ANNEXE 2 : Accord sur le Traitement des Données

Le présent Accord sur le Traitement des Données ("Accord") fait partie de la Convention de Services ("Convention Principale") conclu entre le Client et Uningo.

Considérant que

(A) Le Client souhaite sous-traiter certains Services, qui impliquent le traitement de Données à Caractère Personnel, à Uningo.

(B) Les Parties cherchent à mettre en œuvre un accord de traitement des données conforme aux exigences du cadre juridique actuel en matière de traitement des données et au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données).

(C) Les parties souhaitent fixer leurs droits et obligations.

Il est convenu ce qui suit:

  1. Définitions et interprétation
    1. Sauf définition contraire, les termes et expressions en majuscules utilisés dans le présent accord ont la signification suivante :
      1. "Accord" signifie le présent Accord sur le Traitement des Données et toutes les éventuelles Annexes;
      2. Le "Contrôleur" (ou “Data Controller” en anglais) est la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des Données à Caractère Personnel ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou des États membres, le responsable du traitement ou les critères spécifiques de sa désignation peuvent être prévus par le droit de l'Union ou des États membres ;
      3. "Données à Caractère Personnel" signifie toutes les Données à Caractère Personnel traitées par un Responsable du Traitement des Données pour le compte d’un tiers (le Client ou le Sympathisant) conformément à ou en relation avec la Convention Principale. Ces données comprennent, mais ne sont pas limitées aux données suivantes:
        1. les données, médias et informations personnelles du Client, communiquées par le Client ou ses employés, prestataires, ou agents, dans le cadre de la Convention Principale, y compris, de manière non exhaustive: nom, numéro d’entreprise, adresse postale, adresses email, logo, photos, descriptions, etc.;
        2. les données, médias et informations personnelles des Sympathisants Uningo, communiquées par les Sympathisants d’eux-mêmes, y compris, de manière non exhaustive: nom, prénom, email, adresse, messages, photos, etc.;
        3. les données, médias et informations personnelles des Sympathisants du Client, communiquées par le Client.
      4. "EEE" signifie l'Espace Économique Européen ;
      5. "Organisation Sans But Lucratif (ou “OSBL”) Uningo” désigne le Client et en général toute organisation sans but lucratif (association, fondation, école, etc.) faisant ou ayant fait usage des Services de Uningo;
      6. Interaction Uningo” signifie toute éventualité où un Sympathisant et une OSBL Uningo sont mis en relation; y compris de manière non exclusive: visionnent un profil, communiquent, échangent des données, paient pour un bien ou un service, font un don; au moyen des Services Uningo
      7. "Lois de l'UE sur la Protection des Données" désigne la directive 95/46/CE de l'UE, telle que transposée dans la législation nationale de chaque État membre et telle que modifiée, remplacée ou supplantée de temps à autre, y compris par le RGPD et les lois mettant en œuvre ou complétant le RGPD ;
      8. "Lois sur la Protection des Données” signifie les Lois sur la protection des données de l'UE et, dans la mesure où elles sont applicables, les lois sur la protection des données ou la vie privée de tout autre pays;
      9. Page(s)” désigne la ou les page(s) internet et les contenus de la section affectée au Client sur le Site internet Uningo (y compris la page de profil Uningo du Client et chaque pagerelative aux Interactions Uningo proposés sur le Site internet);
      10. Processeur” (“Data Processor” en anglais) désigne une personne physique ou morale, une autorité publique, un service ou un autre organisme qui traite des Données à Caractère Personnel pour le compte du Contrôleur;
      11. "RGPD" désigne le Règlement Général de l'UE sur la Protection des Données 2016/679 ;
      12. "Services" signifie les services que Uningo fournit, tels que décrits dans la Convention Principale;
      13. Site internet” désigne le site internet à l'adresse www.uningoapp.com
      14. Sympathisant(s)” désigne les Sympathisants du Client et les Sympathisants Uningo.
      15. Sympathisant(s) du Client” signifie les donateurs, les bénévoles, les candidats bénévoles, les mécènes, les abonnés aux newsletters et en général toute personne qui interagit avec le Client et dont le Client possède des Données à Caractère Personnel obtenues en dehors des Services de Uningo et que le Client transmet à Uningo pour leur traitement via les Services de Uningo; Exemple: Une liste de donateurs, ayant fait un don autrement qu’au moyen des Services de Uningo, et que le Client décide de partager avec Uningo pour réconcilier les données des dons et gérer les attestations fiscales via Uningo.
      16. “Sympathisant(s) Uningo” signifie les donateurs, les bénévoles, les candidats bénévoles, les mécènes, les visiteurs du Site internet et en général toute personne qui fait usage des Services de Uningo pour interagir avec le Client et qui transmet à Uningo des Données à Caractère Personnel pour leur traitement via les Services de Uningo; Exemple: Un donateur qui fait un don au Client via les Services Uningo et qui décide de se créer un profil de donateur sur Uningo et/ou de partager ses données avec Uningo pour s’abonner à une newsletter de Uningo.
      17. Traitement” : signifie toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des Données à Caractère Personnel ou à des ensembles de Données à Caractère Personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction ;
  2. Traitement des Données à Caractère Personnel
    1. Uningo et le Client reconnaissent chacun qu'en vertu de la Législation en matière de protection des données à caractère personnel :
      1. concernant les Données à Caractère Personnel des Sympathisants Uningo, le Client et Uningo agissent chacun en qualité de Contrôleurs indépendants du traitement des Données à Caractère Personnel.
      2. concernant les Données à Caractère Personnel du Client, le Client agit en tant que Contrôleur des Données et Uningo est le Processeur des Données
      3. concernant les Données à Caractère Personnel des Sympathisants du Client, le Client agit en tant que Contrôleur des données et Uningo est le Processeur des Données;
  3. Lorsque Uningo et le Client sont des Contrôleurs indépendants, chacun reconnaît et accepte que:
    1. chaque Partie est responsable de sa propre conformité en tant que Contrôleur avec la législation sur la protection des données, y compris le RGPD. Concrètement, cela signifie que chaque Partie porte sa propre responsabilité en cas de non-conformité ou de violation de la législation en vigueur. Une Partie n’indemnisera pas l’autre Partie dans ce cas (contraire à ce qu’est énoncé à l’article 17 du présent Accord, applicable en cas de relation Contrôleur-Processeur);
    2. chaque Partie doit rapidement notifier à l’autre partie tout dommage accidentel ou intentionnel, altération, destruction, divulgation non autorisée, perte, mauvaise utilisation ou vol de ou aux Données à Caractère Personnel de tout Sympathisant de Uningo auquel le Client a accès (" Incident de sécurité " ). Chaque Partie doit fournir une pleine coopération et une assistance rapide à l’autre Partie en ce qui concerne ses efforts pour (i) enquêter, remédier et atténuer les effets de l'Incident de sécurité, et (ii) se conformer aux obligations de notification aux personnes, clients ou autorités réglementaire;
    3. chaque Partie ne doit pas faire, ou omettre de faire, et doit s'assurer que ses employés, bénévoles et autres représentants ne font pas ou omettent de faire, quoi que ce soit qui pourrait amener l’autre Partie ou ses affiliés à être en violation de toute disposition de toute législation sur la protection des données et prendre toutes les mesures raisonnables pour assurer la fiabilité de ses employés, prestataires et agents qui peuvent avoir accès aux Données à Caractère Personnel et s'assurer que ce personnel et ces agents sont informés de la nature confidentielle des Données à Caractère Personnel;
    4. chaque Partie s'engage à mettre en œuvre et à maintenir des mesures techniques et organisationnelles appropriées en ce qui concerne son traitement des Données à Caractère Personnel, suffisantes pour se conformer à la législation sur la protection des données et pour protéger les Données à Caractère Personnel contre tout traitement non autorisé ou illégal et contre toute perte, destruction, dommage, vol, altération ou divulgation accidentelle;
    5. le Client s'engage à ne traiter les Données à Caractère Personnel des Sympathisants Uningo que dans le cadre des Services décrits dans la Convention Principale, sauf dans le cas où le Sympathisant Uningo a expressément marqué son consentement au Client qu’il acceptait une utilisation plus étendue de ses Données à Caractère Personnel par le Client; et
    6. Le Client reconnaît que les Données à Caractère Personnel du Sympathisant Uningo restent la propriété de Uningo. Uningo accorde au Client une licence non exclusive et non transmissible pour utiliser les Données à Caractère Personnel des Sympathisants ayant eu une Interaction Uningo avec le Client afin d'exploiter son organisation, sous réserve du respect continu par le Client des dispositions de la Convention Principale.
  4. Lorsque le Client est le Contrôleur de données et Uningo est le Processeur de données:
    1. Le Client donne instruction à Uningo de traiter les Données à Caractère Personnel du Client et les Données à Caractère Personnel des Sympathisants du Client, nécessaires pour lui fournir les Services décrits dans la Convention Principale.
    2. Ces Données à Caractère Personnel seront traitées par Uningo, conformément aux obligations de l'article 28 du RGPD (https://gdpr.eu/article-28-processor/)
    3. Uningo ne traitera pas les Données à Caractère Personnel du Client autrement que pour fournir au Client les Services décrits dans la Convention Principale et selon les éventuelles instructions documentées du Client.
  5. Durée du traitement concerné
    1. Le présent Accord entre en vigueur à la date à laquelle il est signé par les Parties.
    2. Le présent Accord s'applique aussi longtemps qu’Uningo traite les Données à Caractère Personnelles au nom du Client en exécution du Convention Principale. Si la Convention Principale prend fin, le présent Accord prendra fin automatiquement. L’Accord ne peut pas être résilié séparément. En tout état de cause, les obligations d’Uningo relative au Traitement subsisteront jusqu'à ce que les Données à Caractère Personnelles aient été effacées correctement ou jusqu'à ce qu'elles aient été renvoyées au Client à sa demande.
    3. Dans le cas d’une infraction au présent Accord ou au RGPD, le Client peut donner l’instruction à Uningo d'arrêter le Traitement de toutes ou certaines Données à Caractère Personnelles, avec effet immédiat.
    4. Après la résiliation du présent Accord, les engagements en cours d’Uningo, tels que le signalement des Fuites de Données, dans lesquels les Données à Caractère Personnelles du Client sont impliquées et l'obligation de maintenir la confidentialité, continueront.
  6. Utilisation des Données à Caractère Personnel des Sympathisants
    1. Le Client garantit, déclare et s'engage à ne traiter les Données à Caractère Personnel des Sympathisants que dans le respect de la Législation sur la protection des données et notamment à ce que lui-même, ses salariés, ses bénévoles, ses prestataires, ses partenaires et ses fournisseurs n'envoient des communications promotionnelles ou des nouvelles qu'aux Sympathisants qui ont donné leur consentement pour les recevoir. L'utilisation par le Client des Données à Caractère Personnel des Sympathisants est entreprise au seul risque du Client, le Client étant responsable de s'assurer que son utilisation, celle de ses employés, de ses contractants, de ses partenaires et de ses fournisseurs est entièrement conforme à toute la Législation sur la Protection des Données applicable.
    2. Le Client peut envoyer des communications de type promotionnelles ou des nouvelles aux Sympathisants dont les coordonnées sont stockées dans Uningo qui 6.2.1. ont donné leur consentement via une case "opt-in" lors de leur dernière Interaction avec le Client pour recevoir ces communications du Client, pour les Sympathisants Uningo (cette information est accessible en tout temps via les Services de Uningo) ; ou 6.2.2. ont donné leur consentement pour ce type de communication d’une autre manière, pour les Sympathisants du Client.
    3. Dans le cas où le Client traite, en dehors des Services de Uningo, des Données à Caractère Personnel de Sympathisants:
      1. le Client prend l’unique responsabilité du bon traitement et de la sécurité des Données à Caractère Personnel qu’il choisit de traiter hors des Services de Uningo et se conforme alors à toutes les lois applicables en matière de protection des données dans le cadre du Traitement des Données à Caractère Personnel; et
      2. Uningo se décharge de la responsabilité du traitement et de la sécurité des Données à Caractère Personnel de Sympathisants traitées en dehors des Services de Uningo.
  7. Personnel du Processeur de Données

    8. Uningo prend des mesures raisonnables pour garantir la fiabilité de tout employé, agent ou sous-traitant qui peut avoir accès aux Données à Caractère Personnel du Client ou des Sympathisants, en veillant dans chaque cas à ce que l'accès soit strictement limité aux personnes qui ont besoin connaître/accéder aux Données à Caractère Personnel concernées, comme cela est strictement nécessaire aux fins de la Convention Principale, et pour se conformer aux Lois applicables dans le cadre des fonctions de cette personne auprès du Processeur de Données, en veillant à ce que toutes ces personnes soient soumises à des engagements de confidentialité ou à des obligations professionnelles ou légales de confidentialité.

  8. Sécurité
    1. En tenant compte de l'état des connaissances actuelles, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du Traitement, ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques, Uningo met en œuvre, en ce qui concerne les Données à Caractère Personnel du Client et des Sympathisants, des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté à ce risque, y compris, le cas échéant, les mesures visées à l'article 32, paragraphe 1, du RGDP (https://gdpr.eu/article-32-security-of-processing/). A la demande du Client, Uningo peut fournir une liste détaillée des mesures techniques et organisationnelles mises en place.
    2. En évaluant le niveau de sécurité approprié, Uningo tient compte en particulier des risques que présente le Traitement, notamment d'une violation de Données à Caractère Personnel.
  9. Sous-traitement

    10. Uningo ne doit pas divulguer des Données à Caractère Personnel du Client ou des Sympathisants à un Sous-traitant, sauf si cela est requis pour le bon fonctionnement des Services décrits dans la Convention Principale ou si cela est requis par le Client. Uningo veillera à faire respecter à ses sous-traitants les mêmes exigences en termes de traitement de données que celles garanties par Uningo vis-à-vis du Client. La liste des sous-traitants peut être mise à disposition du Client à sa demande.

  10. Droits de la Personne Concernée (“Data Subject” en anglais)
    1. Dans le cas où une Personne Concernée demande à l'une ou l'autre des parties d'exercer un ou plusieurs des droits accordés aux Personnes Concernées en vertu de la législation sur la protection des données, dans la mesure où l'une ou l'autre des parties a raisonnablement besoin de la contribution ou de l'assistance de l'autre partie afin de donner effet à l'un des droits accordés, l'autre partie doit fournir cette contribution ou cette assistance dans un délai raisonnable, chaque partie assumant ses propres coûts pour ce faire
    2. Chaque Partie doit informer rapidement l’autre Partie si elle reçoit une demande d'une Personne Concernée en vertu de toute Loi sur la protection des données concernant les Données à Caractère Personnel du Client.
    3. Dans le cas où l'une des Parties reçoit une demande d'une autorité de protection des données pour des informations relatives au présent Accord ou à la relation entre les Parties, cette Partie doit rapidement en informer l'autre, sauf si la loi l'interdit.
    4. Uningo assiste le Client dans l’exécution de ses obligations en vertu du RGPD (art. 32 jusqu’à l’article 36).
  11. Violation de Données à Caractère Personnel
    1. Uningo doit informer le Client sans retard excessif et au plus tard dans les 7 jours dès qu'il a connaissance d'une violation de Données à Caractère Personnel affectant les Données à Caractère Personnel du Client, en fournissant au Client des informations suffisantes (la nature de l’infraction, catégories des données personnelles, catégories des personnes concernées, approximation du nombre de registres concernés, les conséquences probables de l’infraction ; et mesures prises ou proposées pour limites les conséquences de l’infraction) pour lui permettre de satisfaire à toute obligation de signaler ou d'informer les Personnes Concernées par la violation de données à caractère personnel en vertu des lois sur la protection des données.
    2. Uningo doit coopérer avec le Client et prendre des mesures commerciales raisonnables selon les instructions du Client pour aider à l'enquête, à l'atténuation et à la correction de chacune de ces Violations de Données à Caractère Personnel.
  12. Uningo doit fournir une assistance raisonnable au Client pour toute évaluation de l'impact sur la Protection des Données, et toute consultation préalable avec les Autorités de contrôle ou autres autorités compétentes en matière de confidentialité des données, que le Client considère raisonnablement comme requises par l'article 35 ou 36 du RGDP ou des dispositions équivalentes de toute autre Loi sur la protection des données, dans chaque cas uniquement en relation avec le Traitement des Données à Caractère Personnel du Client par les Responsables du Traitement des Données sous contrat, et en tenant compte de la nature du Traitement et des informations dont ils disposent. Uningo doit fournir les informations requises dans un délai de 14 jours, suivant la notification.
  13. Suppression ou retour des Données à Caractère Personnel:
    1. Concernant les Donnée à Caractère Personnel du Client: Uningo doit rapidement et, en tout état de cause, dans un délai de 10 jours ouvrables à compter de la date de cessation de tout Service impliquant le Traitement de Données à Caractère Personnel du Client, supprimer et faire supprimer ou restituer (aux choix du Client) toutes les copies de ces Données à Caractère Personnel du Client qui ne sont pas liées au Services de Uningo pour les Sympathisants, sauf si la législation applicable exige la conservation des Données à Caractère Personnelles.. Exemple: Lors de la suppression de votre compte, Uningo supprimera toutes les informations liées à votre profil Uningo, et votre organisation ne sera plus accessible sur Uningo. Cependant, pour des raisons de suivi financier, un Sympathisant qui vous aura fait un don par le passé et possède un compte Uningo pour traiter son historique personnel de dons, pourra toujours voir via son profil privé qu’il a fait un don pour votre organisation.
    2. Concernant les Données à Caractère Personnel d’un Sympathisant du Client: Uningo doit rapidement et, en tout état de cause, dans un délai de 10 jours ouvrables à compter de la date de cessation de tout Service impliquant le Traitement de Données à Caractère Personnel des Sympathisants du Client, supprimer et faire supprimer ou restituer (aux choix du Client) toutes les copies de ces Données à Caractère Personnel des Sympathisants du Clients qui ne sont pas également Sympathisants Uningo,sauf si la législation applicable exige la conservation des Données à Caractère Personnelles.. Exemple: Lors de la suppression de votre compte, Uningo supprimera toutes les informations liées aux sympathisants que vous auriez rajouté à Uningo manuellement. Cependant si un de vos sympathisant a créé un profil Uningo, ses données sont dès lors traitées par Uningo et ne seront pas supprimées.
  14. Droits d'audit
    1. Uningo doit mettre à la disposition du Client, sur demande, toutes les informations nécessaires pour démontrer le respect du présent Accord, et doit permettre et contribuer aux audits, y compris les inspections, par le Client ou un auditeur mandaté par le Client en ce qui concerne le Traitement des Données à Caractère Personnel du Client et des Sympathisants du Client.
    2. Uningo se réserve le droit de facturer le Client pour les frais engendrés (temps et matériels) par cet audit si cet audit ne révèle aucun manquement de la part de Uningo.
  15. Transfert de données
    1. Dans le cas où le Client et Uningo agissent en tant que Contrôleurs indépendants des Données, si le Client, ses affiliés ou ses fournisseurs ont besoin de transférer les Données à Caractère Personnel des Sympathisants Uningo vers des lieux situés en dehors de l'Espace Economique Européen, le Client prend l'entière responsabilité (et accepte l'entière responsabilité) de s'assurer que ces Données à Caractère Personnel sont traitées en pleine conformité avec la législation sur la protection des données.
    2. Uningo ne peut transférer ou autoriser le transfert de Données à Caractère Personnel du Client ou des Sympathisants du Client vers des pays situés en dehors de l'UE et/ou de l'Espace économique européen (EEE) sans le consentement écrit préalable du Client. Si les Données à Caractère Personnel traitées en vertu du présent Accord sont transférées d'un pays de l'Espace économique européen vers un pays situé en dehors de l'Espace économique européen, les Parties s'assurent que les Données à Caractère Personnel sont protégées de manière adéquate. Pour ce faire, les Parties s'appuient, sauf accord contraire, sur les clauses contractuelles types approuvées par l'UE pour le transfert de données à caractère personnel et prennent les mesures supplémentaires nécessaires.
  16. Conditions générales
    1. Confidentialité. Chaque Partie doit préserver la confidentialité du présent Accord et des informations qu'elle reçoit sur l'autre Partie et ses activités en rapport avec le présent Accord (" Informations confidentielles ") et ne doit pas utiliser ou divulguer ces Informations confidentielles sans le consentement écrit préalable de l'autre Partie, sauf dans la mesure où :
      1. la divulgation est exigée par la loi ;
      2. les informations pertinentes sont déjà dans le domaine public.
    2. Avis. Toutes les notifications et communications données en vertu du présent Accord doivent être faites par écrit et seront remises en mains propres, envoyées par la poste à l'adresse indiquée à la première page du présent Accord, envoyées par courrier électronique à l'adresse électronique admin@uningo.eu ou envoyées à toute autre adresse notifiée de temps à autre par les Parties changeant d'adresse.
    3. Uningo peut modifier cet Accord à tout moment si le changement est nécessaire pour refléter les fonctionnalités modifiées ou ajoutées du Service Uningo, pour respecter la loi, pour des raisons commerciales raisonnables ou pour protéger ses intérêts légitimes.
    4. Uningo informera le Client des éventuelles modifications de cet Accord dans la mesure du possible et si la loi permet un tel délai au moins 1 mois avant l'entrée en vigueur des nouvelles conditions de l’Accord, via les adresses électroniques renseignées par le Client ou utilisées par le Client pour son utilisation des Services Uningo. Le Client ne s'opposera pas de manière déraisonnable à ces modifications. Si les modifications de l’Accord ne conviennent pas au Client, le Client n’utilisera plus les services de Uningo et pourra mettre fin à la Convention en respectant la procédure de terminaison décrite dans la Convention Principale.
  17. Responsabilité
    1. Cette clause n’est applicable que dans le cas où le Client agit en tant que Contrôleur des Données et Uningo est le Processeur.
    2. Dans ce cas, Uningo est responsable des dommages directs causés par le traitement si 1) les obligations du RGPD et/ou de toute autre législation applicable spécifique n'ont pas été respectées lors du Traitement et/ou 2) lorsque le Traitement était effectué en dehors ou en violation des instructions légales du Client et ou 3) Uningo viole ses obligations sous le présent Accord.
    3. Uningo est responsable pour tout dommage, y inclus une amende administrative imposée au Client par l’Autorité de contrôle ou toute autre autorité, si le dommage subi résulte d’un comportement illégal ou négligent par Uningo. Uningo devra sauvegarder et/ou réparer le dommage du Client dans le cas d’une plainte ou procédure d’un tiers suite à une violation par Uningo.
    4. Le Client n'est pas responsable des plaintes des Personnes Concernées ou tiers (par exemple d'autres personnes et organisations avec lesquelles Uningo a constitué un partenariat ou pour lesquelles Uningo traite des Données à caractère Personnelles), si cela résulte d'actions illégales ou négligentes par Uningo. Uningo devra sauvegarder et/ou réparer le dommage du Client dans le cas d’une plainte ou procédure d’un tiers suite à une violation par Uningo.
    5. Uningo n'est en aucun cas responsable du contenu des données transférées par le Client. Le Client est exclusivement responsable de la collecte, de l'utilisation et du transfert des Données Personnelles à Uningo. Le Client sauvegardera et / ou dédommagera Uningo en cas de plainte ou de réclamation d'un tiers relative à une infraction commise par le Client
    6. En aucun cas les pénalités déclarées ne dépassent les limites établies au paragraphe 9 de la Convention Principale.

EN FOI DE QUOI, le présent accord est conclu avec effet à la date de signature de la Convention Principale.