Accord de Traitement des Données

Au sens du présent accord, les termes suivants ont la signification qui leur est donnée ci-après :

• "RGPD" : Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel
• "Responsable de traitement" : Le Client, qui détermine les finalités et les moyens du traitement des données personnelles
• "Sous-traitant" : Popscore (SAS DIGITALMOOVE), qui traite les données personnelles pour le compte du Responsable de traitement
• "Données personnelles" : Toute information se rapportant à une personne physique identifiée ou identifiable (client final)
• "Traitement" : Toute opération appliquée à des données personnelles (collecte, enregistrement, organisation, structuration, conservation, modification, extraction, consultation, utilisation, communication, diffusion, effacement, destruction)
• "Violation de données" : Violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée de données personnelles ou l'accès non autorisé à de telles données
• "Personne concernée" : Client final du Client dont les données personnelles sont traitées

Le présent accord a pour objet de définir les conditions dans lesquelles Popscore (Sous-traitant) traite les données personnelles pour le compte du Client (Responsable de traitement) dans le cadre de la fourniture des services suivants :

• Gestion et réponses aux avis Google
• Campagnes SMS marketing
• Programmes de fidélité et cartes dématérialisées
• Jeux interactifs et animations commerciales
• Analyse statistique et reporting

Le présent DPA s'applique à tous les traitements de données personnelles effectués par Popscore pour le compte du Client dans le cadre de l'exécution des CGV.

3.1. Nature des données traitées

3.2. Catégories de personnes concernées

Les personnes concernées sont les clients finaux du Client (consommateurs, utilisateurs des services du Client).

3.3. Finalités du traitement

Les données sont traitées exclusivement pour les finalités suivantes, sur instruction du Client :

• Envoi de campagnes SMS marketing aux clients ayant consenti
• Gestion des programmes de fidélité et attribution de récompenses
• Collecte et réponse aux avis Google (via intelligence artificielle)
• Organisation de jeux concours et attribution de lots
• Analyse statistique et génération de rapports pour le Client
• Envoi de communications marketing (avec consentement préalable)
• Gestion des demandes d'exercice de droits RGPD

Le présent accord prend effet à la date de souscription de l'abonnement et reste en vigueur pendant toute la durée du contrat commercial entre les parties.

À la fin du contrat (résiliation, expiration), Popscore s'engage à :

• Restituer au Client l'ensemble des données personnelles dans un format structuré et couramment utilisé (export CSV/JSON)
• Supprimer toutes les copies des données personnelles dans un délai maximum de 30 jours après la résiliation
• Certifier par écrit la suppression effective des données (sauf obligation légale de conservation)

Exception : Les données de facturation et comptables seront conservées 10 ans conformément aux obligations légales (Code de commerce).

Popscore s'engage à :

5.1. Traiter les données selon les instructions

Ne traiter les données personnelles que sur instruction documentée du Client, y compris en ce qui concerne les transferts de données vers un pays tiers ou une organisation internationale, à moins que le droit de l'UE ou le droit français n'exige un traitement.

5.2. Garantir la confidentialité

Veiller à ce que les personnes autorisées à traiter les données s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

5.3. Assurer la sécurité des données

Mettre en œuvre toutes les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, notamment :

• Chiffrement des données en transit (SSL/TLS) et au repos
• Authentification forte et gestion des accès (principe du moindre privilège)
• Pseudonymisation et anonymisation quand c'est possible
• Sauvegardes régulières et plans de reprise d'activité
• Monitoring et détection des intrusions
• Tests de sécurité et audits réguliers
• Formation continue des équipes à la sécurité et au RGPD

5.4. Gérer les sous-traitants ultérieurs

Popscore fait appel aux sous-traitants ultérieurs suivants :

Le Client autorise expressément le recours à ces sous-traitants. Tout nouveau sous-traitant ultérieur sera notifié au Client au moins 30 jours avant sa mise en œuvre, le Client pouvant s'y opposer pour des motifs légitimes.

5.5. Assister le Client dans ses obligations

Aider le Client, dans la mesure du possible et compte tenu de la nature du traitement, à répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité, limitation, opposition).

5.6. Notifier les violations de données

En cas de violation de données personnelles, Popscore s'engage à notifier le Client dans les 48 heures maximum après en avoir pris connaissance, en fournissant au minimum les informations suivantes :

• Nature de la violation et catégories de données concernées
• Nombre approximatif de personnes concernées
• Conséquences probables de la violation
• Mesures prises ou envisagées pour remédier à la violation

5.7. Mettre à disposition la documentation

Mettre à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations prévues par le RGPD et permettre la réalisation d'audits, y compris des inspections, par le Client ou un auditeur qu'il a mandaté, et contribuer à ces audits.

Le Client s'engage à :

• Fournir à Popscore des instructions claires et documentées pour le traitement des données
• Obtenir tous les consentements nécessaires auprès de ses clients finaux avant toute collecte de données (notamment pour les SMS marketing)
• Informer ses clients finaux de l'identité du sous-traitant (Popscore) et des traitements réalisés
• Garantir la licéité, loyauté et transparence des traitements
• Ne collecter que des données adéquates, pertinentes et limitées aux finalités poursuivies
• S'assurer de l'exactitude et de la mise à jour des données
• Respecter les durées de conservation appropriées
• Tenir un registre des activités de traitement conformément à l'article 30 du RGPD
• Indemniser Popscore de toute réclamation, action ou sanction résultant d'un manquement du Client à ses obligations RGPD

Certains sous-traitants de Popscore (notamment OpenAI, Stripe) peuvent traiter des données en dehors de l'Union Européenne.

Dans ce cas, Popscore s'assure que des garanties appropriées sont mises en place conformément au chapitre V du RGPD :

• Signature de Clauses Contractuelles Types approuvées par la Commission Européenne
• Vérification des certifications de conformité (Privacy Shield, ISO 27001, SOC 2, etc.)
• Évaluation des risques et mise en place de mesures supplémentaires si nécessaire
• Documentation et transparence sur les transferts effectués

Le Client est informé et accepte expressément ces transferts de données hors UE dans le cadre de la fourniture des services.

Le Client ou un auditeur mandaté par lui a le droit de réaliser des audits et inspections pour vérifier la conformité de Popscore aux obligations du présent DPA.

Modalités :

• Les audits doivent être notifiés à Popscore au moins 30 jours à l'avance
• Ils ne peuvent avoir lieu plus d'une fois par an (sauf en cas de violation de données)
• Ils doivent être réalisés pendant les heures ouvrables et ne pas perturber les opérations
• L'auditeur doit signer un accord de confidentialité
• Les frais d'audit sont à la charge du Client

Popscore fournira sur demande :

• Ses politiques de sécurité et de protection des données
• Les certifications et rapports d'audit externes (ISO 27001, etc.)
• Les résultats de ses tests de sécurité

9.1. Responsabilité solidaire (Article 82 RGPD)

Conformément à l'article 82 du RGPD, Popscore et le Client peuvent être tenus solidairement responsables des dommages causés par un traitement non conforme au RGPD.

9.2. Répartition des responsabilités

• Popscore est responsable des manquements à ses obligations de sous-traitant (sécurité, confidentialité, notification de violations, etc.)
• Le Client est responsable des manquements à ses obligations de responsable de traitement (licéité, obtention des consentements, information des personnes, etc.)

9.3. Indemnisation

Chaque partie s'engage à indemniser l'autre partie de tout préjudice, réclamation, amende ou sanction administrative résultant d'un manquement à ses obligations au titre du présent DPA ou du RGPD.

Le présent DPA peut être modifié par Popscore pour tenir compte :

• Des évolutions législatives et réglementaires
• Des recommandations des autorités de contrôle (CNIL, CEPD)
• De l'ajout de nouveaux sous-traitants ou services

Toute modification substantielle sera notifiée au Client au moins 30 jours avant son entrée en vigueur. Le Client pourra résilier le contrat si les modifications ne lui conviennent pas.

Le présent DPA est régi par le droit français et le RGPD.

En cas de litige relatif à l'interprétation ou à l'exécution du présent accord, les parties s'efforceront de trouver une solution amiable. À défaut, le litige sera porté devant les tribunaux français compétents.

🛡️ Autorité de contrôle : Les personnes concernées ont le droit d'introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) - www.cnil.fr