ARTICLE 1Objet
Le présent accord (« DPA ») a pour objet d'encadrer le traitement des données à caractère personnel confié par l'Abonné à ENYWERE SAS dans le cadre de l'utilisation du Service Livre de Police, conformément à l'article 28 du RGPD. Il complète les Conditions Générales d'Abonnement et d'Utilisation et la Politique de confidentialité, dont il fait partie intégrante.
ARTICLE 2Qualité des parties
Pour les données que l'Abonné enregistre dans le Service concernant ses propres clients, acheteurs, vendeurs, prospects et contacts :
- l'Abonné agit en qualité de responsable de traitement ; il détermine les finalités et les moyens et garantit disposer d'une base légale ;
- ENYWERE SAS agit en qualité de sous-traitant ; elle traite ces données uniquement pour fournir le Service et sur instruction documentée de l'Abonné.
ARTICLE 3Description du traitement
| Nature des opérations | Collecte, enregistrement, organisation, conservation, consultation, hébergement, structuration, extraction et suppression réalisés via le Service. |
|---|---|
| Finalité | Permettre à l'Abonné de tenir son livre de police et de gérer son activité de revente d'objets d'occasion (registre des objets, stock, recherche, extraits certifiés, relation client). |
| Durée | La durée de l'abonnement, puis selon l'article 11 ci-après. |
| Catégories de personnes | Clients, acheteurs, vendeurs, prospects et contacts de l'Abonné ; utilisateurs habilités par l'Abonné. |
| Catégories de données | Identité, coordonnées, données relatives aux objets et transactions, échanges commerciaux. L'Abonné s'interdit d'enregistrer des données sensibles non nécessaires à son activité. |
ARTICLE 4Instructions du responsable de traitement
ENYWERE SAS traite les données uniquement sur la base des instructions documentées de l'Abonné, telles que matérialisées par les CGV, le présent DPA et l'usage des fonctionnalités du Service. Si ENYWERE SAS estime qu'une instruction constitue une violation du RGPD, elle en informe l'Abonné. ENYWERE SAS ne traite les données à d'autres fins que si le droit de l'Union ou national l'y oblige, auquel cas elle en informe l'Abonné sauf interdiction légale.
ARTICLE 5Confidentialité
ENYWERE SAS veille à ce que les personnes autorisées à traiter les données s'engagent au respect de la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité, et reçoivent la formation nécessaire en matière de protection des données.
ARTICLE 6Sécurité du traitement
ENYWERE SAS met en œuvre les mesures techniques et organisationnelles appropriées au sens de l'article 32 du RGPD : chiffrement des flux (TLS), contrôle d'accès, cloisonnement, journalisation, sauvegardes, mécanismes d'intégrité (horodatage et empreinte cryptographique du registre), et procédures de restauration. Ces mesures sont susceptibles d'évoluer pour maintenir un niveau de sécurité adapté au risque.
ARTICLE 7Sous-traitants ultérieurs
L'Abonné autorise ENYWERE SAS à recourir aux sous-traitants ultérieurs ci-dessous pour l'exécution du Service. Chacun est soumis à des obligations de protection des données équivalentes à celles du présent DPA.
| Sous-traitant ultérieur | Rôle | Localisation |
|---|---|---|
| IONOS SE | Hébergement de l'infrastructure | Union européenne (Allemagne) |
| Prestataire de paiement, si activé | Traitement des règlements en ligne uniquement lorsqu'un module de paiement est activé | UE / transferts encadrés |
| Brevo (Sendinblue) | Acheminement des e-mails | Union européenne |
| Plateformes de diffusion | Publication d'annonces à la demande de l'Abonné | Selon la plateforme |
En cas de changement (ajout ou remplacement) de sous-traitant ultérieur, ENYWERE SAS en informe l'Abonné par tout moyen avec un préavis raisonnable, permettant à l'Abonné de formuler des objections légitimes. À défaut d'objection motivée, le changement est réputé accepté.
ARTICLE 8Assistance aux droits des personnes
Dans la mesure du possible, ENYWERE SAS aide l'Abonné, par des mesures techniques et organisationnelles appropriées (notamment fonctionnalités d'export, de rectification et de suppression), à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, limitation, portabilité, opposition). Lorsqu'une personne s'adresse directement à ENYWERE SAS, celle-ci réoriente la demande vers l'Abonné responsable de traitement.
ARTICLE 9Notification des violations de données
ENYWERE SAS notifie à l'Abonné toute violation de données personnelles dans les meilleurs délais après en avoir pris connaissance, en lui fournissant les informations utiles pour lui permettre, le cas échéant, de notifier l'autorité de contrôle dans le délai de 72 heures (art. 33) et d'informer les personnes concernées (art. 34).
ARTICLE 10Analyse d'impact et coopération
ENYWERE SAS apporte à l'Abonné, compte tenu de la nature du traitement et des informations à sa disposition, une assistance raisonnable pour la réalisation d'analyses d'impact relatives à la protection des données (AIPD) et, le cas échéant, pour la consultation préalable de l'autorité de contrôle (art. 35 et 36).
ARTICLE 11Sort des données en fin de contrat
Au terme du Contrat, et au choix de l'Abonné exprimé avant l'échéance, ENYWERE SAS restitue les données (via les fonctionnalités d'export) puis les supprime ou les anonymise, ainsi que les copies existantes, dans un délai de trente (30) jours, sauf obligation légale de conservation. Les sauvegardes résiduelles sont purgées selon le cycle technique habituel.
ARTICLE 12Documentation et audit
ENYWERE SAS met à la disposition de l'Abonné les informations nécessaires pour démontrer le respect de ses obligations et permettre la réalisation d'audits, dans des conditions raisonnables (préavis, périodicité, confidentialité, prise en charge des coûts par le demandeur), sans compromettre la sécurité des autres Abonnés ni les secrets d'affaires.
ARTICLE 13Transferts hors Union européenne
Les données sont hébergées au sein de l'Union européenne. Tout transfert éventuel de données vers un pays tiers par un sous-traitant ultérieur est encadré par les garanties appropriées prévues au chapitre V du RGPD (clauses contractuelles types et/ou Data Privacy Framework).