AVIS D'ARBITRAGE :VOUS ÊTES LIÉ PAR LA DISPOSITION D'ARBITRAGE ÉNONCÉE DANS LES CONDITIONS D'UTILISATION DES SERVICES AUX ENTERPRISES. SI VOUS PASSEZ UN CONTRAT AVEC SNAP INC., VOUS ET SNAP INC. RENONCEZ AU DROIT DE PARTICIPER À UN RECOURS COLLECTIF DEVANT LES TRIBUNAUX OU À UN ARBITRAGE COLLECTIF.

Le présent Accord de partage des données (l'« Accord »), constitue un contrat juridiquement contraignant entre Snap et vous, qui s'applique dans la mesure où Snap et vous partagez les données personnelles du client comme décrit ci-dessous et est incorporé dans les Conditions d'utilisation des services aux entreprises. Certaines conditions utilisées dans le présent Accord sont définies dans les Conditions d'utilisation des services aux entreprises. Snap Inc. agit en tant que responsable du traitement des données en vertu du présent Accord quelle que soit l'entité Snap avec laquelle vous passez un contrat dans le cadre des services aux entreprises sous-jacents.

Les "Données personnelles du client" désignent les données personnelles de personnes se trouvant dans l'EEE, en Suisse, au Royaume-Uni et au Brésil, qui sont fournies à vous ou à Snap (la "Partie réceptrice") par l'autre partie (la "Partie émettrice ") ou en son nom lorsque la partie réceptrice et la partie émettrice sont chacune responsables du traitement.

La "Loi sur la protection des données" désigne les lois sur la protection des données de l'EEE, de la Suisse, du Royaume-Uni et du Brésil applicables au traitement des données personnelles du Client en vertu du présent Accord, y compris le RGPD, les lois sur la protection des données du Royaume-Uni et le LGPD.

"EEE" désigne l'Espace économique européen.

Le "RGPD" désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques en matière de traitement de données personnelles et à la libre circulation de ces données, lequel abroge la Directive 95/46/CE.

"LGPD" désigne la Loi générale brésilienne sur la protection des données (Lei Geral de Proteção de Dados Pessoais).

La "violation de données personnelles" désigne la destruction, la perte ou l'altération, la divulgation non autorisée des données personnelles du client ou l'accès non autorisé à de telles données de manière accidentelle ou illicite sur les systèmes gérés ou contrôlés par une partie.

"UK" désigne le Royaume-Uni.

Les "Lois britanniques sur la protection des données" désignent le RGPD qui fait partie du droit de l'Angleterre et du pays de Galles, de l'Écosse et de l'Irlande du Nord en vertu de la section 3 de la Loi de 2018 sur le retrait de l'Union européenne du Royaume-Uni ("RGPD britannique") et de la Loi de 2018 sur la protection des données.

Les termes et expressions "données personnelles", "personne concernée", "traitement", "responsable du traitement", "sous-traitant", "représentant" et "autorité de contrôle" utilisés dans le présent accord sont définis dans le RGPD, les lois britanniques sur la protection des données ou le LGPD, le cas échéant, quelle que soit la loi applicable en matière de protection des données.

a. Rôles des parties. Snap Inc. et vous êtes chacun responsables indépendants du traitement des données personnelles du client ; à ce titre, et sous réserve des restrictions énoncées dans le présent accord et des Conditions des services aux entreprises, y compris toutes conditions et politiques supplémentaires, chacun de vous détermine les objectifs et les moyens du traitement des données personnelles du client de manière indépendante en vertu de la loi sur la protection des données.

b. Transparence et droits en matière de protection des données. Snap Inc. et vous informerez individuellement les personnes concernées et permettrez à celles-ci d'exercer leurs droits en vertu de la loi sur la protection des données.

c. Détails du traitement données. L'objet et les détails du traitement sont décrits dans l'annexe 1 du présent accord.

d. Respect de la loi. Chaque partie accepte de se conformer à ses obligations en vertu de la loi sur la protection des données concernant toutes les données personnelles du client qu'elle traite dans le cadre du présent accord ou en relation avec ce dernier.

e. Sécurité des données. Conformément à la loi sur la protection des données, chaque partie sera chargée de mettre en place et de maintenir toutes les mesures techniques, administratives et organisationnelles appropriées pour : (i) assurer un niveau de confidentialité et de sécurité approprié aux risques liés au traitement et à la nature des données personnelles du client ; et (ii) empêcher un traitement non autorisé ou illicite des données personnelles du client, une perte accidentelle, une divulgation, une destruction ou un endommagement des données personnelles du client.

f. Confidentialité. Chaque partie sera chargée de veiller à ce que seul le personnel tenu de répondre à ses obligations en vertu des Conditions des services aux entreprises ou de cet accord aura accès aux données personnelles du client et que ce personnel sera lié par des obligations appropriées de confidentialité et prendra toutes les mesures raisonnables conformément à la meilleure pratique du secteur afin de garantir la confidentialité des données personnelles du client.

a. Notification. Vous informerez Snap sans retard injustifié et, dans la mesure du possible, dans un délai de 72 heures après avoir pris connaissance d'une violation de données personnelles. Vous fournirez également à Snap une description de la violation de données personnelles, le type de données personnelles ayant fait l'objet de la violation (dans la mesure où elle est connue), les catégories de personnes concernées affectées et d'autres informations requises par la loi applicable sur la protection des données, dès que ces informations seront collectées ou autrement mises à disposition, et vous coopérerez avec toute demande raisonnable faite par Snap relative à la violation des données personnelles.

b. Enquête. Vous convenez de prendre des mesures immédiates pour mener une enquête sur la violation de données personnelles, pour identifier, prévenir et atténuer les effets de cette violation de données personnelles et, avec l'accord préalable de Snap, de mener à bien toute récupération ou toute autre action nécessaire pour remédier à la violation de données personnelles.

a. En cas de transferts des données personnelles du client d'une partie à l'autre en dehors de l'EEE ou du Royaume-Uni, l'Accord de transfert des données doit :

(i) s'appliquer à ces transferts ; 

(ii) prévaloir sur toutes les autres conditions, y compris les conditions du présent accord, en ce qui concerne ces transferts ;

(iii) constituer un contrat juridiquement contraignant entre vous en tant qu'exportateur de données et Snap en tant que, ou au de nom de, l'importateur de données ; et 

(iv) être inclus dans les Conditions des services aux entreprises.

b. En ce qui concerne les données personnelles des personnes concernées de l'EEE, de la Suisse et du Royaume-Uni, Snap Inc. et vous convenez que chaque partie peut traiter les données personnelles du client en dehors de l'EEE, de la Suisse et du Royaume-Uni lorsque les exigences de la loi sur la protection des données (y compris, le cas échéant, les articles 44 à 47 du RGPD) sont remplies ou qu'une exception (y compris, le cas échéant, celles énumérées à l'article 49 du RGPD) s'applique.

c. En ce qui concerne les données personnelles des citoyens brésiliens concernés, Snap Inc. et vous convenez que chaque partie peut traiter les données personnelles du client en dehors du Brésil et vous déclarez et garantissez qu'un tel transfert de données personnelles du client est conforme à la LGPD.

Le présent accord prend automatiquement fin en cas de résiliation des Conditions d'utilisation des services aux entreprises.

En cas de conflit entre le présent Accord ou l'Accord de transfert des données et les Conditions des services aux entreprises, l'une quelconque des Conditions et politiques supplémentaires ou les Conditions d'utilisation du service de Snap, les document directeurs suivants classés par ordre décroissant seront appliqués : Accord de transfert des données (mais seulement en ce qui concerne l'application de la section 4a ci-dessus), le présent Accord, les Conditions et politiques supplémentaires, les Conditions des services aux entreprises et les Conditions d'utilisation du service de Snap.

Vous êtes l'exportateur des données, avec le nom, l'adresse et les coordonnées tels que fournis à Snap via les Services aux entreprises. Les activités liées aux données transférées en vertu des présentes clauses comprennent l'utilisation des Services aux entreprises en conformité avec les Conditions d'utilisation des services aux entreprises et aux Conditions et politiques supplémentaires applicables. L'exportateur des données joue le rôle du responsable du traitement des données.

L'importateur des données est Snap Inc., dont l'adresse est 3000 31st Street, Santa Monica, Californie 90405. Les activités relatives aux données transférées en vertu des présentes clauses comprennent la fourniture par Snap des services conformément aux Conditions d'utilisation des services aux entreprises et aux Conditions et politiques supplémentaires applicables. L'importateur données joue le rôle du responsable du traitement des données.

Les activités de partage de données réalisées par Snap en vertu de cet Accord sont les suivantes :

Fourniture des Services par Snap.

Le partage des données a pour but de permettre à Snap de fournir les services en vertu des Conditions d'utilisation des services aux entreprises et du présent Accord et suivant les modalités prescrites par ceux-ci.

Les données personnelles du client relatives aux personnes fournies par la Partie Émettrice à la Partie Réceptrice via les services aux entreprises, qui peuvent inclure :

• l'adresse e-mail

• le numéro de téléphone

• l'identifiant de la publicité mobile (IDFA/AAID)

• l'adresse IP

• l'identifiant du cookie

• l'agent utilisateur du navigateur

• les données démographiques

• les liens entre utilisateurs

• la session, la transaction et les identifiants de l'utilisateur

• le sexe, la taille, le poids, l'âge et les autres caractéristiques personnelles

• les données du produit comme l'identifiant du produit, les détails de la catégorie du produit, la description du produit, les informations et les données concernant la dimension, le code EAN, la couleur du produit et les informations relatives à l'ajustement du produit,

• les données de la transaction telles que les informations relatives aux achats et aux retours,

• les actions et les activités qui ont eu lieu sur les sites web et les applications, y compris les pages consultées, les achats, les recherches, les activités de paiement, les listes de souhaits, les installations et les méthodes d'inscription de l'utilisateur.

• photos

Non applicable

En continu

Les personnes concernées comprennent les personnes vivant dans l'EEA, en Suisse, au Royaume-Uni et au Brésil dont les données personnelles sont fournies par la Partie Émettrice à la Partie Réceptrice via des services aux entreprises.

L'autorité de contrôle compétente sera l'autorité néerlandaise de protection des données (Autoriteit Persoonsgegevens, AP).

1. Assurer la mise en œuvre et le respect d'un programme écrit de sécurité des informations conformément aux normes de l'industrie établies comprenant des dispositifs de protection administrative, technique et physique appropriés à la nature des données personnelles du client et conçu pour protéger ces informations de : l'accès, la destruction, l'utilisation, la modification ou la divulgation non autorisés ; l'accès non autorisé ou l'utilisation qui pourrait entraîner un préjudice ou des désagréments substantiels au responsable du traitement des données ou aux clients du responsable du traitement des données ou aux employés du responsable du traitement des données ; et toute menace ou risque prévu à la sécurité ou à l'intégrité de ces informations.

2. Adopter et mettre en œuvre des politiques et normes raisonnables relatives à la sécurité.

3. Attribuer la responsabilité concernant la gestion de la sécurité des informations.

4. Consacrer des ressources du personnel adéquates à la sécurité des informations.

5. Effectuer des vérifications auprès du personnel permanent qui a accès aux données personnelles du client.

6. Procéder à des vérifications d'antécédents et exiger que les employés, les fournisseurs et d'autres personnes ayant accès aux données personnelles du client concluent des accords de confidentialité écrits.

7. Former les employés et d'autres personnes ayant accès aux données personnelles du client pour qu'ils prennent conscience des risques de sécurité des informations et pour améliorer le respect des politiques et normes de Snap relatives à la protection des

8. Prévenir l'accès non autorisé aux données personnelles du client par l'utilisation, le cas échéant, des contrôles de saisie physiques et logiques (mots de passe), des zones sécurisées pour le traitement des données et des procédures pour le contrôle de l'utilisation des installations de traitement des données, des pistes de vérification intégrées, l'utilisation des mots de passe sécurisés, de la technologie de détection d'intrusion du réseau, de la technologie d'authentification, des procédures de connexion sécurisées et de la protection contre les virus, de la surveillance du respect des politiques et normes de Snap relatives données de façon continue. En particulier, Snap a mis en œuvre et se conforme à, selon le besoin et sans s'y limiter :

• Des mesures de contrôle de l'accès physique pour empêcher l'accès non autorisé aux systèmes de traitement des données (par exemple, les badges d'accès, les lecteurs de carte, agents de sécurité, systèmes d'alarme, détecteurs de mouvement, alarmes anti-intrusion, surveillance vidéo et sécurité extérieure) ;

• Des mesures de contrôle du refus d'utilisation pour empêcher l'utilisation non autorisée des systèmes de protection des données (par exemple, la complexité du mot de passe et les exigences de modification automatiquement appliqués et les pare-feux.)  ;

• Un régime d'autorisation et des droits d'accès fondé sur des exigences, ainsi que la surveillance et l'enregistrement de l'accès au système pour s'assurer que les personnes habilitées à utiliser le système de traitement des données n'ont accès qu'aux données auxquelles elles ont le droit d'accéder et que les données personnelles du client ne peuvent pas être lues, copiées, modifiées ou supprimées sans autorisation ;

• Des mesures de contrôle de la transmission des données pour s'assurer que les données personnelles du client ne peuvent pas être lues, copiées, modifiées ou supprimées sans autorisation lors de la transmission électronique, le transport ou le stockage des supports de données, ainsi que le transfert et la réception des enregistrements. En particulier, le programme de sécurité des informations de Snap sera conçu pour :

  • crypter dans le stockage tout ensemble de données en possession de Snap, y compris les données personnelles sensibles, à l'aide des niveaux de cryptage appropriés basés sur des normes de cryptage de pointe, y compris AES -256, et le stockage de l'identité de l'utilisateur dans le système à l'aide d'une paire clé-valeur telle que ghost_id pour empêcher le stockage de l'identifiant de l'utilisateur ;

  • s'assurer que toutes les données personnelles sensibles qui ont été transmises électroniquement (autre que par fac-similé) à une personne en dehors du système informatique de Snap ou transmises via un réseau public sont cryptées à l'aide des versions les plus récentes de protocole TLS 1.2 pris en charge pour protéger la sécurité de la transmission;

• Des mesures de contrôle de saisie pour s'assurer que Snap peut vérifier et établir si et par qui les données personnelles du client ont été saisies, modifiées ou supprimées dans les systèmes de traitement des données ;

• Des mesures d'évaluation en continu de la sécurité pour s'assurer que les pratiques de sécurité des informations restent pertinentes, efficaces et à jour, y compris les essais de pénétration annuels, les programmes de prime de bogue, l'utilisation des outils d'analyse du système, des exercices de simulation, des tests de restauration de la sauvegarde, des basculements de la préproduction, et la conduite d'analyses rétrospectives de tout incident réel pour mettre à jour les plans de récupération d'urgence pertinents ;

• Des mesures de contrôle du sous-traitant ultérieur pour s'assurer que, si Snap est autorisé à recourir à des sous-traitants ultérieurs, les données personnelles du client sont strictement traitées conformément aux instructions du responsable du traitement des données y compris, le cas échéant :

  • Des mesures pour s'assurer les données personnelles du client sont protégées contre la destruction ou la perte accidentelles y compris, le cas échéant et sans s'y limiter, la sauvegarde des données, les politiques de conservation et de destruction sécurisées ; le stockage sécurisé en dehors du site des données suffisantes pour la récupération d'urgence ; l'alimentation électrique sans interruption et des programmes de récupération d'urgence ; et

  • Des mesures pour s'assurer que les données collectées à des fins différentes peuvent être traitées séparément, y compris, le cas échéant, la séparation physique ou logique adéquate des données personnelles du client. 

9. Prendre d'autres mesures appropriées selon les circonstances.