9.1 - Protection

Les Parties s’engagent à respecter la réglementation en vigueur et, en particulier, le Règlement européen 2016/679 du 27 avril 2016.

A cet égard, il est expressément stipulé entre les Parties que le CLIENT est le responsable des traitements de Données à caractère personnel, collectées et/ou traitées par les Services, dont il a la propriété exclusive. ZS SERVICES agit en qualité de sous-traitant, au sens du Règlement précité, pour les Données à caractère personnel du CLIENT hébergées sur ses serveurs.

Les Données à caractère personnel sont collectées et traitées par le CLIENT, sous sa seule responsabilité, au moyen des Services de ZS SERVICES. Ce dernier n’accède aux dites données que pour le compte du CLIENT et sur ses instructions.

9.2 - Sécurité et confidentialité

ZS SERVICES s’engage, en sa qualité de sous-traitant, à mettre en œuvre les mesures nécessaires et appropriées, pour protéger la sécurité et la confidentialité des Données à caractère personnel, et notamment pour les préserver de toute destruction accidentelle ou illicite, perte, altération, diffusion ou accès non autorisés, ainsi que contre toute autre forme de traitement illicite.

ZS SERVICES s’engage à respecter les obligations suivantes et à les faire respecter par son personnel et par ses éventuels sous-traitants déclarés au Client :

• à ne pas exploiter ou utiliser les Données à caractère personnel du CLIENT pour ses besoins propres ou pour le compte de tiers et, plus généralement, à ne pas les traiter à des fins autres que celles spécifiées au Contrat ou à la demande expresse du CLIENT

• à traiter les données conformément aux instructions documentées du Client ; à alerter le Client dans le cas où ZS SERVICES considère une instruction comme non conforme au regard de la réglementation en vigueur

• à veiller à ce que les personnes autorisées à accéder aux données soient soumises à et respectent une obligation légale ou contractuelle de confidentialité

• à mettre en œuvre une politique de sécurité des Services et de gestion des autorisations d’accès logique et physique notamment, qu’il s’engage à maintenir et à faire évoluer pendant toute la durée du Contrat

• à prendre toutes les mesures de sécurité numérique et matérielle pour assurer la conservation et l’intégrité des données traitées tout au long de la durée du Contrat

• en fin de Contrat, à procéder à la destruction de tous fichiers manuels ou informatisés stockant les dites données et/ou les restituer intégralement au Client

• à s’assurer que les outils technologiques et solutions applicatives de tiers utilisés pour délivrer les Services soient conformes à la législation Informatique et Libertés

9.3 - Localisations et transferts

Les serveurs de ZS SERVICES, sur lesquels les Services et les Données à caractère personnel sont hébergés, sont tous localisés à Paris, dans des centres de données d’AMAZON WEB SERVICES, certifiés ISO 27001.

Les membres du personnel de ZS SERVICES travaillent tous en France. En cas de déménagement des serveurs sur lesquels les Données à caractère personnel du CLIENT sont hébergées, les Parties conviennent qu’elles ne pourront être transférées par ZS SERVICES sur des serveurs localisés dans des pays tiers à l’Espace Economique Européen ou qui ne sont pas reconnus par la Commission européenne comme assurant un niveau de protection adéquat, sauf dans les conditions de l’article 1.6 ci-dessous.

9.4 - Informations et notifications

ZS SERVICES s’engage à informer par écrit le CLIENT, dès qu’il en a connaissance, de la survenance d’une faille de sécurité ayant des conséquences directes ou indirectes sur ses Données à caractère personnel, ainsi que pour les Utilisateurs ou les personnes concernées.

Cette communication de ZS SERVICES sera effectuée dès qu’il a connaissance de l’évènement en cause et, si possible dans les 72 heures de sa découverte.

Concernant la faille de sécurité, ZS SERVICES s’efforcera de documenter suffisamment l’évènement affectant ses serveurs afin de permettre au CLIENT de respecter ses obligations légales et réglementaires en vigueur (notamment la procédure de signalement aux autorités compétentes).

En outre, ZS SERVICES apportera toute sa collaboration au CLIENT en cas de demande d’information ou de contrôle des traitements effectués par tout organisme tel que la CNIL.

9.5 - Délégué / Registre

ZS SERVICES déclare avoir nommé un Délégué à la Protection des Données externe (DPD), joignable à l’adresse e-mail suivante donnees-personnelles@zerosix.com.

ZS SERVICES tient également un registre de toutes les catégories de traitement de Données à caractère personnel effectuées par le biais des Services comprenant :

• le nom et les coordonnées du responsable de ZS SERVICES, et du Délégué à la Protection des Données de ZS SERVICES

• les finalités de traitements, la description des personnes concernées par les traitements, et les destinataires des données collectées

• les catégories de données traitées pour le compte du CLIENT

• les durées de conservation des données traitées

• la liste des sous-traitants et, le cas échéant, les transferts de Données à caractère personnel vers un pays tiers et l’existence de garanties appropriées

• une description générale des mesures de sécurité techniques et organisationnelles

La fiche de registre de l’activité « Gestion du service ZEROSIX » est accessible en ligne, à l’adresse Internet suivante : https://zerosix.com/fiche_registre_traitement

9.6 - Transferts en dehors de l’Espace Economique Européen

ZS SERVICES s’assure qu’aucune Donnée à caractère personnel du CLIENT n’est transférée hors de l’Espace Economique Européen ou vers un pays qui n’est pas reconnus par la Commission européenne comme assurant un niveau de protection adéquat. Par dérogation à ce qui précède, ZS SERVICES est autorisé à recourir à des moyens de traitement desdites données dans un pays ne présentant pas un niveau adéquat de protection au sens du Règlement européen, à condition de conclure des clauses contractuelles types, ou tout autre dispositif équivalent dûment reconnu par le Commission européenne (BCR), tel que défini à l’article 46 du Règlement européen.

9.7 - Droit des personnes concernées

Tout exercice par un Utilisateur de de ses droits (et notamment de son droit d’accès, de rectification, à l’effacement ou de portabilité), é, sera effectué directement auprès du CLIENT qui répondra lui-même à la demande en sa qualité de responsable des traitements. Néanmoins, ZS SERVICES s’engage à modifier ou supprimer, conformément aux instructions du CLIENT, les Données à caractère personnel contenues enregistrées sur ses serveurs, suite à l’exercice par une personne concernée de ses droits, afin que les données soient exactes et à jour.

9.8 - Collecte des consentements

En sa qualité de responsable des traitements, le Client s’engage à respecter l’ensemble des obligations lui incombant au titre de la réglementation applicable.

Il doit notamment :

• s’assurer, au moment de l’inscription des Utilisateurs, qu’ils acceptent valablement la collecte et le traitement de leurs données personnelles pour toutes les opérations liées au programme de fidélisation.

• informer les Utilisateurs de la manière dont ses données sont traitées et des droits dont il dispose. Il fait en particulier son affaire de mettre à la disposition des Utilisateurs d’une politique de confidentialité.

A titre facultatif, ZS SERVICES met à la disposition des commerçants différents outils permettant de recueillir valablement le consentement des personnes.

Ces outils sont susceptibles d’évoluer en fonction de la réglementation. Ils sont validés par le DPD de ZS SERVICES. Néanmoins, ces outils constituent uniquement des préconisations proposées au Client qui reste libre d’y recourir ou pas et reste en toute hypothèse seul responsable du respect du présent article. ZS SERVICES n’est pas le responsable des traitements des données.