Data Processing Addendum

Le présent Data Processing Addendum, ci-après le “DPA” ou “Accord de sous-traitance”, encadre les conditions dans lesquelles Crenas Lda traite des données personnelles pour le compte de ses clients dans le cadre de l’utilisation de la plateforme Crenas.

Le présent DPA fait partie intégrante des Conditions Générales d’Utilisation et de Vente de Crenas, sauf accord écrit spécifique conclu entre Crenas et le Client.

En cas de contradiction entre le présent DPA et les Conditions Générales, le présent DPA prévaut uniquement pour les questions relatives au traitement des données personnelles effectué par Crenas en qualité de sous-traitant.

Le présent DPA est conclu entre :

Crenas Lda
Société de droit portugais
Email de contact : contact@crenas.com

Ci-après “Crenas” ou le “Sous-traitant”,

Et le client professionnel utilisant ou souscrivant à la plateforme Crenas,

Ci-après le “Client” ou le “Responsable de traitement”.

Crenas et le Client sont ci-après désignés ensemble les “Parties”.

Dans le présent DPA, les termes données personnelles, traitement, responsable du traitement, sous-traitant, personne concernée, violation de données personnelles et autorité de contrôle ont le sens qui leur est donné par le Règlement Général sur la Protection des Données, dit RGPD.

Sont également définis comme suit :

Données Client : données, informations, contenus, fichiers, connecteurs, paramètres et données issues des sources connectées par le Client à la plateforme Crenas.

Données personnelles du Client : données personnelles contenues dans les Données Client et traitées par Crenas pour le compte du Client.

Sources connectées : outils, services, comptes, boutiques, plateformes publicitaires, analytics, catalogues, CMS, flux produits ou autres services tiers connectés par le Client à Crenas.

Services : plateforme SaaS Crenas et services associés fournis au Client.

Dans le cadre du présent DPA :

• le Client agit en qualité de Responsable de traitement pour les Données personnelles du Client ;
• Crenas agit en qualité de Sous-traitant, lorsqu’elle traite ces données pour le compte du Client dans le cadre des Services.

Le Client détermine les finalités et les moyens principaux du traitement des Données personnelles du Client.

Crenas traite les Données personnelles du Client uniquement sur instruction documentée du Client et dans la mesure nécessaire à la fourniture des Services.

Les traitements pour lesquels Crenas agit en qualité de responsable de traitement, notamment la gestion du site, des comptes utilisateurs, de la relation commerciale, du support, de la facturation ou de la sécurité générale de la plateforme, sont décrits dans la politique de confidentialité de Crenas et ne relèvent pas du présent DPA.

Crenas traite les Données personnelles du Client uniquement sur la base des instructions documentées du Client.

Les instructions documentées du Client comprennent notamment :

• les présentes dispositions ;
• les Conditions Générales applicables ;
• les paramètres configurés par le Client dans la plateforme ;
• les sources connectées par le Client ;
• les permissions accordées par le Client via les connecteurs ;
• les demandes écrites adressées par le Client à Crenas ;
• les instructions transmises dans le cadre du support ou de l’accompagnement.

Crenas s’engage à ne pas traiter les Données personnelles du Client pour d’autres finalités que celles nécessaires à la fourniture des Services, sauf obligation légale contraire.

Si Crenas estime qu’une instruction du Client constitue une violation du RGPD ou d’une autre règle applicable en matière de protection des données, Crenas en informe le Client dans la mesure permise par la loi.

Crenas traite les Données personnelles du Client afin de fournir les Services.

Les finalités du traitement peuvent inclure :

• la connexion aux sources choisies par le Client ;
• la synchronisation des données nécessaires au fonctionnement de la plateforme ;
• la structuration et l’organisation des données issues des sources connectées ;
• la génération de tableaux de bord, signaux, alertes, diagnostics, synthèses et recommandations ;
• l’identification des produits, campagnes, segments ou décisions à traiter en priorité ;
• le suivi de certains indicateurs e-commerce, acquisition, catalogue, clients ou performance business ;
• la maintenance, la supervision, la sécurité et le support technique ;
• la correction d’erreurs, la prévention d’incidents et l’amélioration de la fiabilité du Service ;
• la restitution, l’export ou la suppression des données à la demande du Client ou à la fin du contrat.

Crenas ne prend pas de décision commerciale, marketing ou opérationnelle à la place du Client. Les informations fournies par la plateforme constituent une aide à la décision.

Selon les sources connectées par le Client et les fonctionnalités utilisées, les Données personnelles du Client peuvent inclure :

• données d’identification de clients finaux ;
• données de contact, lorsque celles-ci sont synchronisées ;
• données de commandes ;
• données d’achats ;
• données de paniers ;
• données de remboursements ou retours ;
• données de segmentation client ;
• données relatives à la rétention, fréquence d’achat ou historique d’achat ;
• données issues d’outils marketing ou analytics ;
• identifiants techniques ou pseudonymes ;
• données d’événements ou d’interactions liées à l’activité e-commerce ;
• données relatives aux campagnes, canaux ou sources d’acquisition lorsque celles-ci sont associées à des clients, commandes ou segments.

Crenas ne demande pas au Client de connecter ou transmettre des données sensibles au sens du RGPD.

Le Client s’engage à ne pas transmettre volontairement de données sensibles, sauf si cela est strictement nécessaire, licite, documenté et préalablement convenu avec Crenas par écrit.

Les personnes concernées peuvent inclure, selon les données connectées par le Client :

• clients finaux du Client ;
• prospects du Client ;
• utilisateurs de la boutique e-commerce du Client ;
• visiteurs ou acheteurs associés à des commandes, paniers ou parcours d’achat ;
• contacts marketing lorsque ceux-ci sont synchronisés ;
• utilisateurs autorisés du Client lorsque leurs données sont intégrées aux Données Client.

Crenas traite les Données personnelles du Client pendant la durée nécessaire à la fourniture des Services et pendant la durée du contrat conclu avec le Client.

À la fin du contrat, les Données personnelles du Client sont supprimées ou restituées selon les modalités prévues au présent DPA, sauf obligation légale, nécessité de preuve, sécurité, sauvegarde temporaire ou instruction contraire du Client.

Le Client s’engage à :

• respecter le RGPD et toute réglementation applicable en matière de protection des données ;
• disposer d’une base légale appropriée pour collecter, traiter et transmettre les Données personnelles du Client à Crenas ;
• informer les personnes concernées de manière claire et conforme ;
• obtenir les consentements nécessaires lorsque cela est requis ;
• s’assurer que les données connectées à Crenas sont pertinentes, nécessaires et proportionnées ;
• ne pas transmettre de données illicites, excessives ou sensibles sans base légale appropriée ;
• gérer correctement les droits, rôles et permissions des utilisateurs au sein de son organisation ;
• veiller à la conformité des sources connectées et des services tiers utilisés ;
• répondre aux demandes des personnes concernées, sauf assistance demandée à Crenas.

Le Client demeure seul responsable du contenu, de la qualité, de l’exactitude et de la licéité des Données personnelles du Client.

Crenas s’engage à :

• traiter les Données personnelles du Client uniquement sur instructions documentées ;
• assurer la confidentialité des Données personnelles du Client ;
• mettre en œuvre des mesures de sécurité appropriées ;
• limiter l’accès aux Données personnelles du Client aux personnes autorisées ;
• informer le Client en cas de violation de données personnelles dans les conditions prévues au présent DPA ;
• assister le Client, dans la mesure du raisonnable, pour répondre aux obligations prévues par le RGPD ;
• encadrer le recours à des sous-traitants ultérieurs ;
• supprimer ou restituer les Données personnelles du Client à la fin du contrat, sous réserve des exceptions applicables ;
• mettre à disposition du Client les informations raisonnablement nécessaires pour démontrer le respect du présent DPA.

Crenas veille à ce que les personnes autorisées à traiter les Données personnelles du Client soient soumises à une obligation de confidentialité appropriée, qu’elle soit contractuelle, professionnelle ou légale.

Les accès internes aux Données personnelles du Client sont limités aux personnes ayant besoin d’y accéder pour fournir, maintenir, sécuriser ou supporter le Service.

Crenas met en œuvre des mesures techniques et organisationnelles appropriées afin d’assurer un niveau de sécurité adapté au risque.

Ces mesures peuvent inclure, selon les cas :

• contrôle des accès ;
• gestion des rôles et permissions ;
• journalisation des accès et événements techniques ;
• sécurisation des connexions ;
• surveillance de l’infrastructure ;
• sauvegardes ;
• limitation des accès internes ;
• séparation logique des comptes clients ;
• procédures de gestion des incidents ;
• mesures de protection contre les accès non autorisés ;
• sécurisation des environnements techniques ;
• gestion des mises à jour et correctifs de sécurité ;
• limitation et contrôle des accès aux systèmes de production.

Crenas peut faire évoluer ses mesures de sécurité dans le temps, sous réserve de maintenir un niveau de protection approprié au regard des risques.

Le Client reconnaît qu’aucun système informatique ne peut être garanti comme totalement sécurisé.

Compte tenu de la nature du traitement et des informations à sa disposition, Crenas assiste le Client, dans la mesure du raisonnable, afin de lui permettre de respecter ses obligations au titre du RGPD, notamment concernant :

• la sécurité du traitement ;
• la notification de violations de données personnelles ;
• la réalisation d’analyses d’impact relatives à la protection des données lorsque nécessaire ;
• la consultation préalable d’une autorité de contrôle lorsque celle-ci est requise ;
• la gestion des demandes d’exercice de droits des personnes concernées.

Cette assistance est fournie dans la limite des capacités techniques de Crenas et de la nature des Services.

Lorsque l’assistance demandée dépasse le support standard, Crenas peut facturer cette assistance selon des conditions à convenir avec le Client.

Le Client est responsable du traitement des demandes d’exercice des droits des personnes concernées.

Si Crenas reçoit directement une demande relative aux Données personnelles du Client, Crenas peut :

• transmettre la demande au Client ;
• inviter la personne concernée à contacter directement le Client ;
• assister le Client dans le traitement de la demande, lorsque cela est techniquement possible et raisonnable.

Crenas ne répond pas directement à une demande relative aux Données personnelles du Client sans instruction du Client, sauf obligation légale contraire.

En cas de violation de données personnelles concernant les Données personnelles du Client, Crenas notifie le Client dans les meilleurs délais après en avoir pris connaissance.

La notification contient, lorsque ces informations sont disponibles :

• la nature de la violation ;
• les catégories de données concernées ;
• les catégories de personnes concernées ;
• les conséquences probables de la violation ;
• les mesures prises ou proposées pour y remédier ;
• les coordonnées du point de contact utile.

Crenas peut compléter ces informations progressivement lorsque toutes les informations ne sont pas immédiatement disponibles.

Le Client reste responsable de déterminer si la violation doit être notifiée à l’autorité de contrôle compétente ou aux personnes concernées, sauf obligation légale directement applicable à Crenas.

Le Client autorise Crenas à recourir à des sous-traitants ultérieurs pour les besoins de la fourniture des Services.

Ces sous-traitants ultérieurs peuvent notamment intervenir pour :

• l’hébergement ;
• l’infrastructure cloud ;
• la sécurité ;
• la supervision ;
• l’envoi d’emails transactionnels ;
• le support ;
• la facturation ;
• les paiements ;
• le monitoring ;
• la maintenance technique ;
• les outils nécessaires au fonctionnement de la plateforme.

Crenas veille à ce que ses sous-traitants ultérieurs soient soumis à des obligations de protection des données substantiellement équivalentes à celles prévues dans le présent DPA.

Crenas demeure responsable envers le Client de l’exécution des obligations confiées à ses sous-traitants ultérieurs, dans les limites prévues par les Conditions Générales et le présent DPA.

Crenas tient à disposition du Client une liste des sous-traitants ultérieurs utilisés pour fournir les Services.

Cette liste peut être fournie sur demande ou publiée sur une page dédiée.

Crenas informe le Client de tout changement significatif concernant l’ajout ou le remplacement d’un sous-traitant ultérieur lorsque ce changement est susceptible d’avoir un impact sur le traitement des Données personnelles du Client.

Le Client peut formuler une objection raisonnable et motivée dans un délai raisonnable après notification du changement.

Si les Parties ne parviennent pas à une solution raisonnable, le Client peut résilier les Services concernés, selon les modalités prévues aux Conditions Générales.

Crenas s’efforce de traiter les Données personnelles du Client au sein de l’Union européenne ou de l’Espace économique européen lorsque cela est possible.

Toutefois, certains sous-traitants ultérieurs ou services techniques peuvent impliquer un transfert de données en dehors de l’Union européenne ou de l’Espace économique européen.

Dans ce cas, Crenas s’assure que le transfert est encadré par un mécanisme reconnu par le RGPD, tel que :

• une décision d’adéquation de la Commission européenne ;
• des clauses contractuelles types ;
• des règles d’entreprise contraignantes ;
• ou tout autre mécanisme légalement reconnu.

Lorsque des clauses contractuelles types sont utilisées, elles sont complétées, si nécessaire, par des mesures supplémentaires appropriées au regard du contexte du transfert.

Crenas peut produire et utiliser des données statistiques, agrégées ou anonymisées issues de l’utilisation du Service, à condition que ces données ne permettent pas d’identifier directement ou indirectement le Client, ses utilisateurs, ses clients finaux ou sa boutique.

Ces données peuvent être utilisées pour :

• améliorer le Service ;
• mesurer la performance technique ;
• développer de nouvelles fonctionnalités ;
• établir des tendances générales ;
• produire des benchmarks anonymisés ;
• améliorer la fiabilité des analyses et recommandations.

Ces données agrégées ou anonymisées ne constituent pas des Données personnelles du Client lorsqu’elles ne permettent plus d’identifier une personne ou une organisation de manière directe ou indirecte.

Crenas ne vend pas les Données personnelles du Client.

Crenas met à disposition du Client les informations raisonnablement nécessaires pour démontrer le respect des obligations prévues par le présent DPA.

Le Client peut demander des informations ou justificatifs relatifs aux mesures de conformité de Crenas, dans la limite de ce qui est raisonnable, proportionné et compatible avec la sécurité de la plateforme et la confidentialité des autres clients.

Lorsqu’un audit est nécessaire, celui-ci doit respecter les conditions suivantes :

• être demandé avec un préavis raisonnable ;
• être réalisé pendant les horaires ouvrés ;
• ne pas perturber le fonctionnement du Service ;
• respecter les règles de sécurité et de confidentialité de Crenas ;
• ne pas donner accès aux données d’autres clients ;
• être réalisé par un auditeur indépendant soumis à une obligation de confidentialité ;
• être limité aux traitements concernés par le présent DPA.

Crenas peut refuser ou limiter un audit qui présenterait un risque pour la sécurité, la confidentialité, la disponibilité du Service ou les données d’autres clients.

Les frais liés à l’audit sont à la charge du Client, sauf disposition contraire écrite entre les Parties.

À la fin du contrat ou sur demande écrite du Client, Crenas supprime ou restitue les Données personnelles du Client, au choix du Client, dans la mesure techniquement possible et sauf obligation légale contraire.

Sauf accord contraire, la suppression ou la restitution intervient dans un délai raisonnable après la fin du contrat ou la demande du Client.

Certaines copies peuvent subsister temporairement dans les sauvegardes, journaux techniques ou archives de sécurité, jusqu’à leur suppression automatique selon les cycles de conservation applicables.

Crenas ne réutilise pas ces copies à des fins opérationnelles, sauf nécessité de sécurité, restauration, preuve ou obligation légale.

En cas de résiliation des Services, le Client est invité à exporter les données dont il souhaite conserver une copie avant la fin effective de l’accès au Service, lorsque des fonctionnalités d’export sont disponibles.

Après expiration de l’accès, Crenas peut rendre les Données Client inaccessibles, puis les supprimer selon ses procédures internes et les obligations légales applicables.

Si une autorité de contrôle ou une autorité administrative compétente demande à Crenas des informations relatives aux Données personnelles du Client, Crenas en informe le Client lorsque la loi l’autorise.

Crenas coopère raisonnablement avec le Client dans le cadre de toute demande ou contrôle portant sur les traitements réalisés pour le compte du Client.

La responsabilité des Parties au titre du présent DPA est régie par les Conditions Générales, sauf disposition impérative contraire prévue par le RGPD ou une réglementation applicable.

Chaque Partie est responsable du respect de ses propres obligations au titre de la réglementation applicable en matière de protection des données.

Le présent DPA entre en vigueur à compter de l’acceptation des Conditions Générales ou de la première utilisation des Services par le Client.

Il reste applicable pendant toute la durée pendant laquelle Crenas traite des Données personnelles du Client pour le compte du Client.

Certaines obligations, notamment la confidentialité, la sécurité, la suppression des données et les restrictions d’utilisation, survivent à la fin du contrat pour la durée nécessaire à leur objet.

Crenas peut modifier le présent DPA afin de refléter :

• les évolutions du Service ;
• les évolutions légales ou réglementaires ;
• les changements de sous-traitants ultérieurs ;
• les évolutions techniques ou organisationnelles ;
• les exigences de sécurité ou de conformité.

En cas de modification substantielle, Crenas pourra informer le Client par email, notification dans la plateforme ou tout autre moyen approprié.

La poursuite de l’utilisation du Service après l’entrée en vigueur du DPA modifié vaut acceptation, sauf disposition impérative contraire.

Le présent DPA est régi par le droit portugais, sous réserve des dispositions impératives du RGPD et de toute réglementation applicable en matière de protection des données personnelles.

Objet du traitement

Fourniture de la plateforme Crenas, solution SaaS de pilotage e-commerce, permettant au Client de connecter différentes sources de données afin de faire remonter des signaux, diagnostics, alertes et recommandations utiles à ses décisions business.

Durée du traitement

Pendant la durée de l’abonnement ou de l’utilisation des Services, puis pendant les durées nécessaires à la suppression, restitution, sauvegarde, preuve ou respect des obligations légales applicables.

Nature des opérations

Les opérations réalisées peuvent inclure :

• collecte via connecteurs ;
• import ;
• synchronisation ;
• hébergement ;
• structuration ;
• organisation ;
• consultation ;
• analyse ;
• agrégation ;
• pseudonymisation lorsque applicable ;
• génération de signaux ;
• génération de diagnostics ;
• génération de recommandations ;
• affichage dans la plateforme ;
• export ;
• suppression ;
• sécurisation ;
• sauvegarde ;
• support et maintenance.

Finalités

Les finalités sont :

• fournir les Services ;
• permettre au Client de connecter ses sources ;
• analyser les données e-commerce, acquisition, catalogue et clients ;
• faire remonter des signaux importants ;
• aider le Client à prioriser ses décisions ;
• sécuriser et maintenir la plateforme ;
• fournir le support ;
• améliorer la fiabilité du Service.

Catégories de personnes concernées

Selon les données connectées :

• clients finaux du Client ;
• prospects ;
• visiteurs de boutique ;
• acheteurs ;
• contacts marketing ;
• utilisateurs autorisés du Client ;
• personnes associées à des commandes, paniers ou événements e-commerce.

Catégories de données

Selon les sources connectées :

• identifiants clients ;
• données de contact ;
• données de commande ;
• données d’achat ;
• historique d’achat ;
• données de panier ;
• données de remboursement ou retour ;
• données de segmentation ;
• données de rétention ;
• données de comportement d’achat ;
• données marketing ou analytics ;
• identifiants techniques ;
• données associées aux campagnes, produits ou canaux d’acquisition.

Données sensibles

Aucune donnée sensible n’est demandée ou intentionnellement traitée par Crenas dans le cadre standard des Services.

Crenas peut mettre en œuvre notamment les mesures suivantes :

• contrôle des accès utilisateurs ;
• gestion des rôles et permissions ;
• authentification sécurisée ;
• limitation des accès internes ;
• journalisation ;
• supervision technique ;
• sauvegardes ;
• séparation logique des comptes clients ;
• procédures de gestion des incidents ;
• sécurisation des flux ;
• surveillance des erreurs ;
• gestion des mises à jour ;
• gestion des accès aux environnements de production ;
• mesures de confidentialité internes ;
• procédures de support encadrées ;
• limitation des données consultées par les équipes Crenas au strict nécessaire.

Ces mesures peuvent évoluer dans le temps afin de maintenir un niveau de sécurité adapté aux risques.

Crenas peut recourir à des sous-traitants ultérieurs pour fournir les Services, notamment dans les catégories suivantes :

• hébergement et infrastructure cloud ;
• base de données ;
• stockage ;
• emailing transactionnel ;
• support client ;
• facturation ;
• paiement ;
• monitoring ;
• sécurité ;
• analytics technique ;
• outils internes de maintenance.

La liste nominative des sous-traitants ultérieurs peut être tenue à disposition du Client sur demande ou publiée sur une page dédiée.

Crenas met à jour cette liste en cas de changement significatif.