Addenda relatif au traitement des données
Addenda au traitement automatique des données
Ce Accord de traitement des données y compris ses annexes, calendriers et appendices (« Accord », « Accord de traitement des données » ou « DPA ») seront effectifs et remplaceront toutes les conditions de traitement des données précédemment applicables et remplaceront toutes les autres conditions liées au traitement des données entre les Parties.
Entre:
(1) Utilisateur, une société constituée en vertu des lois du pays du responsable du traitement des données avec son adresse enregistrée en tant qu'utilisateur (l'« Utilisateur », le « Responsable du traitement des données » ou le « Responsable du traitement ») ; et
(2) AfterShip (« AfterShip », le « Sous-traitant de données » ou le « Sous-traitant ») ;
(chacune étant une « Partie » et collectivement les « Parties »).
Récitals
A. Le Responsable du traitement fournit des biens et/ou des services aux Utilisateurs finaux. Le Responsable du traitement agit en tant que responsable du traitement des Données personnelles dans le cadre de la fourniture de biens et/ou de services aux Utilisateurs finaux.
B. Le sous-traitant traitera les données personnelles pour le compte du responsable du traitement des données afin de permettre au sous-traitant de fournir des services au responsable du traitement des données conformément à l'accord principal (la « finalité »), et le responsable du traitement des données mettra les données personnelles à la disposition du sous-traitant dans le cadre de cette finalité.
C. Les Parties entendent que les activités de traitement effectuées par le Sous-traitant des Données pour le compte du Responsable du Traitement des Données soient conformes aux dispositions du présent Accord.
1. Définitions
Les mots et expressions utilisés dans le présent Contrat mais non définis dans celui-ci auront le sens (i) qui leur est attribué dans le Contrat principal ou, s'ils ne sont pas définis dans ledit ou lesdits documents, (ii) donné à ces mots et expressions dans les lois applicables en matière de protection des données.
Dans le présent Accord, lorsqu'ils sont utilisés avec les lettres initiales en majuscules, en plus des termes définis ailleurs dans l'Accord, les termes suivants auront la signification suivante :
Affilié AfterShip désigne toute entité qui, directement ou indirectement, par l'intermédiaire d'un ou plusieurs intermédiaires, contrôle, est contrôlée par ou est sous contrôle commun avec AfterShip.
Clients AfterShip désigne tous les utilisateurs finaux qui sont des clients AfterShip et qui utilisent l'application AfterShip Package Tracker.
Lois applicables en matière de protection des données désigne toutes les lois sur la protection des données et la confidentialité applicables aux Données personnelles et aux activités de traitement dans le cadre des Services et du DPA qui peuvent inclure, notamment mais non exclusivement, selon le cas : (i) le Règlement général sur la protection des données (2016/679) (« RGPD »), (ii) les « lois américaines sur la protection des données », (iii) la loi britannique sur la protection des données de 2018 (« RGPD britannique »), (iv) la loi fédérale suisse sur la protection des données de 1992 (« DPA suisse ») et (v) toutes les lois et réglementations sur la protection des données applicables aux Données personnelles en question, dans chaque cas telles que modifiées, remplacées ou remplacées de temps à autre.
Clauses contractuelles types de l'UE applicables désigne soit (i) les SCC de l'UE figurant à l'annexe C(1) ou (ii) dans le cas où l'article 2.4 est applicable, les SCC de l'UE figurant à l'annexe C(2).
Application de suivi de colis AfterShip désigne l'application logicielle mobile d'AfterShip que les clients d'AfterShip utilisent pour leur permettre d'accéder, de gérer et de traiter leurs données d'application mobile.
Transporteurs autorisés désigne les transporteurs décrits à l’annexe B qui sont des contrôleurs indépendants des données personnelles concernées et auxquels le sous-traitant des données est autorisé à transférer des données personnelles.
Sous-traitants autorisés désigne les sous-traitants décrits à l’annexe B qui sont expressément autorisés par le responsable du traitement des données à traiter les données personnelles.
Pays du responsable du traitement des données désigne le pays dans lequel le responsable du traitement des données est constitué, tel qu'il est inclus dans son adresse d'utilisateur enregistrée.
Pays éligibles EEE/Suisse/Royaume-Uni sont tous les pays (i) en ce qui concerne les données personnelles soumises au RGPD, l'Espace économique européen et tout autre territoire dont la Commission européenne a déterminé qu'il assure un niveau adéquat de protection des données personnelles conformément à l'article 45 du RGPD, (ii) en ce qui concerne les données personnelles soumises à la DPA suisse, tout pays reconnu comme offrant une protection adéquate par la Commission fédérale suisse de protection des données et de l'information et (iii) en ce qui concerne les données personnelles soumises au RGPD britannique, le Royaume-Uni et tout autre territoire dont le secrétaire d'État britannique a spécifié par règlement qu'il assure un niveau adéquat de protection des données personnelles conformément à l'article 45 du RGPD britannique et à l'article 17A de la loi britannique sur la protection des données de 2018.
Date d'entrée en vigueur désigne (i) la date à laquelle le Responsable du traitement des données a accepté, ou les parties ont autrement convenu, du présent Contrat tel qu'indiqué sur le Compte d'utilisateur ou (ii) la date de la Commande de service, selon ce qui est applicable entre les Parties.
Utilisateur final désigne toute personne physique ou morale dont les Données Personnelles sont traitées par AfterShip dans le cadre du Service fourni à l'Utilisateur.
Clauses contractuelles types de l'UE désigne les clauses contractuelles types approuvées par la Commission européenne dans la décision annexée à la décision (UE) 2021/914 de la Commission européenne du 4 juin 2021, telle qu'elle peut être modifiée, remplacée ou remplacée de temps à autre et disponible ici .
Accord principal désigne tous les accords et/ou conditions pertinents applicables aux Parties en relation avec les Services AfterShip, y compris Conditions d'utilisation d'AfterShip , le contrat-cadre de service, le plan d'abonnement, le bon de commande et/ou l'énoncé des travaux, selon ceux qui sont applicables entre les parties.
Données de l'application mobile désigne toutes les données personnelles incluses dans les catégories suivantes de données personnelles telles que définies à l'annexe E : informations d'expédition, informations de commande, informations sur l'utilisateur final, informations de suivi, données comportementales de l'utilisateur final, informations sur le panier d'achat, informations de paiement, informations d'évaluation des produits et informations d'évaluation des expéditions.
Données personnelles désigne toute information traitée en vertu du présent Accord qui se rapporte à une personne physique identifiée ou identifiable. Une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
Transfert restreint désigne un transfert de données personnelles soumises respectivement au RGPD, à la DPA suisse et/ou au RGPD britannique en dehors des pays adéquats de l'EEE/de la Suisse/du Royaume-Uni.
SCC du Royaume-Uni désigne les clauses standard de protection des données adoptées conformément à l'article 46 du RGPD britannique ou autorisées par celui-ci, telles qu'elles peuvent être modifiées, remplacées ou remplacées de temps à autre, et comprennent l'accord international de transfert de données du Royaume-Uni (« UK IDTA ») et l'addendum international de transfert de données du Royaume-Uni (l'« addendum du Royaume-Uni »).
Consommateur américain désigne une personne qui est un « consommateur » tel que défini par les lois américaines sur la protection des données.
Lois américaines sur la protection des données désigne le California Consumer Privacy Act tel que modifié par le California Privacy Rights Act (« CCPA »), le Virginia Consumer Data Protection Act (« VCDPA »), le Colorado Privacy Act (« CPA »), l'Utah Consumer Privacy Act (« UCPA »), le Connecticut Act Concerning Personal Data Privacy and Online Monitoring (« CTDPA ») et d'autres lois nationales similaires sur la confidentialité qui imposent des obligations à un responsable du traitement en ce qui concerne les données personnelles (telles que définies dans ces lois), et tout règlement, règle ou autre instrument contraignant pertinent qui met en œuvre ces lois, dans chaque cas selon le cas et en vigueur, et tel que modifié, remplacé ou remplacé de temps à autre.
Adresse enregistrée de l'utilisateur désigne l'adresse enregistrée de l'Utilisateur telle qu'indiquée dans le Contrat principal ou, si ladite adresse n'est pas incluse dans le Contrat principal, telle qu'indiquée dans le Compte.
2. Détails des opérations de traitement
2.1 Le responsable du traitement des données traitera, utilisera, modifiera, collectera et stockera les données personnelles au sens des lois applicables en matière de protection des données, comme décrit à l'annexe E. La personne de contact désignée pour le responsable du traitement des données est le délégué à la protection des données d'AfterShip, dont l'adresse e-mail de contact est la suivante : confidentialité@aftership.com .
2.2 Le sous-traitant traitera les données personnelles pendant toute la durée de l'exécution des services pour le responsable du traitement. Les données personnelles seront traitées aussi longtemps que nécessaire pour atteindre l'objectif, plus longtemps que la loi l'exige pour respecter les délais de conservation légaux ou en relation avec les données personnelles liées à des actes pouvant avoir des effets juridiques qui seront conservées à des fins de preuve pendant la durée du délai de prescription. Les données personnelles seront conservées par AfterShip sur la base des instructions du responsable du traitement et de la politique de conservation d'AfterShip.
2.3 L'objet du traitement, y compris les opérations de traitement effectuées par le sous-traitant pour le compte du responsable du traitement et les instructions du responsable du traitement au sous-traitant sont décrits à l'annexe E. Les parties considèrent expressément le présent DPA comme un ensemble d'instructions documentées du responsable du traitement au sous-traitant.
2.4 Si l'Utilisateur agit en tant que sous-traitant de données pour un autre responsable du traitement de données concernant des Données personnelles traitées en vertu du présent DPA, les dispositions suivantes s'appliquent au traitement desdites Données personnelles :
- L'utilisateur doit garantir, de manière continue, que le responsable du traitement des données concerné a expressément autorisé l'utilisateur, par écrit, à (i) fournir à AfterShip les instructions incluses dans le présent DPA, (ii) nommer AfterShip comme sous-traitant des données personnelles, (iii) procéder aux transferts de données personnelles comme décrit dans la section 5 et (iv) autoriser l'engagement par AfterShip des sous-traitants autorisés comme décrit dans la section 7 ;
- Les articles 3.1 et 3.2.1 de la LPD ne sont pas applicables ;
- L'utilisateur doit immédiatement transmettre au responsable du traitement des données concerné toute notification fournie par AfterShip en vertu des sections 4.2.3 (notification de violation), 7.1 (possibilité de s'opposer aux modifications du sous-traitant autorisé), ou qui fait référence à toute clause contractuelle type de l'UE ;
- L'utilisateur peut mettre à la disposition du responsable du traitement des données concerné toute information mise à disposition par AfterShip en vertu de l'annexe A et de l'annexe B ;
- Nonobstant toute disposition contraire dans l'Accord ou dans le présent DPA, l'Utilisateur indemnisera et dégagera AfterShip de toute responsabilité contre toutes les actions, demandes, responsabilités, réclamations, dommages, pertes, pénalités, amendes et dépenses, y compris les honoraires d'avocat et les frais de justice, formulés par toute personne concernée, tout responsable du traitement des données ou tout autre tiers, en raison de, découlant de, résultant de ou en relation avec (i) une action ou une omission commise par AfterShip, dans la mesure où cette action ou omission résulte des instructions de l'Utilisateur (ou de tout responsable du traitement des données) à AfterShip ; (ii) le non-respect par l'Utilisateur de la présente Section 2.4 ; ou (iii) le non-respect par l'Utilisateur de ses obligations en tant que sous-traitant de données en vertu des lois applicables en matière de protection des données ou de tout accord avec tout responsable du traitement des données.
- À l’exclusion de la présente Section 2.4, toute référence à « Responsable du traitement des données » ou « Responsable du traitement » dans le présent DPA doit être remplacée par « Sous-traitant des données » et « Sous-traitant » ;
- À l’exclusion de la présente Section 2.4, toute référence à « Sous-traitant de données » ou « Sous-traitant » dans le présent DPA sera remplacée par « Sous-traitant de données » ;
- Les CCT de l'UE (de sous-traitant à sous-traitant) s'appliquent au traitement à la place des CCT de l'UE (de responsable du traitement à sous-traitant).
3. Obligations du responsable du traitement
3.1 Généralités
3.1.1 Le Responsable du traitement détermine les finalités et les moyens du Traitement des Données Personnelles.
3.1.2 Le Responsable du traitement doit se conformer à toutes les lois applicables en matière de protection des données.
3.1.3 Le Responsable du traitement des données reconnaît qu'en ce qui concerne les Données personnelles fournies au Sous-traitant des données conformément au présent Contrat, il doit se conformer aux obligations suivantes :
- mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir et être en mesure de démontrer que le traitement est effectué conformément aux lois applicables en matière de protection des données ;
- établir une procédure pour l’exercice des droits des personnes dont les Données Personnelles sont collectées ;
- traiter uniquement les Données Personnelles qui ont été collectées légalement et valablement et s’assurer que ces Données Personnelles sont pertinentes et proportionnées aux utilisations respectives ;
- traiter et collecter toutes les Données Personnelles de manière valable et licite, conformément aux fondements juridiques prescrits par les Lois Applicables en Matière de Protection des Données, en particulier en obtenant les consentements et reconnaissances nécessaires lorsque cela est requis, y compris, par exemple, lors de la réalisation de marketing direct ou en relation avec les Cookies ou lors de la conclusion d'accords avec d'autres responsables du traitement des données (par exemple, les Transporteurs Autorisés) ;
- satisfaire à toutes les obligations de transparence, notamment relatives à la notification des éléments d'information nécessaires aux personnes concernées, y compris notamment sur l'existence de transferts internationaux et les destinataires des Données Personnelles et démontrer le respect des obligations de transparence en fournissant une documentation à cet effet au Sous-traitant, y compris toute mise à jour, révision ou autre modification desdits documents ;
- mettre en œuvre des mesures techniques et organisationnelles appropriées pour protéger les Données Personnelles contre toute destruction accidentelle ou illicite, perte accidentelle, altération, divulgation ou accès non autorisé ou illicite, notamment lorsque le traitement implique une transmission de Données Personnelles sur un réseau, et contre toute autre forme de traitement illicite ou non autorisé, afin de garantir un niveau de sécurité adapté au risque, conformément aux exigences des Lois Applicables en matière de Protection des Données, ainsi qu'aux normes du secteur ; et
- prendre des mesures raisonnables pour assurer le respect des dispositions des lois applicables en matière de protection des données et du présent accord par son personnel et par toute personne accédant, traitant, transférant ou utilisant des données personnelles en son nom.
3.2 Obligations du responsable du traitement concernant la base juridique et le stockage
3.2.1 Le Responsable du traitement choisit les catégories de Services AfterShip qui seront fournies aux Utilisateurs finaux. Le Responsable du traitement est chargé de déterminer et de mettre en œuvre les mesures nécessaires pour garantir le respect de la base juridique du traitement des Données personnelles, ainsi que d'assurer la transparence et la communication des informations à l'Utilisateur final.
3.2.2 Le Responsable du traitement des données reconnaît que, pour les catégories applicables de services AfterShip, AfterShip doit utiliser des cookies, des pixels et des balises Web ainsi que d'autres outils tels que décrits plus en détail dans l'annexe E et dans la documentation (« Cookies »). Le Responsable du traitement comprend qu'il doit mettre en œuvre les avis et mesures nécessaires pour garantir la collecte appropriée du consentement de l'utilisateur final en relation avec ces cookies.
3.2.3 Le Responsable du traitement des données reconnaît que certaines catégories de services AfterShip impliquent le suivi du comportement de l'utilisateur final tel que décrit dans l'annexe E et la documentation. Le Responsable du traitement déclare et garantit qu'il a effectué l'analyse juridique requise pour garantir le respect des lois applicables en matière de protection des données dans le cadre dudit suivi.
4. Obligations du responsable du traitement des données
4.1 Le responsable du traitement des données s’engage à respecter toutes les lois applicables en matière de protection des données.
4.2 Le sous-traitant des données doit :
- 4.2.1 compte tenu de la nature du traitement, assister le Responsable du traitement par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour l'exécution de l'obligation du Responsable du traitement de répondre aux demandes d'exercice des droits de la personne concernée en vertu des lois applicables en matière de protection des données, à condition toutefois que le Sous-traitant puisse facturer des frais supplémentaires pour l'administration de ces demandes ;
- 4.2.2 aider le responsable du traitement des données à garantir le respect des obligations prévues par les lois applicables en matière de protection des données en ce qui concerne la sécurité du traitement, la notification de toute violation des données personnelles aux autorités de contrôle et aux personnes concernées, le cas échéant, la réalisation d'analyses d'impact sur la protection des données si nécessaire et la consultation préalable de l'autorité de contrôle ;
- 4.2.3 informer le Responsable du traitement de toute violation de Données à caractère personnel relative aux Données à caractère personnel traitées en vertu de l'Accord de traitement des données, dans les 48 heures après en avoir pris connaissance, à moins que la violation de Données à caractère personnel ne soit pas susceptible d'entraîner un risque pour les droits et libertés des personnes physiques ;
- 4.2.4 s'assurer que seules les personnes strictement nécessaires à l'exécution du présent Contrat de traitement de données, agissant sous l'autorité du Sous-traitant, ont accès aux Données personnelles et sont soumises aux obligations de confidentialité nécessaires ;
- 4.2.5 au choix du Responsable du traitement des données, supprimer ou restituer toutes ces Données personnelles au Responsable du traitement des données après la fin de la fourniture des Produits et Services en vertu du Contrat, et supprimer les copies existantes, sauf si la loi applicable exige le stockage des Données personnelles ; et
- 4.2.6 mettre à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect de ces obligations.
4.3 Audits. Le Sous-traitant fait appel à des auditeurs externes pour vérifier l'adéquation de ses mesures de sécurité en ce qui concerne le traitement des Données personnelles. Ces audits sont effectués au moins une fois par an aux frais du Sous-traitant par des auditeurs indépendants choisis à la discrétion du Sous-traitant et donnent lieu à la génération d'un rapport d'audit confidentiel (« Rapport d'audit »). Sur demande écrite du Responsable du traitement à des intervalles raisonnables, le Sous-traitant mettra à la disposition du Responsable du traitement une copie de son rapport d'audit le plus récent. Le Responsable du traitement accepte que tous les droits d'audit accordés par les lois applicables sur la protection des données soient réputés satisfaits par ces rapports d'audit. Dans la mesure où la fourniture d'un rapport d'audit par le Sous-traitant ne fournit pas suffisamment d'informations ou que le Responsable du traitement est tenu de répondre à un audit d'une autorité de réglementation, le Responsable du traitement accepte un plan d'audit convenu d'un commun accord avec le Sous-traitant qui : (a) garantit le recours à un tiers indépendant ; (b) fournit un avis écrit au Sous-traitant en temps opportun ; (c) demande l'accès uniquement pendant les heures ouvrables ; (d) accepte la facturation au Responsable du traitement aux tarifs alors en vigueur du Sous-traitant ; (e) n'a lieu qu'une fois par an ; (f) limite ses conclusions aux seules données pertinentes pour le Responsable du traitement ; et (g) oblige le Responsable du traitement, dans la mesure permise par la loi ou la réglementation, à garder confidentielles toutes les informations recueillies qui, de par leur nature, devraient être confidentielles.
4.4 Toutes les dépenses déraisonnables liées au respect des obligations susmentionnées prévues à l'article 4 du présent DPA seront à la charge du responsable du traitement des données.
4.5 Le Responsable du traitement des données déclare et garantit qu'il traite toutes les Données personnelles conformément aux lois applicables en matière de protection des données. Plus précisément, à cet égard, le Responsable du traitement des données garantit qu'il traitera toutes les Données personnelles conformément aux lois applicables en matière de protection des données sur la base de motifs juridiques valables.
4.6 Le Sous-traitant a mis en œuvre des mesures techniques et organisationnelles appropriées, comme prévu à l'Annexe A, pour garantir un niveau de sécurité adapté aux risques particuliers présentés par les activités de traitement des Données personnelles en vertu des présentes, en particulier pour protéger les Données personnelles contre une destruction, une perte, une altération, une divulgation ou un accès non autorisé, accidentel ou illégal, aux Données personnelles transmises, stockées ou autrement traitées par le Sous-traitant.
5. Transferts de données personnelles
5.1 Le sous-traitant ne traitera les données personnelles que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données personnelles vers un pays tiers ou une organisation internationale, à moins que les lois applicables en matière de protection des données auxquelles le sous-traitant est soumis ne l'exigent. À cet égard et pour éviter toute ambiguïté, les parties considèrent expressément le présent accord de traitement des données comme un ensemble d'instructions documentées du responsable du traitement au sous-traitant.
5.2 Le Responsable du traitement des données accepte expressément que, pour que le Sous-traitant puisse fournir les Services, le Sous-traitant est dûment autorisé à transférer des Données personnelles aux Sous-traitants autorisés et/ou aux Transporteurs autorisés (et à permettre le transfert des Données personnelles par lesdits Sous-traitants autorisés et/ou Transporteurs autorisés) dans des pays situés en dehors du Pays du Responsable du traitement des données, ce qui signifie, pour les Responsables du traitement des données de l'UE/Suisse/Royaume-Uni, dans des pays situés en dehors de l'EEE/Suisse/Royaume-Uni.
5.3 Dans la mesure où le Sous-traitant des Données transfère des Données Personnelles (ou autorise le transfert des Données Personnelles) vers un pays autre que le pays dans lequel les Données Personnelles ont été initialement collectées, il doit d'abord prendre les mesures nécessaires pour garantir que le transfert est effectué en conformité avec les Lois Applicables sur la Protection des Données, y compris, le cas échéant, en prenant toutes les mesures raisonnables pour mettre en œuvre l'un des mécanismes prévus par les Lois Applicables sur la Protection des Données afin de garantir un niveau de protection adéquat pour les activités de traitement des Données Personnelles.
5.4 Dans la mesure où le transfert de données personnelles entre le responsable du traitement et le sous-traitant implique un transfert restreint :
- 5.4.1 En ce qui concerne les Données personnelles soumises au RGPD, les Parties conviennent que (i) les SCC applicables de l'UE s'appliqueront conformément aux termes de l'Annexe C et aux détails réputés complétés comme indiqué dans l'Annexe C, (ii) les SCC applicables de l'UE seront incorporées par cette référence et feront partie intégrante du présent DPA et que (iii) le Responsable du traitement des données sera « l'Exportateur de données » et le Sous-traitant des données sera « l'Importateur de données » ;
- 5.4.2 En ce qui concerne les Données personnelles soumises à la LPD suisse, les Parties conviennent que (i) les CCT applicables de l'UE s'appliqueront conformément aux termes de l'Annexe C et aux détails réputés complétés comme indiqué dans l'Annexe C, (ii) les CCT applicables de l'UE seront incorporées par cette référence et feront partie intégrante de la présente LPD ; (iii) le Responsable du traitement des données sera « l'Exportateur de données » et le Sous-traitant des données sera « l'Importateur de données » ; et (iv) en outre (a) dans la Clause 13, l'autorité de contrôle compétente sera la Commission fédérale suisse de protection des données et de transparence ; (b) le terme État membre ne doit pas être interprété de manière à exclure les personnes concernées en Suisse de faire valoir leurs droits dans leur lieu de résidence habituelle conformément à la Clause 18(c), (c) toutes les références au RGPD de l'UE dans le présent Addendum sont également réputées faire référence à la LPD suisse, et (d) les Clauses contractuelles types protègent également les Données personnelles des personnes morales jusqu'à ce qu'une LPD suisse révisée entre en vigueur.
- 5.4.3 En ce qui concerne les données personnelles soumises au RGPD britannique, les parties conviennent que (i) les parties s'appuieront sur les SCC applicables de l'UE telles que complétées à l'annexe C et telles que modifiées par l'addendum sur le transfert international de données publié par le Information Commissioner's Office en vertu de l'article 119A(1) de la loi sur la protection des données de 2018, (ii) les détails seront réputés être complétés comme indiqué à l'annexe D, (iii) les SCC du Royaume-Uni seront incorporées par cette référence et feront partie intégrante du présent DPA et que (iv) le responsable du traitement des données sera « l'exportateur de données » et le sous-traitant des données sera « l'importateur de données ».
6. Consommateurs américains
Cette section s'applique dans la mesure où les lois américaines sur la protection des données sont applicables aux données personnelles traitées et où le sous-traitant traite des données personnelles sur des consommateurs américains qui sont soumises aux lois américaines sur la protection des données. Dans cette section, « Objectif commercial », « Objectif commercial », « Anonymisé », « Vendre », « Vente », « Prestataire de services » ont la signification qui leur est attribuée dans les lois américaines sur la protection des données, et « Partager » a la signification qui lui est attribuée dans le CCPA.
6.1 En ce qui concerne ces données personnelles, et dans la mesure requise par les lois américaines applicables en matière de protection des données, le responsable du traitement des données :
- 6.1.1 ne pas conserver, utiliser ou divulguer de Données personnelles en dehors de sa relation commerciale directe avec le Responsable du traitement ou à toute autre fin que la fourniture des Services, y compris la conservation, l'utilisation ou la divulgation de ces Données personnelles à des fins commerciales autres que la réalisation des Fins commerciales décrites dans l'Accord, ou comme autrement autorisé par les lois américaines sur la protection des données ;
- 6.1.2 ne pas vendre ni partager ces données personnelles ;
- 6.1.3 ne pas combiner les Données personnelles collectées dans le cadre de l'exécution des Services avec les Données personnelles reçues d'une autre source ou collectées à partir de ses propres interactions avec la personne, sauf pour exécuter les Services, avec le consentement ou les instructions, ou comme autrement autorisé par les lois américaines sur la protection des données ;
- 6.1.4 dans le cadre du traitement des Données personnelles, se conformer aux dispositions des lois américaines sur la protection des données applicables aux prestataires de services ou aux sous-traitants, y compris en fournissant le même niveau de protection de la vie privée que celui requis des responsables du traitement des données par les lois américaines sur la protection des données, et informer le responsable du traitement des données s'il détermine qu'il ne peut plus respecter ces obligations (le responsable du traitement des données peut, dès réception d'un tel avis, prendre des mesures raisonnables et appropriées pour arrêter et remédier à toute utilisation non autorisée des données personnelles par le sous-traitant des données) ;
- 6.1.5 n'engager que des sous-traitants autorisés en conformité avec les lois américaines sur la protection des données et régis par un contrat entre le sous-traitant des données et le sous-traitant autorisé qui exige des protections comparables à celles du présent DPA ;
- 6.1.6 prendre des mesures raisonnables et appropriées, sur préavis écrit raisonnable du Responsable du traitement des données et sous réserve des obligations de confidentialité énoncées dans les Conditions d'utilisation, pour aider le Responsable du traitement des données à confirmer que l'utilisation des Données personnelles par le Sous-traitant des données est conforme aux obligations du Responsable du traitement des données en vertu des lois américaines sur la protection des données ;
- 6.1.7 sur demande, fournir un rapport d'évaluation raisonnable des politiques et des mesures techniques et organisationnelles du responsable du traitement des données à l'appui de ses obligations en vertu des lois américaines applicables en matière de protection des données, en utilisant une norme ou un cadre de contrôle approprié et accepté et une procédure d'évaluation pour ces évaluations ; et
- 6.1.8 à la résiliation du Contrat, (i) lancer rapidement son processus de purge pour supprimer ou dépersonnaliser les Données personnelles (qui seront dépersonnalisées conformément aux lois américaines sur la protection des données) et (ii) sur demande, dans les 60 jours suivant la résiliation, renvoyer ces Données personnelles au Responsable du traitement.
6.2 En ce qui concerne ces données personnelles, et dans la mesure requise par les lois américaines applicables en matière de protection des données, le responsable du traitement des données déclare et garantit que le responsable du traitement des données :
- 6.2.1 a obtenu tous les consentements, droits et autorisations nécessaires et a donné tous les avis nécessaires aux personnes concernant la divulgation des données personnelles par le responsable du traitement des données au sous-traitant des données afin de permettre au sous-traitant de traiter les données personnelles pour fournir les services, comme l'exigent les lois américaines sur la protection des données ;
- 6.2.2 ne partagera avec le responsable du traitement des données aucune donnée personnelle de toute personne soumise aux lois américaines sur la protection des données qui a exercé un refus que le responsable du traitement des données s'est engagé à respecter ;
- 6.2.3 ne partagera pas avec le responsable du traitement des données les données sensibles de tout consommateur américain qui n'a pas consenti au traitement de ses données sensibles ;
- 6.2.4 informera le sous-traitant de toutes les demandes de droits que les individus adressent au responsable du traitement des données conformément aux lois américaines sur la protection des données auxquelles le sous-traitant doit se conformer et fournira les informations nécessaires au sous-traitant de données pour se conformer aux demandes ; et
- 6.2.5 sera seul responsable de sa conformité avec les lois américaines sur la protection des données.
6.3 Les parties conviennent que (i) l'existence du présent DPA ne constitue pas une admission que le partage de données personnelles constitue une vente ou un partage et (ii) que le sous-traitant des données ne fournit aucune contrepartie monétaire ou autre contrepartie de valeur au responsable du traitement des données en échange desdites données personnelles.
7. Sous-traitants autorisés
7.1 Le Responsable du traitement des données accepte expressément que le Sous-traitant des données puisse utiliser et engager les Sous-traitants autorisés pour mener à bien les activités de traitement et pour remplir ses obligations contractuelles en vertu du présent DPA. Tout changement prévu concernant l'ajout ou le remplacement de ces Sous-traitants autorisés doit être notifié au Responsable du traitement des données. Le Responsable du traitement des données peut s'opposer à ces modifications dans un délai de quinze (15) jours à compter de la notification en écrivant à privacy@aftership.com . Toutes les objections doivent être raisonnablement motivées. Dans ce cas, le sous-traitant prendra des mesures raisonnables pour satisfaire le responsable du traitement des données, à condition toutefois qu'en cas d'impossibilité de parvenir à un accord mutuel, le sous-traitant des données soit autorisé à mettre immédiatement fin à tous les services fournis au responsable du traitement des données sans autre indemnisation ni préavis, nonobstant toute autre disposition du DPA et/ou de l'accord principal.
7.2 Lorsque le sous-traitant engage un sous-traitant autorisé pour effectuer des activités de traitement spécifiques au nom du responsable du traitement, le sous-traitant impose à ce sous-traitant autorisé des obligations de protection des données au moins aussi strictes que celles énoncées dans les présentes, par le biais d'un contrat ou d'un autre acte juridique en vertu de la loi applicable. Le sous-traitant reste responsable envers le responsable du traitement de l'exécution des obligations des sous-traitants autorisés.
8. Transporteurs agréés
Le Responsable du traitement autorise dûment le Sous-traitant à transférer les Données personnelles aux Transporteurs agréés. Le Responsable du traitement reconnaît expressément que les Transporteurs agréés sont des responsables indépendants du traitement des Données personnelles concernées.
Afin d'éviter toute ambiguïté, le Responsable du traitement des données reconnaît expressément que les transporteurs agréés ne doivent pas être considérés comme des sous-traitants ou des sous-traitants du Responsable du traitement des données en vertu des lois applicables en matière de données personnelles. Le Responsable du traitement des données ne sera pas responsable envers le Responsable du traitement des données des activités de traitement effectuées par les transporteurs agréés.
9. Assistance
Les demandes des utilisateurs peuvent impliquer un accès, par le personnel d'AfterShip, au compte de l'utilisateur et au système d'AfterShip en utilisant les identifiants de connexion, les adresses e-mail et les mots de passe de l'utilisateur dans le but de fournir une assistance, un débogage et une assistance (« Accès au support »). Cet accès au support peut inclure l'accès aux données personnelles. Si AfterShip détermine que l'accès au support est nécessaire, l'utilisateur autorise expressément AfterShip à activer l'accès au support et l'utilisateur doit fournir à AfterShip les informations d'identification nécessaires pour fournir l'accès au support. En outre, AfterShip peut déterminer que le traitement de certains types de données personnelles ne peut être effectué qu'en vertu de l'accès au support, et si cet accès au support est retiré, AfterShip ne sera pas en mesure de traiter ces données personnelles.
Nonobstant ce qui précède, l'utilisateur conserve le droit de désactiver l'accès au support à sa seule discrétion via les paramètres de son compte. Dans le cas où le service était basé sur l'accès au support, AfterShip ne sera pas responsable de l'incapacité à fournir les services qui étaient soumis à l'accès au support.
10. Application de suivi des colis AfterShip
AfterShip fournit des services aux clients d'AfterShip à l'aide de l'application AfterShip Package Tracker, lesdits services étant fournis par AfterShip indépendamment de l'accord principal. Le responsable du traitement des données reconnaît qu'AfterShip traitera les données de l'application mobile à la demande du client d'AfterShip via l'application AfterShip Package Tracker. Ce traitement basé sur la demande du client d'AfterShip ne sera pas soumis au présent accord.
Tout ensemble de données d'application mobile traité à la demande du client AfterShip sera considéré comme étant sous le contrôle d'AfterShip pour l'exécution des demandes du client AfterShip via l'application AfterShip Package Tracker. L'utilisateur reconnaît que, dans le cadre de l'exécution des demandes du client AfterShip via l'application AfterShip Package Tracker, AfterShip sera considéré comme un responsable indépendant du traitement desdites données d'application mobile.
11. Limitation de responsabilité et indemnisation
NONOBSTANT TOUTE DISPOSITION CONTRAIRE DANS LE PRÉSENT DPA, LES PARTIES CONVIENNENT QUE LES LIMITATIONS DE RESPONSABILITÉ ET LES INDEMNITÉS PRÉVUES DANS L'ACCORD PRINCIPAL SONT APPLICABLES AU PRÉSENT DPA, À L'EXCEPTION DE LA SECTION 2.4(e) QUI NE SERA PAS PRÉJUDICIÉE.
12. Autres dispositions
12.1 Le présent Contrat et tout litige ou réclamation découlant de ou en rapport avec celui-ci ou son objet ou sa formation (y compris les litiges ou réclamations non contractuels) seront régis et interprétés conformément aux lois de Singapour.
12.2 Les parties au présent accord conviennent irrévocablement que les tribunaux de Singapour auront la compétence exclusive pour régler tout litige ou toute réclamation découlant du présent accord ou en relation avec celui-ci ou son objet ou sa formation (y compris les litiges ou réclamations non contractuels).
12.3 Le présent Contrat, ainsi que les calendriers, annexes et appendices qui y sont joints, contiennent l'intégralité de l'entente entre les parties concernant l'objet du présent Contrat et remplacent tous les accords et ententes antérieurs, oraux ou écrits, concernant ces questions, dont les parties reconnaissent avoir été fusionnés dans ces documents, calendriers, annexes et appendices.
12.4 En cas de conflit ou d'incohérence entre les termes et dispositions du présent DPA et les termes et dispositions de l'Accord principal, les termes et dispositions du présent DPA prévaudront. En cas de conflit ou d'incohérence entre les termes et dispositions du présent DPA et les termes et dispositions des CCT applicables de l'UE (ou des CCT du Royaume-Uni), dans la mesure où lesdites CCT applicables de l'UE (ou des CCT du Royaume-Uni) sont applicables, les CCT applicables de l'UE (ou des CCT du Royaume-Uni) prévaudront.
12.5 Conformément à l'article 27 du règlement général sur la protection des données (RGPD), AfterShip a désigné le Bureau européen de la protection des données (EDPO) comme son représentant RGPD dans l'UE. Vous pouvez contacter l'EDPO concernant les questions relatives au RGPD :
-
en utilisant le formulaire de demande en ligne de l'EDPO : https://edpo.com/gdpr-data-request/
-
en écrivant à EDPO à l'adresse Avenue Huart Hamoir 71, 1030 Bruxelles, Belgique
-
avec une copie au délégué à la protection des données d'AfterShip, respectivement par courrier électronique ou par courrier postal à dpo@aftership.com ou WeWork, Paseo de Gracia 17, 08007 Barcelone, Espagne.
12.6 Aux fins de la loi singapourienne sur la protection des données personnelles (2012), le délégué à la protection des données d'AfterShip peut être contacté, respectivement par courrier électronique ou par courrier postal, à l'adresse suivante : dpo@aftership.com ou 120 Robinson Road #13-01, Singapour 068913.
Conformément à la clause 4 de l'accord, le sous-traitant adoptera et maintiendra des mesures de sécurité appropriées (y compris organisationnelles et techniques) dans le traitement des données afin de les protéger contre tout accès non autorisé ou accidentel, toute perte, altération, divulgation ou destruction de ces données, en particulier lorsque le traitement implique la transmission de données sur un réseau, et contre toute autre forme de traitement illicite. Pour déterminer les mesures de sécurité techniques et organisationnelles requises par la clause 4 de l'accord, le sous-traitant tiendra compte de l'état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques. Le sous-traitant mettra en œuvre les mesures de sécurité spécifiques décrites ci-dessous :
| Catégorie | Sous-catégorie | Problème de sécurité pertinent | Mise en œuvre d'AfterShip |
|---|---|---|---|
| Confidentialité / Sécurité | Conservation et stockage des données | Stockage des données | Toutes les données, y compris les données personnelles collectées, sont stockées dans le cloud via les services cloud comme indiqué dans la liste des sous-traitants autorisés. L'emplacement des centres de données est décrit plus en détail dans la liste des sous-traitants autorisés. |
| Confidentialité / Sécurité | Conservation et stockage des données | Conservation et suppression des données personnelles | Les données personnelles collectées sont conservées pendant une durée définie. Si la conservation des données personnelles n’est plus nécessaire, elles sont systématiquement détruites et/ou anonymisées. |
| Sécurité | Gestion du contrôle d'accès | Mise en œuvre de politiques de mots de passe, contrôles de mots de passe, cryptage/hachage des mots de passe | AfterShip a mis en place des politiques de mot de passe internes pour spécifier les exigences de sécurité et éviter que les employés n'utilisent des mots de passe faibles. L'authentification 2FA est activée pour renforcer la sécurité du compte. Lorsqu'ils sont stockés par AfterShip, les mots de passe sont hachés par l'algorithme SHA-1 ou SHA-256 avec un sel aléatoire. |
| Sécurité | Gestion du contrôle d'accès | Suppression immédiate des droits d'accès pour les utilisateurs quittant l'organisation | Des procédures de départ des employés sont en place pour garantir que les droits d'accès des employés sont supprimés lors de leur départ. |
| Sécurité | Gestion de la continuité des activités | Politiques et fréquence de sauvegarde | Sauvegarde quotidienne effectuée par des services cloud dans les centres de données primaires et secondaires |
| Sécurité | Gestion de la continuité des activités | Sites de reprise après sinistre dans des emplacements géographiques multiples/diversifiés | Les centres de données hébergeant les services cloud sont situés à différents endroits pour réduire les risques de perte de données. |
| Confidentialité / Sécurité | Gouvernance | Programme de formation à la sensibilisation à la sécurité actuellement en place : thèmes et fréquence | Une formation de sensibilisation à la sécurité est mise en œuvre lors de l'intégration des employés. Les principaux sujets abordés lors de la formation comprennent notamment : les obligations générales en vertu de diverses politiques, normes, procédures, directives de sécurité de l'information, les lois et réglementations applicables en matière de sécurité, les conditions contractuelles et les normes d'éthique et de comportement acceptable. |
| Confidentialité / Sécurité | Gestion de la réponse aux incidents | Procédures de réponse aux incidents en placeExistence d'une équipe avec des rôles et des responsabilités définisExistence de procédures de communication concernant les incidents de sécurité tels que les violations de donnéesDélai de notification concernant les tiers | Une équipe et un plan d'intervention en cas de violation de données sont en place (détecter, contenir, analyser, notifier, répondre, documenter, apprendre) Liste de contrôle de l'équipe d'intervention en cas de violation de données, avec des rôles et des responsabilités définis |
1. Les sous-traitants autorisés suivants : https://www.aftership.com/legal/subprocessors 2. Tous les affiliés d’AfterShip.
Les transporteurs autorisés suivants : https://docs.aftership.com/api/4/supported-couriers
Annexe C.1 - CCT de l'UE (du responsable du traitement au sous-traitant)
Conditions applicables aux clauses contractuelles types de l'UE :
- q. Le module deux (du responsable du traitement au sous-traitant) des clauses contractuelles types de l'UE s'applique lorsque le responsable du traitement est l'exportateur de données et le sous-traitant est l'importateur de données ;
- b. Article 7 – la clause d’amarrage facultative s’appliquera;
- c. La clause 9 - Option 2 s'appliquera et le délai de notification préalable des changements de sous-traitant autorisé sera celui indiqué à la section 7.1 du DPAi ;
- d. L'article 17 - Option 1 s'appliquera et les clauses seront régies par le droit belge ;
- e. Article 18 - Les litiges seront résolus devant les tribunaux francophones de Bruxelles ;
- f. Toutes les options non spécifiquement mentionnées ne s’appliquent pas ;
- g. L'annexe I sera complétée comme suit :
- Les adresses, coordonnées, etc. des parties sont décrites dans les définitions des parties fournies dans le présent DPA ;
- La personne de contact désignée pour le sous-traitant est décrite à la section 2 du présent DPA ;
- La description du transfert est énoncée à l’article 2 et à l’annexe E du présent DPA ;
- L’autorité de contrôle compétente sera définie conformément à la clause 13 des CCT de l’UE ;
- h. L’annexe II sera complétée comme indiqué à l’annexe A du présent DPA;
- i. L’annexe III sera complétée comme indiqué à l’annexe B du présent DPA.
PARTIE 1 : Tableaux
Tableau 1 – Parties
Date de début : Comme indiqué dans l’accord principal.
Coordonnées des parties : Comme indiqué dans le présent DPA et dans l'accord principal.
Contact principal : voir la section 2 du présent DPA et/ou l'accord principal.
Tableau 2 : SCC, modules et clauses sélectionnés
Addendum EU SCCs : les clauses contractuelles types approuvées par la Commission européenne dans la décision annexée à la décision (UE) 2021/914 de la Commission européenne du 4 juin 2021, telle qu'elle peut être modifiée, remplacée ou remplacée de temps à autre et disponible ici avec les détails et les clauses applicables tels que décrits à l’annexe C.
Tableau 3 : Informations sur l'annexe
« Informations annexes » désigne les informations qui doivent être fournies pour les modules sélectionnés comme indiqué dans l'annexe des SCC approuvés de l'UE (autres que les Parties), et qui, pour le présent addendum, sont énoncées dans :
Annexe 1A : Liste des Parties : telles que définies dans l'Accord de partenariat numérique
Annexe 1B : Description du transfert : comme indiqué dans l'annexe E et dans d'autres sections de l'accord de transfert de données
Annexe II : Mesures techniques et organisationnelles, y compris les mesures techniques et organisationnelles visant à garantir la sécurité des données : telles que définies à l'annexe A de la DPA
Annexe III : Liste des sous-traitants : comme indiqué à l'annexe B du présent DPA
Tableau 4 : Fin de cet addenda lorsque l'addenda approuvé change
Les parties suivantes peuvent mettre fin au présent avenant comme indiqué à l’article 19 : l’importateur et l’exportateur.
PARTIE 2 : Clauses obligatoires
Les clauses obligatoires de l'addendum approuvé, étant le modèle d'addendum B.1.0 publié par l'ICO et déposé devant le Parlement conformément à l'article 119A de la loi sur la protection des données de 2018 le 2 février 2022, tel qu'il est révisé en vertu de l'article 18 de ces clauses obligatoires.
1. Comment AfterShip collecte les données personnelles
AfterShip collecte les différentes catégories de Données Personnelles notamment par les moyens suivants :
- Via l'API AfterShip <.li>
- Bien que la communication individuelle de l'utilisateur
- Via les systèmes des transporteurs agréés (c'est-à-dire via API, robot d'exploration Web, etc.)
- Grâce aux cookies (c'est-à-dire les cookies, les pixels ou les balises Web placés sur le site Web de l'utilisateur)
- Via des plateformes (par exemple, Shopify, Magento, TikTok, etc.), des API ou des webhooks
2. Gestion des cookies, pixels et balises Web
Si les cookies sont utilisés conformément à la ou aux catégories pertinentes de services fournis à l'utilisateur par AfterShip, comme indiqué à l'annexe E, section 6, les clauses suivantes s'appliqueront :
- AfterShip utilisera les adresses IP des utilisateurs finaux pour déterminer si l'utilisateur final concerné est soumis au règlement général sur la protection des données de l'UE, à la DPA suisse, au règlement général sur la protection des données du Royaume-Uni ou à la loi californienne sur la protection de la vie privée des consommateurs.
- Les utilisateurs doivent s'assurer qu'ils fournissent des mécanismes de collecte de consentement en rapport avec les cookies, tels que des bannières de cookies, des politiques de confidentialité et des politiques de cookies, conformément aux lois applicables en matière de protection des données et en particulier (mais pas exclusivement) pour les utilisateurs finaux basés dans l'UE/Suisse/Royaume-Uni et Californie pour la conformité au RGPD, la conformité à la DPA suisse, la conformité au RGPD britannique et la conformité au CCPA.
- Pour les utilisateurs utilisant Shopify, si le mécanisme de consentement à la bannière de cookies de Shopify est installé, AfterShip installera les cookies pour l'UE, la Suisse, le Royaume-Uni et la Californie. Pour les autres utilisateurs non Shopify, AfterShip ne peut pas savoir si le consentement est obtenu et il est de la responsabilité de l'utilisateur de s'assurer que les mécanismes de collecte du consentement sont correctement en place.
- Les utilisateurs peuvent envoyer un e-mail au support client d'AfterShip : support@aftership.com pour toute question concernant les Cookies.
3. Description et nature des activités et services de traitement
| Description du service | Catégorie de services | Description des activités de traitement et du service |
|---|---|---|
| Suivi après expédition | Suivi (API) | Service permettant aux utilisateurs de récupérer des informations de suivi à partir de l'API AfterShip |
| Suivi après expédition | Suivi (Plateforme) | Service permettant aux utilisateurs de fournir une expérience de suivi aux utilisateurs finaux : - pour récupérer les informations de suivi d'AfterShip - pour gérer l'état de livraison de tous les envois - pour surveiller les performances d'expédition - pour personnaliser l'expérience de suivi |
| Suivi après expédition | Page de suivi de marque | Service permettant aux utilisateurs de fournir une page de suivi de colis de marque aux utilisateurs finaux |
| Suivi après expédition | Recommandation de l'IA | Service permettant aux utilisateurs de fournir des recommandations de produits aux utilisateurs finaux |
| Suivi après expédition | Notifications par e-mail et SMS | Service permettant aux utilisateurs d'envoyer des e-mails de livraison ou des notifications par SMS aux utilisateurs finaux et de personnaliser l'expérience de notification |
| Suivi après expédition | Revenus des notifications | Service permettant aux utilisateurs d'analyser les revenus bruts potentiels générés indirectement à partir des notifications par courrier électronique lorsque l'utilisateur final achète un article après avoir cliqué sur le lien reçu dans la notification par courrier électronique (peut également inclure le taux de conversion) |
| EDD après expédition | Widget de date de livraison estimée prédictive par l'IA | Service avec les fonctionnalités suivantes : - Le modèle d'IA détectera l'adresse IP des consommateurs pour fournir la date de livraison estimée (EDD) - fournit un niveau de précision de ville à ville - la date de livraison estimée est affichée sur la page du produit et la page de paiement |
| EDD après expédition | Dates de livraison estimées prédictives par l'IA | Service avec les fonctionnalités suivantes : - fournir des dates de livraison estimées - afficher les dates de livraison estimées sur AfterShip Tracking, la page de suivi de marque et les services de notifications - fournir des notifications de retard |
| Expédition | N / A | Service qui permet à l'utilisateur : - de générer et d'imprimer des étiquettes d'expédition - de calculer et de comparer les tarifs d'expédition - de manifester (c'est-à-dire d'envoyer des données aux transporteurs agréés) - de visualiser les performances d'expédition - de gérer toutes les informations du compte du transporteur en un seul endroit |
| Retours après expédition | Centre de retours | Service qui permet à l'utilisateur : - de fournir une expérience de retour personnalisée aux utilisateurs finaux - d'envoyer des notifications de mise à jour du statut des retours aux utilisateurs finaux - de gérer toutes les demandes de retour en un seul endroit - de surveiller les performances des retours - de personnaliser l'expérience des retours et des notifications |
| Retours après expédition | Page de retour | Service qui permet aux utilisateurs de fournir une page de retour aux utilisateurs finaux |
| Analyseur AfterShip | Analyseur | Service permettant à l'Utilisateur d'utiliser (i) des services de détection d'e-mails afin de détecter si un e-mail contient des Informations de Commande pertinentes et (ii) des services d'analyse d'e-mails qui consistent à extraire les catégories de données définies dans le présent Contrat de Traitement des Données à partir des Données. |
| Protection après-navire | Protection | Service fourni aux utilisateurs pour fournir une protection potentielle contre les colis perdus, endommagés ou piratés aux utilisateurs finaux ; le fournisseur d'assurance est UPSCIA (tel que défini dans les conditions de protection AfterShip applicables) |
| Protection après-navire | Widget de protection | Service permettant aux utilisateurs finaux de s'abonner aux services AfterShip Protection dans le panier ou sur les pages de paiement |
| Courriel AfterShip | Notification de suivi | Service qui permet aux utilisateurs d'envoyer des e-mails de livraison aux utilisateurs finaux et de personnaliser l'expérience de notification |
| Courriel AfterShip | Commercialisation | Service permettant aux utilisateurs de : - gérer leurs newsletters et leurs abonnements à des newsletters - créer des codes de réduction par abonnement à des newsletters - envoyer des newsletters par e-mail et des e-mails automatisés à des fins de marketing - gérer les contacts et identifier les segments de clientèle cibles - émettre et gérer des codes de réduction |
| SMS après expédition | Notification de suivi | Service qui permet aux utilisateurs d'envoyer des notifications par SMS aux utilisateurs finaux et de personnaliser l'expérience de notification |
| SMS après expédition | Commercialisation | Service permettant aux Utilisateurs : - d'envoyer des SMS et des SMS automatisés à des fins de marketing |
| Pop-ups et formulaires AfterShip | Pop-ups et formulaires | Service avec des fonctionnalités permettant aux utilisateurs : - de gérer les codes de réduction via l'abonnement à des newsletters et d'autres moyens - d'afficher des fenêtres contextuelles et des formulaires de sites Web sur leurs sites Web |
| Pop-ups et formulaires AfterShip | Outils de conversion | Service aux utilisateurs avec des fonctionnalités qui permettent aux utilisateurs de : - afficher des fenêtres contextuelles de site Web, des fenêtres contextuelles de vente et des barres d'annonces sur leurs sites Web - modifier facilement la vitrine du site Web (par exemple, ajouter un autocollant de vente sur l'image) - envoyer des notifications push Web - ajouter une barre de recherche instantanée à leur site Web |
| Pop-ups et formulaires AfterShip | Recommandations | Service fourni aux utilisateurs avec des fonctionnalités permettant aux utilisateurs finaux de trouver facilement des produits avec des recommandations de produits personnalisées |
| Générateur de pages AfterShip | Générateur de pages | Service aux utilisateurs avec des fonctionnalités qui leur permettent : - de créer des pages de conversion avec de nombreuses fonctionnalités de page - de répertorier les produits de leurs magasins - de répertorier les collections de produits de leurs magasins - d'obtenir des analyses de site Web (nombre de visiteurs, nombre d'ajouts au panier ou autres statistiques) |
| Générateur de pages AfterShip | Sections traitant les informations de l'utilisateur final | Service aux utilisateurs avec des fonctionnalités qui permettent : - Aux utilisateurs finaux de s'abonner aux newsletters des commerçants - Aux utilisateurs finaux d'obtenir des codes de réduction en s'abonnant aux newsletters et par d'autres moyens - Aux utilisateurs d'envoyer des newsletters par e-mail et des e-mails automatisés à des fins de marketing - Aux utilisateurs de gérer les contacts et d'identifier les segments de clientèle cibles - Aux utilisateurs finaux d'envoyer des commentaires aux commerçants pour établir des relations - Aux utilisateurs de recevoir des commentaires des utilisateurs finaux |
| Générateur de pages AfterShip | Meilleures ventes | Service permettant aux utilisateurs de proposer des ventes intéressantes ou des recommandations de produits aux utilisateurs finaux |
| Avis sur AfterShip | Avis | Service aux utilisateurs qui contient les fonctionnalités suivantes : - Les utilisateurs finaux peuvent vérifier les avis précédents sur le magasin concerné. - Les utilisateurs finaux peuvent soumettre leurs avis et leurs commentaires NPS aux commerçants. - Les utilisateurs finaux peuvent obtenir des codes de réduction en soumettant et en partageant des avis. - Les utilisateurs peuvent collecter des avis auprès des utilisateurs finaux. - Les utilisateurs peuvent envoyer des e-mails pour collecter des avis et des commentaires NPS. - Les utilisateurs peuvent gérer les avis et les commentaires NPS. - Les utilisateurs peuvent ajouter des widgets d'avis à leur site Web. - Les utilisateurs peuvent gérer les programmes de parrainage. - Les utilisateurs peuvent afficher les avis sur Google et sur d'autres canaux de vente. |
| Avis sur AfterShip | Basé sur les événements de suivi AfterShip | Service aux utilisateurs avec des fonctionnalités leur permettant d'envoyer un e-mail de demande d'évaluation lorsque l'événement de mise à jour du suivi AfterShip est déclenché |
| Affiliés AfterShip | Référence | Service aux utilisateurs avec des fonctionnalités qui permettent : - aux utilisateurs d'afficher le widget d'inscription au programme de parrainage sur leurs sites Web - aux utilisateurs finaux de rejoindre des programmes de parrainage et de partager des liens de parrainage - aux utilisateurs finaux de visiter un site Web via des liens de parrainage - aux utilisateurs finaux d'obtenir des récompenses après avoir parrainé quelqu'un |
| Affiliés AfterShip | Affiliés | Service aux utilisateurs avec des fonctionnalités qui permettent : - aux utilisateurs d'afficher le widget d'inscription au programme de parrainage sur leurs sites Web - aux affiliés (filleuls) de rejoindre des programmes d'affiliation et de partager des liens d'affiliation. - aux utilisateurs finaux de visiter un site Web via des liens d'affiliation. - les affiliés (filleuls) obtiennent des récompenses après avoir recommandé quelqu'un pour effectuer des achats. - aux utilisateurs de voir les analyses du site Web (nombre de visiteurs, nombre d'ajouts au panier ou autres statistiques) |
| Personnalisation d'AfterShip | Personnalisation | Service avec des fonctionnalités permettant aux utilisateurs de fournir des recommandations de produits aux utilisateurs finaux |
| Avis sur les expéditions | Avis sur les expéditions | Service permettant aux utilisateurs finaux de fournir des avis d'expédition aux utilisateurs |
| Suivi des commandes Apple Wallet | Portefeuille Apple | Service permettant aux utilisateurs de fournir à leurs utilisateurs finaux la possibilité d'importer des informations de suivi et de colis dans leur portefeuille Apple personnel |
| Garantie après expédition | Garantie | Service qui fournit aux utilisateurs un outil pour offrir une expérience de garantie aux utilisateurs finaux, y compris, mais sans s'y limiter, le suivi des retours et la fourniture de notifications par e-mail |
| Garantie après expédition | Page de garantie de marque | Service qui permet aux utilisateurs de fournir des centres de garantie de colis de marque à leurs utilisateurs finaux |
| Accès au support AfterShip | Accès au support AfterShip | Service d'assistance où AfterShip accède à votre compte pour l'assistance, le débogage et l'assistance |
| Après le premier navire | Après le premier navire | Service tout-en-un fourni où l'utilisateur recevra l'accès pour utiliser la plateforme et s'abonner à toutes les fonctionnalités souscrites par l'utilisateur conformément à l'accord principal. |
4. Catégories de personnes concernées
Utilisateurs finaux (toutes catégories)
Destinataires du colis (nom, signature nominative, lien vers la preuve de livraison, fichier de preuve de livraison*)
*Le fichier de preuve de livraison ne sera fourni que sous réserve qu'AfterShip ait (i) un accès au support ; et/ou (ii) conclu un accord de traitement des données avec le transporteur agréé concerné fournissant des instructions adéquates, y compris des périodes de conservation, qu'AfterShip mettra en œuvre à sa seule discrétion conformément à ces instructions et aux lois applicables en matière de protection des données.
5. Fréquence du traitement et du transfert des données personnelles (le cas échéant)
Continu
6. Catégories de Données Personnelles traitées par catégorie de Services
Voir les tableaux ci-dessous.
| Suivi après expédition | EDD après expédition | Expédition après expédition | Retours après expédition | Protection après-navire | Analyseur AfterShip | Garantie après expédition | Garantie après expédition | Suivi des commandes Apple Wallet | ||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Catégorie de données personnelles | Détails | Suivi (API) | Suivi (Plateforme) | Page de suivi de marque | Recommandation de l'IA | Revenus des notifications | EDD après expédition | EDD après expédition (Widget) | Expédition | Centre de retours | Page de retour de marque | Protection | Analyseur | Garantie | Page de garantie de marque | Portefeuille Apple |
| Informations sur la livraison | numéro de suivi, nom du transporteur, méthode d'expédition, type de boîte, poids du colis, date d'expédition, adresse d'expédition, adresse de livraison, nombre de colis individuels | ✅ | ✅ | ✅ | ✖️ | ✖️ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Informations sur la commande | numéro de commande, valeur de la commande, date de la commande, étiquette de la plateforme de commande, frais d'expédition, nom de l'article, valeur de l'article, montant de l'article, lien de l'article, numéro d'article, variante de l'article, marque de l'article, informations sur le coupon, statut de la commande, identifiant de transaction, identifiant de capture, identifiant de commande | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Informations destinées à l'utilisateur final | Nom de l'utilisateur final, adresse e-mail de l'utilisateur final, numéro de téléphone de l'utilisateur final, adresse de l'utilisateur final, ID de compte de plateforme de l'utilisateur final | ✖️ | ✅ | ✅ | ✅ | ✖️ | ✖️ | ✖️ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✖️ |
| Informations de suivi | statut de livraison, lieu de livraison, date de livraison, signé par son nom, date de livraison prévue, lien vers la preuve de livraison, fichier de preuve de livraison | ✅ | ✅ | ✅ | ✖️ | ✖️ | ✅ | ✖️ | ✖️ | ✅ | ✖️ | ✅ | ✅ | ✅ | ✖️ | ✅ |
| Informations sur les étiquettes et les tarifs | fichier d'étiquettes d'expédition, tarifs d'expédition, fichier manifeste | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✅ | ✅ | ✅ | ✖️ | ✅ | ✅ | ✅ | ✖️ |
| Informations sur les retours | motif de retour, méthode de retour, type de résolution, images de produits retournées, montant du remboursement, date de retour | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✅ | ✅ | ✖️ | ✅ | ✖️ | ✖️ | |
| Données comportementales de l'utilisateur final | lien de la page de référence, lien de la page actuelle, début/fin de consultation de la page, vues ou clics sur les produits, ajout de produits au panier, recherche, fonctions fournies par les widgets AfterShip | ✖️ | ✖️ | ✅ | ✅ | ✅ | ✖️ | ✅ | ✖️ | ✖️ | ✅ | ✅ | ✖️ | ✖️ | ✅ | ✖️ |
| Informations sur le navigateur de l'utilisateur final | type de navigateur, version du navigateur, type de système d'exploitation, version du système d'exploitation | ✖️ | ✖️ | ✅ | ✅ | ✖️ | ✖️ | ✅ | ✖️ | ✖️ | ✅ | ✅ | ✖️ | ✖️ | ✅ | ✖️ |
| Adresse IP de l'utilisateur final | géolocalisation (ville, état, région, pays) | ✖️ | ✖️ | ✅ | ✅ | ✖️ | ✖️ | ✅ | ✖️ | ✖️ | ✅ | ✅ | ✖️ | ✖️ | ✅ | ✖️ |
| Informations sur le panier d'achat | numéro de référence du panier d'achat, nom de l'article, valeur de l'article, montant de l'article, lien de l'article, numéro d'article, variante de l'article, marque de l'article | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✅ | ✅ | ✖️ | ✖️ | ✖️ |
| Informations de paiement | numéro de paiement, valeur de paiement, date de paiement, nom de l'article, valeur de l'article, montant de l'article, lien de l'article, numéro d'article, variante de l'article, marque de l'article, code de coupon, montant de la remise, taux de remise, informations sur le coupon | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✅ | ✖️ | ✖️ | ✅ | ✅ | ✅ | ✖️ | ✅ | ✖️ |
| Informations sur l'évaluation du produit | contenu de l'avis, date de l'avis | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ |
| Biscuit _ama | numéro d'identification généré en interne de l'utilisateur final | ✖️ | ✖️ | ✅ | ✅ | ✅ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ |
| Cookie _am_id | numéro d'identification généré en interne de l'utilisateur final cliquant sur un lien dans un e-mail ou un SMS | ✖️ | ✖️ | ✅ | ✖️ | ✅ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ |
| Biscuit _am_sid | numéro d'identification généré en interne de la session de navigation de l'utilisateur final | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ |
| Informations sur l'assurance | plateforme d'assurance, montant assuré, prime | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✅ | ✖️ | ✖️ | ✖️ | ✖️ |
| Informations sur l'examen de l'expédition | contenu de l'avis, date de l'avis | ✖️ | ✖️ | ✅ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✅ | ✖️ | ✖️ | ✖️ |
| Informations sur la garantie | motif de la garantie, méthode de garantie, type de résolution, images du produit sous garantie, montant du remboursement, date de garantie, photo du produit | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✅ | ✅ | ✖️ |
| Informations sur les e-mails connectés | contenu du courrier électronique, date du courrier électronique | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✅ | ✖️ | ✖️ | ✖️ |
| Courriel AfterShip | SMS après expédition | Pop-ups et formulaires AfterShip | Générateur de pages AfterShip | Avis sur AfterShip | Affiliés AfterShip | Personnalisation d'AfterShip | Accès au support AfterShip | Après-navire un | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Catégorie de données personnelles | Détails | Commercialisation | Notification de suivi | Commercialisation | Notification de suivi | Outils de conversion | Recommandations | Générateur de pages | Traitement des données des utilisateurs finaux | Meilleures ventes | Avis | Basé sur le suivi AfterShip | Référence | Affiliés | Personnalisation | Accès au support AfterShip | |
| Informations sur la livraison | numéro de suivi, nom du transporteur, méthode d'expédition, type de boîte, poids du colis, date d'expédition, adresse d'expédition, adresse de livraison, nombre de colis individuels | ✅ | ✅ | ✅ | ✅ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✅ | ✖️ | ✖️ | ✖️ | ✅ | ✅ |
| Informations sur la commande | numéro de commande, valeur de la commande, date de la commande, étiquette de la plateforme de commande, frais d'expédition, nom de l'article, valeur de l'article, montant de l'article, lien de l'article, numéro d'article, variante de l'article, marque de l'article, informations sur le coupon, identifiant de transaction, identifiant de capture, identifiant de commande | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✖️ | ✖️ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Informations destinées à l'utilisateur final | Nom de l'utilisateur final, adresse e-mail de l'utilisateur final, numéro de téléphone de l'utilisateur final, adresse de l'utilisateur final, ID de compte de plateforme de l'utilisateur final | ✅ | ✅ | ✅ | ✅ | ✖️ | ✅ | ✖️ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Informations de suivi | statut de livraison, lieu de livraison, date de livraison, signé par nom, date de livraison prévue, preuve de livraison (lien vers le) | ✅ | ✅ | ✅ | ✅ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✅ | ✖️ | ✖️ | ✖️ | ✅ | ✅ |
| Informations sur les étiquettes et les tarifs | fichier d'étiquettes d'expédition, tarifs d'expédition, fichier manifeste | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✅ | ✅ |
| Informations sur les retours | motif de retour, méthode de retour, type de résolution, images de produits retournées, montant du remboursement, date de retour | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✅ | ✅ |
| Données comportementales de l'utilisateur final | lien de la page de référence, lien de la page actuelle, début/fin de consultation de la page, vues ou clics sur les produits, ajout de produits au panier, recherche, fonctions fournies par les widgets AfterShip | ✅ | ✖️ | ✅ | ✖️ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✖️ | ✅ | ✅ | ✅ | ✅ |
| Informations sur le navigateur de l'utilisateur final | type de navigateur, version du navigateur, type de système d'exploitation, version du système d'exploitation | ✅ | ✖️ | ✅ | ✖️ | ✅ | ✅ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✅ | ✖️ | ✅ | ✅ | ✅ |
| Adresse IP de l'utilisateur final | géolocalisation (ville, état, région, pays) | ✅ | ✖️ | ✅ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✅ | ✅ | ✖️ | ✖️ | ✖️ | ✅ | ✅ |
| Informations sur le panier d'achat | numéro de référence du panier d'achat, nom de l'article, valeur de l'article, montant de l'article, lien de l'article, numéro d'article, variante de l'article, marque de l'article | ✅ | ✖️ | ✅ | ✖️ | ✖️ | ✅ | ✖️ | ✖️ | ✅ | ✖️ | ✖️ | ✖️ | ✖️ | ✅ | ✅ | ✅ |
| Informations de paiement | numéro de paiement, valeur de paiement, date de paiement, nom de l'article, valeur de l'article, montant de l'article, lien de l'article, numéro d'article, variante de l'article, marque de l'article, code de coupon, montant de la remise, taux de remise, informations sur le coupon | ✅ | ✖️ | ✅ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✅ | ✅ | ✅ |
| Informations sur l'évaluation du produit | contenu de l'avis, date de l'avis | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✅ | ✅ | ✖️ | ✖️ | ✖️ | ✅ | ✅ |
| Biscuit _ama | numéro d'identification généré en interne de l'utilisateur final | ✅ | ✖️ | ✅ | ✖️ | ✖️ | ✅ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✅ | ✅ |
| Cookie _am_id | numéro d'identification généré en interne de l'utilisateur final cliquant sur un lien dans un e-mail ou un SMS | ✅ | ✖️ | ✅ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✅ | ✅ | ✖️ | ✖️ | ✖️ | ✅ | ✅ |
| Biscuit _am_sid | numéro d'identification généré en interne de la session de navigation de l'utilisateur final | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✅ | ✅ | ✅ |
| Informations sur l'assurance | plateforme d'assurance, montant assuré, prime | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✅ | ✅ |
| Informations sur l'examen de l'expédition | contenu de l'avis, date de l'avis | ✖️ | ✅ | ✖️ | ✅ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✅ | ✅ |
| Informations sur la garantie | motif de la garantie, méthode de garantie, type de résolution, images du produit sous garantie, montant du remboursement, date de garantie, photo du produit | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✅ | ✅ |
| Informations sur les e-mails connectés | contenu du courrier électronique, date du courrier électronique | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✖️ | ✅ | ✅ |