DPA Caast |
Accord relatif à la protection des données
Disponible sur https://caast.tv/gdpr
Mis à jour le 17 juin 2024
Entre Potion Social / Caast.TV (ci-après “Sous-Traitant”) et …………………………………… (ci-après “Responsable du Traitement”) pour l’utilisation de la Solution Caast.TV développée par Potion Social.
2. DESCRIPTION DU TRAITEMENT DES DONNÉES PERSONNELLES 2
3. SOUS-TRAITANTS EXTERNES ET TRANSFERTS HORS UE 4
4. OBLIGATIONS DU SOUS-TRAITANT 6
7. DROIT DES PERSONNES CONCERNÉES 8
1. DÉFINITIONS
Les expressions et mots mentionnés ci-dessous doivent être interprétés selon les significations suivantes :
Client : désigne toute entité légale disposant d’une relation commerciale avec Caast;
Utilisateur Final :désigne les personnes physiques avec lesquelles le Client interagit via la Solution Caast. Les utilisateurs finaux peuvent être notamment des prospects ou clients du Client, des utilisateurs payants ou gratuit des produits et services du Client;
Collaborateur : désigne les personnes autorisées à utiliser la Solution Caast via un compte ouvert par un Client;
Données Personnelles : désigne toute information à laquelle Caast a accès du fait de sa relation commerciale avec le Client et relative à une personne physique identifiée ou identifiable;
Incident de sécurité : désigne la destruction accidentelle ou illicite, perte, altération, divulgation ou accès non autorisé des Données Personnelles transmises, stockées, ou autrement traitées dans le cadre du Service;
Législation sur la Protection des Données : se réfère à toutes les lois et réglementations, y compris les lois et réglementations de l’Union Européenne, de l’Espace économique européen et de ses États membres, notamment les dispositions du Règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après le “Règlement” ou le « RGPD »):
Prestataire, Potion Social ou Caast : se réfère à la SAS Potion Social, immatriculée au Registre du Commerce et des Sociétés de Lille sous le numéro 528509060, dont le siège social se situe à 165 avenue de Bretagne , 59000 Lille.
Mesures de Sécurité physiques, techniques et organisationnelles : concerne les mesures visant à protéger les Données Personnelles contre une destruction accidentelle ou illicite, perte accidentelle, altération, divulgation ou accès non-autorisé, en particulier lorsque le traitement implique la transmission de données sur un réseau, et contre toute autre forme de traitement illicite;
Personnes Concernées : signifie les personnes identifiées ou identifiables auxquelles les Données Personnelles se rapportent;
Sous-traitant Externe : désigne toute tierce partie désignée par Caast pour traiter les Données Personnelles dans le cadre de la fourniture de la Solution;
Traitement : signifie toute opération ou ensemble d’opérations réalisées sur les Données Personnelles ou ensemble de Données Personnelles, telles que la collecte, l’enregistrement, l’organisation, la structuration, le stockage, l’adaptation ou l’altération, la récupération, la consultation, l’utilisation, la divulgation par transmission, diffusion ou mise à disposition, alignement ou combinaison, restriction, effacement ou destruction;
2. DESCRIPTION DU TRAITEMENT DES DONNÉES PERSONNELLES
Caast propose une solution de live et video commerce intégrant une messagerie instantanée publique. Elle est utilisée par les Clients pour diffuser des sessions de Live Shopping aux Utilisateurs Finaux.
Certaines Données Personnelles des Utilisateurs Finaux (Pseudonyme) et des Collaborateurs du Client peuvent donc être nécessaires pour utiliser et administrer la Solution Caast.
Le Traitement des Données Personnelles s’opère comme suit :
Pour les utilisateurs consommant des lives ou des vidéos via Caast :
Objet | Utilisation de la Solution Caast Live & Replay |
Catégories de Données Personnelles |
Données de l’access log à des fins de sécurité et de performance
|
Durée de conservation |
|
Catégories de personnes concernées |
|
Pour les utilisateurs utilisant le service de rappel par SMS :
Objet | Utilisation de la Solution Caast Rappel SMS & Jeux Concours |
Catégories de Données Personnelles | Numéro de téléphone pour une demande de rappel suite à obtention du consentement avec au choix du Responsable de Traitement :
|
Durée de conservation |
|
Catégories de personnes concernées |
|
Pour les utilisateurs participant aux jeux concours :
Objet | Utilisation de la Solution Caast Rappel SMS & Jeux Concours |
Catégories de Données Personnelles |
|
Durée de conservation |
|
Catégories de personnes concernées |
|
Pour les utilisateurs de l’interface d’administration Caast :
Objet | Utilisation de la Solution Caast Admin Console |
Catégories de Données Personnelles |
|
Durée de conservation |
|
Catégories de personnes concernées |
|
3. SOUS-TRAITANTS EXTERNES ET TRANSFERTS HORS UE
Activités sous-traitées | Siège social de l'entreprise | Pays hébergement | Données personnelles traitées | Garanties liées aux transferts | Utilisateurs impactés | |
Amazon Web Services | Prestation d'hébergement des fichiers (images, vidéos) et des données
| États Unis | Royaume-Uni | Utilisateurs consommant les Lives : • Pseudonyme en cas de participation au Tchat • Numéro de téléphone en cas de notification SMS • Nom, prénom, email et numéro de téléphone en cas de participation aux jeux concours. Utilisateurs de l’interface d’administration : •Nom, prénom, email, adresse IP, numéro de téléphone professionnel, cookie de fonctionnement | CCT v2 Certification DPF | Utilisateurs consommant les Lives Utilisateurs de l’interface d’administration |
Google Cloud (BigQuery) | Hébergement de données | France | Multi-région en UE | Identifiant de consultation (mis à jour à chaque rafraîchissement de page) ne permettant pas le suivi de session | CCT v2 | Utilisateurs consommant les Lives Utilisateurs de l’interface d’administration |
Mux Video | Service de Diffusion de la vidéo | Etats-Unis | US / Allemagne | • Contenu de la vidéo téléchargée dans la mesure où celle-ci contient des données personnelles • Adresses IP • User agent • Données de géolocalisation de faible résolution déduites de l'adresse IP | CCT V2 Certification DPF | Utilisateurs consommant les Lives Utilisateurs de l’interface d’administration |
MongoDB (Atlas) | Hébergement de données | Irlande | Irlande | Identifiant de consultation (mis à jour à chaque rafraîchissement de page) généré à chaque consultation ne permettant pas le suivi de session | RGPD | Utilisateurs consommant les Lives Utilisateurs de l’interface d’administration |
SMS Factor uniquement si rappel SMS ou jeu concours | Envoi de SMS | France | Multi-région en UE | Numéro de téléphone | CCT v2 | Utilisateurs demandant un rappel SMS ou une participation au jeu concours. |
4. OBLIGATIONS DU SOUS-TRAITANT
Le Sous-Traitant traitera les Données Personnelles comme suit.
- Ne pas conserver, utiliser ou divulguer de quelque manière que ce soit les Données Personnelles autrement que dans le cadre des services spécifiés dans la relation commerciale ;
- Conserver les Données Personnelles en sécurité et accessibles uniquement aux personnes autorisées, engagées à respecter la confidentialité ou assujetties à une obligation légale de confidentialité.
- Le Traitement des Données Personnelles se réalisera selon les instructions documentées du Responsable du Traitement. Pour les clients européens, cela inclut l’obligation d’informer le Responsable du Traitement des transferts de données vers des pays tiers ou des organisations internationales. Dans ce cas, le Sous-Traitant doit informer le Responsable du Traitement avant le transfert hors UE/EEE.
- À l’échéance ou durant l’exécution de la relation commerciale, le Sous-Traitant s’engage, conformément aux instructions du Responsable du Traitement, à retourner et/ou supprimer les Données Personnelles dans un délai maximal de 15 (quinze) jours, à moins que le Sous-Traitant ne soit légalement tenu de conserver les Données Personnelles.
- Mettre à la disposition du Responsable du Traitement, lorsqu’une demande expresse est formulée, les informations nécessaires démontrant le respect des obligations contenues dans le présent DPA par des moyens en conformité avec l’organisation interne du Sous-Traitant.
- Notifier sans délai le Responsable de Traitement, après avoir pris connaissance d’une violation de Données Personnelles sujettes au Traitement en vertu du la relation commerciale.
- Informer immédiatement le Responsable du Traitement si, selon le Sous-Traitant, une instruction enfreint l’application de la Législation sur la Protection des Données. Une fois informé, le Responsable du Traitement doit évaluer la situation et déterminer si l’instruction viole réellement la Législation sur la Protection des Données. Si le Responsable du Traitement persiste en maintenant une instruction illicite, Caast sera en droit de résilier le présent DPA ou le Contrat afférent.
- Assurer que de telles Données Personnelles ne sont utilisées que pour les fins autorisées par le Responsable du Traitement ;
- Mettre en œuvre et maintenir des Mesures de Sécurité physiques, techniques et organisationnelles appropriées. Nonobstant toute disposition contraire, le Sous-Traitant pourra modifier ou actualiser les Mesures de Sécurité physiques, techniques et organisationnelles de manière discrétionnaire à condition que le changement effectué n’entraîne pas une altération des Mesures susmentionnées.
- Notifier au Responsable des Données sans retard excessif, après en avoir pris connaissance, de toutes les informations dont il dispose concernant un incident de sécurité et apporter la coopération nécessaire pour lui permettre de se conformer à toute obligation de signaler les informations concernant un tel incident de sécurité à l’organisme de régulation approprié et/ou aux Personnes Concernées, conformément aux exigences des lois applicables en matière de Protection des Données ;
- Supprimer les Données Personnelles dans les trois (3) mois à compter de la résiliation ou de l’expiration de la relation commerciale, à moins que le Sous-Traitant ne soit légalement tenu de conserver les Données Personnelles.
5. SOUS-TRAITANCE EXTERNE
Le Responsable du Traitement autorise le Sous-Traitant à faire appel à des Sous-Traitants Externes pour l’assister dans l’exécution des obligations de Caast dans le cadre de la fourniture de la Solution.
Caast a d’ores et déjà désigné, en qualité de Sous-Traitants Externes, des entités tierces listées dans le tableau de l’article 3 de ce DPA.
Dans le cas d’une opposition formulée, les parties au présent DPA devront discuter des préoccupations du Responsable du Traitement de bonne foi dans la perspective de trouver une solution commerciale amiable.
Dans le cas où le Sous-Traitant souhaite sous-traiter les Données Personnelles à des Sous-traitant Externes situés en dehors de l’Espace Européen, le Responsable de Traitement autorise d’ores et déjà le Sous-traitant à signer pour le compte du Responsable de Traitement des clauses contractuelles types pour le transfert des données à caractère personnel aux Sous-traitants établis dans des pays tiers en vertu de la décision 2021/914 de la Commission Européenne ou des clauses équivalentes de protection des données en vertu du droit de l’UE.
En toute circonstance, lorsque le Sous-Traitant engage des Sous-Traitants externes, il imposera à ces derniers des conditions de protection des Données Personnelles au moins équivalentes au niveau de protection des Données Personnelles que celles du présent DPA (Article 4) dans la mesure applicable à la nature des Services fournis par ces Sous-traitants Externes.
6. AUDIT
Le Sous-Traitant doit autoriser et faciliter la mise en place d’audits, y compris les inspections, menés par le Responsable du Traitement ou tout autre auditeur mandaté par ce dernier non concurrent direct du Sous-Traitant et tenu à une obligation de confidentialité conformément aux procédures suivantes :
- Le Sous-Traitant doit coopérer raisonnablement avec le Responsable du Traitement en fournissant des informations concernant les Mesures de Sécurité physiques, techniques et organisationnelles mises en place pour permettre au Responsable du Traitement d’avoir une meilleure compréhension.
- Cet audit sera effectué par le Responsable du Traitement ou un organe de contrôle composé de membres indépendants possédant les qualifications professionnelles requises, soumis à une obligation de secret, n'appartenant pas à une société directement concurrente du Sous-Traitant et choisis par le Responsable du Traitement.
- Le Responsable de Traitement informera le Prestataire du démarrage de la vérification avec un délai de deux (2) semaines d'anticipation en lui communiquant l’objet de la mission, la durée envisagée de la mission et le nom des experts missionnés, sauf cas d’urgence (réclamation d’une personne physique concernée, suspicion d’atteinte aux données, etc.) auquel cas aucun délai d’anticipation ne sera applicable.
- Au cours de cet audit, le Sous-traitant s’engage à mettre à la disposition du Responsable du Traitement les informations nécessaires pour démontrer le respect des obligations convenues dans ce présent DPA. Le Responsable de traitement ne doit pas avoir accès aux systèmes, données, enregistrements ou autres informations relatives aux autres clients du Sous-Traitant.
Tout audit préconisé selon cette présente section par le Responsable du Traitement est réalisé à ses propres frais. Le Responsable du Traitement devra fournir au Sous-Traitant une copie du rapport d’audit.
7. DROIT DES PERSONNES CONCERNÉES
Le Sous-Traitant devra fournir une assistance pour permettre au Responsable du Traitement de répondre à n’importe quelle demande de toute personne exerçant son droit en vertu de l’application de la Législation sur la Protection des Données, y compris le droit d’accéder, de corriger ou de récupérer les Données Personnelles, une demande ou une plainte par toute personne ou autorité de régulation en lien avec le traitement des Données Personnelles.
Le Sous-Traitant tiendra compte de la nature du traitement, des données disponibles et des exigences de mise en œuvre pour soutenir le Responsable de Traitement dans ses efforts pour répondre aux demandes des Personnes Concernées. Caast accompagnera le Responsable du traitement dans ses démarches comme suit :
- Droit d’accès : Le Responsable du Traitement peut accéder aux Données Personnelles des Utilisateurs Finaux et des Collaborateurs via l’interface Caast ou sur demande au support technique Caast.
- Droit de portabilité : la Solution Caast ne permet pas de réaliser cet export de données vers un service tiers. Le contexte d'usage de la Solution Caast rend ce type de demande caduque dans les faits.
- Droit de rectification : à tout moment, il est possible de corriger les informations suivantes : prénom, nom, pseudonyme, email, numéro de téléphone soit via l’interface d’administration pour les Collaborateurs du Client, soit sur simple demande à privacy@caast.tv pour les Utilisateurs Finaux qui auraient participé au chat Caast ou auraient demandé une notification en amont du live.
- Droit d’effacement, droit d’opposition : à la suppression d'un message, d’un compte d'un Collaborateur ou d’un Utilisateur Final, toutes les données sont supprimées à l'exception des logs. Ces derniers sont conservés sans qu'il soit possible de les rattacher directement ou indirectement à un Collaborateur ou à un Utilisateur Final, et afin de réaliser des statistiques générales d'usage.
Si de telles demandes, correspondances, demandes de renseignements ou plaintes sont adressées directement à Caast, Caast informera rapidement le Responsable du Traitement et conseillera les Personnes Concernées de soumettre leurs demandes au Responsable du Traitement, lequel est seul responsable des réponses substantielles apportées à de telles demandes ou communications.
Le Responsable du Traitement doit :
- Garantir au Sous-Traitant qu’il a le droit et qu’il a obtenu tous les consentements nécessaires pour utiliser et communiquer de telles Données Personnelles au Sous-Traitant et aux Sous-Traitants Externes agréés pour fournir le Service, en conformité avec la Législation sur la Protection des Données applicable, telles que l’information préalable et/ou le recueil du consentement des personnes concernées lorsque ces exigences sont requises par la Législation sur la Protection des Données.
- Être seul responsable de l’exactitude, la qualité et la légalité des Données Personnelles communiquées au Sous-Traitant et les moyens par lesquels lesdites données ont été recueillies, et pour les fins déterminées et les moyens dont Caast traite les Données Personnelles.
- Rester responsable de l’exhaustivité, l’approbation et l’exactitude des instructions documentées.
Tout changement aux instructions données ou aux mesures de sécurité requises par le Responsable du Traitement doivent être supportés par ce dernier.
8. DROIT APPLICABLE
Ce DPA est régi par les lois françaises.
9. DURÉE
Ce DPA restera en vigueur aussi longtemps que le Sous-Traitant traite les Données Personnelles au nom du Responsable du Traitement en vertu de la relation commerciale.
Responsable du Traitement | Sous-Traitant |
Nom Prénom : ……………………………. | LECLERCQ Antoine |
Fonction : | CEO |
Date : | |
Signature |
Potion Social / Caast.TV – 165 avenue de Bretagne, 59000 Lille
SAS au capital de 101 830 euros - RCS Lille 528 509 060