Ce document a été mis à jour le 1er mai 2025.

Contenu

Section 1 - Conditions générales d'utilisation

Section 2 - Accord sur le traitement des données

Introduction

Les présentes conditions générales (le "Contrat") régissent ton accès et ton utilisation du site Web et des services de Sprii (désignés collectivement par le "Service" ou "Sprii"). En accédant au service ou en l'utilisant, tu acceptes d'être lié par le présent contrat. Si tu as conclu un contrat d'abonnement principal (MSA) distinct avec Sprii, ses conditions prévaudront sur toute clause contradictoire contenue dans le présent document.

Nos services comprennent ce qui suit :

- Shop.Sprii.io (caisse hébergée par Sprii)

- Sprii.io (le site web)

- App.Sprii.io (l'application web)

- Sprii Onsite (Embeddable Player with Built-In Checkout)

- Sprii HOST app (application de streaming vidéo pour appareil mobile)

- Marketplace.Sprii.io (Marché d'achat en direct)

Informations générales

Sprii Aps
Sommervej 31e
8210 Aarhus V
Danemark
VAT ID : DK42084476
Téléphone : +4535154033
E-mail : hey@sprii.io

Confidentialité

Les deux parties acceptent de garder confidentielles toutes les informations liées aux activités commerciales de l'autre. Cela comprend, sans s'y limiter, les secrets commerciaux, les plans d'affaires, les données sur les clients et d'autres renseignements exclusifs. La divulgation de ces informations confidentielles à des tiers est interdite sans consentement écrit préalable, sauf si la loi l'exige.

Traitement des données personnelles 

En utilisant nos services, tu acceptes notre politique de confidentialité et notre accord sur le traitement des données (DPA) disponibles sur Sprii.io. L'utilisateur est le contrôleur de données de toutes les données personnelles traitées via le service. Sprii ApS agit en tant que processeur de données. La relation de traitement des données est régie par le DPA dans la section 2.

Frais et services

Sprii propose une gamme d'abonnements et une option d'essai limité gratuit. À la fin d'un essai limité gratuit, tu acceptes de payer les frais applicables à ce moment-là ou de cesser d'utiliser le service. 

Tous les prix de Sprii sont indiqués hors TVA.

Frais d'encaissement

Lorsque l'accord d'utilisation est basé sur la transaction, les éléments suivants s'appliquent au calcul des frais de caisse :

- Les frais de transaction à la caisse sont basés sur un pourcentage du chiffre d'affaires.

- Le coût de la transaction est visible sur l'onglet abonnement de la plateforme Sprii.

Comment nous calculons les revenus

Lorsque l'intégration de la caisse et du paiement de Sprii Hosted est utilisée, le revenu est le montant payé.

Si Sprii checkout est utilisé sans intégration de paiement

Les revenus seront basés sur la valeur des paniers d'achat où la caisse a atteint la fenêtre de paiement final. Ce qui signifie que le consommateur final a vu le panier, ajouté des détails personnels et confirmé les conditions commerciales.

Lorsque l'intégration de la boutique en ligne et la caisse de la boutique en ligne sont utilisées.

Les frais de transaction sont basés sur le montant effectivement payé, mais ne dépassent jamais le montant qui a été réservé par le client par l'intermédiaire de Sprii. Si d'autres produits sont ajoutés au panier pendant la vérification de la boutique, nous ne facturerons pas de frais pour le montant supérieur à celui qui a été réservé par le client par l'intermédiaire de Sprii. Si un ou plusieurs produits sont retirés du panier et qu'un ou plusieurs autres sont ajoutés au panier lors du passage à la caisse de la boutique en ligne, nous ajouterons toujours des frais de transaction au nouveau produit, même s'il n'a pas été vendu pendant la campagne soutenue par Sprii. Nous nous réservons le droit de réclamer les frais de transaction également à cette vente, car elle a été initiée en raison de l'utilisation de Sprii, mais nous ne facturerons pas de frais sur le montant potentiel au-delà du montant qui a été initialement réservé par le client par le biais des campagnes Sprii.

Si l'intégration de la boutique en ligne ne prend pas en charge la confirmation de paiement au service Sprii.

Nous estimerons les recettes pour le calcul des coûts de transaction. Les recettes seront réduites de 25 % de toutes les réservations de campagne des consommateurs qui ont reçu leur lien pour passer à la caisse et qui ont cliqué dessus. Les frais de transaction seront basés sur ce revenu estimé.

Retours

Les frais de transaction ne sont pas remboursables, même en cas de retour du client final. Les frais de transaction s'appliquent uniquement à l'événement de vente initial.

Expédition

Des frais de transaction sont prélevés sur les frais d'expédition dans les scénarios suivants :

- Sprii Hosted Checkout est utilisé.

Frais de transaction - Droits d'entrée

Lorsque l'accord d'utilisation est basé sur une transaction, les éléments suivants s'appliquent au calcul des frais d'avance.

Le coût des leads est visible sur l'onglet abonnement de la plateforme Sprii. Lorsqu'aucune fonction de caisse n'est utilisée, les frais de transaction sont basés sur les consommateurs uniques qui ont reçu un ou plusieurs liens/messages par campagne Sprii.  

Mélanger les produits de caisse et les produits de tête dans la même campagne

• Une commande contenant uniquement des produits de plomb déclenchera des frais de transaction de plomb. Quelle que soit la quantité de messages ou de liens envoyés à cette personne.  

• Une commande contenant uniquement des produits de caisse déclenchera des frais de transaction de caisse si elle est complétée.

• Une commande ne contenant que des produits de caisse ne déclenchera pas de frais si la commande n'est pas terminée.

• Une commande contenant à la fois des produits de caisse et des produits de tête déclenchera des frais de transaction de caisse si la commande est terminée.

• Une commande contenant à la fois des produits de caisse et des produits de plomb déclenchera des frais de transaction de plomb si la commande n'est pas terminée. Quelle que soit la quantité de messages ou de liens envoyés à cette personne.

Services supplémentaires

Gamification

À moins qu'un coût fixe n'ait été convenu, la redevance d'utilisation sera calculée comme indiqué ci-dessous :

• Les frais d'utilisation de la gamification sont basés sur le nombre de participants par jeu. 
• Si une personne rejoint un jeu avec plusieurs billets, les frais ne sont ajoutés qu'une seule fois.
• Si une personne s'inscrit à plusieurs jeux dans le même événement, les frais sont ajoutés pour chaque jeu.

Sprii Streamable Service

8 heures de streaming enregistré par mois sont incluses dans le prix de l'abonnement. Des heures supplémentaires peuvent être ajoutées à l'abonnement moyennant un coût.

Lecteur vidéo Sprii sur le site web (Sur place)

L'accord sera basé sur le nombre d'heures de visionnage prévu. Le temps de visionnage est le résultat du "nombre de téléspectateurs" x "temps de diffusion"

Place du marché de Sprii

Le streaming sur Sprii.live (live shopping marketplace) est gratuit, mais les transactions sont ajoutées aux ventes comme tous les autres canaux utilisés avec Sprii.

Sprii Host App

L'application mobile est gratuite, mais le temps de streaming est limité via Sprii Studio comme décrit ci-dessus.

Développement informatique

En cas de demandes extraordinaires du client concernant des intégrations informatiques, des tâches de développement et une assistance technique, qui se situent en dehors des compétences générales de SPRII, un prix distinct devra être convenu entre les parties à cet effet.

Intégrations légères

Ce sont de petites intégrations faites à la boutique en ligne de l'utilisateur. Elles peuvent être réalisées à un prix convenu et seront testées et prouvées fonctionnelles à la fin du développement. Les modifications apportées à la configuration de la boutique en ligne peuvent affecter l'intégration développée, et l'ajustement de l'intégration sera effectué à un prix supplémentaire convenu si cela est demandé. 

Facturation et paiement

• Les abonnements sont facturés à l'avance.
• Les frais basés sur les transactions sont facturés mensuellement, en fonction de l'utilisation réelle ou estimée.
• Il est de la responsabilité de l'utilisateur de maintenir à jour ses références de paiement.

Frais d'administration

Lors de l'envoi d'une facture par e-mail, aucun frais administratif n'est ajouté. 

Lorsque le mode de paiement est la carte de crédit, aucun frais d'administration n'est ajouté.

Si une facture doit être demandée par EAN ou par courrier papier, des frais administratifs de 18 euros hors TVA sont ajoutés à la facture. 

Lors d'un paiement via "Betalingsservice" (un service de paiement danois), des frais administratifs de 15 euros hors TVA sont ajoutés.

Si le virement bancaire est demandé comme mode de paiement, des frais administratifs de 6 euros hors TVA sont ajoutés à la facture. 

Conditions de renouvellement

Ton abonnement sera automatiquement renouvelé à la fin de chaque période de renouvellement. prolongeant ton accès pour une autre période de renouvellement, à moins qu'il ne soit annulé avant la date limite d'annulation.

Date limite d'annulation

La dernière date à laquelle tu dois nous aviser de ton intention d'annuler pour éviter le renouvellement automatique.

Période d'engagement

La période initiale pendant laquelle ton abonnement est contraignant.

La fin de l'engagement ne met pas fin à l'abonnement par défaut.

Responsabilités de l'utilisateur

Pour t'inscrire au Service, tu dois compléter le processus d'inscription en fournissant à Sprii des informations à jour, complètes et exactes, comme l'exige le formulaire d'inscription. Tu es seul responsable de toute utilisation et de toutes les activités qui se produisent sous ton compte.

Tu es responsable de la sauvegarde de la confidentialité de ton (tes) mot(s) de passe et de ton (tes) nom(s) d'utilisateur et de toute utilisation ou mauvaise utilisation de ton compte résultant de l'utilisation de ton mot de passe ou de ton nom d'utilisateur par un tiers. Tu acceptes de notifier immédiatement à Sprii toute utilisation non autorisée de ton compte ou toute autre violation de la sécurité dont tu as connaissance. Tu acceptes que Sprii utilise le logo de ton organisation dans sa liste d'utilisateurs, à d'autres endroits sur son site Web et dans le cadre d'une liste générale d'utilisateurs de Sprii pour utilisation et référence dans le matériel d'entreprise, de promotion et de marketing.

N'utilise pas notre service pour enfreindre la loi. Tu acceptes de ne pas violer les lois dans le cadre de ton utilisation du service. Cela inclut toutes les lois locales, étatiques, fédérales et internationales qui peuvent s'appliquer à toi. Il est de ta responsabilité d'obtenir tous les permis, licences ou enregistrements fiscaux et d'avoir une preuve de propriété ou des reçus si nécessaire ; tu ne peux pas utiliser le service pour lister ou vendre des articles qui violent les lois, y compris, mais sans s'y limiter, les lois concernant l'achat, le transport et la livraison de boissons alcoolisées.

L'utilisateur est tenu de respecter les bonnes pratiques lorsqu'il utilise les services de Sprii. Par bonnes pratiques, on entend au sens large que l'Utilisateur ne peut pas utiliser les services Sprii pour enfreindre la loi ou interférer de quelque manière que ce soit avec d'autres entreprises ou individus. Si l'utilisateur n'est pas sûr qu'une action soit autorisée, il lui incombe de contacter Sprii et de demander des instructions.

L'utilisateur est tenu de maintenir ses données de base à jour auprès de Sprii, de sorte que les informations d'adresse, de contact et de facturation soient toujours valides.

L'utilisateur s'engage à se conformer à toutes les lois et réglementations applicables dans le cadre de ses activités et de son utilisation du service. 

L'utilisateur accepte également que Sprii n'exerce aucun contrôle sur le contenu des informations fournies par l'utilisateur à partir des services Sprii et qu'il est de la seule responsabilité de l'utilisateur de s'assurer que les données qu'il envoie et reçoit lors de l'utilisation de Sprii sont conformes à toutes les lois et réglementations en vigueur.

L'utilisateur doit fournir les conditions générales au consommateur final avant le paiement des produits.

Cela peut être configuré pour la caisse Sprii ou fourni dans la caisse de la boutique en ligne intégrée.

Responsabilité de ton contenu

Tu es seul responsable de ton contenu. Tu déclares que tu as tous les droits nécessaires sur ton Contenu et que tu n'enfreins ni ne violes les droits d'un tiers en le publiant.

Contenu inapproprié, faux ou trompeur. Tu acceptes de ne pas publier de contenu abusif, menaçant, diffamatoire, obscène, vulgaire ou autrement offensant ou en violation de nos Conditions. Tu acceptes également de ne pas publier de contenu qui soit faux, trompeur ou qui utilise le service d'une manière frauduleuse ou trompeuse.

Le client accorde à Sprii une licence non exclusive et libre de redevance pour utiliser sa propriété intellectuelle dans le but de fournir des services au client et d'établir des statistiques d'utilisation anonymes à l'usage de Sprii. Aucune propriété intellectuelle ne sera jamais partagée avec des^tiers, sauf accord spécifique au cas par cas.

Propriété intellectuelle

Le client accorde à Sprii une licence non exclusive et libre de redevance pour utiliser sa propriété intellectuelle dans le but de fournir des services au client et d'établir des statistiques d'utilisation anonymes à l'usage de Sprii. Aucune propriété intellectuelle ne sera jamais partagée avec des^tiers, sauf accord spécifique au cas par cas.

Intégration à d'autres places de marché

Lorsque tu utilises nos services, ton contenu et tes offres peuvent être mis à la disposition d'autres places de marché. Tu peux contrôler cette option dans les paramètres de ta page et à chaque lancement de campagne sur app.Sprii.io.

Droits des sprii 

Sprii est en droit d'évaluer si l'utilisateur utilise les produits Sprii comme prévu. Si l'Utilisateur surcharge le service proposé au point d'affecter de manière inappropriée la plateforme Sprii, Sprii peut à tout moment fermer temporairement l'accès à ce service sans préavis. 

Sprii s'efforce toujours de contacter l'Utilisateur pour ajuster sa consommation ou lui proposer une solution différente. Si l'Utilisateur ne veut pas ajuster sa consommation ou accepter une solution alternative, Sprii est en droit de résilier la Solution de l'Utilisateur avec un préavis d'un mois. Dans les cas où l'Utilisateur a prépayé pour une période interrompue par la résiliation de Sprii en raison des circonstances susmentionnées, l'Utilisateur a droit au remboursement du montant prépayé pour la partie de la période prépayée au cours de laquelle le produit est résilié.

Si l'un des services de Sprii, par exemple le "robot de commentaires", est utilisé pour envoyer du contenu illégal, par exemple du spam, du phishing ou autre, Sprii se réserve le droit de fermer temporairement et sans préavis l'accès aux services jusqu'à ce que le problème soit corrigé. Ceci s'applique également même si l'utilisateur n'est pas au courant dudit abus ou en est directement responsable.

Sprii se réserve le droit de mettre fin aux services en cours d'un utilisateur à la date de renouvellement avec un préavis écrit de 30 jours.

En cas de modification de la loi ou des règles et autorisations émises en vertu de cette loi, et en cas d'injonction de modification émanant d'une autorité, Sprii peut, sans préavis, modifier les droits et obligations de l'Utilisateur en vertu des conditions, sans que l'Utilisateur ne puisse prétendre à une quelconque indemnisation.

Ton droit de partir si nous changeons trop

Sprii peut améliorer, modifier ou supprimer des parties du Service, y compris des fonctionnalités, des intégrations, des prix ou des conditions. Cependant, si nous faisons un changement qui réduit matériellement les fonctionnalités de base, qui a un impact significatif sur ton utilisation, ou qui diminue la valeur globale du Service pour toi (un "Changement défavorable important"), tu as le droit d'annuler ton abonnement sans pénalité.

Pour exercer ce droit, tu dois nous en informer par écrit dans les 30 jours suivant la date à laquelle tu as été informé du changement. Si tu annules en vertu de ces conditions, tu recevras un remboursement au prorata de la partie non utilisée de ton abonnement prépayé.

Les changements ne sont pas considérés comme des "changements défavorables importants" s'ils :

• Sont exigés par la loi ou la réglementation,

• Améliorer la sécurité ou la protection des données,

• Ajoute des fonctions optionnelles ou des améliorations de performance,

• Affecte les fonctionnalités bêta ou de test pour lesquelles tu as opté.

Nous fournirons un préavis d'au moins 30 jours pour tout changement défavorable important, à moins que des raisons juridiques ou opérationnelles urgentes ne l'empêchent. Nous te préviendrons par l'intermédiaire de ton e-mail enregistré ou directement dans ton compte Sprii.

Indemnisation mutuelle

Chaque partie (" partie indemnisante ") accepte d'indemniser, de défendre et de dégager de toute responsabilité l'autre partie (" partie indemnisée "), y compris ses sociétés affiliées, dirigeants, administrateurs, employés, agents et concédants de licence, en cas de réclamations, responsabilités, dommages, pertes, coûts, dépenses ou frais (y compris les frais d'avocat raisonnables) découlant de :

• La violation par la partie indemnisante de cet accord ou de la loi applicable.

• La négligence ou la faute intentionnelle de la partie indemnisante.

• Toute réclamation liée à la violation des droits de propriété intellectuelle causée par le contenu ou les actions de la partie indemnisante.

Étendue de l'indemnisation

Les obligations d'indemnisation excluent :

• Les dommages indirects, accessoires ou consécutifs, y compris, mais sans s'y limiter, la perte de profits, de revenus ou d'occasions d'affaires.

• Les dommages résultant d'événements de force majeure ou d'actions échappant au contrôle raisonnable de la partie indemnisante.

Plafond de responsabilité

La responsabilité totale de la partie indemnisante en vertu de la présente clause d'indemnisation ne doit pas dépasser le total des frais payés par la partie indemnisée à la partie indemnisante en vertu du présent accord au cours des 12 mois précédents, à moins que la loi n'en dispose autrement.

Exonération de garantie

 Service fourni "tel quel"

Notre service est fourni "tel quel" sans aucune garantie de quelque nature que ce soit, expresse ou implicite, y compris, mais sans s'y limiter, les garanties de qualité marchande, d'adéquation à un usage particulier et d'absence de contrefaçon. Nous ne garantissons pas que le service ou le site Web sera exempt d'erreurs, de virus ou d'autres éléments nuisibles, ou que l'accès sera continu ou ininterrompu. L'utilisation du service se fait à ta discrétion et à tes risques.

Navigateurs pris en charge

Le service est conçu pour être utilisé sur les navigateurs des appareils numériques, dont spécifiquement Google Chrome, Safari, Microsoft Edge et Firefox. Il est de la responsabilité de l'utilisateur d'utiliser les dernières versions de ces navigateurs.

Accord de niveau de service (SLA)

Notre objectif de temps de fonctionnement est de 99,5 %. Cependant, nous pouvons interrompre les opérations lorsque la maintenance ou d'autres conditions techniques l'exigent. Ces interruptions seront annoncées autant que possible à l'avance et auront lieu pendant les heures creuses.

Exclusions

L'ANS ne s'applique pas à :

• Temps d'arrêt résultant de services tiers ou d'API intégrés à la plateforme.

• Problèmes causés par la connectivité Internet, le matériel du client ou un logiciel tiers.

• Incidents résultant d'une mauvaise utilisation de la plateforme ou de modifications non autorisées par le client.

Limitation de responsabilité

Aucune responsabilité pour les services de tiers

Notre logiciel s'intègre à des services tiers tels que Facebook, Instagram, des sites Web, des boutiques en ligne, des passerelles de paiement et des fournisseurs d'expédition. Nous ne contrôlons pas ces services tiers et ne sommes pas responsables de leur performance, de leur fiabilité ou de tout problème découlant de leur utilisation.

Disponibilité des services et sécurité des données

Bien que nous nous engagions à fournir un niveau élevé de disponibilité des services et que nous ayons mis en place de solides mesures de sécurité des données, un accès ininterrompu et une sécurité absolue ne peuvent être garantis. Nous déclinons toute responsabilité pour les dommages ou les pertes résultant d'interruptions de service, de violations de données ou d'accès non autorisés, sauf s'ils ont été causés par notre négligence ou notre incapacité à mettre en œuvre des mesures de sécurité appropriées. En outre, nous ne sommes pas responsables de tout impact sur les services intégrés résultant de leur compatibilité ou de leur configuration. Pour plus de détails sur la façon dont Sprii gère la sécurité des données personnelles, tu peux te référer à l'Accord sur la protection des données.

Exclusion des dommages indirects et consécutifs

En aucun cas nous ne serons responsables des dommages indirects, accessoires, consécutifs, spéciaux ou exemplaires, y compris, mais sans s'y limiter, la perte de profits, de revenus, de données, d'utilisation ou de réputation, encourus par toi ou par un tiers, que ce soit dans le cadre d'une action contractuelle ou délictuelle, découlant de ton accès à nos services ou de ton utilisation de ces derniers.

Limitation de la responsabilité directe

Notre responsabilité totale envers toi pour toute réclamation découlant de ou en rapport avec ces conditions ou ton utilisation des services, quelle que soit la cause de l'action (qu'il s'agisse d'un contrat, d'un délit, d'une violation de garantie ou autre), ne dépassera pas le montant que tu nous as payé pour l'utilisation des services dans les douze (12) mois précédant immédiatement la réclamation.

Avis sur les droits de propriété

Le Service, y compris tout contenu du Service et toute technologie sous-jacente (y compris tous les droits de propriété intellectuelle qui y sont incorporés), est et restera la propriété unique et exclusive de Sprii et sera protégé par les lois sur les droits d'auteur et autres législations applicables. Aucune licence sur une quelconque technologie sous-jacente n'est accordée. Tu ne permettras pas à un tiers de faire de l'ingénierie inverse et/ou de créer des dérivés du Service en utilisant n'importe quelle méthode possible. Tu ne modifieras pas, et tu ne permettras pas à un tiers de modifier le service de quelque manière que ce soit. Tu utiliseras le service uniquement pour ton usage commercial et ne rendras pas le service disponible pour tout type de service externe tel que, mais sans s'y limiter, un fournisseur de services d'application.

Si tu fournis des commentaires, des idées ou des suggestions concernant le Service, Sprii est libre d'exploiter pleinement ces commentaires.

Résiliation

Bien que cet accord puisse être résilié entre le service et toi, certaines dispositions de cet accord resteront en vigueur, y compris, sans s'y limiter, les exclusions de garantie, l'indemnisation, les limitations de responsabilité et les droits de propriété.

Un contrat d'abonnement est automatiquement renouvelé, sauf si l'utilisateur le résilie avant la date limite de résiliation.

La résiliation doit être faite par écrit à finance@sprii.io.

Dans le cas où tu annules ton abonnement, tu ne recevras aucun remboursement ou échange pour le temps non utilisé d'un abonnement, les frais de licence ou d'abonnement pour toute partie du service, tout contenu ou données associés à ton compte, ou pour quoi que ce soit d'autre.

Divers

 Sprii est dispensé de l'exécution des présentes dans la mesure où l'exécution est empêchée, retardée ou entravée par des causes échappant à son contrôle raisonnable. Le présent contrat représente l'accord complet entre toi et Sprii concernant son objet et remplace toutes les déclarations, tous les accords et toutes les représentations antérieurs entre les parties.

Tu ne peux pas céder ou transférer autrement tes droits en vertu de l'accord sans le consentement écrit préalable de Sprii et toute tentative de ce genre est nulle.

Sprii a le droit de céder et/ou de transférer l'un de ses droits ou obligations en vertu du contrat à un tiers. Sprii t'informera d'un tel transfert.

La relation entre Sprii et toi n'est pas une relation de partenariat légal mais une relation d'entrepreneurs indépendants. Le présent contrat lie les parties, leurs successeurs et leurs ayants droit et s'applique à leur profit.

Divisibilité

Si une disposition du présent accord est jugée inapplicable pour quelque raison que ce soit, cette disposition sera réformée dans la mesure nécessaire pour la rendre applicable dans toute la mesure possible afin d'affecter l'intention des parties, et le reste du présent accord restera en vigueur et de plein effet.

Modifications des conditions générales

Sprii peut mettre à jour ou modifier ces Conditions de temps en temps pour refléter les changements dans nos Services, les exigences légales ou les pratiques commerciales. Lorsque nous le ferons, nous publierons les Conditions mises à jour sur notre site Web et, lorsque les changements sont importants, nous t'en informerons par courriel ou par l'intermédiaire de ton tableau de bord Sprii au moins 30 jours avant leur entrée en vigueur.

La poursuite de l'utilisation du service après l'entrée en vigueur des conditions mises à jour constituera ton acceptation des changements. Si tu n'acceptes pas les Conditions révisées, tu as le droit de cesser d'utiliser le Service avant que les modifications ne deviennent contraignantes. Dans les cas où les modifications réduisent matériellement tes droits ou augmentent tes obligations de manière significative, tu peux également exercer ton droit de résiliation anticipée tel que décrit dans la section "Ton droit de partir si nous changeons trop".

Changements de prix

Nos prix peuvent changer au fil du temps.

Nous nous réserverons le droit de le faire avec un préavis de 3 mois avant la date limite d'annulation.

L'utilisateur est tenu de payer le prix réglementé à partir de la date de renouvellement suivante, mais il peut choisir de mettre fin au contrat par écrit conformément aux délais de préavis applicables.

Loi applicable et lieu de l'audience

Le présent accord est régi et interprété selon les lois de l'État du Danemark, et les litiges sont soumis à la compétence exclusive des tribunaux d'Aarhus, au Danemark.

Toutefois, pour les clients situés au Royaume-Uni, le présent contrat est régi et interprété conformément aux lois de l'Angleterre et du Pays de Galles, et les parties acceptent de se soumettre à la juridiction exclusive des tribunaux de l'Angleterre et du Pays de Galles.

Plaintes

Si tu souhaites déposer une plainte auprès de Sprii, tu peux le faire en envoyant un courriel à hey@sprii.io.

‍

Section 2

‍

Accord sur le traitement des données 

Aux fins de l'article 28, paragraphe 3, du règlement 2016/679 (le GDPR). 

entre

Utilisateur des services de Sprii Aps
(le responsable du traitement)

et

Sprii ApS
Numéro d'identification fiscale : DK42084476
Sommervej 31E, 8210 Aarhus V
Danemark

(le responsable du traitement des données)

chacun est une "partie" ; ensemble, "les parties

SONT CONVENUES des Clauses contractuelles suivantes (les Clauses) afin de répondre aux exigences du GDPR et d'assurer la protection des droits de la personne concernée. 

Contenu

2. Préambule

3. Les droits et obligations du responsable du traitement des données

4. Le responsable du traitement des données agit selon des instructions

5. La confidentialité

6. Sécurité du traitement

7. Utilisation de sous-traitants

8. Transfert de données vers des pays tiers ou des organisations internationales

9. Assistance au responsable du traitement des données

10. Notification d'une violation de données personnelles

11. Effacement et restitution des données

12. Audit et inspection

13. L'accord des parties sur d'autres conditions

14. Début et fin

15. Contacts du responsable du traitement des données et du sous-traitant des données/points de contact 1.

Annexe A Informations sur le traitement des données

Annexe B Sous-traitants autorisés

Annexe C Instruction relative à l'utilisation des données personnelles

Annexe D Additif pour le Royaume-Uni  

2. Préambule

1. Les présentes Clauses contractuelles (les Clauses) définissent les droits et obligations du responsable du traitement et du sous-traitant, lorsqu'ils traitent des données à caractère personnel pour le compte du responsable du traitement.

2. Les Clauses ont été conçues pour assurer le respect par les parties de l'article 28(3) du Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données).

3. Dans le cadre de la fourniture de Sprii, le sous-traitant traitera les données à caractère personnel pour le compte du responsable du traitement conformément aux Clauses.

4. Les Clauses ont la priorité sur toute disposition similaire contenue dans d'autres accords entre les parties.

5. Quatre annexes sont jointes aux clauses et en font partie intégrante.

6. L'annexe A contient des détails sur le traitement des données personnelles, notamment le but et la nature du traitement, le type de données personnelles, les catégories de personnes concernées et la durée du traitement.

7. L'annexe B contient les conditions du responsable du traitement des données pour l'utilisation de sous-traitants secondaires et une liste des sous-traitants secondaires autorisés par le responsable du traitement des données.

8. L'annexe C contient les instructions du responsable du traitement en ce qui concerne le traitement des données à caractère personnel, les mesures de sécurité minimales à mettre en œuvre par le sous-traitant et la manière dont les audits du sous-traitant et de tout sous-traitant secondaire doivent être effectués.

9. Les clauses ainsi que les annexes sont conservées par écrit, y compris par voie électronique, par les deux parties.

10. Les Clauses ne dispensent pas le processeur de données des obligations auxquelles il est soumis en vertu du règlement général sur la protection des données (le RGPD) ou d'autres législations.

3. Les droits et obligations du responsable du traitement des données

1. Le responsable du traitement est chargé de veiller à ce que le traitement des données à caractère personnel ait lieu conformément au GDPR (voir l'article 24 GDPR), aux dispositions applicables de l'UE ou des États membres en matière de protection des données et aux Clauses.

2. Le responsable du traitement a le droit et l'obligation de prendre des décisions sur les finalités et les moyens du traitement des données personnelles.

3. Le responsable du traitement est chargé, entre autres, de veiller à ce que le traitement des données à caractère personnel, que le sous-traitant est chargé d'effectuer, ait une base juridique. 

4. Le responsable du traitement des données agit selon des instructions

1. Le sous-traitant des données ne traite les données à caractère personnel que sur instructions documentées du responsable du traitement, sauf si le droit de l'Union ou de l'État membre auquel le sous-traitant est soumis l'exige. Ces instructions sont spécifiées dans les annexes A et C. Des instructions ultérieures peuvent également être données par le responsable du traitement pendant toute la durée du traitement des données à caractère personnel, mais ces instructions doivent toujours être documentées et conservées par écrit, y compris par voie électronique, en relation avec les Clauses. 

2. Le responsable du traitement des données informe immédiatement le responsable du traitement des données si les instructions données par le responsable du traitement des données, de l'avis du responsable du traitement des données, contreviennent au GDPR ou aux dispositions applicables de l'UE ou de l'État membre en matière de protection des données.

5. La confidentialité

1. Le sous-traitant n'accorde l'accès aux données à caractère personnel traitées pour le compte du responsable du traitement qu'aux personnes placées sous l'autorité du sous-traitant qui se sont engagées à respecter la confidentialité ou qui sont soumises à une obligation légale appropriée de confidentialité, et uniquement sur la base du besoin d'en connaître. La liste des personnes auxquelles l'accès a été accordé fait l'objet d'un réexamen périodique. Sur la base de ce réexamen, cet accès aux données à caractère personnel peut être retiré, si l'accès n'est plus nécessaire, et les données à caractère personnel ne seront donc plus accessibles à ces personnes.

2. À la demande du responsable du traitement des données, le sous-traitant démontre que les personnes concernées placées sous l'autorité du sous-traitant sont soumises à la confidentialité susmentionnée.

6. Sécurité du traitement 

1. L'article 32 du GDPR stipule que, compte tenu de l'état de l'art, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque.

Le responsable du traitement évalue les risques pour les droits et libertés des personnes physiques inhérents au traitement et met en œuvre des mesures pour atténuer ces risques. En fonction de leur pertinence, les mesures peuvent comprendre ce qui suit :

a. Pseudonymisation et cryptage des données personnelles ;

b. la capacité à assurer en permanence la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et services de traitement ;

c. la capacité à restaurer la disponibilité et l'accès aux données personnelles en temps voulu en cas d'incident physique ou technique ;

d. un processus permettant de tester, d'apprécier et d'évaluer régulièrement l'efficacité des mesures techniques et organisationnelles visant à garantir la sécurité du traitement.

2. Conformément à l'article 32 du GDPR, le sous-traitant des données doit également - indépendamment du responsable du traitement - évaluer les risques pour les droits et libertés des personnes physiques inhérents au traitement et mettre en œuvre des mesures pour atténuer ces risques. À cet effet, le responsable du traitement des données fournit au sous-traitant des données toutes les informations nécessaires pour identifier et évaluer ces risques.

3. En outre, le sous-traitant des données aide le responsable du traitement des données à assurer le respect des obligations du responsable du traitement des données en vertu des articles 32 GDPR, notamment en fournissant au responsable du traitement des données des informations concernant les mesures techniques et organisationnelles déjà mises en œuvre par le sous-traitant des données en vertu de l'article 32 GDPR, ainsi que toutes les autres informations nécessaires au responsable du traitement des données pour se conformer à l'obligation du responsable du traitement des données en vertu de l'article 32 GDPR.

Si par la suite - selon l'évaluation du responsable du traitement - l'atténuation des risques identifiés nécessite la mise en œuvre par le responsable du traitement de mesures supplémentaires par rapport à celles déjà mises en œuvre par le responsable du traitement en vertu de l'article 32 du GDPR, le responsable du traitement précise ces mesures supplémentaires à mettre en œuvre dans l'annexe C.

7. Utilisation de sous-traitants

1. Le processeur de données doit satisfaire aux exigences spécifiées à l'article 28, paragraphes 2 et 4, du GDPR afin d'engager un autre processeur (un sous-processeur).

2. Le processeur de données ne doit donc pas engager un autre processeur (sous-processeur) pour l'exécution des Clauses sans l'autorisation écrite générale préalable du responsable du traitement des données.

3. Le responsable du traitement des données dispose de l'autorisation générale du responsable du traitement des données pour l'engagement de sous-traitants secondaires. Le responsable du traitement des données informe par écrit le responsable du traitement des données de tout changement prévu concernant l'ajout ou le remplacement de sous-traitants secondaires au moins 1 mois à l'avance, donnant ainsi au responsable du traitement des données la possibilité de s'opposer à ces changements avant l'engagement du ou des sous-traitants secondaires concernés. Des délais de préavis plus longs pour des services de sous-traitance spécifiques peuvent être prévus à l'annexe B. La liste des sous-traitants secondaires déjà autorisés par le responsable du traitement des données se trouve à l'annexe B.

4. Lorsque le processeur de données engage un sous-traitant pour effectuer des activités de traitement spécifiques au nom du responsable du traitement, les mêmes obligations de protection des données que celles énoncées dans les Clauses sont imposées à ce sous-traitant au moyen d'un contrat ou d'un autre acte juridique en vertu du droit de l'UE ou de l'État membre, en particulier en fournissant des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences des Clauses et du GDPR.

Le processeur de données est donc responsable d'exiger que le sous-processeur respecte au moins les obligations auxquelles le processeur de données est soumis en vertu des Clauses et du GDPR.

5. Une copie de cet accord de sous-traitance et de ses modifications ultérieures doit - à la demande du responsable du traitement des données - être soumise au responsable du traitement des données, ce qui donne au responsable du traitement des données la possibilité de s'assurer que les mêmes obligations de protection des données que celles énoncées dans les Clauses sont imposées au sous-traitant ultérieur. Les clauses relatives à des questions commerciales qui n'affectent pas le contenu légal de l'accord de sous-traitance en matière de protection des données ne doivent pas être soumises au responsable du traitement des données.  

6. Le processeur de données doit convenir d'une clause de tiers bénéficiaire avec le sous-processeur où - en cas de faillite du processeur de données - le contrôleur de données sera un tiers bénéficiaire de l'accord de sous-processeur et aura le droit d'appliquer l'accord contre le sous-processeur engagé par le processeur de données, par exemple en permettant au contrôleur de données d'ordonner au sous-processeur de supprimer ou de renvoyer les données personnelles.

7. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le sous-traitant ultérieur reste entièrement responsable envers le responsable du traitement des données en ce qui concerne l'exécution des obligations du sous-traitant ultérieur. Cela n'affecte pas les droits des personnes concernées en vertu du GDPR - en particulier ceux prévus aux articles 79 et 82 GDPR - contre le responsable du traitement des données et le sous-traitant des données, y compris le sous-traitant ultérieur.

8. Transfert de données vers des pays tiers ou des organisations internationales

1. Tout transfert de données à caractère personnel vers des pays tiers ou des organisations internationales par le sous-traitant des données n'a lieu que sur la base d'instructions documentées du responsable du traitement des données et a toujours lieu en conformité avec le chapitre V du GDPR. 

2. Dans le cas où des transferts vers des pays tiers ou des organisations internationales, que le responsable du traitement n'a pas chargé d'effectuer, sont requis en vertu du droit de l'UE ou de l'État membre auquel le responsable du traitement est soumis, le responsable du traitement informe le responsable du traitement de cette exigence légale avant le traitement, à moins que ce droit n'interdise une telle information pour des motifs importants d'intérêt public.

3. Sans instructions documentées du responsable du traitement, le sous-traitant ne peut donc pas dans le cadre des Clauses :

a. transférer des données personnelles à un contrôleur de données ou à un processeur de données dans un pays tiers ou dans une organisation internationale.

b. transférer le traitement des données personnelles à un sous-traitant dans un pays tiers. 

c. faire traiter les données personnelles par le sous-traitant dans un pays tiers.

4. Les instructions du responsable du traitement concernant le transfert de données à caractère personnel vers un pays tiers, y compris, le cas échéant, l'outil de transfert en vertu du chapitre V GDPR sur lequel elles se fondent, sont présentées à l'annexe C.6.

5. Les Clauses ne doivent pas être confondues avec les clauses types de protection des données au sens de l'article 46, paragraphe 2, points c) et d), du GDPR, et les Clauses ne peuvent pas être invoquées par les parties en tant qu'outil de transfert en vertu du chapitre V du GDPR.

9. Assistance au responsable du traitement des données

1. Compte tenu de la nature du traitement, le sous-traitant aide le responsable du traitement par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, à remplir les obligations du responsable du traitement de répondre aux demandes d'exercice des droits de la personne concernée prévues au chapitre III du GDPR.

Cela implique que le sous-traitant des données aide, dans la mesure du possible, le responsable du traitement des données à se conformer aux dispositions de ce dernier :

a. le droit d'être informé lors de la collecte de données personnelles auprès de la personne concernée

b. le droit d'être informé lorsque les données personnelles n'ont pas été obtenues auprès de la personne concernée.

c. le droit d'accès de la personne concernée

d. le droit de rectification

e. le droit à l'effacement ("le droit à l'oubli")

f. le droit à la limitation du traitement

g. obligation de notification concernant la rectification ou l'effacement des données à caractère personnel ou la restriction du traitement.

h. le droit à la portabilité des données

i. le droit d'objection 

j. le droit de ne pas faire l'objet d'une décision fondée uniquement sur un traitement automatisé, y compris le profilage.

2. Outre l'obligation du sous-traitant de données d'assister le responsable du traitement en vertu de la clause 6.3, le sous-traitant de données doit en outre, compte tenu de la nature du traitement et des informations dont il dispose, aider le responsable du traitement à assurer le respect de :

a. L'obligation du responsable du traitement de notifier sans retard injustifié et, si possible, au plus tard 72 heures après en avoir pris connaissance, la violation de données à caractère personnel à l'autorité de contrôle compétente, sauf s'il est peu probable que la violation de données à caractère personnel entraîne un risque pour les droits et libertés des personnes physiques ;

b. l'obligation du responsable du traitement de communiquer sans retard injustifié la violation de données à caractère personnel à la personne concernée, lorsque la violation de données à caractère personnel est susceptible d'entraîner un risque élevé pour les droits et libertés des personnes physiques ;

c. l'obligation pour le responsable du traitement de procéder à une évaluation de l'impact des opérations de traitement envisagées sur la protection des données à caractère personnel (une analyse d'impact relative à la protection des données) ;

d. l'obligation du responsable du traitement de consulter l'autorité de contrôle compétente avant le traitement lorsqu'une analyse d'impact sur la protection des données indique que le traitement entraînerait un risque élevé en l'absence de mesures prises par le responsable du traitement pour atténuer le risque.

3. Les parties définissent dans l'annexe C les mesures techniques et organisationnelles appropriées par lesquelles le sous-traitant des données est tenu d'assister le responsable du traitement des données, ainsi que la portée et l'étendue de l'assistance requise. Ceci s'applique aux obligations prévues à la clause 9.1. et 9.2.

10. Notification d'une violation de données personnelles

1. En cas de violation de données à caractère personnel, le sous-traitant des données notifie au responsable du traitement, sans retard injustifié après en avoir pris connaissance, la violation de données à caractère personnel.

2. La notification du processeur de données au responsable du traitement a lieu, si possible, dans les 24 heures après que le processeur de données a pris connaissance de la violation de données à caractère personnel pour permettre au responsable du traitement de se conformer à l'obligation du responsable du traitement de notifier la violation de données à caractère personnel à l'autorité de contrôle compétente, cf. article 33 du GDPR.

3. Conformément à la clause 9(2)(a), le sous-traitant de données aide le responsable du traitement à notifier la violation de données à caractère personnel à l'autorité de contrôle compétente, ce qui signifie que le sous-traitant de données est tenu d'aider à obtenir les informations énumérées ci-dessous qui, conformément à l'article 33(3)GDPR, doivent être mentionnées dans la notification du responsable du traitement à l'autorité de contrôle compétente :  

a. La nature des données personnelles, y compris, si possible, les catégories et le nombre approximatif de personnes concernées, ainsi que les catégories et le nombre approximatif d'enregistrements de données personnelles concernés ; 

b. les conséquences probables de la violation des données personnelles ;

c. les mesures prises ou proposées par le responsable du traitement pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures visant à en atténuer les éventuels effets négatifs. 

4. Les parties définissent dans l'annexe C tous les éléments à fournir par le sous-traitant des données lorsqu'il assiste le responsable du traitement des données dans la notification d'une violation de données à caractère personnel à l'autorité de contrôle compétente.

11. Effacement et restitution des données

1. Le sous-traitant des données doit, sur demande ou en rapport avec la cessation du service, supprimer toutes les données à caractère personnel traitées pour le compte du responsable du traitement des données, comme spécifié à l'annexe C.4.

12. Audit et inspection

1. Le sous-traitant met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28 et aux Clauses, et permet les audits, y compris les inspections, effectués par le responsable du traitement ou un autre auditeur mandaté par le responsable du traitement, et y contribue.

2. Les procédures applicables aux audits, y compris les inspections, du responsable du traitement des données et des sous-traitants secondaires sont spécifiées dans les annexes C.7. et C.8.    

3. Le sous-traitant est tenu de fournir aux autorités de contrôle qui, en vertu de la législation applicable, ont accès aux installations du responsable du traitement et du sous-traitant, ou aux représentants agissant au nom de ces autorités de contrôle, l'accès aux installations physiques du sous-traitant sur présentation d'une pièce d'identité appropriée. 

13. L'accord des parties sur d'autres conditions 

1. Les parties peuvent convenir d'autres clauses concernant la fourniture du service de traitement des données personnelles précisant par exemple la responsabilité, tant qu'elles ne contredisent pas directement ou indirectement les Clauses ou ne portent pas atteinte aux libertés ou droits fondamentaux de la personne concernée et à la protection accordée par le GDPR.

14. Début et fin

1. Les clauses entrent en vigueur à la date de la signature des deux parties.

2. Les deux parties sont en droit d'exiger la renégociation des clauses si des modifications de la loi ou l'inopportunité des clauses devaient donner lieu à une telle renégociation. 

3. Les Clauses s'appliquent pendant toute la durée de la prestation des services de traitement des données à caractère personnel. Pendant la durée de la prestation des services de traitement des données personnelles, les Clauses ne peuvent pas être résiliées, à moins que d'autres Clauses régissant la prestation des services de traitement des données personnelles n'aient été convenues entre les parties.

4. Si la prestation de services de traitement des données personnelles prend fin et que les données personnelles sont supprimées ou renvoyées au responsable du traitement des données conformément à la clause 11.1. et à l'annexe C.4. les clauses peuvent être résiliées par notification écrite de l'une ou l'autre des parties.

Annexe A - Informations sur le traitement des données 

A.1. La finalité du traitement des données à caractère personnel par le sous-traitant pour le compte du responsable du traitement est :

Les données sont traitées aux fins suivantes :

a) Pour pouvoir servir d'intermédiaire dans les ventes entre les utilisateurs de Sprii (responsable du traitement des données) et le client final.

A.2. Le traitement des données à caractère personnel effectué par le sous-traitant pour le compte du responsable du traitement porte principalement sur (la nature du traitement) :

Utilisation générale :

- Envoi de liens vers les produits et services demandés par les consommateurs

- Envoi de notifications aux consommateurs qui ont donné leur consentement

- Suivi des gagnants et des participants aux concours

Si Sprii Hosted Checkout est utilisé :

- Gestion des commandes et communication hereabout

A.3. Le traitement comprend les types de données personnelles suivants :

Données personnelles générales qui sont traitées :

- Nom du profil de la plateforme (c'est-à-dire Facebook, Instagram)

Si Sprii Hosted Checkout est utilisé :

- Nom

- Adresse électronique

- Numéro de téléphone

- Adresse

Toutes les données personnelles sont traitées de manière confidentielle.

A.4. Le traitement comprend les catégories suivantes de personnes concernées :

Des informations sont traitées sur les catégories suivantes de personnes concernées :

a) Les utilisateurs finaux qui interagissent dans les activités assistées par Sprii par le contrôleur de données. 

A.5. Le traitement des données personnelles par le processeur de données pour le compte du responsable du traitement peut être effectué lorsque les Clauses commencent. Le traitement a la durée suivante :

Cet accord s'applique tant que Sprii ApS traite des données personnelles pour le responsable du traitement des données conformément à l'accord distinct des parties sur le système, les services, le paiement, etc. À la fin des services relatifs au traitement des données personnelles, Sprii anonymisera, à la demande du responsable du traitement, toutes les données personnelles qui ont été traitées pour le compte du responsable du traitement et confirmera au responsable du traitement que les informations ont été anonymisées, à moins que le droit de l'UE ou le droit national des États membres ne prescrive le stockage des données personnelles. 

Annexe B - Sous-traitants autorisés

B.1. Sous-traitants agréés

À l'entrée en vigueur des clauses, le responsable du traitement des données autorise l'engagement des sous-traitants secondaires suivants :

1. Nom : Google Firebase, Alphabeat Inc.

Adresse : Siège social : 1600 Amphitheatre Parkway Mountain View, CA 94043 (siège social)

Serveurs utilisés par Sprii : St. Ghislain, Belgique.

Description du traitement :

Firebase est une plateforme de développement d'applications mobiles et web. Le logiciel et la base de données de Sprii sont hébergés par Google Firebase. Le traitement comprend le traitement des données d'achat, des produits et des données de commentaires des plateformes.

Les conditions de traitement des données et de sécurité de Firebase peuvent être consultées ici :

https://firebase.google.com/terms/data-processing-terms

2. 

Nom : Elasticsearch

Adresse : Siège social : 8000 West El Camino Real, Suite 350, Mountain View, CA United States (Headquarter)

Serveurs utilisés par Sprii : Francfort, Allemagne.

Description du traitement :

Elasticsearch est un moteur de recherche qui permet d'effectuer des recherches efficaces dans de grandes quantités de données. Il est utilisé, par exemple, pour trouver toutes les commandes relatives à un client spécifique. ElasticSearch dispose de serveurs à Francfort, en Allemagne, que Sprii utilise.

Le traitement comprend le traitement des commandes des clients et des produits.

https://www.elastic.co/legal/product-privacy-statement

Le responsable du traitement des données autorise, dès l'entrée en vigueur des clauses, l'utilisation des sous-traitants secondaires susmentionnés pour le traitement décrit pour cette partie. Le responsable du traitement des données n'a pas le droit - sans l'autorisation écrite explicite du responsable du traitement des données - d'engager un sous-traitant pour un traitement "différent" de celui qui a été convenu ou de faire en sorte qu'un autre sous-traitant effectue le traitement décrit.

Annexe C - Instruction relative à l'utilisation des données personnelles 

C.1. Objet/instruction du traitement

Le traitement des données personnelles par le processeur de données pour le compte du responsable du traitement est effectué par le processeur de données en effectuant ce qui suit :

Utilisation générale :

Le processeur de données recueille le nom d'utilisateur de la plateforme sur l'utilisateur final, ainsi que les marchandises que le client final a demandées/commandées/achetées.

Si Sprii Hosted Checkout est utilisé :

Le responsable du traitement des données recueille des données personnelles générales (nom, adresse, e-mail et numéro de téléphone) sur l'utilisateur final, ainsi que les marchandises que le client final a demandées/commandées/achetées.

C.2. Sécurité du traitement

Le niveau de sécurité doit refléter un niveau de sécurité raisonnable et approprié doit être établi.

Le responsable du traitement des données a alors le droit et l'obligation de prendre des décisions concernant les mesures de sécurité techniques et organisationnelles qui doivent être utilisées pour créer le niveau de sécurité nécessaire autour des informations.

Le traitement comprend des données personnelles, c'est pourquoi le responsable du traitement des données doit mettre en œuvre les mesures suivantes :

Mesures techniques :

- Une protection antivirus pertinente est en place et utilisée.

- Validation à deux facteurs pour la connexion aux systèmes lorsque c'est possible.

- Sauvegarde des systèmes qui traitent les données personnelles.

Mesures organisationnelles :

- Tous les employés reçoivent des instructions sur la protection des données personnelles

- Les instructions destinées aux employés sont mises à jour et révisées au moins une fois par an

- Les instructions destinées aux employés sont toujours passées en revue avec les nouveaux employés dans le cadre de l'embauche

- Tous les employés sont tenus de respecter la confidentialité pendant et après leur emploi

- L'accès et la connexion sont basés sur des rôles ou des personnes, et le personnel et les systèmes n'ont pas accès à plus que ce qui est nécessaire à l'accomplissement de leurs tâches

Mesures physiques :

- Les installations de travail et les bureaux sont protégés par des contrôles d'accès appropriés pour s'assurer que seul le personnel autorisé y a accès

- Tous les supports physiques (papier, clé USB, etc.) sont détruits de manière responsable s'ils ont été utilisés pour stocker des données personnelles

Le responsable du traitement des données a le droit de prendre d'autres décisions concernant les mesures de sécurité techniques et organisationnelles nécessaires à mettre en œuvre pour assurer un niveau de sécurité approprié concernant les données à caractère personnel

Sprii ApS et son traitement des données personnelles peuvent avoir lieu en totalité ou en partie en utilisant des lieux de travail à domicile, qui répondent tous aux exigences de sécurité couvertes par le présent accord de traitement des données.

C.3. Assistance au responsable du traitement des données

Le responsable du traitement des données doit dans la mesure du possible - dans une portée et une étendue raisonnables - aider le responsable du traitement des données conformément aux dispositions 9.1 et 9.2 en mettant en œuvre les mesures techniques et organisationnelles énumérées sous C.2.

Le sous-traitant, compte tenu de la nature du traitement, assiste le responsable du traitement dans la mesure du possible, au moyen des mesures techniques et organisationnelles appropriées mentionnées, dans l'exécution de l'obligation du responsable du traitement de répondre aux demandes d'exercice des droits des personnes concernées.

C.4. Période de stockage/procédures d'effacement 

Les informations personnelles sont stockées par le processeur de données pendant les périodes suivantes :

• Interactions avec les campagnes - Les données personnelles sont anonymisées 2 ans après la dernière interaction.

• Listes d'abonnement - Les données personnelles sont rendues anonymes 2 ans après la date d'exclusion.

• Le contenu des commentaires en général est stocké pendant 30 jours et supprimé le^30e jour.  

À la fin des services liés au traitement des données personnelles, le sous-traitant des données anonymisera ou supprimera, à la demande du responsable du traitement des données, toutes les données personnelles qui ont été traitées pour le compte du responsable du traitement des données et confirmera au responsable du traitement des données que les informations ont été anonymisées ou supprimées, à moins que le droit de l'UE ou le droit national des États membres ne prescrive le stockage des données personnelles.  

Si rien n'est demandé par le responsable du traitement, les données personnelles seront anonymisées au bout de 2 ans.

C.5. Lieu de traitement

Le traitement des données personnelles couvertes par le Règlement ne peut avoir lieu sans l'accord écrit préalable du responsable du traitement dans des lieux autres que les suivants :

- Sprii ApS (CVR 42084476), Søvej 46, 2791 Dragør, Danemark

- Sprii ApS (CVR 42084476), Sommervej 31E, 8210 Aarhus V, Danemark

- Les lieux de travail à domicile des employés, qui répondent tous aux exigences de sécurité couvertes par le présent accord de traitement des données.

L'emplacement des processeurs de données secondaires est indiqué au point B.1.

C.6. Instruction sur le transfert de données à caractère personnel vers des pays tiers. 

Si le responsable du traitement ne dans le présent règlement ou donne ultérieurement une instruction documentée concernant le transfert de données à caractère personnel vers un pays tiers, le sous-traitant n'a pas le droit d'effectuer ces transferts dans le cadre du présent règlement.

C.7. Procédures pour les audits du responsable du traitement, y compris les inspections, du traitement des données à caractère personnel effectué par le sous-traitant.

Le responsable du traitement des données doit, à la demande du responsable du traitement des données et aux frais de ce dernier, obtenir une déclaration d'audit ou un rapport d'inspection d'un tiers indépendant concernant le respect par le responsable du traitement des données du règlement sur la protection des données, des règlements sur la protection des données d'une autre loi de l'UE ou de la loi nationale des États membres et du présent règlement.

La déclaration d'audit/le rapport d'inspection est transmis sans délai excessif au responsable du traitement des données pour information. Le responsable du traitement peut contester le cadre et/ou la méthode de la déclaration d'audit/du rapport d'inspection et peut dans ce cas demander une nouvelle déclaration d'audit/un nouveau rapport d'inspection dans un cadre différent et/ou en utilisant une autre méthode.

Sur la base des résultats, le responsable du traitement est en droit de demander la mise en œuvre de mesures supplémentaires afin de garantir le respect du règlement sur la protection des données, des dispositions relatives à la protection des données dans d'autres lois de l'UE ou dans le droit national des États membres et du présent règlement.

Le responsable du traitement des données ou un représentant du responsable du traitement des données a également accès à la réalisation d'inspections, y compris des inspections physiques, des lieux à partir desquels le sous-traitant des données traite les données personnelles, y compris les lieux physiques et les systèmes utilisés pour le traitement ou en relation avec celui-ci. Ces inspections peuvent être effectuées lorsque le responsable du traitement des données le juge nécessaire. L'évaluation doit être basée sur des faits et non sur un sentiment. L'inspection physique nécessite un accord préalable avec le responsable du traitement des données et avec un préavis de 4 semaines, afin que le responsable du traitement des données soit prêt à pouvoir y consacrer les ressources nécessaires.

Les dépenses éventuelles du responsable du traitement liées à un contrôle physique sont supportées par le responsable du traitement lui-même. Toutefois, le responsable du traitement des données est tenu d'allouer les ressources (principalement le temps) nécessaires pour que le responsable du traitement des données puisse effectuer son inspection.

Le responsable du traitement des données se conforme à participer à l'audit écrit annuel du responsable du traitement des données.

C.8. Procédures d'audit, y compris d'inspection, du traitement des données à caractère personnel effectué par les sous-traitants secondaires.

En tant que processeur de données, nous nous mettons à jour dans les politiques de sécurité de nos sous-processeurs de données afin de nous assurer que ces derniers respectent à tout moment les mesures de sécurité nécessaires. Cela signifie que nous recueillons chaque année des informations sur les mesures de sécurité organisationnelles et techniques de nos sous-traitants secondaires. Les sous-traitants de données secondaires sont mentionnés au point B.1.

Tous les frais encourus par le responsable du traitement des données et le sous-traitant des données secondaires dans le cadre d'un audit des locaux du sous-traitant des données secondaires sont à la charge du responsable du traitement des données.

Annexe D - Addendum au Royaume Unifié

Le présent addenda spécifique au Royaume-Uni (" addenda britannique ") est conclu par les parties et fait partie de l'accord de traitement des données (" DPA ") entre le contrôleur de données basé au Royaume-Uni et Sprii ApS. Le présent addendum britannique garantit la conformité au règlement général sur la protection des données du Royaume-Uni (" RGPD britannique ") et à la loi sur la protection des données de 2018 (" DPA 2018 ").

D.1. Champ d'application et application
Le présent addendum s'applique lorsque le responsable du traitement des données traite des données à caractère personnel soumises au GDPR et au DPA 2018 du Royaume-Uni, en plus du GDPR de l'UE.

‍
D.2. Autorité de contrôle
Pour les personnes concernées basées au Royaume-Uni, l'autorité de contrôle compétente est l'Information Commissioner's Office (ICO) britannique.
‍

D.3. Transferts de données du Royaume-Uni
- Tout transfert de données à caractère personnel du Royaume-Uni vers un pays tiers doit être conforme au chapitre V du GDPR britannique.
- Si des clauses contractuelles types (CCN) en vertu du GDPR de l'UE sont utilisées, l'addendum **UK International Data Transfer Addendum** doit être incorporé.
- Les transferts du Royaume-Uni vers l'UE sont actuellement considérés comme adéquats en vertu de la loi britannique, à moins que des changements réglementaires n'interviennent.
‍

D.4. Notification de violation de données
- Si une violation de données implique des personnes concernées au Royaume-Uni, le processeur de données doit notifier le contrôleur de données conformément au GDPR britannique.
- Le contrôleur des données doit évaluer s'il convient de notifier le bureau du commissaire à l'information du Royaume-Uni (ICO).
‍

D.5. Sous-traitement au Royaume-Uni
- Lorsque le responsable du traitement des données engage un sous-traitant pour le traitement des données personnelles basé au Royaume-Uni, le sous-traitant doit adhérer aux normes du GDPR du Royaume-Uni.
- Les sous-processeurs situés en dehors du Royaume-Uni doivent appliquer l'addendum britannique sur le transfert international de données, le cas échéant.
‍

D.6. Droit applicable
- Le présent addendum britannique est régi et interprété conformément aux lois de **l'Angleterre et du Pays de Galles.

‍