ACCORD DE TRAITEMENT DE DONNÉES PERSONNELLES (DPA)
ENTRE LES SOUSSIGNÉES :
WIZABOT, société par actions simplifiée unipersonnelle, immatriculée au Registre du Commerce et des Sociétés de Créteil sous le numéro 940 754 625, dont le siège social est situé 3, avenue du Colonel Fabien – 94400 Vitry-sur-Seine, représentée par Monsieur Adam DEBBA agissant en qualité de Président, dûment habilité aux fins des présentes ;
Ci-après « Wizabot » ou « Sous-traitant »
D’UNE PART
ET :
[à compléter], [forme société], immatriculée au Registre du Commerce et des Sociétés de [à compléter] sous le numéro [à compléter] dont le siège social est situé [à compléter], représentée par [à compléter], agissant en qualité de [à compléter], dûment habilité aux fins des présentes ;
Ci-après « Client » ou « Responsable »
D’AUTRE PART
Wizabot et le Client sont ci-après dénommés individuellement la « Partie » et ensemble les « Parties ».
PREAMBULE :
Au terme des conditions générales d’utilisation de la plateforme « WIZABOT » conclues entre les Parties (ci-après « CGU »), les Parties ont convenu des conditions et obligations relatives à leur relation d’affaires, impliquant le Traitement de données personnelles au sens du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après « RGPD »).
Le présent accord de Traitement de données à caractère personnel, définit les conditions dans lesquelles Wizabot, en sa qualité de sous-traitant au sens de l’article 28 du RGPD, réalise les Traitements sous les instructions et selon les finalités définies par le Responsable (ci-après « Accord »).
Le présent Accord constitue un accord indépendant et autonome des CGU. En conséquence l’invalidation éventuelle des CGU en tout ou partie ne saurait affecter la validité du présent Accord.
Le présent Accord entrera en vigueur à la date la plus précoce entre la date du premier Traitement accompli et la date d’entrée en vigueur des CGU et restera en vigueur jusqu’à la fin des Traitements.
Pour les sujets qui ne font pas l’objet du présent Accord, les termes des CGU s’appliquent entre les Parties. Pour les sujets objet du présent Accord, les dispositions de l’Accord prévalent sur toutes dispositions des CGU.
IL A ÉTÉ CONVENU ET ARRÊTÉ CE QUI SUIT :
DEFINITIONS
« API Meta » : désigne les interfaces de programmation mises à disposition par Meta, notamment l’API WhatsApp Business, Facebook Messenger et Instagram, permettant l’échange et le Traitement de Données personnelles via les services de messagerie de Meta.
Wizabot intègre ces API au sein de la Solution afin de permettre au Client d'exploiter les fonctionnalités techniques offertes par Meta dans le cadre de ses propres Traitements de Données personnelles.
« Business Messaging Tech Provider Program » : désigne le programme mis en place par Meta encadrant les conditions techniques, contractuelles et de conformité applicables aux prestataires techniques (Tech Providers) intégrant et fournissant, pour le compte de tiers, des services reposant sur les API Meta, notamment WhatsApp Business, Facebook Messenger et Instagram.
Ce programme impose à Wizabot, en tant que Tech Provider agréé, le respect d’exigences spécifiques relatives à la sécurité, à la confidentialité, à la gestion des Données personnelles et à la coopération avec Meta, y compris l’exécution de certaines obligations directes (suppression, limitation ou anonymisation des Données personnelles), indépendamment des instructions du Client.
« Contrat » : désigne les conditions générales d’utilisation (CGU) acceptées par le Responsable et liant les Parties au sujet de la solution Wizabot.
« Donnée à caractère personnel » ou « Donnée personnelle » : désigne toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une personne physique identifiable une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propre à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
« Réglementation en vigueur » ou « Législation en vigueur » : désigne (i) la loi française n°78-17 du 6 Janvier 1978, relative à l’informatique, aux fichiers et aux libertés, telle que modifiée ultérieurement, (ii) le RGPD (iii) l’ensemble des actes législatifs et réglementaires, en ce compris les décisions, avis, recommandations des autorités communautaires et des Autorités de Contrôle, ainsi que les décisions, avis et recommandations du groupe de protection des personnes l’égard du Traitement des données à caractère personnel (dit « Groupe G29 ») et du Comité Européen pour la Protection des Données instauré par l’article 68 du RGPD mettant en œuvre les textes susvisés.
« Incident » ou « Violation » : une violation de la sécurité mise en place entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données, et plus précisément :
« Incident critique » : indisponibilité totale des Services ;
« Incident majeur » : impact fonctionnel important mais accès aux Services maintenu ;
« Incident mineur » : impact limité sur l’utilisation des Services.
« Meta » : désigne la société Meta Platforms, Inc., ainsi que l’ensemble de ses sociétés affiliées et filiales, éditrices notamment des services WhatsApp, Facebook Messenger et Instagram, et fournissant les API Meta utilisées dans le cadre de la Solution dans le respect des exigences contractuelles et techniques prévues par le Business Messaging Tech Provider Program.
« Services » : désigne les fonctionnalités proposées par Wizabot dans le cadre de sa Solution de marketing « WIZABOT », listées dans les CGU.
« Solution » : désigne l’ensemble des services, fonctionnalités et outils techniques mis à disposition du Client par Wizabot, accessibles via la plateforme en ligne éditée par le Sous-traitant, permettant notamment l’automatisation, la gestion et le suivi de communications électroniques, y compris via l’intégration des API Meta, dans le cadre des finalités déterminées par le Client.
« Tech Provider » : désigne tout prestataire technique agréé par Meta dans le cadre du Business Messaging Tech Provider Program, autorisé à fournir des services d’intégration et d’accès aux API Meta pour le compte de tiers.
«Traitement » : toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou à des ensembles de Données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
En l’absence de définition spécifique dans l’Accord, les termes pouvant y être utilisés, tels que « Analyse d’impact relative à la protection des données », « Personne Concernée », « Données Sensibles », « Protection des données dès la conception », « Protection des données par défaut », « Transferts », auront la signification qui leur est donnée dans le RGPD.
OBJET DE L’ACCORD
Le présent Accord a pour objet de définir les conditions dans lesquelles Wizabot, en qualité de Sous-traitant, est autorisé à traiter, pour le compte du Client, Responsable de Traitement, des Données personnelles dans le cadre de l’exécution des CGU et de la fourniture des Services.
Les Traitements réalisés par Wizabot sont strictement limités aux opérations nécessaires à la fourniture, la gestion et l’amélioration des Services, et incluent notamment :
l’hébergement, la conservation et la transmission des Données personnelles traitées via la Solution, y compris celles échangées via les API Meta ;
l’exploitation technique des fonctionnalités de la Solution permettant au Client de gérer et d’automatiser ses communications électroniques ;
la supervision technique, la maintenance corrective et évolutive et le support utilisateur relatif à la Solution ;
l’enregistrement et le suivi des actions techniques nécessaires au bon fonctionnement des Services, dans un objectif de sécurité, de traçabilité et de conformité réglementaire ;
la gestion des demandes d’exercice des droits des Personnes concernées adressées au Client, sur instruction expresse de ce dernier, sauf lorsque Wizabot est tenu d’agir directement en vertu d’une obligation légale ou contractuelle ;
l’exécution des obligations imposées par Meta dans le cadre du Business Messaging Tech Provider Program, notamment en matière de suppression, de limitation ou d’anonymisation des Données personnelles.
La nature des opérations de Traitement, leurs finalités détaillées, les catégories de Données personnelles, les catégories de Personnes concernées et la durée des Traitements mis en œuvre par Wizabot sont précisées en Annexe 1 du présent Accord.
Wizabot s’engage à ne traiter les Données personnelles du Client que sur instruction documentée de ce dernier et conformément aux finalités convenues, à l’exclusion de toute autre utilisation, sauf obligation légale ou réglementaire l’y contraignant.
OBLIGATIONS DES PARTIES
3.1. Obligations du Client
Il appartient au Client d’informer les Personnes concernées conformément à la Réglementation sur les données personnelles, des Traitements de Données personnelles dont il est responsable, de leurs droits et s'assurer que ces droits peuvent être exercés, le cas échéant, par l'intermédiaire de Wizabot.
Par ailleurs, le Client s’engage à :
fournir à Wizabot des instructions documentées concernant le Traitement des données personnelles, conformément au RGPD ;
s'assurer que seules les Données personnelles nécessaires sont collectées et traitées par Wizabot ;
garantir que les mesures techniques et organisationnelles appropriées sont mises en place pour protéger les Données personnelles ;
tnformer les Personnes concernées de l’utilisation de leurs Données personnelles via les API Meta et des finalités associés ;
notifier à Wizabot toute Violation de Données personnelles dont il aurait connaissance, pouvant affecter les instructions données ;
faciliter la coopération avec Wizabot pour garantir le respect des obligations en matière de sécurité, de notification des Violations, d'évaluation d'impact et de consultation préalable ;
superviser le Traitement, y compris en réalisant des audits et des inspections auprès de Wizabot.
Dans le cadre de la Solution, Wizabot propose au Client des fonctionnalités reposant sur l’intégration des API Meta, il appartient au Client de garantir que l’ensemble des Données personnelles qu’il collecte, transmet ou traite via les API Meta dans le cadre de ce Service ont été recueillies et utilisées conformément à la Réglementation en vigueur, et aux conditions des API Meta.
À ce titre, le Client s’engage notamment à :
informer les Personnes concernées de l’utilisation de leurs Données personnelles via les API Meta et des finalités associées ;
recueillir, le cas échéant, les consentements requis et permettre l’exercice effectif des droits des Personnes concernées ;
respecter les durées de conservation prévues par la Réglementation en vigueur et par les conditions de Meta ;
indemniser Wizabot de toute conséquence, réclamation, sanction ou dommage résultant du non-respect de ces obligations.
3.2. Obligations de Wizabot
Wizabot, en sa qualité de Sous-Traitant, s'engage à prendre toutes les mesures techniques nécessaires au respect de ses obligations par lui-même et par son personnel et notamment à :
ne pas traiter, consulter les données ou les fichiers à d’autres fins que l’exécution des prestations qu’il effectue pour le compte du Responsable au titre des Services, sauf lorsqu’une obligation légale ou contractuelle, notamment imposée par Meta dans le cadre du Business Messaging Tech Provider Program, l’oblige à intervenir directement ;
traiter les Données personnelles uniquement sur instruction du Responsable, conformément au RGPD ;
mettre en œuvre des mesures techniques et organisationnelles appropriées pour assurer la sécurité des Données personnelles ;
veiller à ce que les personnes autorisées à traiter les Données personnelles respectent la confidentialité ;
notifier au Responsable toute Violation de Données personnelles dans les meilleurs délais ;
au terme de la relation contractuelle, supprimer ou restituer toutes les Données personnelles au Responsable.
3.3. Finalités du Traitement
Wizabot s’engage à traiter les Données personnelles uniquement pour les finalités définies et spécifiées dans le présent Accord et son Annexe 1 et afin de garantir la bonne exécution des CGU et de ses Services.
Il s’interdit d’utiliser les Données personnelles traitées à des fins autres que celles expressément prévues par le présent Accord ou sans l’autorisation expresse et écrite du Client.
INSTRUCTIONS
Wizabot s’engage à ne traiter les Données Personnelles que sur instruction documentée du Responsable de Traitement uniquement, étant entendu que le présent Accord et les consignes communiquées via la Solution constituent des instructions documentées.
En transmettant ses Données Personnelles et/ou en faisant appel aux Services sur la plateforme, le Responsable donne pour instruction à Wizabot de traiter ses Données personnelles conformément à la description du Traitement dans le présent Accord et/ou dans toute autre consigne communiquée par le Responsable de Traitement par le biais de la plateforme de Wizabot.
Wizabot s’engage à traiter les Données Personnelles conformément aux instructions documentées, sauf si Wizabot est tenu de procéder autrement en vertu des CGU, des conditions des API Meta ou de toute obligation légale ou contractuelle applicable.
En cas de contradiction entre une instruction du Responsable de Traitement et les obligations imposées à Wizabot par Meta, Wizabot en informera le Responsable de Traitement et se conformera prioritairement aux exigences de Meta, sauf interdiction légale.
Si Wizabot considère qu’une instruction constitue une violation du RGPD ou de toute autre disposition du droit de l’Union Européenne ou des États membres relative à la protection des données, il en informe immédiatement le Responsable de Traitement par écrit.
Wizabot ne sera pas tenue de respecter les instructions fournies par le Responsable de Traitement si celles-ci enfreignent la Législation en vigueur sur la protection des données, y compris, sans s’y limiter, les dispositions relatives à la protection des données du RGPD, de la loi de l’UE ou des États membres de l’UE, ainsi que les conditions des API Meta.
Par ailleurs, le Client accepte expressément que Wizabot puisse procéder, à la demande de Meta, d’une autorité compétente, ou dans le cadre de l’exécution de ses propres obligations contractuelles ou légales, à la suppression, à l’anonymisation ou à la limitation de l’accès aux Données personnelles traitées via les API Meta, sans que cela ne puisse ouvrir droit à indemnisation pour le Client, sauf obligations légales contraires.
SÉCURITÉ DES DONNÉES PERSONNELLES
Conformément à la Réglementation en vigueur, les Parties s’engagent à prendre toutes les mesures de sécurité et toutes les précautions nécessaires pour assurer la sauvegarde, la conservation et l’intégrité des Données personnelles objet du Traitement, tant au niveau des flux de données que dans leurs bases de données et systèmes de fichiers.
Ces mesures comprendront la mise en place et le maintien de moyens techniques, logiques, organisationnels et physiques de sécurité afin de garantir un niveau de sécurité adapté aux risques encourus par les Traitements des données, et ce, conformément à l’état de l’art.
Ces mesures permettront, entre autres :
la pseudonymisation et le chiffrement des Données personnelles ;
la garantie de la confidentialité, de l’intégrité, de la disponibilité et de la résilience constantes des systèmes et des services de Traitement ;
le rétablissement de la disponibilité des Données personnelles et des Traitements dans des délais appropriés en cas d’Incident physique ou technique ;
l’évaluation et le test réguliers de l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du Traitement ;
la préservation et la garantie de la sécurité des accès et interfaces, notamment en cas d’échange avec le système d’information du Client ;
la prévention contre la déformation, l’utilisation détournée ou frauduleuse, l’endommagement ou la divulgation non autorisée des Données personnelles.
Les Parties déclarent avoir mis et continuer de mettre en œuvre des mesures techniques et organisationnelles de sécurité pour garantir un niveau de sécurité adapté aux risques encourus.
Chaque Partie fournira à l’autre Partie la Politique de Sécurité des Systèmes d’Informations (PSSI) qu’il a mise en place pour assurer la sécurité des Traitements et informera l’autre Partie des évolutions de cette politique.
Ces évolutions ne doivent en aucun cas réduire le niveau de sécurité globale des prestations pendant la durée des Services.
Wizabot prendra en compte les principes de Protection des données dès la conception et de Protection des données par défaut dans la mise en œuvre des Services et dans la conception de l’architecture d’hébergement pour aider à respecter ses obligations.
Chaque Partie tiendra à disposition de l’autre Partie les documents relatifs à la sécurité de leurs données, incluant les procédures, la documentation technique nécessaire, les analyses de risques effectuées, et la liste détaillée des mesures de sécurité mises en œuvre et les Parties s’engagent à maintenir ces mesures tout au long de l’exécution des Services et à informer immédiatement l’autre Partie en cas de manquement.
En toute circonstance, les Parties s’engagent, en cas de changement des moyens visant à assurer la sécurité et la confidentialité des Données personnelles et des fichiers, à les remplacer par des moyens d’une performance supérieure.
Par ailleurs, Wizabot garantit la mise en œuvre d’un Plan de Reprise après Sinistre (PRAS) assurant, en cas d’Incident majeur, la continuité opérationnelle des Services.
Ce plan prévoit une bascule vers une infrastructure de secours dans un délai maximal de trente (30) minutes (Recovery Time Objective ou RTO) et un rétablissement complet dans un délai compris entre quatre (4) et huit (8) heures, selon la gravité de l’incident.
Wizabot met également en œuvre un système de restauration granulaire des Données personnelles (Point-in-Time Recovery ou PITR) permettant, en cas d’incident, de limiter la perte de données à un état antérieur précis (Recovery Point Objective ou RPO minimal).
À cette fin, l’infrastructure technique utilisée repose sur une architecture hautement disponible comprenant des serveurs dupliqués et répartis géographiquement, permettant, en cas d’incident majeur, une redirection automatique vers des serveurs opérationnels afin de préserver la continuité des Services.
STOCKAGE ET HÉBERGEMENT DES DONNÉES
Le Responsable et Wizabot s’engagent à ce que les Données à caractère personnel soient hébergées sur des serveurs situés au sein de l’Union Européenne.
Ils assurent qu’aucune Donnée personnelle ne soit transférée hors de l’Espace Économique Européen (EEE) par eux-mêmes, leurs propres sous-traitants, ou les personnes agissant sous leur autorité ou pour leur compte, quelle que soit la nature du Transfert (hébergement, backup, maintenance, administration, helpdesk, etc.).
Le Responsable se réserve le droit de procéder à toute vérification qui lui paraît nécessaire et/ou utile pour constater le respect de cette obligation.
En dérogation à ce qui précède, le Responsable de Traitement et Wizabot sont autorisés, dans la stricte limite nécessaire à l’exécution des Services, à recourir à des moyens de Traitement de Données en dehors de l’EEE, sous réserve des conditions suivantes :
les moyens de Traitement de Données doivent être situés dans un pays présentant un niveau adéquat de protection au sens de la Réglementation en vigueur ;
le Responsable de Traitement et le Sous-traitant, et le cas échéant leurs propres sous-traitants, doivent avoir conclu entre eux des clauses contractuelles types de la Commission européenne (décision n° 2010/87/UE) ou toute version ultérieure applicable et si nécessaire, ces clauses types doivent également être conclues entre le Responsable de Traitement et ses sous-traitants ;
le Responsable de Traitement et le Sous-traitant, et le cas échéant leurs propres sous-traitants, peuvent encadrer les Transferts par d’autres garanties appropriées prévues par l’article 46 du RGPD ;
Ss requis par la Réglementation en vigueur, le Transfert doit faire l’objet d’une autorisation préalable de l’autorité de protection des données personnelles compétente et la réalisation de cette condition est considérée comme suspensive à la réalisation des Services concernés ;
en tout état de cause, aucun Transfert de Données personnelles hors du territoire de l’Union européenne ne doit diminuer la protection accordée aux Personnes concernées.
Le Responsable de Traitement et le Sous-traitant sont tenus de documenter les transferts hors Union Européenne et s’engagent à fournir la documentation concernée à l’autre partie à première demande.
Cette documentation doit inclure la localisation des moyens de Traitement, les catégories de données concernées et leur nature, ainsi que les mesures appropriées adoptées.
Le Client demeure seul responsable du respect des obligations locales applicables dans les pays où il utilise les Services, notamment en matière d’autorisation de Traitement et de Transfert de Données personnelles.
Dans le cadre des Services reposant sur les API Meta, certaines Données personnelles peuvent être transférées à Meta et/ou ses sous-traitants établis en dehors de l’Union européenne, y compris vers des pays ne bénéficiant pas d’une décision d’adéquation par la Commission Européenne.
Ces Transferts sont encadrés par les mécanismes de protection appropriés requis par la réglementation applicable, notamment les Clauses Contractuelles Types (CCT) adoptées par la Commission Européenne et les engagements contractuels pris par Meta conformément aux exigences du RGPD.
Le Client est informé que ces Transferts sont indispensables au bon fonctionnement des Services et à l’exécution des obligations contractuelles de Wizabot avec Meta et à l’international.
A ce titre, dans le cadre de son activité internationale, notamment au sein des Émirats arabes unis, de l’Arabie saoudite et plus largement des pays du Conseil de coopération du Golfe (CCG), Wizabot informe le Client que certaines réglementations locales spécifiques peuvent s’appliquer, en matière de protection des Données personnelles, de cybersécurité, de télécommunications et de contenu, en particulier :
aux Émirats arabes unis, les Traitements de Données personnelles sont soumis à la Federal Decree-Law No. 45 of 2021 on the Protection of Personal Data (PDPL) ;
si le Client est établi ou exerce son activité dans des zones franches telles que la Dubai International Financial Centre (DIFC) ou l’Abu Dhabi Global Market (ADGM), le Traitement est également soumis aux législations spécifiques de ces juridictions.
Par ailleurs, Wizabot déploie une infrastructure technique robuste, caractérisée par une répartition intelligente et dynamique de la charge de trafic permettant de garantir la disponibilité des Services en toutes circonstances, notamment lors de pics de charge ou en cas d’indisponibilité localisée.
Les infrastructures de Wizabot reposent sur des serveurs répliqués, redondants et distribués géographiquement à l’échelle européenne afin d’assurer une haute disponibilité et une résilience optimale en cas de panne ou de dysfonctionnement technique.
Cette infrastructure garantit au Client des temps de réponse rapides, une tolérance aux pannes et un maintien ininterrompu des Services conformément aux niveaux de disponibilité contractualisés dans un Service Level Agreement (SLA) en Annexe 2 du présent Accord.
En cas de divergence entre le présent Accord et le SLA, le présent Accord prévaudra en matière de protection des Données personnelles, le SLA prévalant en matière d’engagement de disponibilité et d’intervention technique.
SOUS-TRAITANCE
Wizabot est autorisé à engager des sous-traitants pour des activités spécifiques liées à l'exécution des Services, sous réserve que chaque sous-traitant respecte des obligations au moins égales à celles établies dans le présent Accord en matière de protection des Données personnelles et, lorsqu’applicable, aux exigences contractuelles imposées par Meta dans le cadre du Business Messaging Tech Provider Program.
Cela est applicable dans la mesure où ces obligations sont pertinentes pour la nature des services fournis par le sous-traitant considéré.
Pour tout ajout de sous-traitants, Wizabot doit :
s'assurer que le nouveau sous-traitant est engagé pour réaliser des activités de Traitement spécifiques en rapport avec l'exécution des Services ;
mettre en place un accord avec le nouveau sous-traitant, contenant des obligations de protection des Données personnelles au moins équivalentes à celles stipulées dans le présent Accord ;
En cas d’évolution de la législation rendant les Clauses Contractuelles Types (SCCs) inapplicables, les Parties s’engagent à négocier de bonne foi des mécanismes de Transfert alternatifs conformes, tels que les Binding Corporate Rules (BCRs) ou le Cadre de protection des données UE-États-Unis.
Wizabot informera le Client de tout ajout ou changement significatif de sous-traitant impliquant un Traitement de Données personnelles.
Le Client pourra formuler des objections raisonnées et documentées par écrit dans un délai de soixante (60) jours suivant cette notification. Toute objection devra démontrer en quoi le nouveau sous-traitant ne respecte pas la Réglementation en vigueur ou porte atteinte aux obligations contractuelles de Wizabot.
En cas d’objection, Wizabot pourra proposer des mesures correctives appropriées ou démontrer que le nouveau sous-traitant assure un niveau de protection adéquat.
Si, après des échanges menés de bonne foi, aucune solution acceptable n’est trouvée, le Client pourra, en dernier recours, demander la résiliation des seuls services concernés, à l’exclusion du reste du Contrat, sous réserve d’un préavis de 90 jours et sans droit à indemnisation.
Toute absence d’objection dans le délai imparti vaudra acceptation tacite du nouveau sous-traitant.
Wizabot assume la responsabilité des actes et omissions de ses sous-traitants de la même manière que si elle avait directement effectué les services elle-même.
COOPÉRATION
Dans le cadre de leur Accord, les Parties s'engagent à coopérer étroitement pour répondre efficacement aux demandes des Personnes concernées en vertu du RGPD (notamment demandes d'accès, de modification, d'effacement, d'opposition, de limitation ou de portabilité des données personnelles).
Les Parties s’engagent également à coopérer pour traiter toute demande des Personnes concernées impliquant des Données personnelles stockées ou traitées par Meta et à transmettre, le cas échéant, lesdites demandes à Meta selon les modalités définies par ce dernier.
En cas de demande adressée à l'une des Parties nécessitant l'assistance de l'autre, cette dernière s'engage à apporter son concours dans les plus brefs délais, et dans un délai maximum de cinq (5) jours ouvrés à compter de la réception de la demande, afin de permettre à l'autre Partie de répondre dans les délais légaux impartis à la Personne concernée.
Si une Personne concernée adresse directement une demande au Responsable, celui-ci doit en informer immédiatement Wizabot par courriel à l'adresse [à compléter].
À ce titre, les Parties s'engagent à mettre en place des procédures efficaces pour répondre aux demandes de suppression de Données personnelles émanant des Personnes concernées, conformément au droit à l'oubli tel que défini dans le RGPD. Ces procédures incluront des mécanismes pour identifier, traiter et répondre rapidement à de telles demandes, tout en assurant la suppression complète et sécurisée des Données personnelles concernées de tous les systèmes et bases de données. Les Parties s'engagent à documenter toutes les actions entreprises en réponse à ces demandes.
Les Parties s'engagent à collaborer de manière loyale et sans délai pour la réalisation d'Analyses d'impact relatives à la protection des Données personnelles. Ils permettront la réalisation de toute Analyse d'impact que l'autre partie jugerait nécessaire pour évaluer les risques liés aux Traitements des données et identifier les mesures à mettre en œuvre pour y faire face, ainsi que pour la consultation de l'autorité de contrôle compétente.
En cas de contrôle par une autorité compétente, les Parties s'engagent à coopérer entre elles et avec l'autorité de contrôle et s'engagent à fournir toute information nécessaire ou utile à l'autre partie pour répondre aux exigences du contrôle.
Par ailleurs, dans le cadre de l'utilisation des API Meta, les Parties s’engagent également à coopérer pour traiter toute demande des Personnes concernées impliquant des Données personnelles stockées ou traitées par Meta.
Si une demande ne peut être satisfaite en raison des restrictions ou des politiques imposées par Meta, les Parties coopéreront pour transmettre la demande à Meta et chercher une solution conforme à la Réglementation en vigueur.
GESTION DES INCIDENTS ET VIOLATIONS
Dans le cadre de l’Accord, le Responsable et le Sous-traitant mettent en place et maintiennent, pendant toute la durée du Contrat, un processus et des procédures de gestion des Incidents de sécurité, notamment en cas de Violation des Données personnelles, conformes aux standards et bonnes pratiques de l’industrie.
A ce titre, le Responsable et le Sous-traitant veillent également à la conformité des mesures de sécurité imposées par Meta pour les données traitées via les API Meta.
En cas d’Incident de sécurité ou de Violation des Données personnelles résultant d’une défaillance des API Meta, le Responsable ainsi que le Sous-traitant collaboreront pour évaluer l’impact et prendre les mesures appropriées.
De manière générale, le Responsable et le Sous-traitant, dès qu'ils ont connaissance d'un Incident relatif à la sécurité ou à la confidentialité des Données personnelles, s'engagent à s'informer mutuellement sans délai et, en tout état de cause, dans un délai maximum de vingt-quatre (24) heures après la survenance de l'incident.
La notification d'un Incident ou d'une Violation des Données personnelles doit être adressée aux responsables de la sécurité des systèmes d'information (RSSI) et DPO du Responsable et du Sous-traitant, et, si nécessaire, à Meta conformément aux obligations contractuelles applicables.
La notification doit contenir a minima les informations suivantes :
description de la nature de la Violation de Données personnelles, y compris, si possible, les catégories et le nombre approximatif de Personnes et de Données personnelles concernées ;
nom et coordonnées du DPO ou tout autre point de contact en vue de l’obtention d’informations supplémentaires ;
description des conséquences probables de la Violation de Données personnelles ;
description des mesures prises ou proposées pour remédier à la Violation, y compris les mesures pour en atténuer les éventuelles conséquences négatives.
Le Responsable et le Sous-traitant s'engagent à :
collaborer activement pour corriger tout dysfonctionnement à l’origine ou résultant de la Violation des Données personnelles et à prévenir toute récurrence de telles Violations ;
mener toutes les investigations nécessaires sur les manquements à la Législation en vigueur en matière de protection des Données personnelles afin de remédier rapidement à ces manquements, en minimiser l'impact sur les Personnes concernées et s'informer mutuellement de l'avancement de ces investigations ;
communiquer toutes les informations nécessaires pour accomplir les formalités de notification des Violations de Données personnelles aux autorités compétentes, en assumant les coûts associés à cette notification ;
s'abstenir de divulguer toute information relative à une Violation de Données personnelles à des tiers, sauf obligation légale ou autorisation préalable et écrite de l'autre partie, conformément à la Réglementation en vigueur.
Le Responsable et le Sous-traitant tiendront et mettront à disposition un registre des Violations de Données personnelles, documentant les circonstances de la Violation, les dommages causés et les mesures correctives prises pour atténuer les effets de la Violation, ainsi que les actions et mesures prises pour prévenir toute répétition de telle Violation.
Par ailleurs, Wizabot s’engage à respecter les niveaux d’intervention et de résolution ci-après listés et formalisés dans le SLA intégré à l’Accord :
Incident critique : intervention dans un délai d’une (1) heure maximum et résolution effective sous quatre (4) heures.
Incident majeur : intervention dans un délai maximum de quatre (4) heures, résolution sous huit (8) heures.
Incident mineur : intervention sous vingt-quatre (24) heures, résolution sous quarante-huit (48) heures.
Ces engagements sont formalisés contractuellement dans le SLA annexé aux présentes. En cas de non-respect de ces niveaux de service, les compensations prévues par le SLA seront applicables. Pour tout Incident critique ou majeur, Wizabot désignera un interlocuteur dédié afin de faciliter la communication et d’accélérer la résolution de l’incident.
RESPONSABILITÉ
Chaque Partie est responsable uniquement des dommages résultant de ses propres manquements à l’Accord ou à la législation sur la protection des données.
En aucun cas, Wizabot ne pourra être tenu responsable des amendes, sanctions ou réclamations découlant du non-respect par le Client de ses obligations au titre de la Réglementation en vigueur et des conditions des API Meta, notamment en matière de protection de Données personnelles.
Le Client garantit et indemnise Wizabot contre toute conséquence, réclamation, sanction ou dommage résultant du non-respect de ces obligations.
En outre, la responsabilité de Wizabot ne peut être recherchée pour des actes :
résultant d’un acte ou d’une négligence du Client ;
non conformes à la Réglementation en vigueur ou aux CGU;
liés à l’utilisation des API Meta hors des finalités et conditions autorisées par Meta et le présent Accord.
Dans le cadre de leurs obligations respectives, il est impératif que chacune des Parties respecte scrupuleusement la sécurité et la confidentialité des Données personnelles et que tout Traitement de Données personnelles soit strictement conforme au cadre défini dans l’Accord.
Dans l'éventualité où le Responsable de Traitement ou le Sous-traitant, ou l'un de leurs prestataires ou sous-traitants, manque à ses obligations telles que stipulées dans le présent Accord, il est tenu de garantir et d'indemniser l'autre Partie contre toutes les conséquences de ces manquements.
Cela inclut, sans s'y limiter, toute sanction imposée par la CNIL ou toute autre autorité de contrôle européenne, ainsi que toute condamnation encourue, y compris les frais d'avocat raisonnables.
Par ailleurs, en cas d’Incident de sécurité ou de Violation des Données personnelles résultant d’une défaillance des API Meta, le Responsable ainsi que le Sous-traitant ne peuvent voir leur responsabilité engagée à ce titre.
AUDITS
Le Client pourra, exclusivement à ses frais, procéder à un audit de conformité relatif au Traitement des Données personnelles, y compris en ce qui concerne l'utilisation des API Meta sous réserve d’un préavis écrit de soixante (60) jours précisant le périmètre de l’audit et son objectif.
Cet audit ne pourra avoir lieu qu’une fois tous les vingt-quatre (24) mois, sauf en cas d’élément objectif et documenté démontrant une Violation avérée des obligations légales de Wizabot en matière de Protection des données.
Les audits seront réalisés pendant les heures ouvrables, sans perturber les opérations de Wizabot, et par un auditeur indépendant soumis à un accord de confidentialité préalable.
Si une non-conformité majeure avérée est détectée et qu’elle résulte directement d’un manquement de Wizabot à ses obligations contractuelles, Wizabot mettra en œuvre des mesures correctives dans un délai raisonnable, sans que cela n’implique une prise en charge automatique des coûts de l’audit ou des éventuelles mises en conformité, sauf accord préalable entre les Parties.
Par ailleurs, le Client est informé que Meta se réserve le droit de procéder à des audits ou contrôles portant sur l’utilisation des API Meta dans le cadre du Business Messaging Tech Provider Program, auxquels Wizabot est tenu de se soumettre.
Dans ce cadre, Wizabot pourra être amené à transmettre à Meta certaines informations relatives aux Traitements réalisés pour le compte du Client, dans le strict respect des obligations contractuelles et réglementaires applicables.
Le Client accepte expressément que ces audits de Meta, ainsi que les éventuelles demandes qui en découlent, puissent entraîner des modifications, suspensions ou restrictions dans l’exécution des Services, sans que cela ne constitue un manquement de Wizabot à ses obligations contractuelles, ni n’ouvre droit à indemnisation pour le Client.
RÉVERSIBILITÉ ET RESTITUTION DES DONNÉES
Le Responsable de Traitement et le Sous-traitant s’engagent à une transition ordonnée des Données personnelles à l’issue du Contrat ou en cas de circonstances imprévues.
Sur demande du Responsable de Traitement, les Données personnelles seront restituées sans délai dans un format structuré et couramment utilisé.
À l’issue du Contrat, le Sous-traitant restituera les Données personnelles traitées pour le compte du Responsable de Traitement. Cette restitution sera confirmée par un document signé par les deux Parties.
Après restitution, le Sous-traitant supprimera toutes les copies des Données personnelles de ses systèmes, sauf si une obligation légale impose leur conservation.
Dans ce cas, le Sous-traitant informera le Responsable de Traitement de cette exigence.
Dans le cadre des Données personnelles traitées via les API Meta, le Sous-traitant ne pourra être tenu responsable d’éventuelles limitations techniques ou politiques imposées par Meta empêchant la restitution ou la suppression complète des données, lesquelles relèvent de la seule maîtrise de Meta.
DIVERS
Toute modification de cet Accord nécessitera le consentement mutuel des deux Parties.
Le Client est expressément informé que les évolutions, modifications ou suppressions imposées par Meta, relatives aux API Meta et aux conditions qui y sont associées, pourront également entraîner des adaptations de cet Accord, sans que cela ne constitue une modification substantielle ouvrant droit à contestation ou indemnisation du Client.
Wizabot se réserve le droit de modifier le présent Accord afin de se conformer aux exigences contractuelles, techniques ou de sécurité imposées par Meta, ou à toute évolution des politiques applicables de Meta, lesquelles s’imposent au Client dans le cadre de l’utilisation des Services reposant sur les API Meta.
Ces évolutions seront notifiées au Client et entreront en vigueur sans qu’elles puissent ouvrir droit à contestation ou indemnisation.
Certaines dispositions de cet Accord, en particulier celles relatives à la responsabilité et à la protection des Données personnelles, sont conçues pour survivre à l'expiration ou à la résiliation du Contrat, assurant ainsi une protection continue des Données personnelles et une clarification des responsabilités post-contractuelles.
Pour l'exécution de cet Accord et pour toutes notifications nécessaires, les parties élisent domicile aux adresses spécifiées dans le présent Accord.
LITIGES
En cas de différend susceptible de s’élever entre les Parties à propos de la formation, de l’exécution, ou de l’interprétation de l’Accord, celles-ci se rapprocheront afin de trouver une solution amiable dans un délai de quinze (15) jour à compter de la notification par lettre recommandée avec avis de réception par la Partie la plus diligente à l’autre de la nature de la difficulté.
Tout litige né entre les Parties, à propos de la formation, de l’exécution, ou de l’interprétation de l’Accord, sera à défaut de solution amiable, soumis à la compétence des juridictions de la ville de Paris.
SIGNATURE ÉLECTRONIQUE
Les Parties conviennent qu’un exemplaire de l’Accord signé électroniquement via la plateforme utilisée constitue l’original de l’Accord et une preuve écrite selon l’article 1365 du Code Civil.
Il a la même valeur qu’un écrit manuscrit sur papier selon l’article 1366 et peut être opposé aux Parties et aux tiers, pouvant être produit en justice en cas de litige. Un exemplaire signé électroniquement prouve le contenu du document, l’identité du signataire et son consentement aux obligations et conséquences légales.
SIGNATURES
Date de signature : [à compléter]
WIZABOT
Représentée par Monsieur Debba Adam
[à compléter]
ANNEXE 1
DESCRIPTION DES TRAITEMENTS DE DONNÉES PERSONNELLES
# Nature du Traitement Finalités Catégories de Personnes concernées Catégories de Données personnelles traitées Base légale Durée du Traitement
1