PROTECTION DES DONNEES PERSONNELLES ET POLITIQUE DE CONFIDENTIALITE VYWO SAS

Le Client a conclu un contrat avec Vywo en acceptant les Conditions Générales de Vente (ci-après, le « Contrat ». La présente Politique de confidentialité a pour objet d’informer le Client sur les obligations à la charge de Vywo en matière de traitement de données personnelles, conformément au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (Règlement général sur la Protection des Données dit RGPD).

Les dispositions qui suivent s’appliquent aux traitements de données à caractère personnel mis en œuvre par Vywo et ceux réalisés pour le compte du Client en vertu du Contrat.

Au sens de la réglementation applicable et notamment du RGPD, ci-après « Règlement », le Client peut constituer « le responsable des traitements » ou « la personne concernée » et Vywo constitue le « sous-traitant » ou « le responsable des traitements » en fonction des traitements réalisés.

Les données à caractère personnel qui sont collectées via l’Application Wanapos (ci-après, l’ « Application ») sont les suivantes :

Ouverture de compte. Lors de la création du compte de l'Utilisateur, ses nom, prénom, Pays, nom de magasin, nom de société, adresse électronique.

Connexion. Lors de la connexion de l'Utilisateur à l’Application, son adresse électronique.

Profil. L'utilisation des prestations prévues sur l’Application permet de renseigner un profil, pouvant comprendre une adresse et un numéro de téléphone.

Paiement. Dans le cadre du paiement des produits et prestations proposés sur le site, celle-ci enregistre des données financières relatives au compte bancaire de l’Utilisateur.

Cookies. Les cookies sont utilisés dans le cadre de l'utilisation de l’Application sont strictement nécessaires à la fourniture des Services liés à l’Application commandés par l’Utilisateur (notamment, cookies « identifiants de session » et cookies d’authentification). Si l’Utilisateur choisit de les désactiver, l’Application version Web ne pourra pas fonctionner complètement.

Les données personnelles collectées auprès des Utilisateurs ont pour objectif la mise à disposition des Services liés à l’Application, leur amélioration et le maintien d'un environnement sécurisé. Plus précisément, les utilisations sont les suivantes :

• accès et utilisation de l’Application par l'Utilisateur ;
• gestion du fonctionnement et optimisation de l’Application ;
• organisation des conditions d'utilisation des Services de paiement ;
• vérification, identification et authentification des données transmises par l'Utilisateur ;
• mise en œuvre d'une assistance Utilisateurs ;
• prévention et détection des fraudes, malwares (malicious softwares ou logiciels malveillants) et gestion des incidents de sécurité ;
• gestion des éventuels litiges avec les Utilisateurs ;
• envoi d'informations commerciales et publicitaires, en fonction des préférences de l'Utilisateur.

Les données sont conservées pendant le délai strictement nécessaire à l’utilisation de l’Application et archivées pendant toute la durée légale de conservation et d'archivage des données en vue du contrôle de l'administration fiscale.

Les données personnelles peuvent être partagées avec des sociétés tierces, dans les cas suivants :

• Quand l'Utilisateur utilise les services de paiement, pour la mise en œuvre de ces services, le site est en relation bancaires et financières tierces avec lesquelles elle a passé des contrats ;
• Quand l'Utilisateur autorise le site web d'un tiers à accéder à ses données ;
• Quand Vywo recourt aux services de prestataires pour fournir les services de paiement et d’hébergement. Ces prestataires disposent d'un accès limité aux données de l'Utilisateur, dans le cadre de l'exécution de ces prestations, et ont une obligation contractuelle de les utiliser en conformité avec les dispositions de la réglementation applicable en matière protection des données à caractère personnel ;
• Si la loi l'exige, Vywo peut effectuer la transmission de données pour donner suite aux réclamations présentées contre Vywo et se conformer aux procédures administratives et judiciaires ;
• Si Vywo est impliquée dans une opération de fusion, acquisition, cession d'actifs ou procédure de redressement judiciaire, elle pourra être amenée à céder ou partager tout ou partie de ses actifs, y compris les données à caractère personnel. Dans ce cas, les Utilisateurs seraient informés, avant que les données à caractère personnel ne soient transférées à une tierce partie.

Vywo met en œuvre des mesures organisationnelles, techniques, logicielles et physiques en matière de sécurité du numérique pour protéger les données personnelles contre les altérations, destructions et accès non autorisés. Toutefois, il est à signaler qu'internet n'est pas un environnement complètement sécurisé et Vywo ne peut pas garantir la sécurité de la transmission ou du stockage des informations sur internet.

En application de la réglementation applicable aux données à caractère personnel, les Utilisateurs disposent des droits suivants :

• Ils peuvent mettre à jour ou supprimer les données qui les concernent en se connectant à l'application dans la partie "mon compte" et en configurant les paramètres de ce compte ;
• Ils peuvent supprimer leur compte, en écrivant à l'adresse électronique suivante : contact@wanapos.com ;
• Ils peuvent exercer leur droit d'accès, pour connaître les données personnelles les concernant, en écrivant l'adresse électronique suivante : contact@wanapos.com. Dans ce cas, avant la mise en œuvre de ce droit, Vywo peut demander une preuve de l'identité de l'Utilisateur afin d'en vérifier l'exactitude ;
• Si les données à caractère personnel détenues par Vywo sont inexactes, ils peuvent demander la mise à jour des informations, en écrivant à l'adresse électronique suivante : contact@wanapos.com;
• Les Utilisateurs peuvent demander la suppression de leurs données à caractère personnel, conformément aux lois applicables en matière de protection des données, en écrivant à l’adresse suivante : contact@wanapos.com.

Vywo se réserve le droit d’apporter toute modification à la présente clause relative à la protection des données à caractère personnel à tout moment. Si une modification est apportée à la présente clause de protection des données à caractère personnel, Vywo s’engage à publier la nouvelle version sur son site. Vywo informera également les Utilisateurs de la modification par messagerie électronique, dans un délai minimum de 15 jours avant la date d’effet. Si l’Utilisateur n’est pas d’accord avec les termes de la nouvelle rédaction de la clause de protection des données à caractère personnel, il a la possibilité de supprimer son compte.

Objet et durée du traitement. Vywo est autorisé à traiter pour le compte du Client responsable du traitement les données à caractère personnel nécessaires pour l’usage de l’Application, aux seules fins de fourniture des Services, pour la durée prévue au Contrat et pendant toute la durée légale de conservation et d'archivage des données en vue du contrôle de l'administration fiscale.

Nature des opérations réalisées sur les données et finalités du traitement. Vywo s’engage à ne pas traiter les données personnelles transmises pour des finalités autres que celles prévues au Contrat c’est-à-dire l’usage de l’Application et des services associés dans le cadre de l’activité commerciale du Client.

Données à caractère personnel traitées et catégories de personnes concernées. Vywo pourra ainsi être amené à procéder à des traitements de données à caractère personnel (en particulier les consommateurs/clients finaux du Client) pour le compte du Client, responsable de traitement. Toutes les données à caractère personnel collectées et traitées via l’Application dans le cadre de l’activité du Client, en ce incluant notamment les données relatives à l’identification des personnes concernées et les données de paiement, sont strictement confidentielles.

Obligations du sous-traitant vis-à-vis du Client responsable de traitement. En tant que sous-traitant, Vywo s'engage à :

• traiter les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance ;
• ne traiter les données personnelles que sur instructions documentées du Client, y compris en ce qui concerne le transfert de ces données vers un pays tiers ou à une organisation internationale. Si Vywo considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informera immédiatement le Client.
• garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent contrat ;
• veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
• prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut.

Obligations du responsable de traitement vis-à-vis du sous-traitant. En tant que responsable de traitement, le Client s’engage à :

• ne fournir à Vywo que les données visées ci-dessus ;
• documenter par écrit toute instruction concernant le traitement des données par Vywo ;
• veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen sur la protection des données de la part de Vywo ;
• superviser le traitement, y compris réaliser les audits et les inspections auprès de Vywo.

Sous-traitance. Vywo peut faire appel à un autre sous-traitant (ci-après, « le sous-traitant ultérieur ») pour mener des activités de traitement spécifiques. En tant que responsable du traitement, le Client donne son consentement général pour le recrutement d’autres sous-traitants à des fins de traitement des données à caractère personnel. Vywo informera préalablement et par écrit le Client de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants en indiquant clairement les activités de traitement sous-traitées, l’identité et les coordonnées du sous-traitant et les dates du contrat de sous-traitance. En cas d’objection de la part du Client, il lui appartient de se désengager et de ne plus utiliser l’Application.

Le sous-traitant ultérieur est tenu de respecter les obligations du présent contrat pour le compte du Client. Il appartient à Vywo de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, Vywo demeure pleinement responsable devant le Client de l’exécution par l’autre sous-traitant de ses obligations.

Droit d’information et notification des violations de données et collaboration. Vywo s’engage également à coopérer avec le Client responsable du traitement en vue :

• de l’avertir dans les meilleurs délais de toutes demandes de personnes concernées reçues, et de coopérer raisonnablement avec lui afin de lui permettre de respecte ses obligations en vertu du Règlement en relation avec de telles demandes. Le Client supportera tous frais raisonnables découlant de l'assistance que Vywo fournira au regard du respect de telles obligations ;
• du respect par le Client de ses propres obligations en matière de sécurité et de confidentialité des données à caractère personnel ;
• du respect de l’obligation de notification à l'autorité de contrôle et d’information de la personne concernée d'une violation de données à caractère personnel ; Vywo avertira le Client dans les meilleurs délais dès connaissance d'une violation des données à caractère personnel et répondra raisonnablement aux demandes d'informations supplémentaires du responsable du traitement, afin de l’aider à remplir ses obligations en vertu des articles 33 et 34 du RGPD ;
• de la réalisation d’analyses d’impact relatives à la protection des données ou en cas de consultation préalable de la CNIL par le Client.

Mesures de sécurité. Vywo s’engage à mettre en œuvre toutes les mesures de sécurité techniques et organisationnelles garantissant un niveau de sécurité adapté au risque, y compris, entre autres :

• la pseudonymisation et le chiffrement des données à caractère personnel ;
• les moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
• les moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;
• une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

Sort des données. Au terme de la prestation de services relatifs au traitement de ces données, Vywo s’engage à renvoyer toutes les données à caractère personnel le concernant au Client. Vywo veillera à la conservation et à l’archivage des données pendant toute la durée imposée par le droit de l’Union européenne et la législation française, en vue du contrôle du Client par l'administration fiscale. Au-delà, les données seront détruites.

Délégué à la protection des données. Vywo communique au Client le nom et les coordonnées de son délégué à la protection des données, s’il en a désigné un conformément à l’article 37 du règlement européen sur la protection des données

Registre des catégories d’activités de traitement. Vywo déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du Client comprenant :

• le nom et les coordonnées du Client responsable de traitement pour le compte duquel il agit, des éventuels sous-traitants et, le cas échéant, du délégué à la protection des données ;
• les catégories de traitements effectués pour le compte du Client responsable du traitement ;
• le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa du règlement européen sur la protection des données, les documents attestant de l'existence de garanties appropriées ;
• dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles.

Documentation. Vywo met à la disposition du Client la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d'audits, y compris des inspections, par le Client ou un autre auditeur qu'il a mandaté, et contribuer à ces audits.

Transferts des données. Vywo veillera à ce que, dans la mesure où de quelconques données à caractère personnel provenant de l’Union Européenne sont transférées par ses soins à un autre sous-traitant dans un pays ou territoire en dehors de la France et/ou de l’Union Européenne n'ayant pas fait l'objet d'une décision d'adéquation contraignante de la part de la Commission européenne ou de l'autorité nationale compétente en matière de protection des données, un tel transfert soit soumis à un mécanisme de transfert approprié, assurant un niveau de protection adéquat aux termes du Règlement.

Responsabilité. En toute hypothèse, il est rappelé que les Services fournis par Vywo constitue un élément contributif mais non suffisant à la mise en conformité du Client avec l’ensemble des exigences réglementaires en matière de protection des données, et que la responsabilité de Vywo en matière de conformité à la règlementation est strictement limitée au périmètre des Services opérés par ses soins. Le Client devra disposer, sans que cette liste ne revête un caractère exhaustif, d’un système d’information adapté au traitement des données personnelles, d’une analyse de risques et d’impacts le cas échéant, d’une politique de sécurité de son système d’information, d’une charte d’utilisation des moyens informatiques, d’un programme de formation et de sensibilisation de ses utilisateurs à la sécurité et à la protection des données, sous sa seule responsabilité. En aucun cas la responsabilité de Vywo ne peut être recherchée en cas de non-respect par le Client des mesures organisationnelles et techniques de protection des données personnelles lui incombant, ni plus généralement dans la détermination par ses soins des catégories de données collectées et/ou chargées par ses soins au sein des Services, des finalités poursuivies et des traitements mis en œuvre par ses soins ou à sa demande.