Avenant relatif au traitement des données par Shopify

La présent Addendum sur le traitement des données par Shopify (« Addendum ») modifie les Conditions d'utilisation de Shopify (l'« Entente  ») conclues entre vous et Shopify Inc., une société canadienne dont les bureaux sont situés au 151 O’Connor Street, Ground floor, Ottawa (Ontario) K2P 2L8, en son nom et en celui de sa filiale singapourienne Shopify Commerce Singapore PTE. LTD., et de sa filiale irlandaise Shopify International Ltd. (collectivement nommées « Shopify » ci-après).

1. Définitions

(a) « Législation en matière de protection des données » désigne la réglementation de l'Union européenne 2016/679 (le « Règlement général sur la protection des données ») ou la section 1798.100-1798.199 du Code civil de Californie (la « Loi de 2018 sur la protection des données personnelles des consommateurs résidant en Californie »), selon le cas, ainsi que toute loi et/ou tout règlement les mettant en œuvre ou adoptés en vertu de celles-ci, ou modifiant ou remplaçant l'une d'elles ; (b) « Processeur des données », « Personne concernée », « Processeur », « Traitement », « Sous-processeur » et « Autorité de contrôle » doivent être interprétés conformément au Règlement général sur la protection des données ;

(c) « Fournisseur de services » doit être interprété conformément à la Loi de 2018 sur la protection des données personnelles des consommateurs résidant en Californie 

(d) « Données personnelles » tel qu'utilisé dans le présent Addendum désigne les informations reliées ou pouvant être raisonnablement reliées à une Personne concernée identifiable ou identifiée qui se rend ou effectue des transactions sur votre boutique (un « Client »), que Shopify traite en tant que Processeur des données ou Fournisseur de services au cours de la prestation des Services dont vous bénéficiez. Nonobstant la phrase précédente, les Données à caractère personnel n'incluent pas les informations traitées par Shopify dans le cadre de services qu'elle fournit directement à un consommateur, par exemple par le biais de ses applications destinées aux consommateurs telles que Frenzy et Arrive, ou de ses services destinés aux consommateurs tels que Shopify Pay ; et

(e) « Demande de la personne concernée », tel qu'utilisé dans le présent Addendum, désigne une demande d'accès, d'effacement, de rectification ou de portabilité des Données à caractère personnel de votre Client ; et

(f) Tous les autres termes en majuscules figurant dans le présent Addendum ont la même définition que dans l'Entente.

2. Protection des données

2.1. Lorsqu'une Personne concernée se trouvera dans l'Espace économique européen, ses Données à caractère personnel seront traitées par la filiale irlandaise de Shopify, Shopify International Ltd. Dans le cadre de la prestation des Services, ces Données à caractère personnel pourront être transférées vers d'autres régions, y compris le Canada et les États-Unis. Ces transferts seront effectués conformément à la Législation en vigueur sur la protection des données.

2.2. Lorsque Shopify traite des Données à caractère personnel dans le cadre de la prestation des Services, elle s'engage à :

  • 2.2.1. Traiter les Données à caractère personnel en tant que Processeur des données et/ou Fournisseur de services, uniquement dans le but de fournir les Services conformément à vos instructions documentées (à condition que celles-ci soient adaptées aux fonctionnalités des Services) et dans la mesure où vous y consentez ultérieurement. Si Shopify est légalement tenue de traiter les Données à caractère personnel à toute autre fin, Shopify vous en informera au préalable, sauf si la loi le lui interdit ;·

  • 2.2.2. vous informer si, de l'avis de Shopify, vos instructions pour le traitement des Données à caractère personnel enfreignent la Législation applicable en matière de protection des données ;

    • 2.2.3. vous informer rapidement, dans la mesure permise par la loi, lorsqu'elle reçoit une demande d'informations ou une plainte de la part d'une Autorité de contrôle en rapport avec son traitement des Données à caractère personnel ;

2.2.4. mettre en œuvre des mesures techniques et organisationnelles raisonnables vous permettant de remplir vos obligations en matière de Demandes de la personne concernée ;

  • 2.2.5. mettre en œuvre et maintenir des mesures techniques et organisationnelles appropriées pour protéger les Données à caractère personnel contre le traitement non autorisé ou illégal et la perte accidentelle, la destruction, les dommages, le vol, l'altération ou la divulgation. Ces mesures seront adaptées au préjudice pouvant résulter de tout traitement non autorisé ou illégal, de la perte accidentelle, de la destruction, des dommages ou du vol des Données à caractère personnel, et adaptées à la nature des données à protéger ;

  • 2.2.6. vous fournir, sur demande, des attestations, rapports ou extraits de rapports à jour, lorsqu'ils sont disponibles auprès d'une source chargée de vérifier les pratiques de protection des données de Shopify (p. ex., auditeurs externes, audit interne, auditeurs en matière de protection des données), ou des certifications appropriées, pour vous permettre d'évaluer la conformité aux conditions du présent Addendum ;

  • 2.2.7. vous informer rapidement, après en avoir pris connaissance et obtenu confirmation, de⏎. . tout traitement, divulgation ou accès accidentel, non autorisé ou illégal, aux Données à caractère personnel ;

    • 2.2.8. veiller à ce que son personnel ayant accès aux Données à caractère personnel soit soumis à des obligations de confidentialité qui limitent sa capacité à divulguer les Données à caractère personnel du Client ; et
  • 2.2.9. lancer rapidement, après résiliation de l'Entente, son processus d'élimination en vue de supprimer ou de rendre anonymes les Données à caractère personnel. Si vous demandez une copie de ces Données à caractère personnel dans les 60 jours suivant la résiliation, Shopify vous en fournira une copie.

2.3 En fournissant les services, vous reconnaissez et acceptez que Shopify puisse recourir à des Sous-processeurs pour traiter les Données à caractère personnel. Le recours par Shopify à un Sous-processeur spécifique pour traiter les Données à caractère personnel doit être conforme à la Législation sur la protection des données et régi par un contrat entre Shopify et le Sous-processeur.

3. Divers

3.1 En cas de conflit ou d'incohérence entre les dispositions de l'Entente et du présent Addendum, les dispositions du présent Addendum prévaudront. Pour éviter tout doute et dans la mesure permise par la loi applicable, toute responsabilité en vertu du présent Addendum, y compris ses limitations, sera régie par les dispositions pertinentes de l 'Entente. Vous reconnaissez et acceptez que Shopify puisse modifier le présent Addendum de temps à autre en affichant l'Addendum modifié et reformulé sur le site web de Shopify, disponible à l'adresse suivante : https://www.shopify.com/legal/dpa. Ces modifications sont applicables à compter de la date d'affichage. Votre utilisation continue des Services après la publication de l'Addendum modifié sur le site web de Shopify constitue votre accord et votre acceptation de l'Addendum modifié. Si vous n'acceptez pas une quelconque modification de l'Addendum, veuillez cesser d'utiliser le service.

3.2 Sauf modifications et amendements spécifiquement apportés au présent Addendum, toutes les conditions, dispositions et obligations stipulées dans l'Entente resteront pleinement en vigueur et régiront le présent Addendum. Si une disposition de l'Addendum est jugée illégale ou inapplicable au cours d'une procédure judiciaire, elle en sera dissociée et deviendra inopérante, et le reste du présent Addendum restera applicable et contraignant pour les parties.

3.3 Les conditions du présent Addendum seront régies et interprétées conformément aux lois de la province de l'Ontario et aux lois applicables du Canada, sans égard pour les principes de conflit de lois. Les parties se soumettent de manière irrévocable et inconditionnelle à la juridiction exclusive des tribunaux de la Province de l'Ontario en ce qui concerne tout litige ou toute réclamation découlant du présent Addendum.