Accord de traitement des données (ATD)
entre
[Nom du client] – ci-après dénommé « Responsable du traitement » conformément à l’art. 4 n° 7 du RGPD –
et
insiba Engineering, Käthe-Kollwitz-Ring 83, 76676 Graben-Neudorf, Allemagne – ci-après dénommé « Sous-traitant » conformément à l’art. 4 n° 8 du RGPD
I. Préambule
Les parties sont liées par la conclusion des Conditions Générales d’Utilisation (CGU) en vigueur au moment de la conclusion du contrat concernant l’utilisation de la solution SaaS « eCommerce One ». Dans le cadre de cette relation contractuelle, le sous-traitant traite des données à caractère personnel pour le compte du responsable du traitement.
Le présent accord de traitement des données précise les droits et obligations des parties en matière de protection des données conformément à l’art. 28 du RGPD. Il régit la nature, l’étendue et la finalité du traitement des données à caractère personnel ainsi que les exigences relatives aux mesures techniques et organisationnelles et à l’utilisation de sous-traitants.
Le présent accord complète les Conditions Générales d’Utilisation (CGU) en vigueur au moment de la conclusion du contrat. En cas de contradiction, les dispositions du présent accord de traitement des données prévalent.
II. Champ d’application
(1) Le présent accord s’applique à toutes les activités du sous-traitant dans lesquelles des données à caractère personnel du responsable du traitement sont traitées.
(2) Le responsable du traitement demeure seul responsable du respect des dispositions applicables en matière de protection des données.
(3) Le présent accord s’applique à toutes les opérations de traitement effectuées dans le cadre de l’utilisation de la plateforme SaaS « eCommerce One ».
III. Objet, nature, finalité et durée du traitement
(1) L’objet du traitement concerne les données à caractère personnel traitées dans le cadre de l’utilisation de la plateforme eCommerce One, notamment en relation avec l’importation de commandes, la gestion des clients et des produits, la création de documents, le traitement des expéditions ainsi que les fonctions d’automatisation.
(2) La nature du traitement comprend notamment la collecte, le stockage, l’organisation, l’utilisation, la transmission, la limitation ou la suppression de données à caractère personnel.
(3) La finalité du traitement est la fourniture des services SaaS convenus contractuellement.
(4) Le traitement commence avec l’activation du compte client et se termine avec la suppression complète ou la restitution des données à caractère personnel après la fin de la relation contractuelle.
(5) Le traitement a lieu en principe au sein de l’Union européenne ou de l’Espace économique européen. Les transferts vers des pays tiers ne sont effectués que dans le respect des articles 44 et suivants du RGPD.
IV. Obligations du sous-traitant
(1) Le sous-traitant traite les données à caractère personnel exclusivement sur instruction documentée du responsable du traitement.
(2) Toutes les personnes autorisées à traiter les données à caractère personnel sont soumises à une obligation de confidentialité.
(3) Le sous-traitant met en œuvre des mesures techniques et organisationnelles appropriées conformément à l’art. 32 du RGPD.
(4) Le sous-traitant assiste le responsable du traitement dans l’exercice des droits des personnes concernées conformément aux articles 12 à 23 du RGPD.
(5) Le sous-traitant aide le responsable du traitement à respecter les obligations prévues aux articles 32 à 36 du RGPD.
(6) Le sous-traitant informe immédiatement le responsable du traitement s’il estime qu’une instruction viole la législation relative à la protection des données.
V. Obligations du responsable du traitement
(1) Le responsable du traitement est responsable de la légalité du traitement des données à caractère personnel.
(2) Le responsable du traitement veille à être autorisé à traiter des données à caractère personnel.
(3) Le responsable du traitement vérifie régulièrement les mesures techniques et organisationnelles mises en œuvre par le sous-traitant.
(4) Le responsable du traitement informe immédiatement le sous-traitant de toute violation de la protection des données constatée.
VI. Instructions
(1) Les instructions doivent en principe être données par écrit ou sous forme de texte.
(2) Le sous-traitant est autorisé à suspendre la mise en œuvre d’une instruction si celle-ci viole le droit applicable en matière de protection des données.
(3) Les instructions en dehors du périmètre des services convenus sont considérées comme des demandes de modification.
VII. Mesures techniques et organisationnelles (MTO)
Le sous-traitant met en œuvre des mesures techniques et organisationnelles appropriées conformément à l’art. 32 du RGPD, notamment des mesures visant à garantir la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes ainsi que des procédures permettant de rétablir la disponibilité des données à caractère personnel.
VIII. Droits de contrôle
(1) Le responsable du traitement est autorisé à vérifier le respect du présent accord.
(2) Des preuves appropriées peuvent notamment inclure des certifications, des rapports d’audit réalisés par des tiers indépendants ou des audits de protection des données.
(3) Les contrôles doivent être annoncés à l’avance et ne doivent pas perturber de manière disproportionnée l’activité du sous-traitant.
IX. Sous-traitants ultérieurs
(1) Le responsable du traitement accorde une autorisation générale pour le recours à des sous-traitants ultérieurs.
(2) Le sous-traitant impose contractuellement aux sous-traitants ultérieurs de respecter le RGPD.
(3) Les modifications concernant les sous-traitants ultérieurs seront communiquées au responsable du traitement.
X. Suppression et restitution des données
(1) Après la fin de la relation contractuelle, les données à caractère personnel seront supprimées ou restituées au responsable du traitement sur demande.
(2) Les obligations légales de conservation restent inchangées.
XI. Responsabilité
Les parties sont responsables conformément aux dispositions légales du RGPD, en particulier l’art. 82 du RGPD.
Version : 02.03.2026