Accord sur le traitement des données

L'utilisation de la plateforme implique la collecte et le traitement de données à caractère personnel. Lorsque vous fournissez vos données à caractère personnel, par exemple lors de votre inscription ou du paiement d'un abonnement, nous les traitons conformément à la Politique de confidentialité.

Si vous publiez des informations concernant des personnes physiques sur le site web, utilisez des formulaires de collecte de données, un système de gestion de la relation client, des outils de création de boutiques en ligne, des formations, ou si vous activez l'analyse statistique avancée, vous devenez responsable du traitement des données à caractère personnel de tiers. Nous traitons ces données en tant que sous-traitant, agissant pour votre compte.

Le présent accord de traitement des données (ci-après dénommé « l'ATD ») fait partie intégrante des Conditions d'utilisation (ci-après dénommées « le Contrat »). Tous les termes et définitions utilisés dans l'ATD ont le même sens que dans le Contrat. Les termes relatifs au traitement des données à caractère personnel doivent être interprétés conformément à la législation applicable.

1. Conditions générales de traitement

1.1. Objet. Afin de remplir les obligations découlant du Contrat, l'Utilisateur donne des instructions et l'Administration s'engage à traiter les données à caractère personnel de tiers collectées ou traitées d'une autre manière par le biais des fonctionnalités de la Plateforme.

Les dispositions de l'Accord sur le traitement des données (DPA) constituent des instructions documentées de l'Utilisateur au sens de la législation applicable en matière de protection des données.

1.2. Catégories de personnes concernées. Aux fins de l’Accord de traitement des données, les tiers peuvent inclure toute personne physique, notamment :
1) les employés , consultants, sous-traitants, partenaires commerciaux et personnes de contact dont les informations sont publiées ou mises à disposition d’une autre manière dans le cadre du Projet de l’Utilisateur ;
2) les candidats , clients ou partenaires actuels ou potentiels de l’Utilisateur qui soumettent des données à caractère personnel via des formulaires de collecte de données dans le cadre du Projet de l’Utilisateur ;
3) les visiteurs du Projet de l’Utilisateur dont les informations sont collectées automatiquement.

1.3. Finalité du traitement et catégories de données à caractère personnel. L'Administration traitera les données à caractère personnel pour le compte de l'Utilisateur dans le cadre suivant :

Objectif	Catégories de données à caractère personnel
Publication d'informations sur des personnes dans les projets	La liste est établie par l'utilisateur de manière autonome à l'aide des fonctionnalités de la plateforme et n'est pas contrôlée par l'administration
Utilisation des formulaires de collecte de données, de Tilda CRM, création de boutiques en ligne et de formations via le compte personnel, panier d'achat, systèmes de paiement et/ou services de livraison dans le cadre des projets	En fonction des fonctionnalités utilisées et de leurs paramètres, les données à caractère personnel traitées peuvent inclure : le nom, l'adresse e-mail, le numéro de téléphone, l'adresse postale, les quatre derniers chiffres de la carte bancaire, la date d'expiration de la carte bancaire, les informations relatives aux commandes, l'historique des commandes, ainsi que les informations concernant les produits achetés. Toute autre liste est déterminée de manière indépendante par l'Utilisateur en fonction des fonctionnalités de la Plateforme et n'est pas contrôlée par l'Administration
En utilisant les statistiques internes des projets sur la plateforme, à condition que le mode simplifié ait été désactivé dans les paramètres du projet via l'option « Utiliser »	Sources de redirection, adresses IP, y compris le pays et la ville associés à l'adresse IP. Cookies statistiques relatifs à l'URL précédente, tildasid et tildauid, TILDAUTM
Intégration avec des services tiers, notamment des services d'analyse et de statistiques	Les cookies sont définis de manière indépendante par l'utilisateur et le propriétaire du service tiers
Mise en place de systèmes de protection et de sécurité	Adresses IP, cookies indispensables pour protéger le projet contre les attaques DDoS – __ddgN (où N est un nombre quelconque), _ddgid et __ddgmark, ainsi que des cookies destinés à empêcher tout accès non autorisé

1.4. Restrictions relatives au traitement des données. L'Utilisateur évalue de manière indépendante la licéité du traitement des données à caractère personnel sur la Plateforme, ainsi que la possibilité d'autoriser l'Administration à traiter ces données. L'Utilisateur accepte et reconnaît que :
1) l'administration ne traite pas de données à caractère personnel relatives à la santé, de données génétiques, de données biométriques ou d'autres catégories particulières de données à caractère personnel ;
2) tLa fonctionnalité permettant de publier du contenu sur les projets n'est pas destinée à la publication d'images contenant des données à caractère personnel, notamment des photos de personnes et des copies numérisées de documents.

1.5. Durée du traitement. L'Administration traitera les données à caractère personnel de tiers pendant toute la durée du contrat ou pendant toute période supplémentaire nécessaire à l'exécution des obligations découlant dudit contrat, jusqu'à ce que ces données soient effacées conformément aux procédures prévues dans la loi sur la protection des données.

2. Responsabilités, garanties et déclarations de l'utilisateur

2.1. Organisation du traitement des données à caractère personnel sur la Plateforme. L'Utilisateur, en tant que responsable du traitement, organise de manière autonome le traitement des données à caractère personnel des personnes physiques sur la Plateforme. L'Utilisateur détermine les finalités et les fondements du traitement des données à caractère personnel, ainsi que la nature de ce traitement, la liste des actions et des opérations à effectuer.

2.2. Respect de la législation. Lors du traitement des données à caractère personnel dans le cadre du Projet, l'Utilisateur doit veiller de manière autonome au respect de la législation applicable. En particulier, l'Utilisateur, sans l'intervention de l'Administration :
1) établit la procédure de collecte des consentements au traitement des données à caractère personnel sur le Projet, y compris l'utilisation de formulaires de collecte de données et/ou de services d'analyse ;
2) publie une politique de confidentialité ou une déclaration de confidentialité sur le Projet ;
3) désigne des responsables et élabore un ensemble de documents internes régissant le traitement des données.

2.3. Existence d'une base légale. En traitant des données à caractère personnel sur la Plateforme, l'Utilisateur déclare et garantit qu'il a obtenu le consentement des personnes concernées ou dispose d'une autre base légale pour le traitement des données et leur transfert à l'Administration conformément à la DPA.

À la demande de l'Administration envoyée à l'adresse e-mail de l'Utilisateur indiquée dans le Compte, l'Utilisateur s'engage à fournir des documents confirmant l'existence de bases légales pour le traitement dans les 24 heures suivant la réception de la demande.

2.4. Connexion à des services tiers. Lors de l'utilisation de la Plateforme, l'Utilisateur peut se voir proposer de se connecter à des services tiers qui collectent ou traitent d'une autre manière des données à caractère personnel, y compris des services de collecte de données, des systèmes de paiement et/ou des services de livraison.

Le traitement des données par les services tiers est effectué par leurs propriétaires agissant indépendamment de l'Administration et n'agissant pas au nom et/ou pour le compte de l'Administration. L'Administration n'est pas responsable du traitement des données à caractère personnel par les propriétaires de services tiers.

L'Utilisateur s'engage à garantir de manière indépendante la licéité du traitement des données à caractère personnel lors de la connexion à des Services tiers, y compris en émettant des instructions distinctes de traitement à l'intention de leurs propriétaires.

2.5. Transferts transfrontaliers. Lors de l'utilisation des fonctionnalités de la Plateforme, un transfert transfrontalier de données à caractère personnel de tiers peut avoir lieu à l'initiative de l'Utilisateur, notamment lorsque :
1) le pays de profil de l'Utilisateurest modifié ;
2) l'octroi d'un accès à un Projet à un Utilisateur dont le pays de profil est différent ;
3) le transfert d'un Projet vers le Compte d'un Utilisateur dont le pays de profil est différent.
4) la connexion de Services tiers au Projet.

L'Utilisateur s'engage à garantir de manière indépendante la sécurité du transfert transfrontalier des données à caractère personnel conformément aux exigences de la législation applicable.

3. Transferts de données à caractère personnel par l'administration

3.1. Transferts à des tiers. L'Administration transfère des données à caractère personnel, sur la base de contrats de sous-traitance, aux sous-traitants suivants :
1) Hetzner Online GmbH – pour le stockage des données à caractère personnel sur des serveurs ;
2) G-Core Labs SA – pour le stockage et la sauvegarde des projets des utilisateurs ;
3) Google Cloud EMEA Limited – pour assurer la sécurité des informations relatives aux projets.

L'utilisateur accorde par la présente à l'Administration une autorisation générale écrite pour faire appel aux sous-traitants mentionnés ci-dessus en vue du traitement des données à caractère personnel.

Tous les sous-traitants traitant des données à caractère personnel pour le compte de l'Administration s'engagent à respecter les mesures de confidentialité, de protection et de sécurité requises par la législation applicable.

Sous réserve des limitations de responsabilité énoncées dans les présentes, l'Administration reste responsable envers l'Utilisateur des actes et/ou omissions des sous-traitants engagés.

3.2. Modifications de la liste des sous-traitants engagés. L'Administration a le droit de faire appel à d'autres tiers pour le traitement des données à caractère personnel, sous réserve d'en informer préalablement l'Utilisateur. La notification est envoyée à l'adresse e-mail utilisée pour l'autorisation sur la Plateforme, ou par la publication des informations pertinentes dans le Compte personnel.

L'Utilisateur a le droit de formuler des objections motivées à la modification de la liste des sous-traitants engagés dans un délai de 10 jours à compter de la date de notification. Dans le même temps, l'Utilisateur comprend et reconnaît que :
1) le recours à des tiers peut être nécessaire pour la bonne exécution des obligations de l'Administration au titre du Contrat ;
2) si des objections sont reçues, l'Administration peut résilier unilatéralement le Contrat à l'amiable.

3.3. Sécurité des transferts transfrontaliers. L'Administration effectue des transferts transfrontaliers de données à caractère personnel sur le territoire :
1) des Étatsmembres de l'Union européenne – à des fins de stockage et de sécurité de l'information ;
2) des États-Unis d'Amérique – pour le stockage et la sauvegarde des Projets de l'Utilisateur.

Avant d'initier un transfert transfrontalier, l'Administration vérifie si le pays vers lequel les données à caractère personnel sont transférées est reconnu comme offrant un niveau adéquat de protection des données conformément à la législation applicable.

Lors du transfert de données à caractère personnel vers un pays qui n'assure pas le niveau de protection requis, l'Administration s'engage à conclure des clauses contractuelles types avec le destinataire ou à garantir l'application de règles d'entreprise contraignantes.

4. Sécurité du traitement

4.1. Mesures mises en œuvre. L'Administration garantit la confidentialité et assure la sécurité des données à caractère personnel conformément à la législation applicable, notamment :
1) la tenue de registres des activités de traitement ;
2) la définition d 'une liste des personnes autorisées à collecter et à traiter des données à caractère personnel ou à y avoir accès ;
3) la mise en place de procédures de contrôle d'accès aux données à caractère personnel ;
4) l'utilisation de canaux de communication sécurisés et du chiffrement ;
5) application de techniques de pseudonymisation, y compris l'utilisation d'identifiants dans les systèmes internes de l'Administration ;
6) mise en œuvre de mécanismes d'identification et/ou d'authentification lors du traitement des données à caractère personnel ;
7) utilisation de systèmes de sauvegarde et de restauration ;
8) évaluation et gestion des risques liés à la sécurité de l'information ;
9) prise en compte des exigences en matière de protection et de sécurité des données dans les contrats et/ou les accords de traitement des données conclus avec les prestataires de services ;
10) réalisation d'audits techniques réguliers.

4.2. Violation de données à caractère personnel. Si une violation de données à caractère personnel est constatée, entraînant la destruction, la perte, l'altération, la divulgation non autorisée et/ou l'accès non autorisé, accidentels ou illicites, à des données à caractère personnel de tiers, l'Administration est tenue d'informer l'Utilisateur de cette violation sans retard injustifié.

La notification doit inclure une description de la nature de la violation, des conséquences possibles pour les personnes concernées, ainsi que des mesures que l'Administration a prises et/ou entend prendre pour atténuer ces conséquences.

Par ailleurs, l'Utilisateur comprend et reconnaît que la notification d'une violation de données à caractère personnel ne peut en aucun cas être considérée comme un aveu de faute et/ou de responsabilité de la part de l'Administration.

5. Assistance à l'utilisateur

5.1. Communication d'informations et audit. À la demande de l'Utilisateur, pendant la durée du DPA, l'Administration est tenue de fournir des documents et toute autre information attestant que les mesures nécessaires à l'exécution du DPA ont été prises et sont respectées. Toutefois, l'Utilisateur ne peut formuler de telles demandes plus d'une fois tous les trois mois.

Sur demande écrite de l'Utilisateur, l'Administration s'engage à apporter son aide dans la conduite d'audits ou d'inspections en fournissant à l'Utilisateur les informations nécessaires sur les procédures de traitement des données à caractère personnel.

5.2. Assistance au respect des obligations. En règle générale, l'Utilisateur, en tant que responsable du traitement des données à caractère personnel, doit veiller de manière indépendante au respect des exigences établies par la législation applicable.

Toutefois, compte tenu de la nature du traitement, sur demande écrite de l'Utilisateur, l'Administration fournira une assistance raisonnable pour le respect des obligations liées à :
1) la garantie de la sécurité du traitement ;
2) la préparation des notifications de violations de données à caractère personnel ;
3) la réalisation d'analyses d'impact relatives à la protection des données ;
4) la conduite de consultations préalables avec les autorités de contrôle ;
5) le traitement des demandes des personnes concernées par la mise en œuvre de mesures techniques et organisationnelles appropriées, dans la mesure où cela est faisable compte tenu de la nature du traitement.

6. Suppression des données à caractère personnel

6.1. Respect des droits des personnes concernées. L'Utilisateur s'engage à traiter les données à caractère personnel sur la Plateforme jusqu'à ce que les finalités du traitement soient atteintes. Si le consentement au traitement des données à caractère personnel est retiré ou si les motifs autorisant ce traitement cessent d'exister, l'Utilisateur doit veiller de manière indépendante à l'effacement des données à caractère personnel.

6.2. Procédure de restitution ou de suppression. Sur réception d'une demande distincte, l'Administration doit, au choix de l'Utilisateur, supprimer ou restituer les données à caractère personnel reçues de l'Utilisateur dans un délai n'excédant pas 30 jours, sauf si un autre délai est fixé par la législation applicable.

L'Administration supprimera également les données à caractère personnel à l'expiration de la période de conservation établie sur la Plateforme ou déterminée de manière indépendante par l'Utilisateur. En particulier, lors de l'utilisation de formulaires de collecte de données sur le Projet, la période de conservation des données sera définie via les paramètres pertinents du Projet.

Parallèlement, l'Administration aura le droit de ne pas supprimer et/ou de ne pas restituer les données à caractère personnel reçues de l'Utilisateur lorsque le droit ou l'obligation de conserver ces données est prévu par la législation applicable.

6.3. Blocages et restrictions sur la Plateforme. En cas de violation ou de soupçon raisonnable que l'Utilisateur a violé le Contrat et/ou la législation applicable, l'Administration est en droit de bloquer le compte de l'Utilisateur, ainsi que de prendre d'autres mesures prévuespar le Contrat.

L'Utilisateur comprend et reconnaît que si l'Administration prend des mesures administratives, les données à caractère personnel traitées en vertu de la DPA peuvent être supprimées sans possibilité de récupération ultérieure.

7. Responsabilité, indemnisation en cas de préjudice

7.1. Responsabilité de l'Administration. L'Administration ne saurait être tenue responsable des actes de l'Utilisateur lors du traitement des données à caractère personnel sur la Plateforme. Toute réclamation, demande ou plainte émanant de tiers et liée au traitement de leurs données à caractère personnel doit être réglée directement par l'Utilisateur, sans intervention de l'Administration.

L'Administration ne saurait non plus être tenue responsable des actes et/ou omissions liés au traitement des données à caractère personnel de tiers lorsque l'Administration a agi uniquement conformément aux instructions de l'Utilisateur.

En tout état de cause, la responsabilité de l’Administration ne saurait excéder le montant du coût du Forfait payé par l’Utilisateur et valable pendant la période au cours de laquelle se sont produits les événements à l’origine de la responsabilité civile de l’Administration.

7.2. Responsabilité de l’Utilisateur et indemnisation des pertes. L'Utilisateur, en tant que responsable du traitement des données au sens de la législation de la Fédération de Russie, est individuellement responsable envers les personnes concernées de la licéité du traitement des données à caractère personnel.

Dans le cas où une procédure judiciaire et/ou administrative serait engagée à l'encontre de l'Administration, une action en justice serait intentée ou une réclamation serait formulée par une partie quelconque en raison d'une violation par l'Utilisateur de la procédure de traitement des données à caractère personnel, l'Utilisateur est tenu d'indemniser l'Administration pour l'ensemble des pertes subies, y compris les frais juridiques raisonnables.

8. Divers

8.1. Droit applicable. Nonobstant les dispositions du Contrat, le traitement des données à caractère personnel en vertu des présentes Instructions sera régi et interprété conformément à la législation des Émirats arabes unis.

Lorsque les personnes concernées dont les données à caractère personnel sont traitées par l’Administration sont situées dans un État membre de l’Union européenne et/ou de l’Espace économique européen, le traitement des données à caractère personnel sera également soumis aux dispositions du Règlement général sur la protection des données.

8.2. Clauses contractuelles types. Le traitement par l'Administration des données à caractère personnel de personnes situées dans l'Union européenne et/ou l'Espace économique européen est en outre régi par les clauses contractuelles types.

Conformément au Règlement général sur la protection des données, ces clauses contractuelles types garantissent la licéité des transferts de données à caractère personnel vers les Émirats arabes unis.

En cas de conflit entre les présentes instructions et les dispositions des clauses contractuelles types, ces dernières prévaudront.