ARTICLE 1. DEFINITIONS & DESIGNATION
Les termes dont la première lettre figure en majuscule ont, dans le présent document, le sens qui leur est attribué ci-dessous.
● « Client » a le même sens que dans les CGV Acipa
● « Contrat » désigne le Contrat signé entre Acipa et le Client
● « Données Personnelles » : désigne les données transmises par le Client à Acipa
et qui permettent l’identification directe ou indirecte de personnes physiques.
● « DPD » : le Délégué à la Protection des Données du groupe Ecoburotic et donc d’Acipa, est Vincent DELERUE, Directeur des Opérations.
● « Instruction » désigne toute instruction écrite reçue par Acipa de la part du CoContractant en vertu du Contrat et ayant pour objet le traitement de Données Personnelles.
● « Personnes Concernées » : personnes physiques dont les Données Personnelles sont traitées par le Responsable de Traitement.
● « Responsable de Traitement » désigne la personne morale qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du traitement ; dans le cadre du Contrat, le responsable de traitement est le Client.
ARTICLE 2. REFERENTIEL
Le présent document a pour référentiel d’application les textes législatifs et réglementaires suivants :
● Jusqu’au 25 mai 2018, la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ainsi que la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
● A compter du 25 mai 2018, la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, le cas échéant mise à jour, ainsi que le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données abrogeant la directive 95/46/CE
● En toute hypothèse et, le cas échéant, les lois locales susceptibles d’affecter et de s’appliquer aux Données à caractère personnel en fonction du lieu d’hébergement desdites Données à caractère personnel, étant précisé que, si dans le cadre du Contrat, des lois locales autres que la loi française étaient applicables, Acipa fournira au Client un descriptif complet des dispositions qu’elle contient ainsi que ses impacts concernant la réalisation des prestations décrites au Contrat, notamment concernant les conditions d’accès aux Données à caractère personnel.
● Les textes et décisions émanant d’autorités administratives indépendantes et notamment ceux de la Commission Nationale de l’Informatique et des Libertés (CNIL).
ARTICLE 3. DESCRIPTION DU TRAITEMENT
Dans le cadre du Contrat, le Client confie à Acipa le(s) traitement(s) ayant les caractéristiques suivantes :
Acipa informe que ces données seront utilisées par ses services et par tout tiers situé dans l’Union Européenne participant à l’exécution des services et notamment :
● Pour l’exécution de la prestation de transport, de suivi des colis et de notification de livraison des destinataires,
● Pour l’exécution de la prestation de maintenance des imprimantes/copieurs
● Pour renforcer et personnaliser la communication vers le Client notamment par l’envoi de newsletters, d’offres spéciales et d’emails spéciaux dans le cadre de la personnalisation de la relation commerciale,
● Pour mesurer le niveau de satisfaction des destinataires et améliorer les offres et les services d’Acipa par des enquêtes de satisfaction (par mail ou par téléphone).
ARTICLE 4. OBLIGATIONS D’ACIPA
Afin d’assurer la protection des Données à caractère personnel ainsi que leur traitement conforme, Acipa s’engage à :
● Disposer d’une politique interne de protection des Données à caractère personnel et
● A traiter les Données à caractère personnel qui lui sont confiées ou auxquelles il aura accès conformément au référentiel défini à l’Article 2.
ARTICLE 5. OBLIGATIONS DU CLIENT
Le Client s’engage à respecter l’ensemble de la réglementation applicable en matière de protection des données personnelles, notamment en ce qui concerne l’information des personnes dans le cadre de la transmission de leurs données à caractère personnel à Acipa pour les besoins de l’exécution du présent Contrat.
ARTICLE 6. SECURITE DES DONNEES PERSONNELLES
Acipa fait ses meilleurs efforts pour assurer la sécurité et la confidentialité des Données à caractère personnel qui lui sont communiquées.
A ce titre, il s’engage à mettre en place :
● Des mesures de sécurité organisationnelles
● Des mesures de sécurité techniques appropriées pour préserver la sécurité et l’intégrité des Données à caractère personnel et les protéger contre toute déformation, altération, destruction fortuite ou illicite, endommagement, perte, divulgation ou accès à des tiers non autorisés.
Acipa fait ses meilleurs efforts pour maintenir ces mesures et moyens pour toute la durée du Contrat et à défaut, à en informer dans les plus brefs délais le Client.
En tout état de cause, Acipa s’engage, en cas de changement des moyens visant à assurer la sécurité, l’intégrité et la confidentialité des Données à caractère personnel, à les remplacer par des moyens d’une performance au moins équivalente.
Aucune évolution ne pourra conduire à une régression du niveau de sécurité.
ARTICLE 7. COMMUNICATION A DES TIERS
Les Données à caractère personnel traitées en exécution du Contrat ne pourront faire l’objet d’aucune divulgation à des tiers en dehors des cas prévus dans le Contrat ou de ceux prévus par une disposition légale et/ou réglementaire.
Le Prestataire informera le Client de toute demande d’accès ou de communication émanant d’un tiers se prévalant d’une autorisation découlant de l’application de dispositions légales ou réglementaires.
ARTICLE 8. TRANSFERT DES DONNEES PERSONNELLES
Acipa s’engage à ce que pendant toute la durée du Contrat les Données à caractère personnel soient hébergées au sein de datacenters situés sur le territoire de l'Union Européenne.
Toutefois, pour certaines prestations spécifiques, Acipa peut avoir recours à des sous-traitants établis en dehors de l’UE. Certaines Données Personnelles peuvent alors leur être communiquées pour les stricts besoins de leurs missions. Dans ce cas, conformément à la règlementation en vigueur, Acipa exige de ses sous-traitants qu’ils fournissent les garanties nécessaires à l’encadrement et à la sécurisation de ces transferts, notamment par la signature de clauses contractuelles types de la Commission européenne.
ARTICLE 9. SOUS-TRAITANCE DES TRAITEMENTS DE DONNEES A CARACTERE PERSONNEL
Conformément aux dispositions du Contrat, Acipa définit librement les voies et moyens de transport et confie l’exécution des Prestations à un ou plusieurs sous-traitants, au sens de la règlementation applicable en matière de protection des données à caractère personnel, de son choix.
En qualité de responsable de traitement, le Client donne une autorisation générale au Prestataire lui permettant de recourir à d’autres sous-traitants dans le cadre de l’exécution de ses prestations. A ce titre, Acipa s’engage à mettre à la charge de son (ou ses) sous-traitant(s) les mêmes obligations que celles fixées au présent Contrat pour que soient respectées la confidentialité, la sécurité et l’intégrité des Données à caractère personnel.
Acipa demeure pleinement responsable devant le Client de l'exécution par les sous- traitants de leurs obligations en matière de protection des Données à caractère personnel.
ARTICLE 10. NOTIFICATION D’INCIDENTS DE SECURITE
Un « incident de sécurité » (ci-après désigné « Incident ») s’entend comme une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée à des tiers de Données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.
Acipa s’engage à notifier sans délai injustifié au Client, et en particulier à la personne désignée comme point de contact, par téléphone et par email, puis confirmer par écrit, tout Incident entraînant accidentellement ou de manière illicite la perte, l’altération, la divulgation ou l’accès non autorisé à des Données à caractère personnel faisant l’objet du traitement.
Cette notification doit préciser :
● La nature et les conséquences de l’Incident,
● Les mesures déjà prises ou celles qui sont proposées pour y remédier ;
● Les personnes auprès desquelles des informations supplémentaires peuvent être obtenues
● Lorsque cela est possible, une estimation du nombre de personnes susceptibles d’être impactées par l’Incident.
Dès qu’il est informé d’un Incident, Acipa procède à toutes investigations utiles sur les manquements aux règles de protection afin d’y remédier dans un délai aussi rapide que possible et de faire en sorte d’en diminuer l’impact pour les personnes concernées.
Acipa s’engage à informer le Client de ses investigations.
Acipa s’engage à collaborer activement avec le Client pour qu’il soit en mesure de répondre à ses obligations réglementaires et contractuelles.
ARTICLE 11. DROIT DES PERSONNES
Acipa s'engage à permettre au Client l'exécution de ses obligations légales en lien avec le respect du droit des Personnes concernées par la prestation, incluant :
● Le droit d'accès : extraction dans un format lisible des informations dont Acipa dispose, dans le cadre de la relation avec le Client, sur la personne concernée à partir d’un numéro de colis;
● Le droit de rectification ou de suppression, pour lequel une attestation d'exécution pourra être demandée
● Le droit à la portabilité des Données
● Le droit à la limitation du Traitement
Dans l’hypothèse où Acipa serait saisie directement, d’une demande portant sur les droits visés ci-dessus, elle s’engage à traiter la demande dans les délais légaux et réglementaires prévus.
Conformément au Référentiel défini à l’Article 3, il est entendu que le Client peut exercer les droits ci-dessus par l’envoi d’un courrier recommandé avec accusé de réception adressé au Service Juridique à l’adresse du siège social de Acipa en précisant ses nom, prénom, adresse postale et en joignant une copie recto-verso de sa pièce d'identité.
En cas de difficulté en lien avec la gestion de ses données personnelles, le Client a le droit d’introduire une réclamation auprès de la CNIL ou auprès de toute autorité de contrôle compétente.
Le Client est informé que, le Délégué à la Protection des Données peut être contacté à l’adresse suivante :
Monsieur le Déléguée à la Protection des Données d’Acipa, ZA la Borie 1, 4 rue Ampère BP 30, 43120 MONISTROL SUR LOIRE.
ARTICLE 12. ENTREE EN VIGUEUR ET DUREE
Dans la mesure où le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données abrogeant la directive 95/46/CE est applicable à partir du 25 mai 2018, le présent accord entre en vigueur à cette même date et reste en vigueur pour la durée du Contrat, étant entendu que les clauses, qui par nature survivent au Contrat, continueront à s’appliquer.