1- QUALITE DES PARTIES
Conformément à l’article 26 du Règlement européen 2016/679 du 27 avril 2016
relatif à la protection des personnes physiques à l’égard du traitement des
données à caractère personnel et à la libre circulation de ces données
(ci-après « RGPD »), les Parties sont responsables conjoints de traitement car
elles déterminent conjointement les moyens et finalités du traitement.
2- OBLIGATIONS
Dans le cadre de
l’exécution de leurs prestations telles que définies au Contrat, les Parties
sont amenées à traiter des données personnelles qui ont pour finalité la
réalisation des Opérations de paiement en application du Contrat-cadre de
Services de paiement. Les Parties s’engagent à :
a.
Respecter les lois et règlementations applicables en matière de protection des
données personnelles, notamment le RGPD et la loi du 6 janvier 1978 modifiée
relative à l’informatique, aux fichiers et aux libertés ;
b.
Collecter et traiter les données personnelles de manière licite, loyale et
transparente, pour des finalités déterminées, explicites et légitimes ;
c.
Informer au préalable les personnes dont les données sont traitées ;
d.
Garder les données personnelles strictement confidentielles ;
e.
Prendre les mesures de sécurité organisationnelles, physiques et techniques
appropriées afin de protéger les données personnelles ;
f. Ne pas transférer hors de l’Union européenne (y compris donner un accès pour
consultation hors de l’Union européenne) de données personnelles, sauf vers des
pays présentant un niveau de protection dit « adéquat » au sens des autorités
européennes de protection des données personnelles, soit vers des organismes
ayant signé des clauses contractuelles types telles qu’édictées par les
autorités européennes ou des règles internes d’entreprise ;
g.
Répercuter sur ses éventuels sous-traitants les obligations qui lui incombent
au titre de la réglementation relative à la protection des données à caractère
personnel des clients ;
h.
Informer les personnes concernées de leurs droits, à savoir : le droit d’accès,
le droit de rectification, le droit à la portabilité, le droit à la limitation
du traitement, le droit d’opposition et le droit à l’effacement ;
i.
Indiquer les informations relatives au délégué à la protection des données,
ainsi que le possible recours auprès de l’autorité de contrôle ;
j. Notifier au responsable conjoint de
traitement d’une demande d’exercice des droits dans les meilleurs délais si la
demande concerne l’autre Partie. Les Parties s’entraident afin de traiter les
demandes. Chaque Partie s’abstient de répondre directement à une demande qui ne
la concerne pas sans le consentement préalable écrit de l’autre Partie. Chaque
Partie répondra à sa discrétion aux demandes des dites personnes et autorités
de protection des données à caractère personnel
si elle la concerne ;
k. Notifier à l’autorité
compétence dans les meilleurs délais toute violation de données et, si
possible, 72 heures au plus tard après en avoir pris connaissance, à moins que
la violation en question ne soit pas susceptible d'engendrer un risque pour les
droits et libertés des personnes physiques ;
l. Notifier à son responsable de traitement conjoint, toute
violation de données dans les meilleurs délais et, si possible 72 heures au
plus tard après en avoir pris connaissance ;
m. Tenir un registre des activités de traitement opérées dans
le cadre du présent Contrat, conforme à l’article 30 du RGPD ;
n. Transmettre les informations nécessaires à la bonne tenue
de son registre de sous-traitant ;
o. Transmettre les noms et coordonnées du délégué à la
protection des données personnelles ;
p. S’informer mutuellement de toutes modifications des
traitements opérés dans le cadre du présent Contrat et notamment, sans que
cette liste ne soit limitative, en cas d’évolution des finalités du traitement
ou des mesures de sécurité techniques et organisationnelles qui sont mises en oeuvre ;
q. Assumer la responsabilité en cas de défaillance provenant
de leurs sous-traitants ;
r. Etablir un point de
contact entre les Parties : DPO DC CASHLESS® - dpo@dc-ipay.com
s. A mettre en oeuvre les mesures organisationnelles
et techniques appropriées à la nature, la portée, au contexte, à l’objet du
traitement, à la probabilité et à la gravité des risques encourus pour les
droits et libertés des personnes en cas de destruction, de perte, d’altération,
de divulgation des données à caractère personnel ou d’accès non autorisé, afin
d'assurer la sécurité physique et logique des données à caractère personnel,
conformément au plus haut des standards suivants :
• l’état de l’art et des recommandations publiées par les
autorités de protection des données à caractère
personnel ou les autorités administratives compétentes en matière de sécurité informatique ;
• standards en vigueur dans l’industrie, notamment les normes
ISO.
3- FINALITE DES TRAITEMENTS
Chaque
Partie détermine, sous sa responsabilité, les finalités des traitements dans le
présent contrat, ainsi que leurs durées de conservation respectives :
• La
gestion des Comptes de paiement ;
• La gestion du KYC ;
• La gestion LCB-FT.
4- CATEGORIE DES DONNEES PERSONNELLES
Les
données personnelles traitées par les Parties concernent :
• Les données d’identité / d’état
civil ;
• Les données de connexion ;
• Les données
d’information d’ordre économique et financière.
Les données
Email d’inscription et Date de naissance ne sont pas considérées comme Données
Personnelles telle que définies dans l’article 6.
5- OBLIGATION DES SOUS TRAITANTS
Les sous-traitants
doivent être autorisés à procéder par écrit préalablement par leur responsable
de traitement respectif. Les sous-traitants répondent aux mêmes engagements que ceux de la présente clause :
a. Respecteront en tout temps leurs obligations ;
b. Prendront toutes les mesures nécessaires à la protection
de la sécurité et de la confidentialité des données personnelles, y compris en
cas de transfert des données hors Union européenne ;
c. Obtiendront préalablement et par écrit l’autorisation de leur responsable de traitement afin
de procéder à des transferts de données hors Union européenne ;
d. Fourniront les garanties suivantes pour veiller à la mise
en oeuvre des mesures de confidentialité et de
sécurité :
i. Indépendance ;
ii. Etablissement et fourniture à première demande de la
documentation décrivant la confidentialité mise en oeuvre
au sein de la solution pour protéger les données personnelles ;
iii. Conclusion de clauses contractuelles types encadrant un
éventuel transfert des données à un sous-traitant ultérieur qui ne serait pas
situé dans l’Union européenne, ou de tout dispositif équivalent dûment reconnu
par les autorités de contrôle ;
iv. Contrôles et audits internes réguliers de nature à
vérifier la permanence des dispositifs et procédures de protection internes des
données personnelles, pendant tout le temps de leur conservation ;
v. Mise en oeuvre et maintien d’une
procédure de signalement de toute violation ou tout accès non autorisé aux
données, avéré ou suspecté, conduisant à l’alerte dans les meilleurs délais du
responsable de traitement et le cas échéant
de l’autorité de
contrôle et de la personne concernée ;
vi. Mise en oeuvre et maintien d’une procédure de réception et
d’exécution des demandes d’exercice des droits des personnes.
6- LIMITATION DE L’UTILISATION DES DONNEES
Les
Parties s’engagent à s’abstenir d’exploiter ou utiliser, faire des copies ou
créer des fichiers des données personnelles au sein des systèmes d’informations
à ses propres fins ou pour le compte de tiers.
DC-CASHLESS®
s’engage à ne fournir aucune donnée d’ordre personnelle ou confidentielle à
toute personne tierce à la communauté DC-CASHLESS®.
Seuls
seront communiqués aux inscrits vendeurs les coordonnées email et date de
naissance des inscrits acheteurs et uniquement pour des transactions effectuées
entre l’acheteur et le vendeur. Cette information n’est diffusée auprès du
vendeur uniquement à des fins de statistiques. En aucun cas, DC-CASHLESS® ne
peut être tenu pour responsable de la diffusion ou de l’utilisation de ces
données par l’inscrit vendeur. En aucun cas, DC-CASHLESS® ne pourra intervenir
dans un quelconque litige entre le vendeur et l’acheteur sur la gestion de ces
2 informations.
Il
appartient à l’inscrit acheteur de s’assurer de la bonne utilisation des
données par l’inscrit vendeur.
7- SECURITE DES DONNEES ET TRANSPARENCE
Les
mesures de sécurité devront garantir la confidentialité, l’intégrité, la
disponibilité des données à caractère personnel, la traçabilité de l’accès, à
tout moment et inclure notamment :
a. Le chiffrement des données à caractère personnel conformément aux exigences
de l'état de l'art en la matière ;
b. La formation du personnel susceptible d'accéder aux données à caractère
personnel aux bonnes pratiques de sécurité de l'information et de conformité
réglementaire ;
c. L'identification et la sécurisation des locaux (par exemple : accès
verrouillés, accès restreint et nécessitant une autorisation et une
authentification) ;
d. L’identification et le contrôle strict des accès du personnel aux données à
caractère personnel et aux Environnements supportant les Services délivrés
(comptes nominatifs, politique de mots de passe, traçabilité des accès et
actions, revue des comptes...) ;
e. La sécurité logique (par exemple : segmentation réseau, durcissement des
configurations,
Sondes anti-intrusions, firewalls, authentification et
archivage des accès sur les données à caractère personnel,
simulations d’incidents, clocks synchronization)
;
f. La protection des interfaces d'administration contre les
accès non autorisés (utilisation de VPN, authentification forte, utilisation de
protocoles sécurisés et chiffrés) ;
g. Le maintien en conditions de sécurité de l'ensemble des
éléments sous la responsabilité de Lemon Way (backups, security
monitoring, patch management) ;
h. Pour les systèmes exposés sur les réseaux publics,
l'implémentation des mesures de sécurité adaptées (reverse proxy, WAF,
anti-DDoS) ;
i. La mise en oeuvre d’une
architecture technique répondant
aux exigences
exprimées par le Client en matière de disponibilité ;
j. La sécurisation des flux d'échanges de données à caractère
personnel de manière qu'ils ne puissent être exploités par un tiers non
autorisé ;
k. L’historicisation des activités sur le système
informatique ;
l. La protection des Environnements informatiques par
logiciel antivirus à jour (programmes et signatures virales) ;
m. La destruction sécurisée des données à caractère personnel
;
n. La mise en place de
procédures de contrôles pour s'assurer du niveau de sécurité (par exemple :
tests d’intrusion, des scans de vulnérabilité, des audits de sécurité…).