Accord sur le traitement des données

Prise d’effet le 16/01/2023

Modification effective à compter du 16/01/2023

Modification effective à compter du 10/12/2024

Le présent Accord sur le traitement des données (ci-après dénommé « Accord », « ATD ») fait partie intégrante et est soumis aux dispositions des Conditions d’utilisation spécifiques de SumUp applicables au(x) service(s) que vous utilisez (ci-après dénommées « Conditions annexes ») et à toutes autres Conditions générales applicables de SumUp, notamment, sans toutefois s’y limiter, les Conditions générales de SumUp (ci-après collectivement dénommées « Conditions générales »), conclues et convenues par et entre vous en tant que commerçant SumUp (ci-après dénommé « vous », « responsable du traitement ») et l’entité contractante de SumUp telle que mentionnée dans les Conditions annexes applicables (ci-après dénommée « SumUp », « nous », « sous-traitant »), faisant partie des entreprises du Groupe SumUp S.A.R.L. – Groupe SumUp.

SumUp traite les données de vos employés, clients et/ou visiteurs et clients de votre boutique et de votre site Internet, et/ou des utilisateurs de vos services (ci-après dénommés « vos utilisateurs », « utilisateurs » ou « utilisateurs finaux ») afin de fournir les Services prévus au titre des Conditions générales et des Conditions annexes. Le traitement de ces données par SumUp est dénommé ci-après « traitement » (tel que ce terme est défini dans la législation applicable en matière de protection des données). Le présent Accord définit les conditions de ce traitement par SumUp.

Chaque partie reconnaît que les dispositions du présent Accord sont applicables aux sociétés affiliées qui participent au traitement des données à caractère personnel aux fins de la fourniture des Services définis dans les Conditions annexes, et doit veiller au respect de ces dispositions par lesdites sociétés. En particulier, SumUp garantit que les opérations des sous-traitants impliquant le traitement des données à caractère personnel de vos utilisateurs sont régies par les mêmes conditions que celles du présent Accord.

1. Définitions

1.1. « Législation applicable en matière de protection des données » désigne toutes les lois relatives au traitement des données à caractère personnel dans le cadre des Conditions annexes, des Conditions générales et du présent Accord, y compris, sans toutefois s’y limiter, le Data Protection Act britannique de 2018, le Règlement général sur la protection des données de l’UE 2016/679 (ci-après dénommé « RGPD », « Règlement »), la Directive 2002/58/CE de l’UE sur la protection de la vie privée et les communications électroniques, telle que mis en œuvre dans chaque juridiction, et tous les amendements ou toutes les autres lois, réglementations et recommandations réglementaires internationales, régionales ou nationales applicables ou de remplacement en matière de protection des données.

1.2. Les termes « responsable du traitement »,« personne concernée »,« données à caractère personnel »,« traitement » et « sous-traitant » revêtent le sens qui leur est attribué dans la législation applicable en matière de protection des données.

1.3. Le terme « contenu » désigne votre contenu et tout contenu transmis à SumUp par vos utilisateurs, notamment du texte, des photos, des images, des fichiers audio/vidéo, des codes, des informations issues de cookies ou de technologies de suivi similaires et tout autre support.

1.4. « Vos données », « données concernant vos utilisateurs » désignent les données à caractère personnel apparaissant dans le contenu traité par SumUp, pour votre compte, dans le cadre de nos Services, et/ou les données de votre équipe (comme vos employés, comptables ou d’autres tiers) et/ou clients qui sont traitées pour votre compte aux fins du bon fonctionnement de nos Services. Les données à caractère personnel dont SumUp est responsable en vertu du présent ATD et de la politique de confidentialité de SumUp ne constituent pas des données concernant vos utilisateurs. 

1.5. L’ensemble des termes figurant dans le présent Accord qui n’ont pas de définition explicite dans la présente section auront la signification qui leur est donnée dans les Conditions annexes. Si aucune définition spécifique ne figure dans les Conditions générales ou dans les Conditions annexes, ces termes auront la signification qui leur est donnée dans la législation applicable en matière de protection des données.

2. Application

Le présent Accord s’applique uniquement aux données concernant vos utilisateurs traitées par SumUp en votre nom et aux fins de la fourniture des Services que vous utilisez. Vous reconnaissez que la responsabilité de SumUp ne saurait être engagée à l’égard des données à caractère personnel que vous avez décidé de traiter au moyen de services tiers ou en dehors des Services, y compris grâce aux systèmes de tout autre service cloud tiers ou de stockage hors ligne ou sur site.

3. Informations concernant le traitement des données

SumUp traitera les données à caractère personnel selon les dispositions énoncées dans l’Annexe 1 des présentes.

4. Droits et obligations

4.1. Dans la mesure où les données concernant vos utilisateurs sont traitées par SumUp pour votre compte et où ce traitement est régi par la législation applicable en matière de protection des données, vous reconnaissez qu’aux fins de la fourniture des Services par SumUp, vous agissez en qualité de responsable du traitement de ces données à caractère personnel, et qu’en ayant recours aux Services de SumUp, vous avez confié à SumUp le traitement des données concernant vos utilisateurs pour votre compte, conformément au présent Accord.

4.2. Vous pouvez à tout moment revenir sur votre acceptation du présent Accord, mais veuillez noter que SumUp ne sera alors plus en mesure de vous fournir les services.

4.3. En sa qualité de sous-traitant de données à caractère personnel, SumUp :

a. traite les données de vos utilisateurs uniquement aux fins spécifiées dans le présent Accord et conformément aux lois en vigueur et aux dispositions du présent Accord ;

b. agit et traite les données concernant vos utilisateurs dans le strict respect des instructions écrites communiquées par vos soins, excepté si une loi applicable, une ordonnance judiciaire ou une mesure législative exige que SumUp agisse en l’absence d’une telle instruction. En concluant le présent Accord, vous donnez instruction à SumUp de traiter les données concernant vos utilisateurs uniquement aux fins de l’exécution des Services tels que ceux-ci sont décrits dans le présent Accord et dans les Conditions annexes. Sous réserve des dispositions du présent Accord et avec l’accord de SumUp, vous êtes en droit de communiquer d’autres instructions écrites conformes aux termes du présent Accord ;

c. garantit que les personnes autorisées à traiter les données à caractère personnel ont signé une clause de confidentialité ou sont légalement tenues de respecter un devoir de confidentialité ;

d. garantit que l’accès aux données à caractère personnel est octroyé sur la base du besoin d’en savoir concernant la fourniture des Services en vertu des Conditions annexes ;

e. est chargée de s’assurer que les données de vos utilisateurs sont traitées par les employés/sous-traitants et/ou tout agent dans le strict respect de vos instructions ;

f. vous informera immédiatement si nous avons des raisons de penser que certaines instructions sont en contradiction avec la législation applicable en matière de protection des données ;

g. est tenue de protéger les données concernant vos utilisateurs en vertu du présent Accord contre toute destruction, altération, perte ou tout autre traitement non autorisé. À cette fin, SumUp prend les mesures de sécurité appropriées conformément au droit en vigueur. SumUp est susceptible de mettre en place des mesures alternatives appropriées, qui ne sauraient fournir un niveau de sécurité inférieur à celui de ces alternatives. SumUp vous assistera dans la mise en place des mesures techniques et organisationnelles appropriées qui s’imposent et, compte tenu de la nature du traitement et de la catégorie des données dont dispose SumUp, vous aidera à respecter les obligations qui vous incombent en vertu de la législation applicable en matière de protection des données ;

h. mettra à votre disposition, sur simple demande dans la mesure du raisonnable, les certificats, de même que toute autre information nécessaire, attestant que SumUp a satisfait à ses obligations en vertu du présent Accord et de la législation applicable en matière de protection des données. Les informations pouvant être mises à disposition par SumUp sont limitées aux informations strictement nécessaires, compte tenu de la nature des Services et des informations dont dispose SumUp, afin que vous puissiez satisfaire à vos obligations, en particulier à l’égard de l’analyse d’impact relative à la protection des données, de la consultation préalable et de la garantie de la sécurité des données à caractère personnel ;

i. vous aidera, dans un délai et une mesure raisonnables et moyennant des mesures appropriées (selon la nature du traitement) à respecter les droits des personnes concernées et à remplir toutes les obligations vous incombant en vertu de la législation en matière de protection des données ;

j. vous informera, si la loi applicable l’autorise, de la réception d’une demande ou d’une réclamation de la part d’une personne dont les données à caractère personnel sont incluses dans vos contenus, ou d’une demande contraignante de la part d’un gouvernement, d’un organe d’application de la loi, de réglementation ou autre, à l’égard des données de vos utilisateurs que nous traitons en votre nom et selon vos instructions.

4.4. En votre qualité de responsable du traitement, vous :

a. êtes tenu de collecter, d’utiliser et de traiter les données à caractère personnel conformément à l’ensemble des lois applicables en matière de protection des données ;

b. portez l’entière responsabilité de l’exactitude, de la qualité et de la légitimité du traitement des données de vos utilisateurs et des moyens par lesquels ces données ont été obtenues ;

c. garantissez un niveau de sécurité approprié dans le cadre du recours aux Services, en tenant compte des risques susceptibles d’affecter les données de vos utilisateurs ;

d. reconnaissez que tout stockage des données de vos utilisateurs sur toute plateforme de tiers autres que SumUp et/ou tout transfert de ces données vers une telle plateforme s’effectue à vos risques et sous votre entière responsabilité ;

e. garantissez que les instructions communiquées au sujet du traitement des données à caractère personnel sont conformes à l’ensemble des lois, règlementations et règles applicables aux données concernant vos utilisateurs. Vous veillerez également à ce que le traitement des données concernant vos utilisateurs conformément à vos instructions n’entraîne pour aucune des parties une quelconque violation des lois, règles ou règlementations applicables.

f. communiquez à vos clients les informations requises sur les modalités et la finalité du traitement de leurs données conformément aux obligations inscrites dans la législation applicable en matière de protection des données.

5. Notification de violation

La partie informera immédiatement l’autre partie (au plus tard dans les 48 heures) si elle vient à découvrir une violation de données à caractère personnel dans le cadre de leur traitement en vertu du présent Accord. SumUp vous apportera son aide afin que vous puissiez satisfaire aux obligations de notification qui vous incombent, vous communiquera les informations relatives à la violation que nous sommes en mesure de vous communiquer d’un point de vue raisonnable compte tenu de la nature des Services, des informations dont SumUp dispose et de toute restriction applicable à cette divulgation d’informations au titre de la confidentialité. Sans préjudice de ce qui précède, les obligations incombant à SumUp en vertu de la présente section ne s’appliquent pas aux incidents qui seraient de votre fait, qui résulteraient d’une activité réalisée pour votre compte et/ou de services de tiers. SumUp est tenue de coopérer et de vous assister dans le cadre de l’enquête afin d’atténuer les conséquences néfastes de la violation, de remédier à la violation de données à caractère personnel et de prévenir toute nouvelle violation de données similaire. Le fait que SumUp vous informe d’une violation de données à caractère personnel ne saurait impliquer que SumUp reconnaît et assume la responsabilité de cet incident. En cas de violation de données à caractère personnel, vous serez tenu de prendre les mesures qui s’imposent en vertu des lois en vigueur eu égard aux données concernant vos utilisateurs.

6. Sous-traitants

Vous autorisez par les présentes SumUp à recourir à des sous-traitants afin de fournir les Services sans qu’aucune autre autorisation écrite spécifique ne soit nécessaire. SumUp conclura un accord avec chaque sous-traitant garantissant un niveau de protection et de sécurité au moins égal à celui établi par les dispositions du présent Accord. En cas d’opposition de votre part à ce que nous recourions à un sous-traitant particulier et si votre opposition est raisonnable et fondée sur des préoccupations en matière de protection des données, nous déploierons des efforts commercialement raisonnables pour vous proposer un moyen d’éviter le traitement des données concernant vos utilisateurs par le sous-traitant concerné. Si nous ne sommes pas en mesure de mettre à disposition les modifications suggérées dans un délai raisonnable, nous vous en informerons et si vous maintenez votre opposition au recours à ce sous-traitant, vous pourrez annuler ou résilier votre compte ou, si possible, les parties des Services qui impliquent le recours à ce sous-traitant.

7. Transfert de données à caractère personnel

Le traitement des données concernant vos utilisateurs aura lieu au sein de l’Espace économique européen (« EEE ») et du Royaume-Uni. Tout transfert et tout traitement dans un pays tiers en dehors de l’UE/EEE et du Royaume-Uni ne garantissant pas un niveau adéquat de protection (le règlement sur l’adéquation au Royaume-Uni adopté, conformément à la législation applicable en matière de protection des données) doivent être effectués conformément aux clauses contractuelles types ou à tout autre mécanisme approprié garantissant un niveau adéquat de sécurité des données à caractère personnel, conformément aux exigences de la législation applicable en matière de protection des données.

8. Audits

Vous êtes en droit d’initier une vérification des obligations de SumUp en vertu du présent Accord une fois par an. Les deux parties décident ensemble si un tiers doit mener l’audit. Cependant, vous pouvez nous autoriser à sous-traiter l’examen de sécurité à un tiers neutre de notre choix. Si l’étendue proposée de l’audit suit un rapport ISO ou un rapport de certification similaire réalisé par un auditeur tiers qualifié au cours des douze derniers mois, et que SumUp confirme qu’il n’y a pas eu de changements importants dans les mesures en cours d’examen, cela répondra à toutes les demandes reçues dans ce délai. Les audits ne doivent pas interférer de manière excessive d’un point de vue raisonnable avec l’activité courante de SumUp. L’ensemble des coûts relatifs à votre demande d’audit seront à votre charge. Une fois par an, sur demande écrite préalable du responsable du traitement et dans la mesure de ce qu’exige la législation applicable en matière de protection des données, SumUp accepte de coopérer et de fournir au responsable du traitement dans un délai raisonnable :

(a) une synthèse des rapports d’audit démontrant l’efficacité des mesures techniques et organisationnelles prises par SumUp contre le traitement non autorisé ou illicite des données à caractère personnel et contre l’accès non autorisé, la perte accidentelle ou la destruction de ou les dommages causés aux données à caractère personnel et

(b) la confirmation que l’audit n’a révélé aucune vulnérabilité notable au niveau des systèmes de SumUp, ou dans le cas où une telle vulnérabilité aurait été détectée, que SumUp y a totalement remédié.

Si les mesures susmentionnées ne suffisent pas à confirmer la conformité avec la législation applicable en matière de protection des données ou révèlent des anomalies notables, le responsable du traitement peut demander, moyennant l’envoi un préavis écrit d’au moins trente (30) jours à SumUp, qu’un audit du programme de conformité de SumUp en matière de protection des données soit sous-traité à des auditeurs externes indépendants. Les deux parties s’entendent sur la sélection des auditeurs et sur la portée, le calendrier et la durée de l’audit. Le responsable du traitement prend toutes les mesures nécessaires pour en limiter les effets négatifs sur les activités de SumUp et assume la responsabilité de tous les coûts découlant de cette demande d’audit mais aussi des coûts liés aux effets négatifs le cas échéant. Le responsable du traitement communiquera à SumUp le bilan de l’audit de son programme de conformité en matière de protection des données.

9. Responsabilité

La responsabilité de chacune des parties en vertu du présent ATD est soumise aux exclusions et limitations de responsabilité énoncées dans les Conditions annexes et/ou les Conditions générales. Vous acceptez d’indemniser, de dégager la responsabilité de et de défendre SumUp à vos frais pour tous les coûts, réclamations, actions en dommages et intérêts et dépenses auxquels SumUp devrait faire face ou dont SumUp pourrait être tenue responsable du fait d’un manquement de votre part ou de celle de vos employés ou agents aux obligations prévues par le présent ATD. Nonobstant toute disposition contraire des Conditions générales, des Conditions annexes, y compris le présent ATD, SumUp et ses Affiliés ne pourront être tenus responsables de tout préjudice subi par une personne concernée résultant ou lié aux actes ou omissions de SumUp ou de l’un de ses Affiliés, dans la mesure où SumUp agissait conformément à vos instructions. 

10. Résiliation

Le présent Accord restera en vigueur tant que vous aurez recours à l’un des Services de SumUp. Lorsque vous cessez d’avoir recours à nos Services, et excepté lorsque SumUp est tenue de conserver les données concernant vos utilisateurs en vertu des Conditions annexes et/ou des Conditions générales de SumUp, ou de toute convention ou législation applicable, SumUp sera tenue de supprimer l’ensemble des données concernant vos utilisateurs dans les meilleurs délais raisonnables possibles et conformément aux Conditions générales de SumUp et aux lois en vigueur, y compris en cas de demande écrite de votre part.

11. Données agrégées

Vous acceptez que SumUp traite des données agrégées de toute nature vous concernant ou concernant vos clients, y compris des données relatives à l’utilisation de nos Services. Le client accepte et consent en vertu des présentes à ce que SumUp utilise ces données agrégées (cette liste n’étant pas exhaustive) à des fins d’analyse, d’amélioration et d’exploitation de ses Services et, d’une manière générale, de toute activité commerciale pendant toute la durée du présent ATD mais également après sa résiliation, afin de contribuer à des études de marché, de générer des statistiques, d’améliorer le contenu et la sécurité de ses produits et Services, en application des bonnes pratiques et/ou des recommandations du secteur.

12. Divers

12.1. En cas de conflit entre le présent Accord et les Conditions annexes et/ou Conditions générales de SumUp, les dispositions du présent Accord prévaudront.

12.2. L’ensemble des frais et dépenses engagés par SumUp pour répondre à vos instructions ou à vos demandes conformément aux Conditions annexes (y compris au présent Accord) et qui ne rentrent pas dans le périmètre des fonctionnalités courantes mises à disposition par SumUp par le biais des Services seront à votre charge.

12.3. SumUp se réserve le droit de modifier et/ou d’adapter ponctuellement les conditions du présent Accord en tant que de besoin. Les modifications apportées à l’Accord seront communiquées par SumUp de manière appropriée dans un document annexe distinct ou via un autre moyen visible, notamment par le biais de la publication d’une version modifiée de l’ATD sur notre site Web. La légende « Date de la dernière modification » apparaissant en haut du présent ATD renseigne sur la date de la dernière modification de l’ATD.

12.4. Toute question concernant le présent Accord ou toute autre demande liée au traitement des données à caractère personnel peut nous être adressée à dpo@sumup.com. Les réclamations relatives au traitement des données concernant vos utilisateurs seront réglées conformément aux dispositions du présent Accord, des Conditions générales et des politiques internes de SumUp.

12.5. L’invalidité de l’une quelconque des dispositions du présent Accord n’affectera pas les autres dispositions. Les parties remplaceront les dispositions invalides par une disposition légale qui reflète l’objet de la disposition invalide.

12.6. Le présent ATD est régi et interprété conformément au droit régissant les Conditions annexes applicables.

Annexe 1

1. Objet

L’objet des présentes est le traitement des données dans le cadre du présent Accord.

2. Finalité et nature du traitement

La finalité du traitement des données au titre du présent Accord est la fourniture et l’amélioration des Services que vous avez demandés.

3. Durée

La durée du traitement des données au titre du présent Accord sera égale à la durée de la relation contractuelle existant entre vous et nous, et sera déterminée par vos soins selon la durée pour laquelle vous déciderez d’avoir recours à nos Services.

4. Catégories de personnes concernées

Vos clients, les clients potentiels de vos clients, votre équipe (employés, comptables et autre tiers) et/ou toute autre personne dont les données à caractère personnel apparaissent dans le contenu. Pour les bons d’achat, les acheteurs des bons d’achat et/ou les bénéficiaires des bons d’achat ou toute autre personne dont les données à caractère personnel sont traitées dans le cadre des Services relatifs aux bons d’achat, conformément aux Conditions annexes et aux Conditions générales de SumUp.

5. Catégories de données à caractère personnel

Les données de vos clients sont traitées dans le cadre des Services conformément aux Conditions générales et aux instructions fournies. Ces données peuvent varier en fonction des Services utilisés, notamment :

SumUp E-shop

Les noms, adresse e-mail, numéro de téléphone fixe et/ou portable, adresse(s) postale(s), données de paiement, historique des commandes/transactions, adresse IP, informations issues des cookies et de technologies similaires, préférences en matière de contenus publicitaires de vos clients. 

Bons d’achat

Noms et adresses e-mail du client qui achète et reçoit le bon d’achat, le montant du bon d’achat, le message accompagnant le bon d’achat.

Facturation et comptabilité

Les noms, adresse(s) postale(s), numéro de téléphone fixe et/ou portable, adresse(s) e-mail, numéros de compte et/ou coordonnées bancaires, objet de la facture, données relatives aux commandes et/ou transactions, statut des factures. Pour les services d’affacturage fournis par nos partenaires, les données relatives à l’offre d’affacturage, au paiement de la facture et aux litiges.

Pour les POS et les services associés

Les noms, adresse(s) postale(s), numéro de téléphone fixe et/ou portable, adresse(s) e-mail, données relatives aux commandes/transactions, commentaires ; pour vos employés, numéro de personnel, identifiants de connexion, adresse IP, rôle/fonction, commandes, préférences de langue. 

Pour les reçus et les informations de commande lors de l’utilisation des Services de commande ou de la borne Kiosk : les informations de commande, adresse e-mail/numéro de téléphone mobile, notes de commande. 

SumUp Connect (Fidélité)

Si vous envoyez des communications à vos Clients via les Services SumUp Connect (Fidélité) : les communications, e-mails, numéros de téléphone mobile, préférences marketing.

SumUp Bookings

Les noms de vos Clients, numéro de téléphone mobile/fixe, adresse(s) e-mail, données de transaction/commande/rendez-vous, données de présence, remboursements et dépôts, adresse physique (dans le cas où le service serait fourni à l’adresse désignée par votre Client), commentaires, préférences marketing. Les rendez-vous, horaires, numéro de téléphone et évaluations de votre équipe.

Autres (Paiements en ligne, lien/QR de paiement, paiement SumUp) 

Si, en utilisant nos Services liés aux paiements en ligne, vous décidez de collecter, en plus des données de traitement des paiements strictement nécessaires, des données supplémentaires sur vos Clients (données concernant vos ventes telles que les commandes, les coordonnées ou le stockage des données de paiement de vos Clients pour des achats futurs) : les adresse(s) e-mail, noms, numéro de téléphone mobile/fixe, numéro d’identification fiscale (si requis par la loi), données de transaction/commande, notes/commentaires et champ de données personnalisable pour le paiement/la commande, adresse de livraison, adresse de facturation et détails, détails de la carte de paiement stockés pour des achats futurs (si votre Client y consent), préférences marketing (si techniquement fournies en tant que service).     

Il n’est pas prévu de traiter au titre des Services de catégories particulières de données à caractère personnel ni de données relatives aux condamnations pénales et aux délits, qui sont par conséquent exclues du champ d’application du présent Accord. Dans le cas où de telles données seraient traitées dans le cadre de nos Services sans que SumUp en ait connaissance, vous devrez supprimer ces données immédiatement après avoir constaté ledit traitement. Nos services ne sont pas destinés aux personnes de moins de 18 ans.