Politique de confidentialité

I. Préambule

La présente Politique de Confidentialité fait partie intégrante des Conditions Générales Annonceurs, des Conditions Générales Affiliés et du Contrat d’Exploitation d’une Base de Données opt-in (ci-après ensemble les « Contrats ») si bien que les définitions utilisées dans ces derniers sont réutilisées dans la présente Politique Confidentialité.La présente Politique de Confidentialité a pour objet de :

  1. - définir les qualités des différents intervenants sur les traitements mis en œuvre réalisés dans le cadre de l’exécution des Contrats ;
  2. - décrire (i) les données personnelles collectées par SwarmiZ, (ii) les modalités de la collecte des données personnelles par SwarmiZ et (iii) les modalités de transmission des données personnelles par SwarmiZ à ses Partenaires ;
  3. - définir les garanties et engagements des Partenaires de SwarmiZ, et réciproquement, au regard des traitements mis en œuvre dans le cadre de l’exécution des Contrats.

II. Définitions

Les termes utilisés en majuscule et non définis aux fins des présentes ont la signification qui leur est donnée aux termes des Contrats.


"Affilié" désigne un prestataire, en particulier un exploitant(s) d’une Base de Données ou son mandataire au sens de l’article 2 b) de la Directive 2000/31/CE du 8 juin 2000, à l’exception des Exclusions, lequel souhaite diffuser et/ou promouvoir des Campagnes et être rémunéré pour cette/ces prestation(s) ;
"Base de Données Partenaire(s)" désigne la Base de Données au sens du Contrat d’Exploitation d’une Base de Données opt-in et/ou au sens des Conditions Générales Annonceurs;
"Base de Données SwarmiZ" désigne la base de données exploitée par SwarmiZ et constituée à partir des données personnelles collectées par SwarmiZ dans le cadre des Prestations réalisées en qualité de responsable de traitement, ;
"Partenaires" désignent indistinctement le/les Affilié(s), le/les Annonceur(s) et le/les Exploitants d’une Base de Données ;
"Charte Vie Privée de SwarmiZ" désigne la charte vie privée de SwarmiZ à l’intention des personnes physiques dont SwarmiZ traite les données personnelles en qualité de responsable de traitement, accessible en cliquant sur le lien suivant : https://www.swarmiz.com/privacy-charter.php, modifiable à tout moment, et partie intégrante à la Politique de Confidentialité ;
"Conditions Générales Affiliés" désignent les conditions générales formalisant la relation contractuelle entre SwarmiZ et les Affiliés et annexées à l’Ordre de Publicité ;
"Conditions Générales Annonceurs" désignent les conditions générales formalisant la relation contractuelle entre SwarmiZ et les Annonceurs et annexées à l’Ordre de Publicité ;
"Contrat d'Exploitation d'une base de données" désigne le contrat dans le cadre duquel l’Exploitant d’une Base de Données confie à SwarmiZ, l’exploitation de la Base de Données dont il est titulaire, en particulier pour effectuer des Prestations de Routage ;
"Exploitant(s) d’une Base de Données" désigne(nt) la/les personne(s) physiques ou morale(s) titulaire(s) d’une Base de Données et ayant confié à SwarmiZ, dans le cadre de la conclusion du Contrat d’Exploitation d’une Base de Données, l’exploitation de cette Base de Données en particulier pour le Routage de Campagnes d’Annonceurs ;
"Partie(s)" désignent indistinctement, SwarmiZ et/ou les Partenaires ;
"Politique de Confidentialité" désigne la présente politique de confidentialité et de protection des données personnelles des personnes concernées applicable entre SwarmiZ et ses Partenaires, faisant partie intégrante des Contrats et annexée à l’Ordre de Publicité ;
"Politique de Partage des Données" désigne la politique de partage des données jointe en Annexe I de la Politique de Confidentialité et mise à la disposition des personnes concernées par les Parties ;
"Prestations" désignent indistinctement les Prestations d’Affiliation, les Prestations de coregistration/sponsoring et les Prestations de Routage réalisées dans le cadre de l’exécution des Contrats ;
"Prestation(s) d’Affiliation" désigne(nt) les prestations d’affiliation effectuées par SwarmiZ et dont les modalités sont régies par les Contrats, dans le cadre desquelles SwarmiZ communique à l’Affilié les Campagnes de l’Annonceur aux fins pour l’Affilié de procéder à leur diffusion;
"Prestation(s) de Coregistration/sponsoring" désignent les prestations de coregistration et de sponsoring effectuées par SwarmiZ et dont les modalités sont régies par les Contrats, dans le cadre desquelles l’Annonceur collecte les données personnelles d’une Personne cConcernéeConcernée de façon mutualisée avec d’autres Annonceurs, en ce compris le cas échéant Swarmiz et ce, à l’aide d’outils marketings spécifiques pour lesquels Swarmiz et/ou l’Affilié participe(nt) à la création et/ou à l’édition et/ou à la diffusion;
"Prestation(s) de routage" désigne les prestations de transmission d’une Campagne à destination de tout ou partie des Données de contact de tout ou partie de la Base de Données Partenaire, par courrier électronique, ou tout autre moyen de communication en ligne, et/ou par un réseau de télécommunications ouvert au public;
"Prestation(s) d’enrichissement de Base de Données Annonceur" désigne(nt) les prestations effectuées par SwarmiZ et dont les modalités sont régies par les Conditions Générales Annonceurs, dans le cadre desquelles SwarmiZ procède à l’enrichissement de la Bases de Données d’un Annonceur;
"Réglementation sur les Données" désigne le Règlement communautaire du 27 avril 2016 publiée au Journal Officiel de l’Union Européenne le 4 mai 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (dit « RGPD » pour Règlement Général pour la Protection des Données) ainsi que toute réglementation relative au traitement de données personnelles et applicable sur le territoire de chacune des Parties, en ce compris celui pour les personnes concernées.

III. Qualité des parties

3. SwarmiZ

3.1 Dans le cadre des Prestations, SwarmiZ est mandatée par l’Annonceur :

  1. - pour organiser la mise en œuvre des traitements nécessaires à l'exécution des Prestations d’Affiliation et Prestations de routage, en qualité de « maître d'ouvrage », tels que prévus (i) dans le cadre des phases de gestion prévues à l’article 5.1 des Conditions Générales Annonceurs (« Concernant les Prestations d’affiliation »), (ii) aux articles 4.3, 4.4 du Contrat d’Exploitation d’une Base de Données;
  2. - afin de sélectionner, construire et négocier une Audience pertinente pour la Campagne envisagée, en qualité d'« intermédiaire en fichiers », tels que prévus (i) dans le cadre des phases de gestion prévues à l’article 5.1 des Conditions Générales Annonceurs, (ii) à l’article 4.1.2 des Conditions Générales Affiliés, (iii) à l’article 5 du Contrat d’Exploitation d’une Base de Données;
  3. - pour réaliser ou faire réaliser les opérations techniques nécessaires à la Campagne qui lui auront été assignées, la restructuration, la normalisation, le dédoublonnage ou le routage de la Campagne, en qualité d'« opérateur de traitement de données », tels que prévus à l’article 4.2 du Contrat d’Exploitation d’une Base de Données, à l’exception du Contrôle du trafic et, le cas échéant, des Conversions obtenues depuis les Campagnes;

Conformément au Code Général de Déontologie de la Communication Directe du Syndicat National de la Communication Directe (SNCD), SwarmiZ est sous-traitant de l'Annonceur lorsqu'ellelorsqu’elle agit en qualitéexclusivement comme intermédiaire technique et que les traitements sont effectués exclusivement pour le compte d’un Annonceur et conformément aux instructions documentées de maître d'ouvrage, d'intermédiaire en fichiers ou d'opérateur de traitement de ce dernier. Par exemple, lorsque des données sont collectées par un Affilié et sont communiquées à l’exception i) des un Annonceur en transitant sur les serveurs de SwarmiZ, cette dernière intervient comme sous-traitant de l’Annonceur.Par exemple, lorsque des données sont collectées par un Affilié et sont communiquées à un Annonceur en transitant sur les serveurs de SwarmiZ, cette dernière intervient comme sous-traitant de l’Annonceur. Les Prestations d’enrichissement de Bases de Données Annonceur sont également réalisées par SwarmiZ en qualité de sous-traitant.A toutes fins utiles il doit être précisé que les opérations i) de comptage et de contrôle des impressions des Campagnes des Annonceurs sur les Supports des Affiliés et ii) des opération de réalisation des statistiques commerciales et analyses marketing (notamment classification, score, etc.) des impressions des Campagnes des Annonceurs sur les Supports des Affiliés et iii) la communication des Campagnes publicitaires des Annonceurs sur ses propres Supports par SwarmiZ est une liste non exhaustive de traitements de données personnelles réalisés par SwarmiZ en qualité de responsable de traitement, le cas échéant responsable de traitement conjoint.

3.2 La sous-traitance de données personnelles par SwarmiZ est encadrée conformément aux dispositions de l’article 7 ci-après.

3.3 Dans le cadre des Prestations de coregistration/sponsoring et des Prestations de Routage en participant à la création et le cas échéant à la diffusion de ces Campagnes, Swarmiz influe de manière déterminante sur la collecte et la transmission des données personnelles des personnes concernées au profit de l’Annonceur.

3.4 Dans ces conditions, il doit être considéré que Swarmiz, l’Affilié et l’Annonceur déterminent conjointement les moyens à l’origine des opérations de collecte et de communication par transmission des données personnelles des personnes concernées.

3.5 Dans le cadre des Prestations de coregistration/sponsoring Swarmiz peut également, comme un Annonceur, collecter les données personnelles des personnes concernées générées par les Campagnes et les traiter en qualité de responsable de traitement autonome.

4. Annonceur et Affilié

4.1 En participant à la création et à la diffusion des Campagnes, l’Annonceur et l’Affilié influent de manière déterminante sur la collecte et la transmission des données personnelles des personnes concernées au profit de l’Annonceur.

4.2 Dans ces conditions, il doit être considéré que Swarmiz, l’Annonceur et l’Affilié déterminent conjointement les moyens à l’origine des opérations de collecte et de communication par transmission des données personnelles des personnes concernées.

4.3 Par ailleurs, l’Annonceur collecte et traite les données personnelles des personnes concernées généré par les Campagnes en qualité de responsable de traitement autonome.

4.4 De la même façon, l’Exploitant d’une Base de Données a collecté les données personnelles des personnes concernées constituant sa Base de Données en qualité de responsable de traitement autonome et procède à la gestion et à la mise à jour de cette Base de Données toujours en qualité de responsable de traitement autonome.

5. Engagements et garanties des Partenaires et de SwarmiZ dans le cadre des traitements mis en œuvre en qualité de responsable de traitement

5.1 Les Partenaires et SwarmiZ s’engagent respectivement à agir conformément à la Réglementation sur les Données personnelles dans le cadre de la mise en œuvre des Prestations et des obligations qui leur incombent en leur qualité de responsable de traitement.

5.2 En particulier, nonobstant les obligations à ce titre prévues dans le(s) Contrat(s), les Partenaires et SwarmiZ s’engagent à ce que les données personnelles collectées soient :

  1. traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;
  2. recueillies selon un mode de consentement libre, spécifique, éclairé et univoque ;
  3. recueillies dans le respect de l’information préalable des personnes concernées, c’est-à-dire qui détaillent précisément les conditions de saisie d’informations, leur utilisation et diffusion, notamment la collecte de données personnelles dans le cadre des Prestations ainsi que l’utilisation de ces dernières ;
  4. collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités, par exemple à des fins directement ou indirectement personnelles et/ou commerciales ;
  1. 5.2.1. Il est rappelé aux Partenaires que conformément à l’article 13 de la Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), est interdite la prospection directe au moyen notamment de courriers électroniques utilisant les coordonnées d'une personne concernée qui n'a pas exprimé préalablement son consentement à recevoir des prospections directes par ce moyen.
  2. 5.2.2. Dans ces conditions et sauf accord écrit, exprès et préalable de SwarmiZ sous la forme d’un avenant au Contrat concerné, il est précisé que la seule base légale applicable à la collecte de données personnelles dans le cadre des Prestations est un mode de recueil du consentement libre, spécifique, éclairé et univoque, en particulier une case à cocher de type opt-in désignant les catégories de destinataires et/ou les destinataires et, lorsque SwarmiZ est un destinataire, incluant un lien vers l’adresse URL de la Charte Vie Privée de SwarmiZ .
  3. 5.2.3. Chacun des Partenaires communique à SwarmiZ, sans délai et lors de chacune de ses modifications, sa politique ayant pour objet de fournir lorsque des données à caractère personnel sont collectées ou non auprès de la personne concernée les informations requises par la Réglementation sur les Données personnelles.
  4. 5.2.4. La Charte Vie Privée de SwarmiZ, est disponible à l’adresse URL suivante http://swarmiz.com/privacy-charter.php et est modifiable à tout moment par SwarmiZ, sans notification préalable.
  5. 5.2.5. SwarmiZ se réserve le droit d’exiger à tout moment d’un de ses Partenaires qu’il justifie de l’existence et de la communication d’une telle politique et d’un tel consentement mais également, sans réponse de ce Partenaire dans un prompt délai, de procéder à la suspension de la diffusion d’une Campagne concernée.
  6. 5.2.6. Les Campagnes doivent systématiquement permettre aux personnes concernées de prendre connaissance des Parties traitant leurs données personnelles en qualité de responsable de traitement et de leur politique ayant pour objet de leur fournir les informations requises par la Réglementation sur les Données personnelles, sans quoi, Swarmiz se réserve le droit de ne pas procéder à sa diffusion ou de suspendre celle-ci. et est modifiable à tout moment par SwarmiZ, sans notification préalable.
  1. adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données);
  2. exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude);
  3. conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; (limitation de la conservation);
  4. traitées de façon à garantir une sécurité appropriée des données personnelles, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité).

6. Engagements et garanties des Partenaires et de SwarmiZ dans le cadre des traitements mis en œuvre en qualité de responsable conjoints de traitement

a. Information des personnes concernées

6.1 Les Campagnes doivent systématiquement permettre aux personnes concernées de prendre connaissance des Parties traitant leurs données personnelles en qualité de responsables conjoints de traitement et de leur politique ayant pour objet de leur fournir les informations requises par la Réglementation sur les Données personnelles, sans quoi, Swarmiz se réserve le droit de ne pas procéder à sa diffusion ou de suspendre celle-ci.

6.2 Les grandes lignes des obligations propres aux Parties en qualité de responsables conjoints de traitement sont mises à la disposition de la personne concernée par l’intermédiaire de la Politique de partage de données en Annexe I de la présente Politique de Confidentialité.

b. Exercice des droits des personnes concernées

6.3 La Partie qui collecte directement les données personnelles auprès des personnes concernées est l’entité désignée comme point de contact auprès des personnes concernées pour l'exercice de leurs droits, et sera le gestionnaire des demandes des personnes concernées. SwarmiZ devra toutefois donner son accord préalable sur le contenu de toute réponse écrite qui sera formulée par le gestionnaire à la personne concernée.

6.4 A réception par le gestionnaire précité d'une demande concernant des données personnelles traitées par une autre Partie, le gestionnaire informe la Partie concernée ainsi que SwarmiZ dans un délai maximum de (3) jours. Ces dernières apporteront toute leur assistance pour permettre au gestionnaire de répondre à la demande dans les délais prévus par la Règlementation sur les Données personnelles.

6.5 Dans l’hypothèse où la personne concernée exercerait auprès du gestionnaire précité une demande d’effacement de l’ensemble des Données personnelles conservées par les Partenaires, celui-ci s’engage à transmettre cette demande à SwarmiZ dans un délai maximum de (3) jours. SwarmiZ deviendra alors gestionnaire de la demande et répondra directement à la personne concernée. Dans ce cadre, les Partenaires s’engagent à apporter toute leur assistance pour permettre à SwarmiZ de répondre à la demande dans les délais prévus par la Réglementation sur les Données personnelles.

c. Sécurité

6.6 Les Parties s’engagent à mettre en œuvre les mesures de sécurité et de confidentialité nécessaires à la conformité des traitements à la Réglementation sur les Données personnelles, notamment des mesures organisationnelles et techniques de sécurité et de confidentialité, telles que mais non exclusivement :

  1. (a) mesures techniques ;
  2. (b) pseudonymisation ;
  3. (c) chiffrement ;
  4. (d) application par le personnel.

6.7 Chacune des Parties assure la sécurité des traitements effectués par elle. En cas de manquement d’une des Parties à son obligation de sécurité entrainant une Violation de Données personnelles, celle-ci est seule tenue responsable des conséquences de cette violation auprès des personnes concernées, des autorités de contrôle et de tout tiers et en garantit intégralement les autres Parties.

6.8 Chacun des Partenaires remettra à première demande à SwarmiZ la documentation existante détaillant l’ensemble des mesures de sécurité technique et organisationnelles mises en place.

d. Violation des Données personnelles

6.9 Chaque Partie s’engage à disposer d’une procédure de gestion des violations de données personnelles opérationnelle et à la suivre en cas de violation de données personnelles collectées et traitées dans le cadre des Contrats.

6.10 Chacun des Partenaires remettra à première demande à SwarmiZ sa procédure de gestion des violations de données personnelles.

6.11 La Partie ayant identifié et qualifié une violation de données personnelles collectées et/ou traitées dans le cadre des Prestations notifie SwarmiZ sans délai mais également, dans la mesure du possible et dans les limites de ses connaissances ses responsables conjoints de traitements dans un délai maximum de quarante-huit (48) heures.

6.12 A la suite de la notification de la violation à l’autre Partie, et sur demande préalable de SwarmiZ les personnes en charge de la gestion des violations, désignées dans les procédures respectives de chacune des Parties se rencontreront sans délai afin de :

  1. (a) prendre les mesures permettant de limiter au maximum la propagation de la violation ;
  2. (b) évaluer la situation et déterminer d'un commun accord s'il convient de notifier cette violation à l'autorité de contrôle compétente et le cas échéant aux personnes concernées ;
  3. (c) désigner le cas échéant la Partie qui sera en charge de la notification à l’autorité de contrôle compétente et le cas échéant aux personnes concernées.

6.13 En cas d’accord sur les mesures visant à remédier à la violation, les Parties les mettent en œuvre sans délai

6.14 Lorsque les Parties se sont mises d’accord sur la notification, la Partie en charge de la communication doit communiquer à l’autorité de contrôle compétente voire aux personnes concernées. Elle effectue cette communication conformément à ses propres procédures de gestion des violations de données personnelles.

6.15 La Partie désignée pour la communication externe doit, avec l’aide des autres Parties, réaliser un rapport documenté d’incident résumant l’ensemble des informations (faits, effets, mesures prises) afin de permettre à l’autorité de contrôle compétente de vérifier la conformité des Parties à cette obligation le cas échéant.

6.16 En cas de doute sur le degré de risque, il revient à la Partie en charge de la communication externe de saisir l’autorité de contrôle compétente pour obtenir son assistance sur la question de savoir si une communication aux personnes concernées est nécessaire.

6.17 Dans l’hypothèse où les Parties ne se mettraient pas d’accord sur la désignation d’une personne en charge de la notification, chacun assumera son obligation pour son propre compte.

e. Coopération entre les Parties

6.18 Les autorités de contrôle compétentes en matière de protection des données personnelles peuvent effectuer des contrôles auprès de l’une ou l’autre des Parties aux fins de vérifier la conformité de ces dernières à la Réglementation sur les Données personnelles.

6.19 Dans le cas d’un contrôle, les Parties doivent

  1. (a) s’informer réciproquement des informations demandées par l’autorité de contrôle et, le cas échéant, des réponses apportées ;
  2. (b) se concerter afin de fournir l’ensemble des informations et documents demandés par l’autorité.

6.20 Les réponses seront apportées par chacune des Parties en fonction des demandes de l’autorité de contrôle, à moins que les Parties ne conviennent de désigner une seule des Parties en charge de centraliser les demandes et de communiquer les réponses, dans les limites permises par la Réglementation.

f. Gestion des litiges

6.21 Les Partenaires déclarent détenir toutes les informations nécessaires à la mise en œuvre des traitements de données personnelles dans le cadre de la réalisation des Prestations conformément à la Réglementation sur les Données personnelles ainsi qu’avoir obtenu toutes les autorisations nécessaires auprès de SwarmiZ.

6.22 Sans préjudice des dispositions de l’article 6.7, les Parties demeurent pleinement responsables auprès des personnes concernées des traitements des Données personnelles les concernant qu’elles réalisent en qualité de responsable de traitement et de responsable de traitement conjoint et, à ce titre, garantissent les autres Parties contre tout trouble, revendication, éviction et plus généralement toute action qui serait intentée à l’égard d’une autre Partie par une Personnes Concernée, y compris par une association de défense des consommateurs représentative au niveau national et agréée conformément aux dispositions de l’article L.623-1 et suivants du code de la consommation sur le fondement d'une violation de la Réglementation sur les Données Personnelles et dont la faute serait exclusivement imputable à la Partie appelée en garantie.

6.23 En cas de décision frappée d’exécution provisoire ou exécutoire de plein droit (tel qu’un référé), les stipulations précédentes seront également applicables, sous réserve de la décision de justice définitive qui sera rendue.

6.24 Cependant, SwarmiZ n'indemnisera la Partie demanderesse en aucune façon si les réclamations formulées par des tiers sont causées par :

  1. - Le défaut de mise en œuvre par la Partie demanderesse de mesures indispensables au respect par SwarmiZ de la Réglementation sur les données personnelles (à titre d’exemple mais sans que cette liste ne soit limitative la mise en place et le paramétrage en bonne et due forme d’une consent management platform, la communication de la Politique de confidentialité de SwarmiZ aux personnes concernées, etc.) et qui trouvent pour cause exclusive la réclamation précitée ;
  2. - Le défaut de mise en œuvre par la Partie demanderesse de corrections techniques et/ou organisationnelles suggérées par SwarmiZ et dans la mesure où ledit défaut est à l’origine exclusive de la réclamation précitée ;
  3. - Des informations, des instructions, fournis par la Partie demanderesse ou une autre Partie (à l’exception de SwarmiZ) ou un tiers et qui trouvent pour cause exclusive la réclamation précitée.

6.25 Pour pouvoir bénéficier des garanties prévues au présent article, la Partie demanderesse doit :

  1. - Notifier, dans les meilleurs délais par écrit SwarmiZ de l'existence d'une réclamation ou d'un procès,
  2. - Lui fournir sa collaboration (aux frais de la Partie poursuivie),
  3. - Ainsi que toutes autorisations nécessaires à assurer la défense du dossier, transiger ou poursuivre.

6.26 Aucun accord transactionnel ne pourra intervenir sans l’accord de SwarmiZ.

g. Mise à disposition des grandes lignes de la présente Politique de Confidentialité aux personnes concernées par les Partenaires

6.27 Conformément aux dispositions de l’article 26 du RGPD, les Partenaires s’engagent à mettre à disposition des personnes concernées la Politique de Partage des Données en Annexe I, laquelle a pour objet de rappeler les grandes lignes de la présente Politique de Confidentialité, conformément à l’article 26 du RGPD.

7. Engagements et garanties de Swarmiz dans le cadre des Prestations opérées en qualité de sous-traitant de données personnelles

7.1 SwarmiZ s’engage à traiter les données personnelles exclusivement aux fins d’exécution des Contrats et conformément aux instructions documentées du responsable de traitement. A ce sujet, les Parties déclarent et acceptent à titre de condition essentielle sans laquelle SwarmiZ n’aurait pas contacté que les instructions documentées sont constituées prioritairement des contrats souscrits entre les Parties, puis de la documentation opérationnelle, technique et commerciale de SwarmiZ, laquelle a été éprouvée et a justifié l’engagement de l’Annonceur, de l’Affilié et/ou de l’Exploitant de Bases de Données auprès de SwarmiZ et enfin, des échanges entre les Parties sous réserve d’une validation de l’instruction en cause tant par le responsable de traitement que par SwarmiZ.

7.2 Dans l’hypothèse où l’instruction en cause ne serait pas validée par SwarmiZ, le responsable de traitement s’engage à se concerter avec SwarmiZ et à prendre en compte ses observations et commentaires afin de lui proposer une nouvelle instruction étant de nature à répondre et correspondre aux pratiques juridique, commerciale et opérationnelle de SwarmiZ, et à défaut de justifier par écrit des écarts avec ces pratiques, et ce, jusqu’à validation de l’instruction documentée par SwarmiZ. A défaut d’une telle validation, les Parties se rapprocheront aux fins de fixer les modalités de mise en œuvre de cette instruction documentée et le montant de cette dernière. La réalisation de cette instruction documentée pourra, le cas échéant, faire l'objet d'un avenant au contrat entre le responsable de traitement et SwarmiZ et, à défaut, sera soumise au contrat existant.

7.3 SwarmiZ reconnaît présenter les garanties suffisantes, notamment en termes de connaissance, de fiabilité et de ressources pour la mise en œuvre des mesures techniques et organisationnelles satisfaisant aux obligations de la Règlementation sur les Données personnelles.

7.4 SwarmiZ garantit la confidentialité des données personnelles traitées pour le compte du responsable de traitement et veille à ce que les personnes autorisées à traiter lesdites données personnelles en vertu des Contrats s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité et reçoivent la formation nécessaire en matière de protection des données personnelles.

7.5 Il appartient au responsable de traitement de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données personnelles. A ce titre, SwarmiZ s’engage à notifier l’Annonceur, dans les meilleurs délais, de toute demande exercée auprès de SwarmiZ par les personnes concernées relatives à l’exercice de leurs droits d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données personnelles, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).

Cette notification est transmise au responsable de traitement par courrier électronique à l’adresse indiquée au Bon de Commande.

SwarmiZ s’interdit de répondre à tout demande d’une personne concernée.

SwarmiZ s’engage sur devis préalablement accepté par le responsable de traitement à l’assister dans sa mise en conformité avec la Règlementation sur les Données Personnelles exclusivement pour les Données Personnelles concernées par les Contrats conclus avec le responsable de traitement. Cette assistance tient compte de la nature du traitement et des informations dont dispose SwarmiZ et comprend une assistance pour :

  1. La mise en œuvre des mesures de sécurité techniques et organisationnelles appropriées des données personnelles
  2. La gestion, la notification, l’enquête, les mesures correctives relatives à une brèche de sécurité de données personnelles,
  3. La réalisation d'une évaluation de l'impact de la protection des données personnelles si nécessaire,
  4. La coopération avec les autorités de protection des données ou leur consultation préalable au traitement si nécessaire, et
  5. La gestion et les réponses aux demandes ou des réclamations émanant de personnes concernées exerçant leurs droits en vertu de la Règlementation sur les Données Personnelles ou des demandes émanant d'une autorité compétente en matière de protection des données ou d'un responsable de la protection des données tiers ;

7.5 SwarmiZ s’engage, dans un délai minimum de vingt-quatre (24) heures à compter de la prise de connaissance d’une Violation de Données personnelles, à :

  1. notifier au responsable de traitement toute violation et plus généralement tout événement de nature à constituer un risque pour la sécurité de Données personnelles après avoir identifié et déterminé les circonstances et conséquences principales de la violation. Il en informe le responsable de traitement par courrier électronique ;
  2. accompagner la notification de toute documentation utile afin de permettre au responsable de traitement si nécessaire, de notifier cette violation à l’autorité de contrôle compétente, incluant notamment la nature de la Violation de Données personnelles avec les catégories et le nombre approximatif de personnes concernées, ainsi que le nombre approximatif d’enregistrements de Données personnelles, les conséquences probables de la violation, les mesures prises pour remédier à la Violation de Données personnelles et à ses conséquences ;
  3. prendre des mesures raisonnables pour atténuer les effets et minimiser les conséquences préjudiciables de tout accès illégal à des Données personnelles sur les équipements et/ou dans les locaux de SwarmiZ, dans les meilleurs délais dès qu’il en a connaissance, sans préjudice des éventuels dommages et intérêts dus au responsable de traitement.

7.6 Au terme des Contrats, SwarmiZ s’engage à renvoyer toutes les données personnelles au responsable de traitement.

Le renvoi doit s’accompagner de la destruction de toutes les copies existantes dans les systèmes d’information de SwarmiZ à l’exception d’une copie de sauvegarde conservée par SwarmiZ en archivage intermédiaire pendant la durée nécessaire afin de lui permettre de respecter ses obligations légales et de se préserver une preuve dans l’hypothèse d’un contentieux. Une fois détruites, SwarmiZ doit justifier par écrit et sans délai de la destruction.

7.7 Lorsque SwarmiZ a recours à des prestataires externes pour la réalisation des Prestations conformément à l’article 3.1, celui-ci s’engage à imposer à ces sous-traitants ultérieurs les mêmes obligations en matière de protection des données que celles fixées dans la présente Politique de Confidentialité, en particulier de ce qui est de présenter des garanties suffisantes quant à la mise en œuvre des mesures techniques et opérationnelles appropriées.

Lorsque les sous-traitants ultérieurs ne remplissent pas leurs obligations en matière de protection des données, SwarmiZ demeure pleinement responsable devant le responsable de traitement de l'exécution par les sous-traitants ultérieurs de leurs obligations.

7.8 SwarmiZ met à la disposition du responsable de traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations.

7.9 Conformément à la Réglementation sur les Données Personnelles, un audit unique est envisageable pendant la durée du Contrat, augmenté du nombre de faille(s) de sécurité qui serai(en)t identifiée(s) par le responsable de traitement après notification adressée à SwarmiZ par lettre recommandée avec avis de réception.

7.10 Tout audit souhaité par le responsable de traitement ne pourra être réalisé qu’après une concertation par le responsable de traitement et SwarmiZ portant sur :

  1. - La désignation conjointe d’un intermédiaire indépendant compétent qui réalisera ledit audit ;
  2. - Le périmètre dudit audit ;
  3. - La date effective de début de l’audit ainsi que sa durée ;
  4. - Les mesures de sécurité associées à cet audit.

7.11 Les Parties se réuniront à la suite dudit audit pour en tirer toutes les mesures adéquates.

7.12 Le cout d’un tel audit est exclusivement assumé par le responsable de traitement.