DATA PROCESSING ADDENDUM (DPA)

1. Objet

Le présent Data Processing Addendum (ci-après le « DPA ») encadre le traitement des données personnelles effectué par la société Crenas pour le compte de son Client, conformément au Règlement (UE) 2016/679 relatif à la protection des données personnelles (RGPD).

Le présent DPA fait partie intégrante des Conditions Générales applicables entre les parties. En cas de contradiction, le présent DPA prévaut pour toutes les questions relatives à la protection des données personnelles.

2. Rôles des parties

Le Client agit en qualité de Responsable de traitement, au sens du RGPD.

Crenas agit en qualité de Sous-traitant, traitant les données personnelles pour le compte du Client.

Crenas s’engage à traiter les données personnelles uniquement sur instructions documentées du Client, sauf obligation légale contraire à laquelle Crenas serait tenue.

3. Nature des données traitées

Les données personnelles susceptibles d’être traitées dans le cadre du Service incluent notamment :

• données clients e-commerce,
• données de commandes et de ventes,
• données de performance commerciale et marketing,
• données issues de plateformes tierces connectées par le Client (notamment CMS e-commerce, plateformes publicitaires, outils analytics).

Aucune donnée sensible au sens de l’article 9 du RGPD n’est intentionnellement traitée.

4. Finalités du traitement

Les données personnelles sont traitées exclusivement pour les finalités suivantes :

• fournir, exploiter et maintenir le Service,
• assurer la sécurité, le support et la maintenance technique,
• améliorer la qualité et la fiabilité du Service.

5. Mesures de sécurité et confidentialité

Crenas met en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, conformément à l’article 32 du RGPD.

Crenas veille à ce que les personnes autorisées à traiter les données personnelles s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

En cas de violation de données personnelles, Crenas notifiera le Client dans les meilleurs délais après en avoir pris connaissance, conformément aux exigences du RGPD.

6. Sous-traitants ultérieurs et transferts

Crenas peut recourir à des sous-traitants ultérieurs pour des besoins strictement techniques, notamment pour :

• l’hébergement cloud,
• l’infrastructure technique,
• les services de sécurité, de supervision et de maintenance.

Lorsque des données personnelles font l’objet d’un transfert hors de l’Union européenne, Crenas s’assure que ce transfert est encadré par des garanties appropriées, notamment par la mise en place de Clauses Contractuelles Types approuvées par la Commission européenne, ou tout autre mécanisme reconnu comme adéquat au sens du RGPD.

7. Assistance et droits des personnes concernées

Crenas assiste le Client, dans la mesure du raisonnable et compte tenu de la nature du traitement, afin de lui permettre de :

• répondre aux demandes d’exercice des droits des personnes concernées,
• respecter ses obligations en matière de sécurité,
• notifier les violations de données personnelles,
• réaliser, le cas échéant, des analyses d’impact relatives à la protection des données, conformément au RGPD.

8. Fin du contrat

À la fin du contrat, les données personnelles sont, au choix du Client, supprimées ou restituées.

9. Audit

Le Client peut, à ses frais, réaliser un audit portant sur le respect du présent DPA par Crenas, sous réserve que cet audit :

• ne perturbe pas le fonctionnement du Service,
• respecte les obligations de confidentialité,
• soit réalisé après information préalable raisonnable de Crenas.

10. Droit applicable

Le présent DPA est régi par le droit portugais, tout en restant soumis aux dispositions impératives du RGPD.