Addendum relatif au traitement des données

1. Dispositions générales

1.1. Le présent addendum relatif au traitement des données ou le contrat de traitement des données au sens de l’article 28.3 du RGPD (ci-après : « Addendum ») sera joint au Contrat conclu entre les Parties pour en faire partie intégrante. En cas de contradiction entre le Contrat et le présent Addendum, les dispositions de l’Addendum prévaudront toujours. Les dispositions du Contrat qui ne sont pas prévues dans le présent Addendum demeurent pleinement applicables. 

1.2. Les dispositions du présent Addendum s’appliquent uniquement si et dans la mesure où EasyPost Traite, dans le cadre du Contrat, les Données à Caractère Personnel de Personnes Concernées en faveur et sur instruction du Donneur d’Ordre, qualifiant ainsi EasyPost de « sous-traitant » et le Donneur d’Ordre de « Responsable du Traitement » au sens de l’article 4 du RGPD.

1.3. Le présent Addendum est conclu pour une durée égale à la durée du Contrat conclu entre les parties ou aussi longtemps que les Services sont exécutés.

2. Définitions

2.1. Dans le présent Addendum, les mots et expressions écrits avec une lettre majuscule auront la signification suivante: 

« Addendum » : présent addendum relatif au traitement des données (en tant que contrat de sous-traitance au sens de l’article 28 du RGPD) qui fait partie intégrante du Contrat ;

« RGPD » : Règlement (UE) 2016/679 du 27 avril 2016 (Règlement Général sur la Protection des Données) ;

« Législation relative à la protection des données » : le RGPD, conjointement avec toute autre législation découlant du RGPD et/ou toute autre législation de tout autre pays relative à la protection des données à caractère personnel ou de la vie privée. 

2.2. « Donnée à Caractère Personnel », « Traitement », « Traiter » ou « Traité(e)(s) », « Responsable du Traitement », « Sous-Traitant » et « Personne(s) Concernée(s) » auront la signification telle que donnée à l’article 4 du RGPD et telle que décrite à l’article 3 ci-dessous. « Fuite de Données » signifie une « violation de données à caractère personnel » au sens de l’article 4, 12) du RGPD.

2.3. Les autres mots et expressions écrits avec une lettre majuscule auront la signification qui leur est donnée dans le Contrat.

3. Description du Traitement

3.1. Objet – nature : pour l’exécution du Contrat, EasyPost peut, sur instruction et en faveur du Donneur d’Ordre, Traiter certaines Données à Caractère Personnel de Personnes Concernées. Ce Traitement est effectué dans le cadre des Services, notamment l’optimisation du courrier sortant du Donneur d’Ordre, y compris l’enlèvement et le traitement du courrier (pesage, tri, étiquetage, mise sous enveloppe et affranchissement), les services de courrier rapide interne, les services d’EasyPrint (le cas échéant) et la remise au Prestataire du Service Universel ou à d’autres Prestataires de Services Postaux auxquels il est fait appel, tel que précisé ci-après. Les Données à Caractère Personnel sont Traitées via les systèmes, outils et logiciels d’EasyPost (notamment le portail EasyPost).

3.2. Données à Caractère Personnel : les Données à Caractère Personnel qui sont Traitées par EasyPost sont les Données à Caractère Personnel de Personnes Concernées qui sont transmises par le Donneur d’Ordre à EasyPost pour permettre et faciliter l’exécution des Services concernés. Il s’agit en premier lieu des coordonnées (nom, adresse, domicile), éventuellement du numéro de téléphone et de l’adresse e-mail des Personnes Concernées, tels que mentionnés sur les Envois Postaux et/ou les récépissés de dépôt, ainsi que du code-barres Mail ID qui peut être lié à un Envoi Postal et/ou à un récépissé de dépôt. Les Envois Postaux sont Traités sous enveloppe (sous enveloppe fermée) par EasyPost afin qu’elle et/ou ses préposés n’aient pas accès à leur contenu, notamment à toutes éventuelles données financières, catégories spéciales de données (par exemple, des données médicales, judiciaires, pénales ou sensibles) ou à toutes autres Données à Caractère Personnel de Personnes Concernées qui ne sont pas mentionnées sur les Envois Postaux ou récépissés de dépôt ou liées à ceux-ci.

3.3. Personnes Concernées : Les Personnes Concernées sont les personnes de contact, les destinataires, les expéditeurs et les correspondants du Donneur d’Ordre. En principe, il s’agit de toutes les personnes auxquelles le Donneur d’Ordre est confronté pendant ou dans le cadre de sa gestion ou de ses activités, qui reçoivent les Envois Postaux du Donneur d’Ordre et dont les Données à Caractère Personnel sont Traitées par EasyPost. Il peut également s’agir de personnes concernées par le contenu des Envois Postaux du Donneur d’Ordre (et pas seulement les destinataires des Envois Postaux), sans préjudice de ce qui est prévu à l’article 3.2.

3.4. Finalités : la finalité du Traitement des Données à Caractère Personnel par EasyPost consiste à (pouvoir) fournir les Services concernés au Donneur d’Ordre. Les coordonnées figurant sur les Envois Postaux sont notamment Traitées (sous enveloppe) aux fins suivantes : (i) l’enlèvement des Envois Postaux sortants par EasyPost ; (ii) la lecture optique des coordonnées des Envois Postaux et la création d’un code-barres mail ID numérique qui est apposé sur les Envois Postaux (le code-barres mail ID est apposé sur l’Envoi Postal, un fichier optique est ensuite enregistré et ce fichier optique est traité par le logiciel OCR d’EasyPost afin d’extraire l’adresse et de la lier au code-barres mail ID ; enfin, les coordonnées et le code-barres mail ID sont envoyés via un protocole sécurisé (service web) au Prestataire du Service Universel ou à d’autres Prestataires de Services Postaux auxquels il est fait appel) ; (iii) le tri et la préparation à l’envoi du courrier au Prestataire du Service Universel ou à d’autres Prestataires de Services Postaux auxquels il est fait appel et (iv) l’enregistrement des récépissés de dépôt des Envois Recommandés sur le portail d’EasyPost.

3.5. Durée : en règle générale, les Données à Caractère Personnel sont uniquement Traitées par EasyPost pendant la durée du Contrat et/ou du présent Addendum et ne sont pas conservées plus longtemps que nécessaire aux fins mentionnées à l’article 3.4, sauf si des dispositions légales particulières s’appliquent à la conservation ou au Traitement ou si une conservation plus longue est nécessaire en vue de l’exécution du Contrat. En tout état de cause, les Données à Caractère Personnel ne sont pas conservées plus de dix (10) ans après la fin du Contrat conclu avec le Donneur d’Ordre (à savoir le délai de prescription pour les actions contractuelles).

4. Instructions du Donneur d’Ordre

4.1. EasyPost Traite exclusivement les Données à Caractère Personnel selon les instructions (documentées ou écrites) du Donneur d’Ordre, sauf obligations légales dérogatoires, auquel cas le Donneur d’Ordre le notifiera à EasyPost avant le Traitement, à moins qu’une telle notification soit interdite par la loi. Le Donneur d’Ordre mandate EasyPost et lui donne pour ce faire des instructions pour Traiter les Données à Caractère Personnel conformément au présent Addendum et au Contrat. Le présent Addendum et le Contrat contiennent ensemble l’intégralité des instructions du Donneur d’Ordre données à EasyPost pour le Traitement des Données à Caractère Personnel. Toutes instructions complémentaires ou alternatives doivent être communiquées séparément et par écrit et doivent être acceptées par les Parties.

4.2. Le Donneur d’Ordre déclare et garantit qu’il est et demeure habilité à donner les instructions précitées au nom de chaque entreprise à laquelle il est lié qui, le cas échéant, est ou peut être le responsable du traitement des Données à Caractère Personnel de Personnes Concernées (conjointement ou non avec le Donneur d’Ordre).

5. Obligations du Donneur d’Ordre

5.1. Le Donneur d’Ordre respectera la Législation relative à la protection des données. Il prendra toutes les mesures appropriées et organisationnelles afin que le Traitement des Coordonnées à Caractère Personnel de Personnes Concernées satisfasse au RGPD. En particulier, le Donneur d’Ordre prendra les mesures nécessaires concernant les composants qu’il fournit, gère ou contrôle, y compris les postes de travail à partir desquels une connexion est établie avec les Services d’EasyPost (comme le portail d’EasyPost) et les systèmes utilisés pour le transfert de données, et prendra les mesures nécessaires à l’égard de son personnel et de ses préposés (y compris les travailleurs, sous-traitants et collaborateurs indépendants).

5.2. Le Donneur d’Ordre est responsable de la légalité (de la collecte et/ou du Traitement) des Données à Caractère Personnel qui sont Traitées par EasyPost dans le cadre du Contrat. Le Donneur d’Ordre prendra toutes les mesures nécessaires pour mettre à jour les Données à Caractère Personnel et effacer et/ou corriger les Données à Caractère Personnel incomplètes ou inexactes.

5.3. Le Donneur d’Ordre déclare et garantit que :

    • il a respecté la Législation applicable relative à la protection des données pour la collecte et le Traitement des Données à Caractère Personnel de Personnes Concernées ;
    • il a suffisamment informé les Personnes Concernées sur leurs droits et obligations (conformément aux articles 13-14 du RPGD), en particulier sur le Traitement par EasyPost (ou une catégorie de prestataires de services comme EasyPost) en faveur et sur instruction(s) du Donneur d’Ordre ;
    • il est habilité pour Traiter les Données à Caractère Personnel dans le cadre du Contrat ;
    • son personnel et ses préposés (y compris les travailleurs, sous-traitants et collaborateurs indépendants) connaissent et respecteront les obligations prévues dans le Contrat et la Législation relative à la protection des données.

5.4. Si le respect de la Législation relative à la protection des données requiert une quelconque action ou mesure de la part d’EasyPost, outre les obligations découlant du Contrat, EasyPost exécutera cette action ou cette mesure après concertation préalable avec le Donneur d’Ordre et accord de ce dernier. En tout état de cause, le Donneur d’ordre informera préalablement EasyPost des actions ou mesures requises, apportera sa pleine collaboration, fournira une assistance à EasyPost et rémunèrera EasyPost conformément aux tarifs, Listes des Tarifs ou prix convenus entre les Parties, applicables à ce moment-là, pour les prestations qui requièrent des services complémentaires, des investissements ou des modifications des Services.

5.5. EasyPost n’est pas non plus responsable du respect d’une quelconque législation applicable au Donneur d’Ordre ou à ses activités qui ne s’applique pas de manière générale ou spécifique à EasyPost.

6. Transfert de Données à Caractère Personnel en dehors de l’Espace Économique Européen (EEE)

6.1. Tout éventuel transfert de Données à Caractère Personnel à des ((groupes de) sociétés, tiers, prestataires de services ou serveurs dans des) pays en dehors de l’EEE sera effectué conformément à la Législation relative à la protection des données.

6.2. EasyPost Traitera les Données à Caractère Personnel qu’elle traite en faveur du Donneur d’Ordre dans chaque pays où EasyPost, ses entreprises liées et/ou des sous-traitants ultérieurs autorisés conformément à l’article 9, ont des établissements. Le Donneur d’Ordre autorise expressément EasyPost à exécuter chaque transfert de Données à Caractère Personnel et à exécuter chaque Traitement dans un tel pays dans le cadre du Contrat.

6.3. EasyPost n’exerce aucun contrôle sur le lieu et n’est pas responsable du lieu où le Donneur d’Ordre ou ses utilisateurs finaux Traitent (peuvent Traiter) les Données à Caractère Personnel. En tout état de cause, le Donneur d’Ordre indemnisera et garantira intégralement EasyPost contre tout préjudice subi par des tiers à cet égard.

7. Transfert ou publication de Données à Caractère Personnel

7.1. EasyPost ne transfèrera ni ne transmettra des Données à Caractère Personnel à des tiers, sauf :

    • sur instruction(s) du Donneur d’Ordre ;
    • si c’est requis par un sous-traitant ultérieur, conformément à l’article 9, pour le Traitement de Données à Caractère Personnel ;
    • obligation légale.

7.2. En cas de transfert ou de transmission de Données à Caractère Personnel à un tiers sur instruction(s) du Donneur d’Ordre, seul ce dernier est responsable de conclure des accords écrits avec ce tiers en vue de la protection et du Traitement des Données à Caractère Personnel. En tout état de cause, le Donneur d’Ordre indemnisera et garantira intégralement EasyPost contre tout préjudice causé par un tel transfert ou une telle transmission par EasyPost à un tiers, sauf si le préjudice est uniquement imputable à un manquement d’EasyPost qui peut être démontré.

7.3. EasyPost garantit que son personnel, agissant sous son autorité, qui est habilité à Traiter des Données à Caractère Personnel et qui y a accès, respectera la confidentialité des Données à Caractère Personnel.

8. Mesures de sécurité

8.1. EasyPost prend toutes les mesures techniques et organisationnelles appropriées relatives à la sécurité du Traitement, conformément à l’article 32 du RGPD. Ces mesures de sécurité garantiront un niveau de sécurité approprié pour les risques liés au Traitement et la nature des Données à Caractère Personnel à sécuriser, compte tenu de l’état de la technologie et des frais de leur mise en œuvre.

8.2. À la demande du Donneur d’Ordre, EasyPost peut fournir une description mise à jour des mesures de sécurité mises en œuvre.

9. Appel à des sous-traitants ultérieurs

9.1. Le Donneur d’Ordre reconnaît et autorise expressément EasyPost à faire appel à des sous-traitants ultérieurs pour le Traitement des Données à Caractère Personnel et à leur transmettre des Données à Caractère Personnel

9.2. EasyPost informera le Donneur d’Ordre de tout changement de sous-traitant(s) ultérieur(s). Si le Donneur d’Ordre n’accepte par le Traitement de Données à Caractère Personnel par un ou plusieurs sous-traitants ultérieurs, le Donneur d’Ordre le notifiera à EasyPost par écrit dans les quinze (15) jours civils suivant la réception de la notification. Le cas échéant, EasyPost fournira tous les efforts raisonnables pour proposer des solutions au Donneur d’Ordre en vue d’éviter que le(s) sous-traitant(s) ultérieur(s) en question Traite(nt) les Données à Caractère Personnel.

9.3. EasyPost conclura avec chaque sous-traitant ultérieur des accords écrits comprenant des obligations qui ne sont pas moins protégées que les obligations d’EasyPost dans le cadre du Contrat et, en particulier, en ce qui concerne l’obligation de prendre des mesures de sécurité appropriées afin que le Traitement satisfasse à la Législation relative à la protection des données.

9.4. En tout état de cause, EasyPost demeure à tout instant le point de contact du Donneur d’Ordre. Si le sous-traitant ultérieur concerné ne respecte pas ses obligations relatives à la protection des données, EasyPost demeure responsable du respect par ce sous-traitant ultérieur des obligations découlant du Contrat.

10. Droits des Personnes Concernées

10.1. Compte tenu de la nature du Traitement des Données à Caractère Personnel et dans la mesure du possible, EasyPost apportera assistance et collaboration au Donneur d’Ordre en vue de (faire) respecter ses obligations découlant de la Législation relative à la protection des données, notamment afin que le Donneur d’Ordre puisse satisfaire à son (ses) obligation(s) visant à répondre aux demandes des Personnes Concernées qui exercent leurs droits. Le Donneur d’Ordre permettra aux Personnes Concernées d’exercer leurs droits. Le Donneur d’Ordre fournira aux Personnes Concernées, conformément aux articles 13-14 du RGPD, toutes les informations nécessaires relatives au Traitement des Données à Caractère Personnel.

10.2. Si une Personne Concernée contacte directement EasyPost pour obtenir la consultation/copie, rectification, suppression ou limitation du Traitement de ses Données à Caractère Personnel, EasyPost renverra alors la Personne Concernée vers le Donneur d’Ordre. EasyPost ne répondra pas elle-même à la demande. EasyPost peut toutefois fournir, à titre d’assistance, les coordonnées de base du Donneur d’Ordre à la Personne Concernée. Le Donneur d’Ordre informera la Personne Concernée qu’elle peut uniquement exercer ses droits à l’égard du Donneur d’Ordre. Le Donneur d’Ordre répondra à toute demande de ce type émise par une Personne Concernée et satisfera à ses obligations conformément à la Législation relative à la protection des données.

11. Notifications, contrôles et audits

11.1. Sauf interdiction par la loi, EasyPost informera le Donneur d’Ordre sans retard déraisonnable si elle, ou l’un de ses sous-traitants ultérieurs, a reçu une demande, citation ou demande d’inspection ou d’audit d’une autorité publique compétente ou d’une autorité de contrôle concernant le Traitement des Données à Caractère Personnel. EasyPost informera également le Donneur d’Ordre si elle a l’intention de fournir des Données à Caractère Personnel à une autorité publique compétente ou à une autorité de contrôle en dehors du cadre des Services. Enfin, EasyPost informera immédiatement le Donneur d’Ordre si elle estime qu’une instruction ou une mission du Donneur d’Ordre viole la Législation relative à la protection des données.

11.2. À la demande du Donneur d’Ordre, EasyPost fournira toutes les informations au Donneur d’Ordre afin qu’il puisse satisfaire à ses obligations telles que prévues à l’article 28 du RGPD.

11.3. Le Donneur d’Ordre a le droit de contrôler le respect de la Législation relative à la protection des données. À cet effet, le Donneur d’Ordre peut, sur demande écrite, une fois tous les douze (12) mois – sauf (i) si l’audit est demandé par une autorité de contrôle compétente conformément à la Législation relative à la protection des données ou (ii) après une Fuite de Données – et moyennant une notification préalable écrite de trente (30) jours civils, demander à un expert d’effectuer un audit ou un contrôle chez EasyPost.

11.4. Avant un tel audit ou contrôle, le Donneur d’Ordre informera EasyPost de son ampleur et de sa durée, et se mettra toujours d’accord avec EasyPost sur les modalités.

11.5. EasyPost apportera l’assistance et la collaboration raisonnables nécessaires pour effectuer de tels contrôles ou audits. Toute assistance à cet égard sera rémunérée par le Donneur d’Ordre conformément aux tarifs, à la Liste des Tarifs ou aux prix convenus entre les Parties, applicables à ce moment-là.

11.6. Les Parties conviennent que l’exécution de tels contrôles ou audits ne peut pas retarder, perturber ou limiter inutilement les activités d’EasyPost et/ou l’exécution des Services. En cas de retard, perturbation ou limitation, EasyPost en informera le Donneur d’Ordre et les Parties tenteront de trouver une solution le plus rapidement possible et de commun accord.

11.7. Le Donneur d’Ordre informera immédiatement EasyPost par écrit de tous manquements constatés pendant un contrôle ou un audit. Le Donneur d’Ordre remettra gratuitement un projet de rapport (d’audit) à EasyPost. Ce rapport ainsi que toute autre information auxquels le Donneur d’Ordre ou l’expert désigné a eu accès dans le cadre d’un contrôle ou d’un audit sont et demeurent strictement confidentiels.

11.8. Les frais découlant d’un contrôle ou d’un audit demandé par le Donneur d’Ordre sont intégralement à charge du Donneur d’Ordre. Le Donneur d’Ordre ne peut demander aucun remboursement de la part d’EasyPost pour ces frais.

12. Fuites de Données

12.1. EasyPost informera le Donneur d’Ordre sans retard déraisonnable dès qu’elle aura pris connaissance d’une Fuite de Données, qu’elle qu’en soit la cause.

12.2. Le Donneur d’Ordre informera immédiatement EasyPost de tout incident de sécurité ou de toute question de sécurité, y compris toute Fuite de Données, qui se rapporte de quelque manière que ce soit aux Services.

12.3. La Partie responsable de la Fuite de Données enquêtera sur la Fuite de Données et informera l’autre Partie des nouveaux développements ainsi que des mesures qui sont et seront prises pour limiter les conséquences de la Fuite de Données et éviter que cela ne se produise à nouveau.

12.4. Les deux Parties collaboreront à cette enquête et apporteront une assistance en vue de (faire) respecter leurs obligations conformément à la Législation relative à la protection des données, en particulier l’obligation visant à notifier une Fuite de Données à l’Autorité de protection des données conformément à l’article 33 du RGPD.

12.5. Toute notification ou tout signalement, conformément à l’article 12 et/ou à la Législation relative à la protection des données, a toujours lieu sans reconnaissance (préjudiciable) d’une quelconque erreur ou d’une quelconque responsabilité concernant la Fuite de Données.

13. Analyses d’Impact relatives à la Protection des Données (AIPD)

Si le Donneur d’Ordre est contraint, en vertu de l’article 35 du RGPD, d’effectuer une AIPD, EasyPost apportera la collaboration et l’assistance nécessaires au Donneur d’Ordre afin qu’il puisse satisfaire à ses obligations à cet égard. Une telle assistance sera rémunérée à EasyPost conformément aux tarifs, à la Liste des Tarifs ou aux prix convenus entre les Parties, applicables à ce moment-là.

14. Suppression et renvoi des Données à Caractère Personnel

14.1. En cas de résiliation du Contrat et/ou du présent Addendum, EasyPost supprimera ou anonymisera dans les soixante (60) jours suivant la résiliation toutes les Données à Caractère Personnel dans ses systèmes (sauf tout back-up ou archive), sauf si le Donneur d’Ordre donne des instructions contraires ou si le stockage (ultérieur) ou la conservation des Données à Caractère Personnel est légalement requis dans le cadre d’une procédure judiciaire ou est imposé par des autorités (judiciaires ou de contrôle). L’article précité est d’application, sans préjudice de l’article 3.5 ci-dessus.

14.2. Si le Donneur d’Ordre en fait la demande écrite dans les trente (30) jours précédant la résiliation du Contrat et/ou du présent Addendum, EasyPost lui remettra une copie des Données à Caractère Personnel figurant dans ses systèmes, ce (intégralement) aux frais du Donneur d’Ordre.

15. Droits de propriété intellectuelle

Tous les droits de propriété intellectuelle, dont les droits d’auteur, les droits relatifs aux bases de données, les droits des marques, les noms commerciaux, les noms de domaine et les droits de logiciels, sur ou concernant les Services ou les activités de traitement (à l’exclusion des Données à Caractère Personnel à proprement parler), ainsi que sur ou concernant leurs copies ou traitements, demeurent à tout instant la propriété d’EasyPost et/ou de son (ses) donneur(s) de licence. Aucune disposition du Contrat ne peut être considérée comme un transfert, en tout ou en partie, des droits, tant en propriété qu’en (sous-)licence, au Donneur d’Ordre.

16. Responsabilité

Sans préjudice de l’article 10 des conditions générales d’EasyPost, le Donneur d’Ordre est responsable et garantit intégralement EasyPost, en principal, intérêts et frais (d’avocats), de tout préjudice (y compris les sanctions (comme des amendes administratives) infligées par des autorités de contrôle (comme l’Autorité de protection des données) et tout préjudice subi par les Personnes Concernées ou EasyPost) qui résulte du non-respect par le Donneur d’Ordre de ses obligations découlant du Contrat, des politiques internes, des procédures et/ou des meilleures pratiques d’EasyPost concernant le Traitement des Données à Caractère Personnel et/ou de la Législation relative à la protection des données.

Zwijnaardsesteenweg 813
9000 Gand
+32 50 69 86 11
info@easypost.eu
BE 0463 006 734

NOS SOLUTIONS

EasyPost
EasyPrint

À PROPOS D’EASYPOST

Jobs