONNELLES DEPLOYEES AUTOUR DES DONNEES ET TRAITEMENTS EFFECTUES PAR L’ANNONCEUR OU SON MANDATAIRE, SUR LE SYSTEME D’INFORMATION UTILISE PAR L’ANNONCEUR OU SON MANDATAIRE POUR COLLECTER / TRAITER / STOCKER / TRANSFERER LES DONNEES PERSONNELLES.

CES MESURES PEUVENT INCLURE :

  • LES MESURES DE SECURITE LOGIQUE
  • LES MESURES DE SECURITE PHYSIQUE
  • LES MESURES DE SECURITE RESEAU
  • LA SECURITE DES POSTES DE TRAVAIL
  • LA SECURITE DES ACCES DISTANTS
  • LES DISPOSITIFS DE SECURITE ET CHIFFREMENT
  • LA PSEUDONYMISATION
  • LA GESTION DES ACCES ET HABILITATIONS
  • LES CONTROLES D’ACCES
  • LA SUPERVISION
  • LA MAINTENANCE
  • LES SAUVEGARDES ET REDONDANCES
  • LA GESTION DES INCIDENTS
  • LA CONTINUITE D’ACTIVITE INFORMATIQUE
  • LA GOUVERNANCE DES DONNEES
  • LA PROCEDURE DE GESTION DES DEMANDES DE DROITS LE CAS ECHEANT
  • LA PROCEDURE DE DETECTION/NOTIFICATION DES VIOLATIONS DE DONNEES
  • L’EVENTUELLE AIPD LE CAS ECHEANT
  • ETC.