Avenant de traitement des données Marzipan

Cette traduction est fournie à titre indicatif uniquement. La version anglaise constitue le texte faisant foi et juridiquement contraignant ; en cas de divergence, la version anglaise prévaut.

Le présent Avenant de traitement des données (« DPA ») complète le Contrat conclu entre Marzipan et un Client sur la seule base des Conditions d'utilisation de Marzipan lors de son inscription ou de son accès à l'un des Services, et en fait partie intégrante par référence, notamment :

  1. le service de génération et d'hébergement d'étiquettes numériques pour vins fourni par Marzipan sous la dénomination commerciale « Labls » sur labls.io et labls.co (y compris tout sous-domaine associé), conçu pour les producteurs de vin tenus par la loi de publier, dans une langue officielle de l'UE, des informations correctes et localisées sur l'origine et la composition des vins distribués au sein de l'UE en vertu du Règlement (UE) 2021/2117 (les « Services Labls ») ;
  2. la plateforme de commerce électronique et de gestion des données hébergée dans le cloud, fournie par Marzipan sur marzipan.co (y compris tout sous-domaine associé), permettant aux caves et domaines viticoles d'unifier leurs activités de commerce électronique en gérant depuis un tableau de bord central et un système de gestion de contenu l'inventaire, les commandes, l'exécution et l'expédition, les paiements, les analyses, les campagnes marketing et les communications clients sur l'ensemble de leurs canaux de vente numériques (les « Services Plateforme »).

Le présent DPA s'applique dans la mesure où Marzipan traite des Données personnelles pour le compte d'un Client en qualité de Sous-traitant dans le cadre de la fourniture des Services au titre du Contrat. Les catégories de Données personnelles traitées par Marzipan dans le cadre des Services sont détaillées intégralement à la clause 4 du présent DPA.

Le Règlement (UE) 2021/2117 interdisant aux caves, domaines et autres acteurs du secteur de traiter les Données personnelles des consommateurs via les étiquettes électroniques apposées sur leurs produits, Marzipan a conçu son service d'hébergement et de génération d'étiquettes électroniques sur labls.io et labls.co de sorte qu'aucune Donnée personnelle ne puisse être collectée ou suivie par un Client ou par Marzipan en lien avec une étiquette électronique. Le présent DPA ne s'applique donc pas à cet aspect des Services.

Les termes commençant par une majuscule qui ne sont pas définis dans le présent DPA ont la signification qui leur est attribuée dans le Contrat. Pour éviter tout doute, toutes les références au « Contrat » incluent le présent DPA (y compris ses Annexes et les CCT). En cas de conflit entre le Contrat et le présent DPA, le DPA prévaut en ce qui concerne le traitement des Données personnelles.

  1. Définitions

    Affilié
    désigne une entité qui Contrôle directement ou indirectement une autre entité, est Contrôlée par celle-ci, ou se trouve sous Contrôle commun avec elle.
    Finalités commerciales
    les Services devant être fournis par Marzipan au Client tels que définis dans le Contrat.
    Contrôle
    désigne une participation au capital, un droit de vote ou un intérêt similaire représentant cinquante pour cent (50 %) ou plus de la totalité des intérêts en circulation de l'entité concernée. Le terme « Contrôlé » doit être interprété en conséquence.
    Client
    la personne physique ou morale ou l'entité partie au Contrat.
    Compte client
    tout compte en ligne enregistré par le Client auprès des Services et donnant accès autorisé à ceux-ci.
    Données Client
    désigne toute Donnée Personnelle que Marzipan traite pour le compte du Client via les Services.
    Lois sur la Protection des Données
    désigne toutes les lois et réglementations applicables dans toute juridiction pertinente relatives à l'utilisation ou au traitement des Données Personnelles, notamment : (i) le California Consumer Privacy Act 2018 ("CCPA") ; (ii) le Règlement Général sur la Protection des Données ((UE) 2016/279) ("RGPD UE") ; (iii) la Loi fédérale suisse sur la protection des données ; (iv) le RGPD UE tel qu'il fait partie du droit de l'Angleterre et du Pays de Galles, de l'Écosse et de l'Irlande du Nord en vertu de l'article 3(10) (tel que complété par l'article 205(4)) du Data Protection Act 2018 ("UK GDPR") ; (v) le Data Protection Act 2018 (et les règlements pris en application de celui-ci) ("DPA 2018") ; et (vi) le Privacy and Electronic Communications Regulations 2003 (SI 2003/2426) tel que modifié ("PECR 2003") ; dans chaque cas, tels que mis à jour, modifiés ou remplacés le cas échéant. Les termes "Responsable du Traitement", "Sous-traitant", "Personne Concernée", "Demande de la Personne Concernée", "Données Personnelles", "Violation de Données Personnelles", "Traitement", "Sous-traitant Ultérieur" et "Autorité de Contrôle" ont les significations définies dans le RGPD UE.
    E-Label
    une étiquette électronique dédiée hébergée sur labls.io et labls.co (ou un site tiers pour le compte de Marzipan) qui compile des informations structurées (contenu de l'e-label) sur un produit viticole ou vinicole aromatisé d'un Client pour un marché EU spécifique dans l'une des 24 langues des États membres de l'EU, et qui est conforme aux exigences générales et sectorielles d'étiquetage définies par les règlements EU sur l'étiquetage des vins.
    EEA
    l'Espace Économique Européen.
    Clients Finaux
    les consommateurs ou clients professionnels auxquels le Client propose, commercialise ou fournit des produits ou services via les Services.
    EU SCCs
    désigne les clauses contractuelles types entre Responsables du Traitement et Sous-traitants approuvées par la Commission européenne dans sa décision d'exécution (UE) 2021/914 du 4 juin 2021, telles qu'actuellement disponibles ici.
    Réglementation UE sur l'Étiquetage des Vins
    les règles relatives à l'étiquetage des vins et des produits à base de vin aromatisé introduites par le Règlement (UE) 2021/2117 du Parlement européen et du Conseil modifiant le Règlement (UE) n° 1308/2013, y compris telles que ces règles sont mises en œuvre et entrent en vigueur en vertu du Règlement délégué de la Commission (UE) 2019/33 du 17 octobre 2018 complétant le Règlement (UE) n° 1308/2013/
    Transfert hors EEA
    désigne le transfert de Données Client, traitées conformément au RGPD UE, vers un serveur, réseau, système informatique, entité, personne ou site situé en dehors de l'EEA, lorsque ce transfert n'est pas régi par une décision d'adéquation de la Commission européenne prise conformément à l'article 45 du RGPD UE.
    Transfert hors UK
    désigne le transfert de Données Client, traitées conformément au UK GDPR et au Data Protection Act 2018, vers un serveur, réseau, système informatique, entité, personne ou site situé en dehors du UK, lorsque ce transfert n'est pas régi par une décision d'adéquation du Secrétaire d'État britannique prise conformément aux dispositions pertinentes du UK GDPR et du Data Protection Act 2018.
    Services Labls
    les services de création, de gestion et d'hébergement d'e-labels fournis par Marzipan sur labls.io sur la base d'un abonnement (ou autre) permettant aux Clients de générer, d'administrer et de publier des E-Labels pour leurs vins ou produits à base de vin aromatisé.
    Politique de Confidentialité de Marzipan
    désigne l'avis d'information sur le traitement équitable des données mis à disposition par Marzipan à l'adresse marzipan.co/privacy, tel que modifié, substitué et/ou complété le cas échéant.
    Services Plateforme
    la plateforme cloud de commerce en ligne et de gestion des données fournie par Marzipan sur marzipan.co, qui permet aux caves viticoles d'unifier leurs activités de commerce en ligne en gérant les stocks, les commandes, l'expédition & la livraison, les paiements, les analyses, les campagnes marketing et les communications clients sur l'ensemble de leurs canaux de vente numériques depuis un tableau de bord centralisé et un système de gestion de contenu.
    Incident de Sécurité
    toute violation non autorisée ou illicite de la sécurité entraînant la destruction accidentelle ou illicite, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé aux Données Client sur des systèmes gérés ou autrement contrôlés par Marzipan.
    Prestataire de services
    a la signification qui lui est donnée dans le California Consumer Privacy Act de 2018 (« CCPA »).
    Services
    désigne, individuellement et collectivement, les Services Labls et les Services Plateforme.
    Données de catégorie particulière
    a la signification qui lui est donnée aux articles 4(13), 4(14), 4(15) et 9 du EU GDPR et du UK GDPR (selon le cas).
    Clauses contractuelles types (CCT)
    désigne les CCT UE et les CCT UK, selon le cas.
    Avenant UK
    désigne l'Addendum International de Transfert de Données (version B1.0) (IDTA) émis par l'Information Commissioner's Office en vertu de l'article 119(A) du UK Data Protection Act 2018, tel que mis à jour ou modifié ponctuellement.
    CCT UK
    désigne les CCT UE telles que révisées et modifiées par l'Avenant UK.
    Données d'utilisation
    toutes données générées en lien avec l'accès, l'utilisation et la configuration des Services par les Clients, ainsi que les données qui en découlent. Les Données d'Utilisation n'incluent pas les Données Client ni aucune Donnée à Caractère Personnel.

  2. Instructions du Client

    1. Marzipan et le Client conviennent que le présent DPA et le Contrat, ainsi que la configuration ou l'utilisation par le Client de tout paramètre, fonctionnalité ou option dans les Services (tels que le Client peut être en mesure de les modifier de temps à autre), constituent les instructions documentées écrites du Client concernant le traitement des Données Client par Marzipan (y compris aux fins des CCT UK) (les « Instructions Documentées »). Marzipan traitera les Données Client uniquement conformément aux Instructions Documentées. Toute instruction supplémentaire en dehors du périmètre des Instructions Documentées (le cas échéant) nécessite un accord écrit préalable entre Marzipan et le Client.
    2. Marzipan est en droit de résilier le présent DPA et le Contrat sans engager sa responsabilité envers le Client si Marzipan refuse de suivre des instructions contraires aux Lois sur la protection des données ou à toute disposition applicable en matière de confidentialité des données des Réglementations UE sur l'étiquetage des vins, ou qui sortent du périmètre des instructions données ou convenues dans le présent DPA ou dans tout autre accord écrit entre les parties, ou qui s'en écartent.
    3. Le Client ne fournira pas (ni ne fera fournir) de Données de catégorie particulière à Marzipan aux fins de traitement dans le cadre du Contrat, et Marzipan n'encourra aucune responsabilité de quelque nature que ce soit pour les Données de catégorie particulière, que ce soit en lien avec un Incident de sécurité ou autrement. Pour éviter tout doute, le présent DPA ne s'appliquera pas aux Données de catégorie particulière.

  3. Traitement des données

    1. When Marzipan processes Customer Data while providing the Services, Marzipan will:

      (a)dans la mesure où le UK GDPR ou le EU GDPR s'applique, traiter les Données Client en tant que Sous-traitant agissant pour le compte du Client (qu'il soit lui-même Responsable du traitement ou Sous-traitant pour le compte d'un Responsable du traitement tiers) ;

      (b)dans la mesure où le CCPA s'applique, traiter les Données Client pour le compte du Client en tant que Prestataire de services (voir clause 3.2 ci-dessous pour plus de détails) ;

      (c)traiter et stocker les Données Client uniquement sur des serveurs :

      a.exploités par l'opérateur de centre de données UpCloud Oy, une société à responsabilité limitée finlandaise (« UpCloud »), dans son centre de données DE-FRA1 à Francfort, en Allemagne.

      b.exploités par l'opérateur de centre de données Scaleway SAS, une société par actions simplifiée française (« Scaleway »), dans son centre de données à Paris.

      c.exploités par l'opérateur de centre de données Hetzner Online GmbH, une société à responsabilité limitée allemande (« Hetzner »), dans ses centres de données à Nuremberg et Falkenstein en Allemagne ; et

      d.exploités par le fournisseur de stockage cloud BunnyWay d.o.o., une société à responsabilité limitée slovène (« BunnyWay »), sur son serveur de périphérie à Nuremberg, en Allemagne.

      (d)traiter les Données Client uniquement dans la mesure et de la manière nécessaires aux Finalités commerciales, conformément aux Instructions Documentées licites du Client (à condition que ces instructions soient proportionnées aux fonctionnalités des Services souscrits par le Client dans le cadre du Contrat) ;

      (e)si Marzipan est tenu par la loi de traiter les Données Client à toute autre fin que les Finalités Commerciales, Marzipan informera le Client de cette obligation avant d'effectuer tout traitement de ce type, sauf si Marzipan est légalement interdit de fournir une telle notification ;

      (f)se conformer rapidement à toute instruction écrite licite fournie par le Client exigeant que Marzipan modifie, transfère, supprime ou traite autrement les Données Client, ou cesse, atténue ou remédie à tout traitement non autorisé ;

      (g)maintenir la confidentialité des Données Client et ne pas les divulguer à des tiers, sauf autorisation expresse du Client ou du présent DPA, ou lorsque la loi nationale, une décision de justice ou une réglementation l'exige (y compris toute instruction du Commissaire de l'ICO du UK ou de toute autre autorité compétente au UK et/ou dans l'EEE) ;

      (h)assister raisonnablement le Client, sans frais supplémentaires pour celui-ci, dans le respect de ses obligations de conformité au titre des Lois sur la Protection des Données, compte tenu de la nature du traitement effectué par Marzipan et des informations dont Marzipan dispose, notamment, à titre illustratif et non limitatif, en fournissant au Client des informations raisonnables pour l'aider à réaliser toute analyse d'impact sur la protection des données qu'il mène, et en aidant le Client à répondre aux demandes des personnes concernées ; et

      (i)informer rapidement le Client de toute modification des Lois sur la Protection des Données susceptible d'être raisonnablement interprétée comme affectant négativement l'exécution par Marzipan de ses obligations au titre du Contrat ou du présent DPA.

    2. CCPA. Les parties reconnaissent et conviennent que Marzipan est un Prestataire de Services au sens du CCPA en ce qui concerne les Données Client (dans la mesure où celui-ci s'applique) et reçoit des informations personnelles du Client afin de fournir les Services conformément au Contrat, ce qui constitue une finalité commerciale. Marzipan ne vendra aucune information personnelle de ce type. Marzipan ne conservera, n'utilisera ni ne divulguera aucune information personnelle fournie par le Client en vertu du Contrat, sauf dans la mesure nécessaire aux fins spécifiques de la fourniture des Services au Client conformément au présent Contrat, ou tel que prévu par le présent Contrat ou autorisé par le CCPA. Les termes "informations personnelles", "Prestataire de Services", "vente" et "vendre" ont la signification qui leur est attribuée à la Section 1798.140 du CPA (tel que modifié, reconduit ou mis à jour de temps à autre). Marzipan certifie qu'il comprend les restrictions du présent article (i).
    3. Services Tiers. Dans le cadre des Services, Marzipan offre au Client la possibilité d'intégrer et/ou d'interfacer les Services avec certains services, intégrations et applications tiers ("Services Tiers") de temps à autre. Veuillez noter que l'utilisation des Services Tiers par le Client est dans chaque cas régie exclusivement par les conditions générales et les politiques de confidentialité associées (ensemble le "CLUF") selon lesquelles le Fournisseur de Services Tiers met les Services Tiers concernés à la disposition du Client (le "Fournisseur de Services Tiers"). Chaque CLUF est conclu exclusivement entre le Client et le Fournisseur de Services Tiers, et Marzipan n'est pas partie à ces CLUF.
    4. Lorsque le Client nous demande d'intégrer les produits ou comptes Marzipan du Client à un ou plusieurs Services Tiers, le Client accepte que Marzipan transfère les Données Client aux Fournisseurs de Services Tiers afin qu'ils puissent fournir leurs services au Client. Lorsque les Fournisseurs de Services Tiers traitent ensuite les Données Client, ce traitement est régi par les dispositions de confidentialité pertinentes de leur CLUF, et Marzipan n'est pas responsable d'un tel traitement.
    5. Third-Party Services from the following Third-Party Service Providers are currently available to be integrated and/or interfaced with Marzipan.
      Name Description
      Fathom Analytics This integration allows Customers who are subscribed to Fathom Analytics’ web analytics service to view their Fathom Analytics dashboard within Marzipan’s e-commerce and data management platform. All EEA and UK traffic processed via the integration is processed solely on EU servers owned and operated by the German cloud service provider etzner Online GmbH, a German legal entity.
      MailChimp This integration allows Customers who are subscribed to MailChimp’s email marketing service to send data to MailChimp to enable the Customer to send emails to their subscribers.
    6. Veuillez noter que lorsque Marzipan permet au Client d'intégrer les Services à tout Service Tiers non mentionné dans le tableau ci-dessus, l'utilisation par le Client de ce Service Tiers est régie par le CLUF applicable du Fournisseur de Services Tiers concerné, dans les mêmes conditions que celles prévues à l'article (i) du présent Contrat.
    7. SCCs. Si Marzipan et le Client ont conclu des Clauses Contractuelles Types telles que décrites à l'article 10 (Transferts de Données Client), (i) l'instruction du Client à Marzipan au titre de l'article 3.3 du présent Contrat d'intégrer le(s) Service(s) Tiers (selon le cas) dans le cadre des Services constituera le consentement écrit préalable du Client au transfert des Données Client par Marzipan au Fournisseur de Services Tiers si un tel consentement est requis au titre des SCCs ; (ii) les parties conviennent que les copies des accords conclus avec les Fournisseurs de Services Tiers que Marzipan doit fournir au Client en vertu de la Clause 9(c) des SCCs UE ou de toute clause pertinente des SCCs UK (selon le cas) peuvent être préalablement expurgées par Marzipan des informations commerciales ou des informations sans rapport avec les Clauses Contractuelles Types ou leur équivalent, et que ces copies expurgées ne seront fournies par Marzipan que sur demande écrite du Client.
    8. The Customer’s responsibilities. The Customer:

      (a)sera le Responsable du Traitement en ce qui concerne toute Donnée Client ;

      (b)demeure responsable du respect par le Client de ses obligations au titre des Lois sur la Protection des Données applicables, y compris, mais sans s'y limiter, la délivrance de toute notification requise et l'obtention de tout consentement requis nécessaires pour que Marzipan traite les Données Client aux Finalités Commerciales ;

      (c)ne fournira pas (ni ne fera fournir) de Données de Catégorie Spéciale à Marzipan aux fins du traitement au titre du Contrat, et Marzipan n'assumera aucune responsabilité quelle qu'elle soit concernant les Données de Catégorie Spéciale, que ce soit en lien avec un Incident de Sécurité ou autrement. Pour éviter tout doute, le présent DPA ne s'appliquera pas aux Données de Catégorie Spéciale ;

      (d)déclare et garantit qu'il a respecté, et continuera de respecter, toutes les lois applicables, y compris les Lois sur la Protection des Données, en ce qui concerne son traitement des Données Client et toute Instruction Documentée qu'il émet à l'attention de Marzipan ;

      (e)sera seul responsable de l'exactitude, de la qualité et de la licéité des Données Client ainsi que des moyens par lesquels le Client a obtenu ces Données Client. Sans préjudice de la généralité de ce qui précède, le Client accepte d'être responsable du respect de toutes les lois (y compris les Lois sur la Protection des Données) applicables à tout contenu créé, envoyé ou géré via les Services ;

      (f)veillera à ce que le traitement des Données Client par Marzipan conformément aux Instructions Documentées du Client n'amène pas Marzipan à enfreindre toute loi, réglementation ou règle applicable, y compris, sans s'y limiter, les Lois sur la Protection des Données. Marzipan notifiera promptement le Client par écrit, sauf si les Lois sur la Protection des Données l'en empêchent, s'il prend conscience ou estime que toute instruction de traitement des données émanant du Client viole les Lois sur la Protection des Données ; et

      (g)dans la mesure où il agit en tant que sous-traitant pour le compte d'un responsable du traitement tiers (ou de tout autre intermédiaire vis-à-vis du responsable du traitement final), garantit que ses Instructions Documentées telles que définies dans le Contrat et le présent DPA, y compris ses autorisations accordées à Marzipan pour la nomination de Sous-traitants conformément au présent DPA, ont été autorisées par le responsable du traitement concerné.

  4. Types de Données Client et Finalités du Traitement

    1. Objet. L'objet du traitement des données au titre du présent DPA est constitué des Données Client traitées via les Services.
    2. Durée. Entre Marzipan et le Client, c'est le Client qui détermine la durée du traitement des données au titre du présent DPA. Le Client peut suspendre ou mettre fin au traitement des données en suspendant ou en résiliant son abonnement aux Services de la Plateforme et/ou aux Services Labls (selon le cas) ou en suspendant toute intégration hébergée par Marzipan (telle que toute API propriétaire que Marzipan met à la disposition du Client) que le Client utilise dans le cadre de ses opérations.
    3. Finalité. La finalité du traitement des données au titre du présent DPA est la fourniture des Services initiés par le Client de temps à autre, notamment à titre illustratif la mise à disposition au Client de la plateforme de commerce en ligne et de gestion des données de Marzipan et/ou du service de génération et d'hébergement d'étiquettes électroniques.
    4. Nature du traitement. Marzipan permet aux entreprises d'unifier leurs activités de commerce en ligne et de générer des étiquettes électroniques pour leurs produits vinicoles, notamment en fournissant les « Services » tels que définis à l'article 1 du présent DPA. Ces Services comprennent le traitement des Données Client par Marzipan, ses Sous-traitants et, le cas échéant, les Fournisseurs de Services Tiers. Les Données Client peuvent être téléversées et/ou traitées dans les Services par le Client sur le Compte Client, via toute API que Marzipan met à disposition et qui s'interface avec les Services de temps à autre ; et (iii) via tout Service Tiers qui partage des Données Client avec les Services.
    5. Types of Customer Data. Customer Data uploaded to the Services:

      (a)par le Client sur le Compte Client ;

      (b)par l'intermédiaire de toute API ou composant web de Marzipan qui interface les Services avec les systèmes du Client ; et

      (c)par l'intermédiaire de tout Service Tiers que le Client intègre aux Services.

      Les types de données personnelles téléchargées vers les Services dans le cadre des Données Client peuvent inclure :

      • Nom, adresse e-mail, coordonnées, informations de facturation et de livraison du Client.
      • Informations sur les achats, les abonnements (c'est-à-dire le club de vins) et autres transactions (y compris, sans limitation, les informations de statut) provenant des points de vente physiques et numériques du Client ;
      • Activité des Clients Finaux dans les boutiques numériques du Client, y compris l'historique des commandes, les produits consultés et les produits ajoutés aux paniers d'achat.
      • Informations sur les appareils des Clients Finaux utilisés lors de la visite des boutiques du Client, notamment l'adresse IP, le navigateur et l'activité réseau.
      • Toute autre donnée personnelle que le Client choisit de mettre à disposition de Marzipan.
    6. Catégories de Personnes Concernées. Les Personnes Concernées peuvent inclure (i) le Client, ses employés, sous-traitants, mandataires, fournisseurs et prestataires, ainsi que (ii) les Clients Finaux actuels et potentiels du Client.

  5. Sécurité du traitement des données

    1. Marzipan devra à tout moment mettre en œuvre des mesures techniques et organisationnelles appropriées contre tout traitement non autorisé ou illicite, tout accès, copie, modification, reproduction, affichage ou distribution des Données Client non autorisés, ainsi que contre toute perte accidentelle ou illicite, destruction, altération, divulgation ou endommagement des Données Client, y compris, sans s'y limiter, les mesures décrites dans les Normes de Sécurité Marzipan (Annexe A), afin d'assurer dans chaque cas un niveau de sécurité des Données Client approprié au risque, conformément à l'article 32 du RGPD EU/UK.
    2. Marzipan shall implement such measures to ensure a level of security appropriate to the risk involved, including as appropriate:

      (a)la pseudonymisation et le chiffrement des Données Client ;

      (b)la capacité à garantir la confidentialité, l'intégrité, la disponibilité et la résilience continues des systèmes et services de traitement ;

      (c)la capacité à rétablir la disponibilité et l'accès aux Données Client en temps utile en cas d'incident physique ou technique ; et

      (d)un processus permettant de tester, d'évaluer et d'apprécier régulièrement l'efficacité des mesures de sécurité.

  6. Les employés de Marzipan

    1. Marzipan will ensure its employees, contractors and agents:

      (a)sont informés du caractère confidentiel des Données Client et sont liés par des obligations de confidentialité et des restrictions d'utilisation à l'égard des Données Client ;

      (b)ont suivi une formation sur les Lois relatives à la Protection des Données concernant le traitement des Données Client et leur application à leurs fonctions ; et

      (c)sont conscients à la fois des obligations de Marzipan et de leurs obligations personnelles au titre des Lois relatives à la Protection des Données et du Contrat.

  7. Sécurité

    1. Marzipan mettra en œuvre en permanence des mesures techniques et organisationnelles appropriées contre tout traitement, accès, copie, modification, reproduction, affichage ou distribution non autorisés ou illicites des Données Client, ainsi que contre toute perte, destruction, altération, divulgation ou détérioration accidentelle ou illicite des Données Client.
    2. Marzipan shall implement such measures to ensure a level of security appropriate to the risk involved, including for illustrative purposes and as appropriate:

      (a)la pseudonymisation et le chiffrement des Données Client ;

      (b)la capacité à garantir la confidentialité, l'intégrité, la disponibilité et la résilience continues des systèmes et services de traitement ;

      (c)la capacité à rétablir la disponibilité et l'accès aux Données Client en temps utile en cas d'incident physique ou technique ; et

      (d)un processus permettant de tester, d'évaluer et d'apprécier régulièrement l'efficacité des mesures de sécurité.

  8. Violation de Données à Caractère Personnel

    1. Marzipan shall within 72 hours and in any event without undue delay notify the Customer if it becomes aware of:

      (a)la perte, la destruction ou la détérioration non intentionnelle, la corruption ou toute autre atteinte à tout ou partie des Données Client ;

      (b)tout traitement accidentel, non autorisé ou illicite des Données Client ; ou

      (c)toute Violation de Données à Caractère Personnel.

    2. Where Marzipan becomes aware of any of the foregoing matters described in clauses 8.1(a), (b) and/or (c) above, it shall, without undue delay, also provide the Customer with the following:

      (a)une description de la nature de l'incident consigné en relation avec les clauses 8.1(a), (b) et/ou (c), incluant les catégories de Données Client concernées et le nombre approximatif de Personnes Concernées ainsi que d'enregistrements de Données Client visés ; ou

      (b)une description des mesures prises ou envisagées pour remédier aux incidents consignés en relation avec les clauses 8.1(a), (b) et/ou (c), y compris les mesures visant à atténuer ses éventuels effets négatifs.

    3. Immédiatement après tout traitement accidentel, non autorisé ou illicite de Données Client ou toute Violation de Données à Caractère Personnel, Marzipan contactera le Client afin que nous puissions coordonner notre enquête sur l'incident.
    4. Marzipan n'informera aucun tiers de tout traitement accidentel, non autorisé ou illicite de tout ou partie des Données du Client et/ou d'une Violation de Données Personnelles sans avoir préalablement obtenu le consentement écrit du Client, sauf lorsqu'une telle divulgation est nécessaire dans le cadre des mesures requises pour remédier à ce traitement ou à cette Violation de Données Personnelles, ou lorsqu'une telle divulgation est exigée par la loi applicable.
    5. Marzipan prendra en charge les frais raisonnables liés à l'exécution de ses obligations au titre des clauses 8.1 et 8.2, sauf si la situation est survenue en raison des instructions écrites spécifiques du Client, de sa négligence, de sa faute intentionnelle ou d'une violation du DPA ou du Contrat, auquel cas le Client prendra en charge l'ensemble des frais raisonnables (y compris les frais raisonnables de Marzipan et ceux de ses conseillers professionnels).

  9. Sous-traitants ultérieurs

    1. Marzipan uses the following Sub-processors to host and/or process Customer Data, to provide infrastructure and network services to support Marzipan, and to perform service functions on our behalf as part of the Services:
      Name Description
      Active Campaign LLC Trading as "Postmark", Active Campaign delivers transactional emails (e.g. password reset emails, notification emails, receipt and invoice emails) on behalf of Marzipan as part of the Services.
      Automattic, Inc. Trading as "Gravatar." Automattic allows Customers to upload pre-existing image and public profile data to the Platform Services.
      BunnyWay d.o.o BunnyWay provides Marzipan with Domain Name System (DNS), Website Application Firewall (WAF) and Content Delivery Network (CDN) services.
      Fathom Analytics Fathom Analytics provides web analytics services that enable Marzipan to track and analyse web traffic’s engagement with the Services.
      Functional Software Inc. Trading as "Sentry", Functional Software provides Marzipan with crash and error monitoring services in respect of the Services.
      Internet Security Research Group ISRG’s "Let’s Encrypt" service provides Marzipan with the digital certificate necessary to enable HTTPS (SLS/TLS) on its websites.
      Laravel Holdings Inc. Laravel provides Marzipan with its: (i) "Forge" server management services in relation to the provisioning and deployment of the Services on Hetzner Online GmbH’s servers; and (ii) "Envoyer" zero downtime deployment services.
      OhMySMTP Ltd OhMySMTP, trading as "MailPace", provides Marzipan with email services for sending transactional emails (e.g. password reset emails, notification emails, order confirmation emails) on behalf of Marzipan as part of the Services.
      PayPal UK Ltd PayPal provides Marzipan with authorised payment gateway and payment processing services in respect of payload and payment data submitted to the Services.
      Stripe Payments UK, Ltd. Stripe provides Marzipan with authorised payment gateway and payment processing services in respect of payload and payment data submitted to the Services.
    2. Le Client nous autorise à recourir aux sous-traitants ultérieurs listés à la clause 9.1 ci-dessus dans le cadre des Services, et nous accorde en outre une autorisation générale de recourir à d'autres sous-traitants ultérieurs pour effectuer des activités de traitement concernant les Données du Client que nous collectons auprès du Client en vertu du Contrat. Marzipan informera le Client de tout ajout ou retrait de sous-traitants ultérieurs au moins 10 jours avant toute modification de ce type.
    3. Where Marzipan engages a Sub-processor as described in clause 9.1:

      (a)Marzipan limitera l'accès du sous-traitant ultérieur aux données à ce qui est raisonnablement nécessaire pour fournir, maintenir ou améliorer les Services ; et

      (b)Marzipan conclura un accord écrit de traitement des données avec le sous-traitant ultérieur, et dans la mesure où ce sous-traitant ultérieur effectue les mêmes services de traitement de données que ceux fournis par Marzipan au titre du présent DPA, Marzipan imposera au sous-traitant ultérieur les mêmes obligations contractuelles que celles auxquelles Marzipan est soumis aux présentes.

    4. If Marzipan and the Customer have entered into Standard Contractual Clauses as described in clause 10 (Transfers of Customer Data):

      (a)les autorisations ci-dessus constitueront le consentement écrit préalable du Client à la sous-traitance par Marzipan du traitement des Données du Client si un tel consentement est requis en vertu des CCT ;et

      (b)Marzipan conclura un accord écrit de traitement des données avec le sous-traitant ultérieur, et dans la mesure où ce sous-traitant ultérieur effectue les mêmes services de traitement de données que ceux fournis par Marzipan au titre du présent DPA, Marzipan imposera au sous-traitant ultérieur les mêmes obligations contractuelles que celles auxquelles Marzipan est soumis aux présentes.

    5. If Marzipan and the Customer have entered into Standard Contractual Clauses as described in clause 10 (Transfers of Customer Data):

      (a)les autorisations ci-dessus constitueront le consentement écrit préalable du Client à la sous-traitance par Marzipan du traitement des Données du Client si un tel consentement est requis en vertu des CCT ; et

      (b)les Parties conviennent que les copies des accords conclus avec les sous-traitants ultérieurs que Marzipan doit fournir au Client conformément à la Clause 9(c) des CCT UE ou à toute clause pertinente des CCT UK (selon le cas) pourront avoir été préalablement expurgées par Marzipan de toute information commerciale ou de toute information sans rapport avec les Clauses Contractuelles Types ou leur équivalent, et que ces copies expurgées ne seront fournies par Marzipan que sur demande écrite du Client.

  10. Transferts de Données du Client

    1. Les parties conviennent que Marzipan peut transférer les Données du Client traitées dans le cadre du Contrat en dehors de l'EEE, du UK ou de la Suisse, dans la mesure nécessaire à la fourniture des Services. Le Client reconnaît que les opérations de traitement de nombreux Prestataires de Services Tiers et sous-traitants ultérieurs ont lieu aux États-Unis, et que le transfert des Données du Client est nécessaire à la fourniture des Services au Client. Si Marzipan transfère des Données du Client protégées par le présent Contrat vers un pays pour lequel la Commission européenne ou le Secrétaire d'État britannique (selon le cas) n'a pas émis de décision d'adéquation, Marzipan s'assurera que des garanties appropriées ont été mises en place pour le transfert des Données du Client, conformément aux Lois sur la Protection des Données.
    2. Ex-EEA Transfers. The parties agree that ex-EEA Transfers are made pursuant to Module Two (Controller to Processor) of the EU SCCs which is deemed entered (and incorporated into this DPA) and which shall apply as follows (unless stated otherwise, references to clause numbers are references to clause numbers of Module Two of the EU SCCs):

      (a)La clause d'adhésion optionnelle de la Clause 7 ne s'applique pas ;

      (b)À la Clause 9, l'Option 2 (autorisation écrite générale) s'applique, et le délai minimum de préavis pour toute modification des sous-traitants ultérieurs est celui prévu à la clause 9.2 du présent DPA ;

      (c)À la Clause 11, le libellé optionnel ne s'applique pas ;

      (d)Tous les crochets figurant à la Clause 12 sont par les présentes supprimés ;

      (e)À la Clause 17 (Option 10, les CCT UE sont régies par le droit irlandais) ;

      (f)À la Clause 18(b), les litiges seront résolus devant les tribunaux irlandais ;

      (g)La Partie 1 de l'Annexe B (« Transferts Transfrontaliers ») du présent DPA contient les informations requises à l'Annexe I des CCT UE ;

      (h)La Partie 1 de l'Annexe B (« Transferts Transfrontaliers ») du présent DPA contient les informations requises à l'Annexe II des CCT UE ;

      (i)En concluant le présent DPA, les parties sont réputées avoir signé les CCT UE qui y sont incorporées, y compris leurs Annexes.

    3. Ex-UK Transfers

      (a)Les parties conviennent que le DPA IDTA s'appliquera à tout transfert hors du UK. La Partie 2 de l'Annexe B (« Transferts Transfrontaliers ») contient les informations requises dans le DPA IDTA.

    4. Transfers from Switzerland. The parties agree that transfers from Switzerland are made pursuant to the EU SCCs with the following modifications:

      (a)Les termes « Règlement général sur la protection des données » ou « Règlement (UE) 2016/679 » tels qu'utilisés dans les CCT UE seront interprétés comme incluant la Loi fédérale sur la protection des données du 19 juin 2022 (la « LFPD »), et telle que révisée au 25 septembre 2020, la « LFPD révisée ») concernant les transferts de données soumis à la LFPD.

      (b)Les dispositions des CCT UE seront interprétées de manière à protéger les données des personnes morales jusqu'à leur entrée en vigueur au titre de la LFPD révisée.

      (c)La Clause 13 des CCT UE est modifiée afin de prévoir que le Préposé fédéral à la protection des données et à la transparence ("PFPDT") de Suisse aura autorité sur les transferts de données régis par la LFPD, et que l'Autorité de contrôle compétente de l'UE aura autorité sur les transferts de données régis par le GDPR UE. Sous réserve de ce qui précède, toutes les autres exigences de la Clause 13 des CCT UE devront être respectées.

      (d)Le terme « État membre de l'UE » tel qu'utilisé dans les CCT UE ne sera pas interprété de manière à exclure les Personnes Concernées en Suisse de l'exercice de leurs droits dans leur lieu de résidence habituelle, conformément à la Clause 18(c) des CCT UE.

    5. Supplementary Measures. In respect of any ex-EEA Transfer or ex-UK Transfer, the following supplementary measures shall apply:

      (a)À la date du présent DPA, l'Importateur de données n'a reçu aucune demande juridique formelle de la part de services ou agences de renseignement ou de sécurité gouvernementaux du pays vers lequel les Données client sont exportées, aux fins d'accès (ou de copies) aux Données client ("Demandes d'agences gouvernementales") ;

      (b)Si, après la date du présent DPA, l'Importateur de données reçoit des Demandes d'agences gouvernementales, Marzipan tentera de rediriger l'autorité chargée de l'application de la loi ou l'agence gouvernementale afin qu'elle demande les données directement auprès du Client. Dans le cadre de cette démarche, le Client accepte que nous puissions communiquer ses coordonnées de base à l'agence gouvernementale. Si Marzipan est contraint de divulguer les Données client à une autorité chargée de l'application de la loi ou à une agence gouvernementale, Marzipan informera le Client dans un délai raisonnable de la demande et coopérera afin de permettre au Client de solliciter une ordonnance de protection ou tout autre recours approprié, sauf si Marzipan est légalement empêché de le faire. Marzipan ne divulguera pas volontairement les Données client à quelque autorité chargée de l'application de la loi ou agence gouvernementale que ce soit. Marzipan devra (dès que raisonnablement possible) examiner et déterminer si tout ou partie des transferts de Données client effectués dans le cadre du présent DPA doivent être suspendus à la lumière de telles Demandes d'agences gouvernementales ;

      (c)Marzipan and the Data Exporter will meet regularly to consider whether:

      a.La protection accordée par les lois du pays de l'Importateur de données aux personnes concernées dont les Données personnelles sont transférées dans le cadre des Données client est suffisante pour offrir une protection globalement équivalente à celle accordée dans l'EEE ou au UK, selon le cas ;

      b.Des mesures supplémentaires sont raisonnablement nécessaires pour permettre au transfert d'être conforme à la Législation sur la protection des données ;

      c.Il demeure approprié de transférer les Données client à l'Importateur de données concerné, compte tenu de toutes les informations pertinentes disponibles pour les parties, ainsi que des orientations fournies par les Autorités de contrôle.

      (d)Si les Lois sur la protection des données exigent que Marzipan conclue les Clauses contractuelles types applicables à un transfert particulier de Données client vers un Importateur de données sous la forme d'un contrat distinct, l'Importateur de données devra, à la demande de Marzipan, conclure promptement lesdites Clauses contractuelles types en y incorporant les amendements qui pourraient raisonnablement être requis par Marzipan afin de refléter les annexes applicables, les détails du transfert et les exigences des Lois sur la protection des données ; et

      (e)Si (i) l'un quelconque des moyens de légitimation des transferts en dehors de l'EEE, du UK ou de la Suisse énoncés dans le présent DPA cesse d'être valide, ou si (ii) une Autorité de contrôle exige la suspension des transferts de Données client effectués par ces moyens, l'Importateur de données peut, par notification à Marzipan, avec effet à la date indiquée dans ladite notification, modifier ou mettre en place des dispositions alternatives concernant ces transferts, conformément aux exigences des Lois sur la protection des données.

    6. Sous-traitants ultérieurs. Lorsque le Client consent à la désignation par nos soins d'un Sous-traitant ultérieur situé en dehors de l'EEE conformément aux dispositions de la clause 9, ou lorsque le Client choisit d'intégrer un Service tiers d'un Fournisseur de services tiers situé en dehors de l'EEE conformément à la clause 3, le Client nous autorise à conclure des CCN avec cette partie, y compris au nom et pour le compte du Client.

  11. Réclamations, demandes des personnes concernées et droits des tiers

    1. Marzipan will take such reasonable technical and organisational measures as appropriate, and promptly provide such information to the Customer as the Customer may require, to enable the Customer to comply with:

      (a)the rights of Data Subjects under the Data Protection Laws, including subject access rights, the rights to rectify, port and erase Customer Data, object to the processing and automated processing of Customer Data, and restrict the processing of Customer Data; and/p>

      (b)les avis d'information ou d'évaluation signifiés au Client par l'ICO du UK (ou tout autre autorité de contrôle compétente dans l'EEE) en vertu des Lois sur la protection des données.

    2. Marzipan informera immédiatement le Client par écrit s'il reçoit une réclamation, un avis ou une communication relatifs directement ou indirectement au traitement des Données client ou à la conformité de Marzipan ou du Client avec les Lois sur la protection des données.
    3. Marzipan informera le Client dans un délai de 14 jours s'il reçoit une demande d'une Personne concernée relative à l'accès à ses Données client ou à l'exercice de l'un quelconque de ses autres droits en vertu des Lois sur la protection des données.
    4. Marzipan apportera au Client son assistance pour répondre à toute réclamation, tout avis, toute communication ou toute demande d'une Personne concernée.
    5. Marzipan ne divulguera pas les Données client à une Personne concernée ni à un tiers, sauf conformément aux instructions écrites du Client ou si la loi nationale l'exige.

  12. Durée et résiliation

    1. This DPA will remain in full force and effect so long as:

      (a)le Contrat demeure en vigueur ; ou

      (b)Marzipan conserve tout ou partie des Données client liées au Contrat en sa possession ou sous son contrôle (la "Durée").

    2. Toute disposition du présent DPA qui, expressément ou implicitement, doit entrer en vigueur ou demeurer en vigueur à compter ou après la résiliation du Contrat afin de protéger les Données client restera pleinement en vigueur et de plein effet.
    3. Le non-respect par Marzipan des termes du présent DPA constitue une violation substantielle du Contrat. Dans ce cas, le Client peut résilier le Contrat avec effet immédiat par notification écrite à Marzipan, sans engager de responsabilité ou d'obligation supplémentaire.
    4. Si une modification d'une Loi sur la protection des données empêche l'une ou l'autre des parties de remplir tout ou partie de ses obligations contractuelles, les parties peuvent convenir de suspendre le traitement des Données client jusqu'à ce que ce traitement soit conforme aux nouvelles exigences. Si les parties sont dans l'impossibilité de mettre le traitement des Données client en conformité avec les Lois sur la protection des données dans un délai de 90 jours, l'une ou l'autre des parties peut résilier le Contrat avec effet immédiat par notification écrite à l'autre partie.

  13. Restitution et destruction des données

    1. À la demande du Client, Marzipan fournira au Client, ou à un tiers désigné par écrit par le Client, une copie de tout ou partie des Données client en sa possession ou sous son contrôle, ou un accès à celles-ci, dans le format et sur le support raisonnablement spécifiés par le Client.
    2. À la résiliation ou à l'expiration du Contrat pour quelque raison que ce soit, ou à l'issue des Services, Marzipan restituera ou supprimera les Données client, sauf si la conservation ultérieure des Données client est requise ou autorisée par la loi applicable. Si la restitution ou la destruction est impraticable ou interdite par la loi, la règle ou la réglementation, Marzipan prendra des mesures pour bloquer ces Données client de tout traitement ultérieur (sauf dans la mesure nécessaire à leur hébergement continu ou au traitement requis par la loi, la règle ou la réglementation) et continuera à protéger de manière appropriée les Données client demeurant en sa possession, garde ou contrôle. Si Marzipan et le Client ont conclu des Clauses contractuelles types telles que décrites à la clause 10 (Transferts de Données client), les parties conviennent que la certification de suppression requise en vertu de la Clause 8.1(d) des CCT UE et de toute disposition applicable des CCT UK (le cas échéant) sera fournie par Marzipan au Client uniquement sur demande écrite de ce dernier.
    3. Si une loi, un règlement ou un organisme gouvernemental ou réglementaire exige que Marzipan conserve des documents, des matériaux ou des Données client que Marzipan serait par ailleurs tenu de restituer ou de détruire, Marzipan en informera le Client par écrit, en précisant les documents, matériaux ou Données client devant être conservés, le fondement juridique de cette conservation, et en établissant un calendrier spécifique de suppression ou de destruction à l'issue de la période de conservation requise.
    4. Marzipan certifiera par écrit au Client qu'il a détruit les Données client dans les 30 jours suivant l'achèvement de la suppression ou de la destruction.

  14. Registres

    1. Marzipan tiendra des registres écrits détaillés, précis et à jour concernant tout traitement des Données Client, incluant notamment l'accès, le contrôle et la sécurité des Données Client, les sous-traitants approuvés, les finalités du traitement, les catégories de traitement, tout transfert de Données Client vers un pays tiers et les garanties associées, ainsi qu'une description générale des mesures de sécurité techniques et organisationnelles mises en œuvre (les "Registres")
    2. Marzipan veillera à ce que les Registres soient suffisants pour permettre au Client de vérifier la conformité de Marzipan à ses obligations au titre du présent Contrat, et Marzipan fournira au Client des copies des Registres sur demande.

  15. Garanties

    1. TMarzipan warrants and represents that:

      (a)ses employés, sous-traitants, agents et toute autre personne accédant aux Données Client en son nom sont fiables et dignes de confiance et ont reçu la formation requise en matière de Législation sur la Protection des Données ;

      (b)lui-même et toute personne agissant en son nom traiteront les Données Client conformément à la Législation sur la Protection des Données et aux autres lois, textes législatifs, réglementations, ordonnances, normes et instruments similaires ;

      (c)il n'a aucune raison de croire que la Législation sur la Protection des Données l'empêche de fournir l'un des services contractuels prévus au Contrat ; et

      (d)compte tenu de l'environnement technologique actuel et des coûts de mise en œuvre, il prendra les mesures techniques et organisationnelles appropriées pour prévenir le traitement non autorisé ou illicite des Données Client ainsi que la perte accidentelle, la destruction ou l'endommagement des Données Client, et garantira un niveau de sécurité adapté à :

      (i)au préjudice susceptible de résulter d'un tel traitement non autorisé ou illicite, ou d'une telle perte, destruction ou détérioration accidentelle ;

      (ii)à la nature des Données Client à protéger ; et

      (iii)se conformer à l'ensemble de la Législation sur la Protection des Données applicable ainsi qu'à ses politiques en matière d'information et de sécurité.

  16. Signature et modifications

    1. Les termes du présent DPA sont incorporés par référence dans le Contrat et en font partie intégrante comme s'ils y étaient intégralement reproduits. En signant le Contrat, le Client reconnaît expressément et accepte d'être lié par les termes du présent DPA.
    2. Marzipan peut, moyennant un préavis écrit de trente (30) jours calendaires, apporter toute modification raisonnable au présent DPA si cela s'avère nécessaire en raison d'un changement de la Législation sur la Protection des Données ou d'une décision d'une autorité compétente en vertu de celle-ci, afin de permettre que le traitement des Données Client soit effectué (ou continue d'être effectué) sans violation de ladite législation. Si le Client n'accepte pas ces modifications, il peut, dans le délai de préavis de trente (30) jours calendaires, notifier par écrit à Marzipan sa décision de résilier le Contrat (y compris le présent DPA) avec effet immédiat, dans la mesure où celui-ci concerne les Services affectés par les modifications proposées (ou leur absence). Le Client devra verser à Marzipan l'ensemble des frais et sommes dus au titre du Contrat ou en lien avec celui-ci avant la date de résiliation et restant impayés à cette date. Le Client ne pourra formuler aucune réclamation supplémentaire (y compris toute demande de remboursement pour les Services) en raison ou en lien avec la résiliation du présent Contrat conformément à la clause 16.2.

Ne nous croyez pas sur parole

“Nous avons migré de WooCommerce vers une solution sur mesure propulsée par Marzipan. La gestion de nos commandes est un jeu d'enfant et la flexibilité de l'API d'abonnements nous a permis d'enrichir notre offre d'adoption de vieilles vignes.”

Katie Jones tenant un râteau Tuchan
Katie Jones
Propriétaire, Domaine Jones

“Marzipan est incroyablement facile à utiliser, et d'une flexibilité et d'une configurabilité remarquables. Il simplifie la gestion des clubs de vins par abonnement récurrent bien plus que tout autre système que j'ai utilisé, et s'adapte à pratiquement tout ce que nous lui avons soumis.”

Justin Howard-Sneyd, MW
Justin Howard-Sneyd, MW
Propriétaire, Domaine of the Bee