This website requires JavaScript.
Skip to content

CONDITIONS GÉNÉRALES D’UTILISATION 

DES SERVICES DE SPENDESK

Version actuelle publiée le 01/07/2021. La version actuelle entre en vigueur le 01/07/2021.

La société Spendesk propose une plateforme de gestion des dépenses pour les entreprises. Les présentes Conditions Générales ont pour objet de régir les Services fournis par Spendesk à ses Clients. Les Services incluent des services de paiement et des services de monnaie électronique. Dans le cadre de la fourniture des Services relatifs aux Comptes en Euros, Spendesk agit en qualité d’agent de PSP au nom et pour le compte de SFPMEI. A ce titre, Spendesk est enregistrée auprès de l’ACPR et inscrite sur le Registre des agents financiers (accessible ici : https://www.regafi.fr/) sous le numéro 821893286.

1. DÉFINITIONS ET INTERPRÉTATION

1.1. Définitions

Dans les présentes Conditions Générales, les termes commençant par une majuscule et non définis spécifiquement dans le corps des Conditions Générales ont le sens qui leur est attribué ci-dessous :

Accepteur: désigne l’accepteur d’un Ordre de Paiement par Carte disposant d’un Point d’Acceptation ;

ACPR: désigne l’Autorité de contrôle prudentiel et de résolution sise 4, place de Budapest – 75436 Paris Cedex 09 ;

Bénéficiaire: désigne toute personne physique ou morale qui est le destinataire prévu de fonds ayant fait l’objet d’une Opération de Paiement ;

Carte: désigne, selon le cas, une Carte en Euros, Carte en GBP ou une Carte en Devises ;

Carte en Euros: désigne une carte physique ou virtuelle de débit libellée en euros qui est mise à la disposition du Client immatriculé dans un État partie à l’EEE (à l’exclusion des clients immatriculés au Royaume-Uni) et qui est régie par les Conditions Générales Cartes de débit EEE disponibles à l’Annexe 1 ;

Carte en Devises: désigne une carte physique ou virtuelle prépayée libellée dans une des devises suivantes: EUR, USD, GBP, NOK, SEK et DKK pour les clients immatriculés dans un État parti à l’EEE ou EUR, USD, GBP, NOK, SEK et DKK pour les clients immatriculés au Royaume-Uni , qui est mise à la disposition du Client; pour les clients immatriculés au Royaume-Uni à qui sont attribués des Cartes en Devises, ces Cartes sont régies par les Conditions Générales Cartes prépayées UK disponibles en Annexe 1; pour les clients immatriculés dans un État parti à l’EEE, ces Cartes sont régis par les Conditions Générales Cartes prépayées EEE disponibles en Annexe 1;

Carte en GBP: désigne une carte physique ou virtuelle de débit libellée en livres Sterling (GBP) qui est mise à la disposition du Client immatriculé dans un État parti à l’EEE ou au Royaume Uni et qui est régie par les Conditions Générales Cartes de débit UK disponibles en Annexe 1 ;

Client: désigne une personne physique ou morale, immatriculée ou résidente dans un État membre de l’UE ou dans un État partie à l’EEE ou au Royaume-Uni, agissant pour son compte dans le cadre de son activité professionnelle, ayant adhéré aux présentes Conditions Générales et souhaitant utiliser les Services fournis par Spendesk ;

CMF: désigne le Code monétaire et financier ;

Code PIN: désigne le code à quatre (4) chiffres associé à une Carte ;

Comptes: désigne les Comptes en Euros et/ou, selon le contexte, les Comptes en GBP ;

Compte en Euros: désigne un compte de paiement, au sens de l’article L. 314-1 I. du CMF, identifié par un IBAN, libellé en euro et ouvert au nom du Client immatriculé dans l’EEE dans les livres de SFPMEI ;

Compte en GBP: désigne le compte de monnaie électronique libellés en livres sterling (GBP) et ouvert au nom du Client dans les livres de TPL ;

Compte Externe: désigne un compte bancaire ou de paiement détenu par le Client auprès d'un PSP autre que SFPMEI ;

Contrat: désigne, ensemble, les Documents des Partenaires et les Conditions Générales ;

CGU Cartes Devises: désigne soit (i) les Conditions Générales Cartes prépayées EEE figurant à l’Annexe 1 ou soit (ii) les Conditions Générales Cartes Prépayées UK figurant à l’Annexe 1 ;

CGU Compte GBP: désigne les conditions générales d’utilisation du Compte en GBP figurant à l’Annexe 1 ;

CGU Cartes Euros: désigne les Conditions Générales Cartes de débit EEE figurant à l’Annexe 1 ;

CGU Cartes GBP: désigne les conditions Générales Cartes de débit UK figurant à l’Annexe 1 ;

CGU SFPMEI: désigne le « Contrat-cadre pour les Services de Paiement » figurant à l’Annexe 1 ;

CGU TPL: désigne, ensemble, les CGU Cartes Devises, les CGU Compte GBP, les CGU Carte GBP et les stipulations des Conditions Tarifaires applicables aux Comptes en GBP et aux Cartes en Devises et aux Cartes GBP ;

Conditions Générales: désigne les présentes conditions générales d’utilisation des services de Spendesk ;

Conditions Tarifaires: désigne les Frais applicables aux Services et qui figurent :

-  en Annexe 1 pour les Cartes en Euros ; et

-  en Annexe 1 pour le(s) Compte(s) en GBP et les Cartes en Devises.

DAB: désigne un distributeur automatique de billets ;

Documents des Partenaires: désigne, ensemble, les CGU Cartes Euros, les CGU SFPMEI, les CGU Cartes Devises, les CGU Compte Devise TPL et les Conditions Tarifaires ;

Données à Caractère Personnel: désigne des « données à caractère personnel » au sens de la Loi pour la Protection des Données ;

Données de Sécurité Personnalisées: désigne les données personnalisées fournies à un Utilisateur par Spendesk ou, selon le cas, choisies par un Utilisateur, qui doivent être utilisées par cet Utilisateur afin de s’identifier pour accéder à la Plateforme et/ou réaliser une action sur la Plateforme, y compris pour demander l’exécution d’une Opération de Paiement. Les Données de Sécurité Personnalisées incluent également le Code PIN associé à une Carte ;

EEE: désigne l’Espace économique européen ;

Jour Ouvrable: désigne (i) pour Spendesk, un jour calendaire, à l’exception des samedis, dimanches et jours fériés en France métropolitaine, au cours duquel les infrastructures de paiement exercent leurs activités en fonctionnement régulier et au cours duquel Spendesk exerce une activité permettant d'exécuter des Opérations de Paiement, (ii) pour SFPMEI, un jour ouvrable tel que défini dans les CGU SFPMEI et (iii) pour TPL, un jour ouvrable tel que défini dans les CGU TPL applicables au Service concerné ;

Frais: désigne les frais dus par le Client en contrepartie de la fourniture des Services, selon les tarifs indiqués dans les Conditions Tarifaires ;

LCB-FT: désigne la lutte contre le blanchiment de capitaux et le financement du terrorisme ;

Loi pour la Protection des Données: désigne (i) le RGPD et (ii) toute autre réglementation applicable à Spendesk et au Client en matière de protection des Données à Caractère Personnel ;

Opération de Paiement: désigne une action consistant à verser, transférer ou retirer des fonds à partir ou à destination d’un Compte, indépendamment de toute obligation sous-jacente entre le Payeur et le Bénéficiaire ;

Ordre de Paiement: désigne une instruction d’un Payeur ou d’un Bénéficiaire à son PSP demandant l’exécution d’une Opération de Paiement ;

Parties: désigne, ensemble, (i) le Client et (ii) Spendesk agissant, selon le cas, soit en son nom et pour son compte, soit en tant qu’agent de SFPMEI ;

Payeur: désigne toute personne physique ou morale donnant ou autorisant un Ordre de Paiement ;

Plateforme: désigne la solution fournie par Spendesk qui permet aux Clients d’utiliser les Services et qui inclut notamment le site web disponible à l’adresse https:// www.spendesk.com (et/ou tout autre site web dont le Client pourrait être ultérieurement informé) et/ou toute application mobile que Spendesk mettrait à la disposition du Client ;

Point d’Acceptation: désigne la page de paiement ou le terminal de paiement permettant à un Client de transmettre un Ordre de Paiement par Carte à un Accepteur ;

PSP: désigne un prestataire de services de paiement ;

RGPD: désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Schéma de Carte: désigne Mastercard® et/ou tout autre schéma de cartes similaire, comme indiqué sur la Plateforme ;

Services: désigne l’accès à la Plateforme et aux services afférents, y compris les services relatifs aux Comptes en Euros, aux Cartes en Euros, aux Comptes en GBP, aux Cartes en Devises et le Service d’Archivage mais en excluant le Service d’Assurance qui sera uniquement traité à l’article 9 ;

Service d’Archivage: désigne le service décrit à l’article 6 ci-dessous ;

Service d’Assurance: désigne la possibilité pour le Client de souscrire à une assurance telle que décrite à l’article 9 ci-dessous ;

SFPMEI: désigne SFPMEI, société par actions simplifiée immatriculée au Registre du commerce et des sociétés de Paris sous le numéro 890111776, dont le siège social est sis 29 rue du Louvre 75002 Paris – France. SFPMEI est agréée en qualité d’établissement de monnaie électronique par l’ACPR sous le numéro 17448 et est soumise au contrôle de cette dernière ;

Spendesk: désigne Spendesk SAS, société par actions simplifiée immatriculée au Registre du commerce et des sociétés de Paris sous le numéro 821 893 286, dont le siège social est sis 51 rue de Londres, 75008 Paris – France. Pour l’application des stipulations des présentes Conditions Générales relatives aux Comptes en Euros, toute référence à Spendesk doit être interprétée comme faisant référence à Spendesk SAS agissant en tant qu’agent de SFPMEI. Pour l’application des stipulations des présentes Conditions Générales relatives aux Comptes en GBP et aux Cartes, toute référence à Spendesk doit être interprétée comme faisant référence à Spendesk SAS;

TPE: désigne tout équipement électronique, y compris notamment tout terminal de paiement en proximité ou à distance (lecteur sécurisé connecté à un ordinateur, décodeur TV, téléphone mobile avec insertion de la Carte, etc.) ou DAB qui est utilisé pour initier une Opération de Paiement par Carte ;

TPL: désigne Transact Payments Malta Limited , société immatriculée à Malte, dont le siège social est sis Vault 14, Level 2, Valletta Waterfront, Floriana FRN 1914, Malte, autorisée en tant qu’établissement de monnaie électronique par l’Autorité des Services Financiers de Malte sous le numéro 91879 et/ou Transaction Payment Limited, société immatriculée à Gibraltar, dont le siège social est sis 6.20 World Trade Center, 6 Bayside Road, Gibraltar GX11 1AA autorisée en tant qu’établissement de monnaie électronique par la Commission des Services Financiers de Gibraltar ;

Utilisateur: désigne, selon le contexte, (i) l’Utilisateur Principal et/ou (ii) toute autre personne physique agissant au nom et pour le compte du Client dans le cadre de son activité professionnelle et qui est habilitée à utiliser les Services au nom et pour le compte du Client, dans la limite des habilitations qui lui ont été délivrées par l’Utilisateur Principal ;

Utilisateur Principal: désigne le Client (lorsqu’il est une personne physique) ou une personne physique dûment habilitée par le Client à (i) conclure le Contrat pour le compte du Client et (ii) exercer les fonctions prévues par les Conditions Générales, notamment celles indiquées à l’article 3. Lorsque l’Utilisateur Principal n’est pas le Client ou un mandataire social du Client, il doit s’agir d’une personne (salarié ou tiers) spécialement habilitée à agir au nom et pour le compte du Client (et, dans le cas visé au (i) ci-dessus, à conclure le Contrat pour le compte du Client) dans le cadre d’une procuration ou d’une délégation de pouvoirs accordée par un mandataire social du Client. Le Client s’engage à fournir à Spendesk, sur demande, une preuve des pouvoirs de l’Utilisateur Principal ;

Violation de Données: désigne une violation de sécurité menant de manière accidentelle ou illégale, à une destruction, perte, altération, révélation non-autorisée de, ou accès aux Données à Caractère Personnel transmises, stockées ou traitées d’une autre manière par Spendesk ; et

Virement: désigne une Opération de Paiement par laquelle le PSP qui tient le compte du Payeur vire, sur instruction du Payeur, une somme d'argent du compte du Payeur vers un autre compte ouvert au nom du Bénéficiaire.

1.2. Interprétation

Sauf indication contraire dans les présentes Conditions Générales, (i) les mots d’un genre donné impliquent l’autre genre, (ii) les mots au singulier impliquent également le pluriel et vice versa et (iii) les expressions « les présentes Conditions Générales », « aux présentes » et leurs formes dérivées ou expressions similaires se rapportent aux Conditions Générales dans leur intégralité.

Sauf indication contraire dans les présentes Conditions Générales, en cas de contradiction entre les Conditions Générales et les Documents des Partenaires, ces derniers prévalent sur les Conditions Générales.

2. SOUSCRIPTION AUX SERVICES

2.1. Inscription

Si le Client remplit tous les critères indiqués sur la Plateforme au moment de son inscription, il peut souscrire aux Services en suivant les étapes indiquées sur la Plateforme.

À la date des présentes Conditions Générales, le Client ne peut être qu’une personne physique ou morale agissant à des fins professionnelles ou une entreprise immatriculée ou résidente dans un État membre de l’UE ou dans un État partie à l’EEE ou au Royaume -Uni. Les Services s’adressent exclusivement à des clients professionnels et ne sont pas destinés à des consommateurs.

En tout état de cause, l’inscription du Client implique notamment (i) l’acceptation du Contrat (qui inclut les Conditions Générales, les Documents des Partenaires et les Conditions Tarifaires) et (ii) le paiement des Frais.

Spendesk peut, à sa seule discrétion, refuser à toute personne l’inscription aux Services, sans avoir à expliquer son refus.

2.2. Acceptation du Contrat

L’acceptation du Contrat par le Client est matérialisée, pendant le processus d’inscription mentionné à l’article 2.1 ci-dessus par une case cochée sur la Plateforme et la signature électronique d’un représentant légal du Client.

En adhérant au Contrat, le Client reconnaît expressément qu’il a attentivement pris connaissance des Conditions Générales, des Documents des Partenaires et des Conditions Tarifaires en vigueur le jour de son acceptation, qu’il les a comprises et qu'il les accepte dans leur intégralité et sans réserve.

Le Client s’engage à porter le Contrat à la connaissance de tout Utilisateur et à faire respecter les stipulations du Contrat par tout Utilisateur.

Le Client accepte la transmission et la signature de tout document par voie électronique et reconnaît leur opposabilité en cas de litige.

2.3. Vérifications LCB-FT

Conformément à la réglementation applicable, SFPMEI et TPL sont tenus de recueillir certains documents et informations sur le Client, ainsi que sur son/ses bénéficiaire(s) effectif(s), avant d’entrer en relation avec lui ou pendant leur relation contractuelle.

Dans ce contexte, le Client s’engage à fournir à Spendesk tout document et/ou information nécessaire pour permettre à SFPMEI et/ou à TPL de se conformer à leurs obligations en matière de LCB-FT (ci-après les « Éléments KYC »). Des mesures de vérification et de certification des documents communiqués par le Client peuvent être demandées ou effectuées, le cas échéant.

Le Client reconnaît que dans l’hypothèse où il ne fournirait pas les documents demandés, Spendesk se verrait dans l’impossibilité de fournir les Services et le cas échéant dans l’obligation de résilier le Contrat.

En cas de modification affectant les Éléments KYC, comme un changement de bénéficiaire effectif, le Client doit en informer Spendesk dans les meilleurs délais.

Le Client accepte que les informations et documents transmis par Spendesk dans le cadre de la mise en œuvre de la présente clause 2.3 soient conservés par Spendesk et SFPMEI ou, selon le cas, TPL, pendant la durée et dans les conditions prévues par la réglementation applicable.

3. ACCÈS AUX SERVICES

Dans les présentes Conditions Générales, le terme « Client » doit être interprété comme faisant référence (i) au Client lui-même s’il est une personne physique ou (ii) au Client agissant par l’intermédiaire d’un Utilisateur (soit l’Utilisateur Principal, soit un Utilisateur disposant des pouvoirs et habilitations nécessaires). Tout acte, décision, instruction ou demande saisis par un Utilisateur sur la Plateforme sera considéré comme un acte, une décision, une instruction ou une demande du Client.

L’accès aux Services par les Utilisateurs requiert leur inscription sur la Plateforme. Le Client s’engage à ce que les Utilisateurs s’inscrivent sur la Plateforme et utilisent les Services en respectant les stipulations des Conditions Générales.

L’Utilisateur Principal peut effectuer tout acte de gestion du/des Compte(s) et des Services, y compris notamment :

(i)  inviter d’autres personnes à devenir des Utilisateurs et les habiliter à réaliser certaines actions sur la Plateforme ;

(ii)  demander l’émission de Cartes ;

(iii)  attribuer un plafond de dépenses ou de retrait à chaque Carte, dans la limite des montants maximum autorisés par Spendesk ;

(iv)  demander l’exécution de Virements sortants, y compris vers un Compte Externe ;

(v)  approvisionner un Compte en Euros selon les stipulations prévues à l’article 4.1.2 ci-après ou charger un Compte en GBP selon les stipulations prévues à l’article 5.1.2 ci-après.

L’Utilisateur Principal peut déléguer des pouvoirs à un Utilisateur en lui affectant un profil sur la Plateforme. Lorsqu’il attribue des pouvoirs à un Utilisateur, l’Utilisateur Principal peut être contraint de sélectionner l’un des profils prédéfinis proposés par Spendesk, sans pouvoir choisir la combinaison de pouvoirs/autorisations qu’il veut déléguer ou la terminologie attribuée à chaque profil (« Administrateur », « Demandeur », « Gestionnaire », etc.).

4. SERVICES RELATIFS AUX COMPTE(S) EN EUROS ET AUX CARTES EN EUROS

Les stipulations du présent article 4 s’appliquent uniquement si le Client a sollicité l’ouverture d’un ou plusieurs Compte(s) en Euros et/ou la mise à disposition d’une ou plusieurs Cartes en Euros.

4.1. Services relatifs au(x) Compte(s) en Euros

4.1.1. Conditions d’ouverture d’un Compte en Euros

Les conditions d’ouverture d’un ou plusieurs Compte(s) en Euros au nom du Client ainsi que les modalités de fonctionnement de ce(s) Compte(s) en Euros sont régies par les CGU SFPMEI figurant en Annexe 1. Dans le cadre de la fourniture des Services liés au(x) Compte(s) en Euros, Spendesk agit en tant qu’agent de SFPMEI.

L’ouverture d’un ou plusieurs Compte(s) en Euros au nom du Client est subordonné (i) au respect par le Client des étapes d’inscription mentionnées sur la Plateforme, (ii) à l’examen par Spendesk des documents et informations fournis par le Client (iii) à l’acceptation de la demande d’inscription par Spendesk et (iv) au respect des présentes Conditions Générales ainsi que des CGU SFPMEI figurant en Annexe 1.

Si Spendesk estime, à sa seule discrétion, que les éléments fournis par le Client lors de son inscription ne sont pas suffisants pour permettre à Spendesk et/ou SFPMEI de respecter leurs obligations réglementaires et/ou contractuelles, notamment en matière de LCB-FT, Spendesk se réserve le droit de reporter ou refuser l’ouverture d’un Compte en Euros, sans avoir à motiver sa décision. Cette décision ne pourra en aucun cas donner lieu à des dommages-intérêts. Elle sera notifiée au Client soit par e-mail soit par téléphone et mettra immédiatement fin aux présentes Conditions Générales.

4.1.2. Approvisionnement d’un Compte en Euros

Le Client doit s'assurer que tout Compte en Euros présente à tout moment un solde suffisant et disponible pour permettre (i) l’exécution des Opérations de Paiement demandées par le Client et (ii) le prélèvement par Spendesk des Frais en application de l’article 10 ci-après.

Le Client peut approvisionner un Compte en Euros :

(i)  en ordonnant un Virement vers ce Compte en Euros depuis un Compte Externe selon les modalités prévues précisées par les CGU SFPMEI figurant en Annexe 1 ; ou

(ii)  en effectuant un paiement par carte sur la Plateforme, conformément à la procédure décrite sur la Plateforme. Seules les cartes de marque Visa, American Express ou Mastercard sont acceptées à cette fin. Cette opération peut être sujette à des commissions qui seront mentionnées sur la Plateforme avant que le Client confirme le paiement par carte.

Le Client reconnaît et accepte expressément à ce que le Compte ne soit jamais utilisé comme un compte dit de dépôt. En effet et pour mémoire, le Compte a pour fonction de permettre au Client d'accompagner les Utilisateurs dans le cadre de leurs dépenses professionnelles en les facilitant et en en permettant un contrôle à travers la Plateforme. Dans ce cadre et comme indiqué dans le présent article, le Client doit veiller à ce que le Compte ait seulement un solde suffisant et disponible pour ces dépenses. Néanmoins, ce solde doit représenter un montant en cohérence avec la moyenne des dépenses mensuelles du client, à savoir selon un montant prévisionnel ou réel constaté sur les 3 (trois) derniers mois précédant le chargement éventuel du Compte du Client. Ainsi, et dans l'hypothèse où le solde dudit Compte dépasserait 12 (douze) fois le montant des dépenses mensuelles moyen, prévisionnel ou réel sur les 3 (trois) derniers mois (la "Moyenne"), Spendesk en informera le Client immédiatement et qui devra procéder au virement de la partie du solde dépassant la Moyenne sur le compte émetteur du Client. Sans actions de la part du Client dans les 7 (sept) jours qui suivent l'information par Spendesk, le montant initialement versé par le Client sera renvoyé en totalité sur le compte émetteur.

4.1.3. Virements effectués à partir d’un Compte en Euros

Le Client peut ordonner un Virement depuis un Compte en Euros vers un Compte Externe selon les modalités prévues précisées par les CGU SFPMEI figurant en Annexe 1.

4.1.4. Contestation des Opérations de Paiement et/ou blocage du Compte en Euros

Le Client peut contester des Opérations de Paiement autorisées, non autorisées ou mal exécutées réalisées sur le Compte en Euros aussi rapidement que possible et au plus tard dans les soixante (60) jours suivant l'enregistrement de l'Opération litigieuse sur le Compte en Euros. Pour contester une Opération, le Client informe Spendesk selon les modalités décrites à l’article 10 ci-après.

Lorsqu'il découvre la perte, le vol ou l'usage frauduleux de ses Données de Sécurité Personnalisées, le Client ou tout Utilisateur doit informer Spendesk afin de bloquer l'accès au Compte en Euro. Cette demande doit être faite par email envoyé à l'adresse indiquée à l’article 10 ci-après. Spendesk accuse réception et notifie le Client du blocage du Compte en Euro par email.

Les modalités de contestation d’Opérations de Paiement réalisées sur le Compte en Euros et de blocage d’un Compte en Euros sont également régies par les CGU SFPMEI figurant en Annexe 1.

Spendesk se réserve la possibilité de bloquer, de sa propre initiative, le Compte en Euros pour des raisons ayant trait à la sécurité du Compte en Euros, dans les conditions prévues par les CGU SFPMEI figurant en Annexe 1.

4.1.5. Consultation du solde d’un Compte en Euros

Le solde d’un Compte en Euros et l'historique des Opérations de Paiement réalisées sur ce Compte en Euros peuvent être consultés à tout moment en se connectant à la Plateforme. Il est recommandé au Client de vérifier régulièrement l’historique afin d’être en mesure de détecter une Opération de Paiement non autorisée ou mal exécutée.

4.2. Services liés à l’utilisation des Cartes en Euros

Le Client peut demander la mise à disposition d’une ou plusieurs Carte(s) en Euros dont les conditions de souscription et d’utilisation sont décrites par les CGU Cartes Euros figurant à l’Annexe 1 pour les cartes de débit.

4.2.1. Délivrance et activation d’une Carte en Euros

Une Carte est délivrée à la demande du Client. Cette demande doit être effectuée par le biais de la Plateforme.

Spendesk se réserve le droit de refuser de délivrer une Carte. Dans ce cas, Spendesk informe le Client, sur demande de ce dernier, des motifs de sa décision, à moins qu’une telle information soit interdite en vertu de la réglementation applicable.

Une Carte physique (plastique) est directement envoyée au Client ou à l’Utilisateur désigné par le Client à l'adresse indiquée sur le bon de commande de la Carte rempli via la Plateforme. Lorsque la Carte est envoyée au Client, il lui appartient de la remettre à l’Utilisateur concerné.

Pour pouvoir activer la Carte qui lui est attribuée, l’Utilisateur doit se connecter à la Plateforme et suivre les indications qui lui sont communiquées. La Carte ne pourra pas être utilisée si elle n’est pas activée par l'Utilisateur dans le délai imparti.

Dans le cas d’une Carte physique, l’Utilisateur de la Carte doit signer l'arrière de la Carte dès qu'il la reçoit.

4.2.2. Utilisation des Cartes en Euros

Une Carte en Euros permet à son Utilisateur d’effectuer :

-  des retraits d'espèces auprès de DAB affichant la marque du Schéma de Cartes apposée sur la Carte ; et

-  des achats de biens ou de services (en proximité ou à distance) auprès des Accepteurs qui acceptent les cartes portant la marque du Schéma de Cartes apposée sur la Carte.

Lorsque la Carte en Euros est une carte de débit régie par les CGU Cartes Euros figurant à l’Annexe 1, les Opérations de Paiement réalisées avec cette Carte sont débitées du Compte en Euros associé à la Carte.

4.2.3. Saisie du Code PIN associé à une Carte en Euros

Le nombre d'essais successifs de composition du Code PIN est limité à trois (3) sur les TPE et les DAB. Le troisième essai infructueux provoque l'invalidation de la Carte et/ou, le cas échéant, sa capture par le DAB. Dans ce cas, le Client ou l’Utilisateur de la Carte contacte le service client de Spendesk selon les modalités décrites à l’article 11 ci-après.

4.2.4. Plafonds d’utilisation des Cartes en Euros

Les plafonds d’utilisation et de retrait d’espèces maximaux pour les Cartes en Euros sont indiqués pour les Cartes prépayées à l’Annexe 1 selon le type de Carte concerné (virtuelles, physiques ou virtuelles à hauts plafonds).

4.2.5. Opposition

Dès qu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation frauduleuse d’une Carte ou des Données de Sécurité Personnalisées qui lui sont liées, ou du détournement ou de toute utilisation frauduleuse de la Plateforme et des Données de Sécurité Personnalisées permettant d’y accéder, le Client doit en informer sans tarder Spendesk aux fins de blocage de la Carte et/ou de l’accès à la Plateforme, en indiquant les motifs pour lesquels le blocage est demandé.

Cette demande d’opposition (blocage) doit être faite :

-  par e-mail à l’adresse support@spendesk.fr ; ou

-  par téléphone en appelant le numéro suivant :0033(0)182880510 ; ou

-  en utilisant le chat sur la Plateforme.

En cas de vol ou d’utilisation frauduleuse de la Carte, le Client s’engage à se conformer aux obligations prévues par les CGU Cartes Euros figurant à l’Annexe 1 pour les cartes de débit.

Spendesk ne saurait être tenue pour responsable des conséquences d’une demande d’opposition qui n’émanerait pas du Client ou d’un Utilisateur dûment habilité.

Si une Carte signalée comme perdue est ultérieurement retrouvée par l’Utilisateur, elle ne doit pas être utilisée. Dans cette hypothèse, le Client ou l’Utilisateur doit contacter le service client de Spendesk selon les modalités décrites à l’article 11 ci-après, pour connaître les démarches à effectuer.

4.2.6. Blocage de la Carte en Euros pour des raisons de sécurité

Spendesk et TPL se réservent la possibilité de bloquer, de leur propre initiative, une ou plusieurs Carte(s) pour des raisons ayant notamment trait à la sécurité de la/des Carte(s) telles que listées au sein des les CGU Cartes Euros figurant à l’Annexe 1 pour les Cartes de débit.

Le Client et/ou l’Utilisateur de la Carte peut demander à tout moment le déblocage de la Carte en contactant le service client de Spendesk. Toutefois, la décision de déblocage appartient en dernier ressort à TPL.

5. SERVICES RELATIFS AUX COMPTE(S) EN GBP ET AUX CARTES EN DEVISES OU AUX CARTES EN GBP

Les stipulations du présent article 5 s’appliquent uniquement si le Client a sollicité l’ouverture d’un ou plusieurs Compte(s) en GBP et/ou la mise à disposition d’une ou plusieurs Cartes en Devises et/ou Carte en GBP.

5.1. Services relatifs aux Comptes en GBP

5.1.1. Conditions d’ouverture d’un Compte en GBP

Les conditions d’ouverture d’un ou plusieurs Compte(s) en GBP au nom du Client ainsi que les modalités de fonctionnement de ce(s) Compte(s) en GBP sont régies par les CGU Compte GBP figurant en Annexe 1.

L’ouverture d’un ou plusieurs Compte(s) en GBP au nom du Client est subordonné (i) au respect par le Client des étapes d’inscription mentionnées sur la Plateforme, (ii) à l’examen par Spendesk des documents et informations fournis par le Client, (iii) à l’acceptation de la demande d’inscription par Spendesk et (iv) au respect des présentes Conditions Générales ainsi que des CGU Compte TPL figurant en Annexe 1.

Si Spendesk estime, à sa seule discrétion, que les éléments fournis par le Client lors de son inscription ne sont pas suffisants pour permettre à Spendesk et TPL de respecter leurs obligations réglementaires et/ou contractuelles, notamment en matière de LCB-FT, Spendesk se réserve le droit de reporter ou refuser l’ouverture d’un Compte en GBP, sans avoir à motiver sa décision. Cette décision ne pourra en aucun cas donner lieu à des dommages-intérêts. Elle sera notifiée au Client par e-mail et mettra immédiatement fin aux présentes Conditions Générales.

5.1.2. Chargement d’un Compte en GBP

Le Client doit s'assurer que tout Compte en GBP présente à tout moment un solde suffisant et disponible pour permettre (i) l’exécution des Opérations de Paiement demandées par le Client et (ii) le prélèvement par Spendesk des Frais en application de l’article 10 ci-après.

Le Client peut charger un Compte en GBP en :

(i) ordonnant un Virement vers le Compte depuis un Compte Externe britannique selon les modalités prévues précisées par les CGU Compte GBP ; ou

(ii) en effectuant un paiement par carte sur la Plateforme, conformément à la procédure décrite sur la Plateforme. Seules les cartes de marque Visa, American Express ou Mastercard sont acceptées à cette fin. Cette opération peut être sujette à des commissions qui seront clairement mentionnées sur la Plateforme avant que le Client confirme le paiement par carte.

Le Client reconnaît et accepte expressément à ce que le Compte ne soit jamais utilisé comme un compte dit de dépôt. En effet et pour mémoire, le Compte a pour fonction de permettre au Client d'accompagner les Utilisateurs dans le cadre de leurs dépenses professionnelles en les facilitant et en en permettant un contrôle à travers la Plateforme. Dans ce cadre et comme indiqué dans le présent article, le Client doit veiller à ce que le Compte ait seulement un solde suffisant et disponible pour ces dépenses. Néanmoins, ce solde doit représenter un montant en cohérence avec la moyenne des dépenses mensuelles du client, à savoir selon un montant prévisionnel ou réel constaté sur les 3 derniers mois précédant le chargement éventuel du Compte du Client. Ainsi, et dans l'hypothèse où le solde dudit Compte dépasserait 12 (douze) fois le montant des dépenses mensuelles moyen, prévisionnel ou réel sur les 3 (trois) derniers mois (la "Moyenne"), Spendesk en informera le Client immédiatement et qui devra procéder au virement de la partie du solde dépassant la Moyenne sur le compte émetteur du Client. Sans actions de la part du client dans les 7 jours qui suivent l'information par Spendesk, le montant initialement versé par le Client sera renvoyé en totalité sur le compte émetteur.

5.1.3. Transfert de fonds à partir d’un Compte en GBP

Le Client peut demander l’exécution d’un transfert de fonds à partir d’un Compte en GBP, dans les conditions prévues aux CGU TPL Annexe 1.

5.1.4. Contestation des Opérations de Paiement et/ou blocage du Compte en GBP

Le Client peut contester des Opérations de Paiement autorisées, non autorisées ou mal exécutées réalisées sur le Compte en GBP aussi rapidement que possible et au plus tard dans les soixante (60) jours suivant l'enregistrement de l'Opération litigieuse sur le Compte en GBP. Pour contester une Opération, le Client informe Spendesk selon les modalités décrites à l’article 10 ci-après.

Lorsqu'il découvre la perte, le vol ou l'usage frauduleux de ses Données de Sécurité Personnalisées, le Client ou tout Utilisateur doit informer Spendesk afin de bloquer l'accès au Compte en GBP. Cette demande doit être faite par email et être confirmée par lettre recommandée avec accusé de réception et envoyée à l'adresse indiquée à l’article 10 ci-après. Spendesk accuse réception et notifie le Client du blocage du Compte en GBP par email

TPL se réserve la possibilité de suspendre, de sa propre initiative le Compte en GBP en cas de réalisation de l’un des évènements listés au sein des CGU Compte GBP figurant en Annexe 1.

5.1.5. Consultation du solde d’un Compte en GBP

Le solde d’un Compte en GBP et l'historique des Opérations de Paiement réalisées sur ce Compte en GBP peuvent être consultés à tout moment en se connectant à la Plateforme. Il est recommandé au Client de vérifier régulièrement l’historique afin d’être en mesure de détecter une Opération de Paiement non autorisée ou mal exécutée.

5.2. Services liés à l’utilisation des Cartes en GBP

Le Client peut demander la mise à disposition d’une ou plusieurs Carte(s) en GBP dont les conditions de souscription et d’utilisation sont décrites par les CGU Cartes GBP figurant à l’Annexe 1 pour les cartes de débit.

5.2.1. Délivrance et activation d’une Carte en GBP

Une Carte est délivrée à la demande du Client. Cette demande doit être effectuée par le biais de la Plateforme.

Spendesk se réserve le droit de refuser de délivrer une Carte. Dans ce cas, Spendesk informe le Client, sur demande de ce dernier, des motifs de sa décision, à moins qu’une telle information soit interdite en vertu de la réglementation applicable.

Une Carte physique (plastique) est directement envoyée au Client ou à l’Utilisateur désigné par le Client à l'adresse indiquée sur le bon de commande de la Carte rempli via la Plateforme. Lorsque la Carte est envoyée au Client, il lui appartient de la remettre à l’Utilisateur concerné.

Pour pouvoir activer la Carte qui lui est attribuée, l’Utilisateur doit se connecter à la Plateforme et suivre les indications qui lui sont communiquées. La Carte ne pourra pas être utilisée si elle n’est pas activée par l'Utilisateur dans le délai imparti.

Dans le cas d’une Carte physique, l’Utilisateur de la Carte doit signer l'arrière de la Carte dès qu'il la reçoit.

5.2.2. Utilisation des Cartes en GBP

Une Carte en GBP permet à son Utilisateur d’effectuer :

-  des retraits d'espèces auprès de DAB affichant la marque du Schéma de Cartes apposée sur la Carte ; et

-  des achats de biens ou de services (en proximité ou à distance) auprès des Accepteurs qui acceptent les cartes portant la marque du Schéma de Cartes apposée sur la Carte.

Lorsque la Carte en GBP est une carte de débit régie par les CGU Cartes GBP figurant à l’Annexe 1, les Opérations de Paiement réalisées avec cette Carte sont débitées du Compte en GBP associé à la Carte.

5.2.3. Saisie du Code PIN associé à une Carte en GBP

Le nombre d'essais successifs de composition du Code PIN est limité à trois (3) sur les TPE et les DAB. Le troisième essai infructueux provoque l'invalidation de la Carte et/ou, le cas échéant, sa capture par le DAB. Dans ce cas, le Client ou l’Utilisateur de la Carte contacte le service client de Spendesk selon les modalités décrites à l’article 11 ci-après.

5.2.4. Plafonds d’utilisation des Cartes en GBP

Les plafonds d’utilisation et de retrait d’espèces maximaux pour les Cartes en GBP sont indiqués en pour les Cartes de débit à l’Annexe 1. L’Utilisateur Principal peut modifier les plafonds d’utilisation et/ou de retrait d’espèces via la Plateforme, dans la limite de ces plafonds.

5.2.5. Opposition

Dès qu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation frauduleuse d’une Carte ou des Données de Sécurité Personnalisées qui lui sont liées, ou du détournement ou de toute utilisation frauduleuse de la Plateforme et des Données de Sécurité Personnalisées permettant d’y accéder, le Client doit en informer sans tarder Spendesk aux fins de blocage de la Carte et/ou de l’accès à la Plateforme, en indiquant les motifs pour lesquels le blocage est demandé.

Cette demande d’opposition (blocage) doit être faite :

-  par e-mail à l’adresse support@spendesk.fr ; ou

-  par téléphone en appelant le numéro suivant :0033(0)182880510 ; ou

-  en utilisant le chat sur la Plateforme.

En cas de vol ou d’utilisation frauduleuse de la Carte, le Client s’engage à se conformer aux obligations prévues par les CGU Cartes GBP figurant à l’Annexe 1 pour les Cartes de débit.

Spendesk ne saurait être tenue pour responsable des conséquences d’une demande d’opposition qui n’émanerait pas du Client ou d’un Utilisateur dûment habilité.

Si une Carte signalée comme perdue est ultérieurement retrouvée par l’Utilisateur, elle ne doit pas être utilisée. Dans cette hypothèse, le Client ou l’Utilisateur doit contacter le service client de Spendesk selon les modalités décrites à l’article 11 ci-après, pour connaître les démarches à effectuer.

5.2.6. Blocage de la Carte en GBP pour des raisons de sécurité

Spendesk et TPL se réservent la possibilité de bloquer, de leur propre initiative, une ou plusieurs Carte(s) pour des raisons ayant notamment trait à la sécurité de la/des Carte(s) telles que listées au sein des les CGU Cartes GBP figurant en Annexe 1 pour les Cartes de débit.

Le Client et/ou l’Utilisateur de la Carte peut demander à tout moment le déblocage de la Carte en contactant le service client de Spendesk. Toutefois, la décision de déblocage appartient en dernier ressort à TPL.

5.3. Services liés à l’utilisation des Cartes en Devises

Le Client peut demander la mise à disposition d’une ou plusieurs Carte(s) en Devises dont les conditions de souscription et d’utilisation sont régies par les CGU Cartes Devises figurant à l’Annexe 1 pour les Cartes prépayées.

5.3.1. Délivrance et activation d’une Carte en Devises

Une Carte est délivrée à la demande du Client. Cette demande doit être effectuée par le biais de la Plateforme.

Spendesk se réserve le droit de refuser de délivrer une Carte. Dans ce cas, Spendesk informe le Client, sur demande de ce dernier, des motifs de sa décision, à moins qu’une telle information soit interdite en vertu de la réglementation applicable.

Une Carte physique (plastique) est directement envoyée au Client ou à l’Utilisateur désigné par le Client à l'adresse indiquée sur le bon de commande de la Carte rempli via la Plateforme. Lorsque la Carte est envoyée au Client, il lui appartient de la remettre à l’Utilisateur concerné.

Pour pouvoir activer la Carte qui lui est attribuée, l’Utilisateur doit se connecter à la Plateforme et suivre les indications qui lui sont communiquées. La Carte ne pourra pas être utilisée si elle n’est pas activée par l'Utilisateur.

Dans le cas d’une Carte physique, l’Utilisateur de la Carte doit signer l'arrière de la Carte dès qu'il la reçoit.

5.3.2. Utilisation des Cartes en Devises

Une Carte en Devises permet à son Utilisateur d’effectuer :

- des retraits d'espèces auprès de DAB affichant la marque du Schéma de Cartes apposée sur la Carte ; et

- des achats de biens ou de services (en proximité ou à distance) auprès des Accepteurs qui acceptent les cartes portant la marque du Schéma de Cartes apposée sur la Carte.

5.3.3. Saisie du Code PIN associé à une Carte en Devises

Le nombre d'essais successifs de composition du Code PIN est limité à trois (3) sur les TPE et les DAB. Le troisième essai infructueux provoque l'invalidation de la Carte et/ou, le cas échéant, sa capture par le DAB. Dans ce cas, le Client ou l’Utilisateur de la Carte contacte le service client de Spendesk.

5.3.4. Plafonds d’utilisation des Cartes en Devises

Les plafonds d’utilisation et de retrait d’espèces maximaux pour les Cartes en Devises sont indiqués pour les Cartes prépayées en Annexe 1 selon le type de Carte concerné (virtuelles, physiques ou virtuelles à hauts plafonds) et la devise concernée (GBP, USD, DKK, NOK ou SEK).

5.3.5. Opposition

Dès qu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation frauduleuse d’une Carte ou des Données de Sécurité Personnalisées qui lui sont liées, ou du détournement ou de toute utilisation frauduleuse de la Plateforme et des Données de Sécurité Personnalisées permettant d’y accéder, le Client doit en informer sans tarder Spendesk aux fins de blocage de la Carte et/ou de l’accès à la Plateforme, en indiquant les motifs pour lesquels le blocage est demandé.

Cette demande d’opposition (blocage) doit être faite :

-  par e-mail à l’adresse support@spendesk.fr ; ou

-  par téléphone en appelant le numéro suivant :0033(1)82880510 ; ou

-  en utilisant le chat sur la Plateforme.

En cas de vol ou d’utilisation frauduleuse de la Carte, le Client s’engage à se conformer aux obligations prévues par les CGU Cartes Devises figurant à l’Annexe 1 pour les Cartes prépayées.

Spendesk ne saurait être tenue pour responsable des conséquences d’une demande d’opposition qui n’émanerait pas du Client ou d’un Utilisateur dûment habilité.

Si une Carte signalée comme perdue est ultérieurement retrouvée par l’Utilisateur, elle ne doit pas être utilisée. Dans cette hypothèse, le Client ou l’Utilisateur doit contacter le service client de Spendesk selon les modalités décrites à l’article 11 ci-après, pour connaître les démarches à effectuer.

5.3.6. Blocage de la Carte en Devises pour des raisons de sécurité

Spendesk et TPL se réservent la possibilité de bloquer, de leur propre initiative, une ou plusieurs Carte(s) pour des raisons ayant notamment trait à la sécurité de la/des Carte(s) telles que listées au sein des CGU Cartes Devises figurant à l’Annexe 1 pour les cartes prépayées.

Le Client et/ou l’Utilisateur de la Carte peut demander à tout moment le déblocage de la Carte en contactant le service client de Spendesk. Toutefois, la décision de déblocage appartient en dernier ressort à TPL.

6. SERVICE D’ARCHIVAGE

Le Service d’Archivage est fourni au Client par Spendesk en son nom et pour son propre compte.

6.1. Fonctionnement du Service d’Archivage

Lorsque le Client souscrit au Service d’Archivage, il autorise expressément Spendesk à tamponner électroniquement pour le compte du Client et par l’intermédiaire d’un cachet électronique les factures et/ou quittances reçues en provenance de ses employés ou représentants, et qui sont téléchargées sur la Plateforme.

Le Service d’Archivage est basé sur un processus certifié qui permet à Spendesk de (i) générer un fichier PDF pour la facture et/ou la quittance concernée, (ii) tamponner ce fichier PDF par l’intermédiaire d’un cachet électronique basé sur un certificat qualifié, et (iii) archiver la facture et/ou la quittance concernée sur un serveur certifié ISO 27001 basé dans l’UE, pour une durée totale de onze (11) ans (la « Période d’Archivage »).

Les factures et/ou quittances (ci-après les « Contenus ») sont scellées avec un service d’horodatage qualifié eIDAS afin d’apporter une preuve d’intégrité indéniable. Ce processus certifié se base sur un circuit de contrôle fiable.

6.2. Fin du Service d’Archivage

Le Client peut mettre fin au Service d’Archivage à tout moment, à condition d’en avertir Spendesk par lettre recommandée avec avis de réception avec un préavis de six (6) mois.

Si le Client met fin au Service d’Archivage ou si les Conditions Générales sont résiliées :

(i)  le Client peut conserver l’accès en ligne aux Contenus archivés pour le reste de la Période d’Archivage, à condition de payer à Spendesk les Frais dus au titre du Service d’Archivage ;

(ii)  le Client peut obtenir une version électronique de tous ses Contenus archivés sur demande écrite adressée à Spendesk au plus tard un (1) mois suivant la cessation des Conditions Générales ou du Service d’Archivage. Une fois la demande du Client exécutée, le Client n’aura plus accès à la Plateforme ;

(iii)  à défaut d’instruction contraire de la part du Client, à la fin du mois suivant la cessation des Conditions Générales ou du Service d’Archivage, le Client perd définitivement l’accès à la Plateforme et à ses Contenus archivés.

6.3. Restitution ou destruction des Contenus archivés

À la fin de la Période d’Archivage, le Client peut demander à Spendesk de :

(i)  détruire tous les Contenus archivés ; ou

(ii)  lui restituer au format électronique tous les Contenus archivés ; ou

(iii)  restituer les Contenus archivés au prestataire d’archivage que le Client aura nommé.

La restitution d’une version électronique des Contenus Archivés du Client sera directement facturée par le sous- traitant de Spendesk au prix alors en vigueur.

Nonobstant les stipulations ci-dessus, Spendesk peut conserver une copie des Contenus du Client, notamment à des fins statistiques et/ou de preuves, dans les limites et délais permis par la loi.

6.4. Responsabilité relative aux Contenus

Le Client est seul responsable des Contenus qu’il télécharge sur la Plateforme.

En particulier, le service d’horodatage qualifié eIDAS n’a pas pour objectif ou effet d’identifier une facture signée ou mal signée dans le cas de non-conformité fiscale au sens des dispositions des articles 96 F bis de l’Annexe 2 du Code général des impôts et/ou 1° ou 2° de l’article 289 du Code général des impôts. La responsabilité de Spendesk ne saurait être engagée à ce titre.

7. ENGAGEMENTS ET GARANTIES DU CLIENT

7.1. Fourniture et mise à jour d’informations

Le Client s’engage à fournir à Spendesk toutes les informations et/ou documents nécessaires à la bonne exécution du Contrat et à la fourniture des Services et plus généralement, à coopérer activement avec Spendesk en vue de la bonne exécution des présentes. Si le Client ne se conforme pas à cette obligation, Spendesk se réserve le droit de suspendre les Services jusqu’à obtention des informations ou documents requis.

Le Client garantit à Spendesk que toutes les informations et documents qu’il fournit à Spendesk, y compris celles fournies sur la Plateforme et celles concernant chaque Utilisateur, sont exactes, à jour et sincères au jour où elles sont communiquées à Spendesk et ne sont entachées d’aucun caractère trompeur ou de nature à induire en erreur.

Si les informations et/ou documents fournis deviennent inexacts ou obsolètes pendant la durée du Contrat, le Client s’engage à les mettre à jour et/ou à transmettre une version à jour des documents concernés sur la Plateforme dans les meilleurs délais.

Plus généralement, il appartient au Client de notifier formellement à Spendesk tout changement des informations le concernant. Spendesk n’est pas responsable de tout dommage pouvant découler d’une inexactitude ou d’un changement dont il n'a pas été avisé.

7.2. Respect de la réglementation

Le Client s’engage, pour lui-même et chacun des Utilisateurs, à (i) respecter, dans de la cadre de son utilisation des Services, les lois et règlements en vigueur et à ne pas porter atteinte aux droits de tiers ou à l’ordre public et (ii) ne réaliser que des activités conformes à la réglementation applicable.

Le Client prendra à sa charge toute amende, sanction pécuniaire ou dommages-intérêts supportée par Spendesk et résultant d’une activité du Client qui serait illégale, illicite ou contraire aux bonnes mœurs.

7.3. Utilisation de la Plateforme et des Services

Le Client s’engage, pour lui-même et pour chacun des Utilisateurs, à :

(i)  ne pas violer ou tenter de violer, scanner ou tester la vulnérabilité, du système de sécurité et des systèmes connexes de la Plateforme ;

(ii)  ne pas accéder ou tenter d’accéder à toute donnée qui n’est pas destinée au Client ;

(iii)  s’abstenir d’interférer avec le fonctionnement normal de la Plateforme ou d’effectuer toute action qui risquerait de provoquer l’interruption ou la dégradation d’un ou plusieurs Services ;

(iv)  ne pas télécharger vers les Services, afficher, envoyer par courrier électronique ou transmettre de toute autre manière tout matériel contenant des virus logiciels ou autres codes informatiques, des fichiers ou des programmes conçus pour interrompre, détruire ou limiter la fonctionnalité de la Plateforme ; et

(v) ne pas tenter d'interférer avec les Services de tout autre client ou utilisateur, hôte ou réseau, y compris, mais sans s'y limiter, exposer les Services à un virus, créer une surcharge du serveur, inonder le serveur, inonder les services de messagerie.

Le Client reconnaît avoir pris connaissance des caractéristiques et contraintes, notamment techniques, de l'ensemble des Services. Le Client est seul responsable de son utilisation des Services.

Le Client est informé et accepte que l'utilisation des Services nécessite une connexion Internet et que la qualité des Services dépend directement de cette connexion ainsi que d’équipements informatiques et/ou de logiciels tiers, dont le Client est seul responsable.

7.4. Usage personnel de la Plateforme et des Services

Le Client s’engage à faire un usage strictement personnel de la Plateforme et des Services, et à ne permettre à aucun tiers de les utiliser à sa place ou pour son propre compte, sauf à en supporter l’entière responsabilité. Les Utilisateurs ne peuvent utiliser la Plateforme et des Services qu’au nom et pour le compte du Client.

8. ENGAGEMENTS ET GARANTIES DE SPENDESK

Spendesk s’engage à fournir les Services avec diligence et selon les règles de l’art, étant précisé qu’il pèse sur elle une obligation de moyens, à l’exclusion de toute obligation de résultat, ce que le Client reconnaît et accepte expressément.

Spendesk ne garantit pas au Client que les Services seront totalement exempts d’erreurs, de vices ou de défauts ou qu’ils soient continuellement disponibles. En outre, les Services sont standards et ne sont donc pas proposés à la seule intention d’un Client donné, en fonction de ses propres contraintes personnelles, ni pour répondre spécifiquement à ses besoins et attentes.

Spendesk s’engage à :

(i) faire ses meilleurs efforts pour assurer la sécurité de la Plateforme ;

(ii) informer le Client de toute difficulté raisonnablement prévisible, notamment quant à la mise en œuvre des Services ou au bon fonctionnement de la Plateforme ; et

(iii) procéder régulièrement à des contrôles afin de vérifier le fonctionnement et l’accessibilité de la Plateforme.

Spendesk se réserve le droit de modifier à tout moment les modalités techniques d’accès aux Services et/ou à la Plateforme en fonction, notamment, de l'évolution de la technologie ou de son offre de services. Il appartient au Client de veiller à ce que les outils ou équipements informatiques ou de télécommunication dont il dispose soient adaptés à ces évolutions.

9. SOUSCRIPTION À UNE ASSURANCE (OPTION SEULEMENT DISPONIBLE POUR LES CLIENTS IMMATRICULÉS EN FRANCE OU AU LUXEMBOURG)

Le Client a la possibilité, à titre optionnel, de faire bénéficier l’ensemble des Utilisateurs de la Carte d’une assurance de groupe souscrite par Spendesk auprès d’un assureur partenaire.

9.1. Information sur l'assurance

Une fiche d’information sur les différentes garanties, les plafonds d’indemnisation et les conditions tarifaires est disponible ici : https://www.spendesk.com/fr/product/insurance/.

Le document d’information normalisé sur le produit d’assurance est disponible ici : https://spx-production.s3-eu-west-1.amazonaws.com/tos/2021_03_23-Fiche_IPID_Spendesk_03-03-2022.pdf.

Si le Client estime le produit adapté à ses besoins et pertinent au regard de son activité et de celle des Utilisateurs de la Carte, Spendesk étant à ses côtés pour l’éclairer dans son choix, il est invité à lire attentivement la notice d’information du contrat d’assurance de groupe n° 4 091 933 disponible ici : https://spx-production.s3-eu-west-1.amazonaws.com/tos/2021_03_10-notice_dinformation_des_assurances_spendesk.pdf.

Cette notice, dont Spendesk n’est nullement responsable du contenu, définit précisément les conditions de garanties, les exclusions applicables, la durée de couverture ainsi que les formalités en cas de sinistre. L’adhésion à l’assurance exige du Client qu’il accepte sans réserve tous les termes de la notice d’information. Le Client s’engage par ailleurs à porter la notice d’information à la connaissance de tous les Utilisateurs de la Carte.

9.2. Gestion des sinistres

La déclaration de sinistre et ses suites seront traitées directement et exclusivement avec l’assureur partenaire selon les instructions disponibles ici : https://helpcenter.spendesk.com/fr/articles/4967565-comment-faire-pour- contacter-l-assurance-ou-l-assistance ce dont le Client informera les Utilisateurs de la Carte. Spendesk s’engage à assister Clients et Utilisateurs de la Carte pour leur permettre de faire valoir utilement leurs droits auprès de l’assureur partenaire.

9.3. Modifications du contrat et des conditions tarifaires

Spendesk attire l’attention du Client sur la possibilité qu’après son adhésion, l’assureur partenaire apporte des modifications à ses droits et obligations ainsi qu’à ceux des Utilisateurs de la Carte. Spendesk décline toute responsabilité en lien avec les modifications contractuelles et tarifaires qui relèvent de la seule décision de l’assureur partenaire.

Toute modification sera transmise par Spendesk au Client, sur la Plateforme et/ou par email, au plus tard trois (3) mois avant la date proposée pour son entrée en vigueur. Le Client sera réputé avoir accepté les modifications proposées s’il n’a pas notifié son refus à Spendesk avant la date d'entrée en vigueur indiquée. Le Client informera les Utilisateurs de la Carte des modifications intervenues. Si le Client refuse les modifications, il peut dénoncer son adhésion à l’assurance, sans frais, par notification adressée à Spendesk avant la date d’entrée en vigueur des modifications soit sur la Plateforme soit par lettre recommandée avec avis de réception. A compter de la notification, son adhésion prendra fin à l'expiration d'un délai de deux (2) mois. Le Client informera les utilisateurs de la Carte de la cessation de l’assurance.

9.4. Résiliation de l'assurance et exclusion de l'adhérent

L’assurance de groupe est susceptible de résiliation par Spendesk ou l’assureur partenaire. Au plus tard deux (2) mois avant la date de résiliation proposée, Spendesk en informera le Client sur la Plateforme et/ou par email. Le Client en informera les Utilisateurs de la Carte. La résiliation est opposable au Client et aux Utilisateurs de la Carte.

Le Client peut résilier l’assurance, après en avoir informé les Utilisateurs de la Carte, en respectant un préavis de deux (2) mois, par une notification adressée à Spendesk sur la Plateforme ou par lettre recommandée avec avis de réception. La résiliation de l’assurance par le Client emporte résiliation de l’assurance pour l’ensemble des Cartes fournies en vertu du Contrat.

Spendesk rappelle que l’assurance, indissociablement attachée à la Carte, ne peut perdurer après expiration ou retrait de la Carte. Le non-paiement des services d’assurances met également fin à l’adhésion. L’exclusion sera notifiée par Spendesk au Client suivant lettre recommandée avec avis de réception. Le Client en informera les Utilisateurs de la Carte.

9.5. Données personnelles

En adhérant à l’assurance, le Client autorise expressément Spendesk à transmettre à l’assureur partenaire l’ensemble des informations nécessaires à la souscription de ladite assurance, y compris des Données personnelles relatives aux Utilisateurs de la Carte. L’assureur partenaire traitera ces Données personnelles en qualité de responsable de traitement selon les conditions et finalités définies dans la notice d’information. Le Client est informé que l’assureur partenaire, en sa qualité de responsable de traitement pourra, au stade de la souscription et en cours de contrat, lui demander toutes informations complémentaires ainsi qu’aux Utilisateurs concernés, y compris, le cas échéant, des Données personnelles.

10. CONDITIONS FINANCIÈRES

10.1. Conditions Tarifaires

Les prix des Services sont indiqués dans les Conditions Tarifaires, qui sont disponibles sur la Plateforme. Les Conditions Tarifaires peuvent également être fournies gratuitement au Client, à sa demande, sur un support durable.

10.2. Facturation et paiement des Frais

Les Frais dus par le Client à Spendesk en contrepartie de la fourniture des Services sont facturés mensuellement.

Les factures sont mises à la disposition du Client sur la Plateforme.

Le montant de la première facture est prélevé par Spendesk à la date anniversaire (soit 1 mois après) de la date de souscription aux Service par le Client, et pour les factures suivantes le premier jour de chaque mois. Les factures sont prélevées directement sur le Compte. Si le Client dispose de plusieurs Comptes et que sa dette n’est pas inhérente à un Compte en particulier, Spendesk peut décider à sa seule discrétion de prélever tout ou partie des Frais sur l’un des Comptes du Client.

Le Client autorise expressément Spendesk à prélever sur le(s) Compte(s) du Client les Frais dus par le Client à Spendesk et exigibles au titre des présentes Conditions Générales.

Dans l’hypothèse où le solde créditeur d’un Compte s’avérerait insuffisant pour permettre le prélèvement de la totalité du prix des Services, l’Utilisateur s’engage à approvisionner immédiatement le Compte à hauteur du montant dû.

En cas de solde insuffisant du Compte, Spendesk se réserve le droit de bloquer le Compte, toute Opération de Paiement en cours, toute utilisation des Cartes déjà émises ainsi que l’émission de nouvelles Cartes.

Si le Client souhaite contester une facture, il doit en informer Spendesk dans un délai de trente (30) jours après la date de la facture. Après ce délai, la facture ne peut plus faire l’objet d’une contestation.

11. TRAITEMENT DES RÉCLAMATIONS

Toute réclamation liée à la fourniture des Services doit être adressée par le Client au service client de Spendesk :

-  soit par email à l'adresse suivante : support@spendesk.com;

-  soit par courrier à l'adresse du siège social de Spendesk, 51 rue de Londres, 75008 Paris – France ; ou

- en utilisant le chat sur la Plateforme.

En cas de réclamation relative aux Service d’Archivage, Spendesk apportera une réponse au Client dans les meilleurs délais à compter de la réception de la réclamation.

En cas de réclamation relative aux Services décrits aux articles 4 et 5 ci-dessus, les délais de traitement des réclamations sont précisés au sein des Documents des Partenaires.

12. MODIFICATION DU CONTRAT

12.1. Modification des Conditions Générales

Spendesk se réserve la possibilité de modifier, à tout moment, tout ou partie des Conditions Générales.

Tout projet de modification des Conditions Générales sera transmis par Spendesk au Client, sur la Plateforme et/ ou par email, au plus tard un (1) mois avant la date proposée pour son entrée en vigueur. Le Client sera réputé avoir accepté les modifications proposées s’il n’a pas notifié à Spendesk, avant la date d'entrée en vigueur proposée de ces modifications, qu’il ne les accepte pas. Si le Client refuse les modifications, il peut résilier les Conditions Générales, sans frais, avant la date proposée pour l’entrée en vigueur des modifications, selon les formes décrites à l’article 18 des présentes.

Spendesk ne peut en aucun cas être tenue responsable d’un quelconque dommage, à quelque titre que ce soit, en lien avec la modification des Conditions Générales dès lors que le Client s’abstient de résilier les Conditions Générales et continue à utiliser les Services après la date d’entrée en vigueur des modifications.

12.2. Modification des Documents des Partenaires

Les Documents des Partenaires pourront être modifiés à tout moment dans les conditions et selon les délais prévus dans les Documents des Partenaires.

13. ENREGISTREMENTS TÉLÉPHONIQUES

Le Client est informé que les conversations téléphoniques avec le personnel de Spendesk peuvent faire l’objet d’un enregistrement par Spendesk ou toute société mandatée à cet effet, afin d’assurer au Client une meilleure qualité des Services.

14. PROPRIÉTÉ INTELLECTUELLE

Les Parties conviennent expressément qu'aucun droit de propriété intellectuelle n'est transféré au Client sur l'un quelconque des éléments des Services et de la Plateforme mis à sa disposition au titre des Conditions Générales, y compris les logiciels, structures, infrastructures, codes sources, bases de données, savoir-faire, interface utilisateur, photos, marque, éléments interactifs ou tout contenu de toute nature (textes, images, visuels, musiques, logos, marques, base de données, etc.) exploités par Spendesk et la documentation technique éventuellement fournie par Spendesk au Client.

Sous réserve du paiement des Frais dus à Spendesk au titre de l’article 10 et des stipulations et limites prévues au Contrat, Spendesk concède au Client une licence personnelle, non exclusive et non transférable d'utilisation de la Plateforme et des Services pour ses seuls besoins propres. Ce droit est consenti pour la durée du Contrat.

Le Client s'interdit d'effectuer :

-  toute adaptation, modification, duplication, décompilation, désassemblage ou reproduction des Services et de la Plateforme, quelle qu'en soit la nature, de l’extraire en tout ou partie et, de manière générale, s'interdit tout acte qui contreviendrait aux droits de Spendesk et/ou de ses fournisseurs ;

-  toute reproduction, par quelque moyen que ce soit et sur quelque support que ce soit, de la Plateforme ;

-  toute forme d'utilisation de la Plateforme et de la documentation associée, de quelque façon que ce soit, aux fins de conception, réalisation, diffusion ou commercialisation de logiciels similaires, équivalents ou de substitution ;

-  toute adaptation, modification, transformation, traduction, arrangement de la Plateforme pour quelque raison que ce soit, notamment en vue de la création de logiciels dérivés ou entièrement nouveaux, y compris pour corriger des erreurs ;

-  toute transcription directe ou indirecte, toute traduction dans d'autres langues de la Plateforme ;

-  toute modification ou contournement du code de protection tel que, notamment, les codes d'accès ou identifiants ; et/ou

-  toute suppression, modification partielle ou totale des mentions existantes relatives aux droits d'auteur, droit des marques et plus généralement aux droits de propriété intellectuelle, apposées sur la Plateforme.

Le Client autorise Spendesk à faire mention de son nom et de son logo à des fins de référencement commercial et de promotion de ses activités, à l’exclusion de tout autre usage, sur tout support et pour le monde entier.

15. PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL

15.1. Étendue

Cette clause s’applique lorsque Spendesk traite les Données à Caractère Personnel des Utilisateurs (les « Personnes Concernées ») pour le compte du Client.

Pour les besoins du présent Contrat et l’exécution des Services, Spendesk pourra ainsi être amené à procéder à des traitements de Données à Caractère Personnel ou y avoir accès pour le compte du Client.

En conséquence, dans le cadre du présent Contrat, Spendesk agit en qualité de « Sous-Traitant » et le Client agit en tant que « Responsable de Traitement » au sens de la Loi pour la Protection des Données.

Conformément à la Loi pour la Protection des Données, le Client reconnaît que Spendesk peut collecter, stocker, organiser, structurer, conserver, adapter, modifier, extraire, consulter, utiliser, transmettre, rapproche, limiter et plus généralement traiter les Données à Caractère Personnel fournies par les Utilisateurs afin d’accéder aux ou d’utiliser les Services et celles relatives aux préférences et flux des Utilisateurs.

La présente clause décrit les principaux engagements de Spendesk à ce titre, étant précisé que la sous-traitance de Données à Caractère Personnel ainsi réalisée par Spendesk au profit du Client est décrite en détails et encadrée par l’Accord sur la Protection des Données figurant en Annexe 3 (ci-après le “DPA Spendesk”), lequel fait partie intégrante du présent Contrat et, en cas de contradiction avec la présente clause, prévaudra sur celle-ci. Les types de Données à Caractère Personnel que Spendesk peut traiter dans le cadre et pour la durée du Contrat sont exposés dans le DPA Spendesk et dans la Politique de Confidentialité de Spendesk (https:// www.spendesk.com/fr/legals/privacy/). Les Utilisateurs sont informés de la Politique de Confidentialité lors de leur première inscription sur la Plateforme.

Spendesk traitera les Données à Caractère Personnel au nom du Client en cohérence avec les Conditions Générales, le DPA Spendesk et conformément aux instructions écrites reçues du Client. Spendesk s’engage à informer immédiatement le Client si, selon lui, une instruction du Client constitue une violation des Conditions Générales ou de la Loi pour la Protection des Données.

15.2. Obligations du Client

Le Client, en sa qualité de Responsable de Traitement, s’engage à :

-  fournir à Spendesk en sa qualité de Sous-Traitant les Données à Caractère Personnel nécessaires à l’exécution des Services ;

-  documenter par écrit toute instruction concernant le traitement des données par le Sous-Traitant, veiller au préalable et pendant toute la durée du Contrat, au respect des obligations prévues par la Loi pour la Protection des Données de la part du Sous-Traitant, superviser le traitement, y compris réaliser les audits et les inspections auprès du Sous-Traitant ; et

-  respecter les obligations qui lui incombent en sa qualité de Responsable de traitement.

15.3. Personnel de Spendesk

L’accès aux Données à Caractère Personnel sera limité au personnel de Spendesk qui a besoin d’un accès aux Données à Caractère Personnel afin de fournir les Services.

Spendesk veillera à ce que tout personnel chargé de traiter les Données à Caractère Personnel :

(i) soit lié par des obligations adéquates en matière de confidentialité, de protection des Données à Caractère Personnel et/ou de sécurité des Données à Caractère Personnel, au moins aussi restrictives que celles prévues par le présent article 15 ;

(ii) traite les Données à Caractère Personnel uniquement conformément aux Conditions Générales, sauf exigence légale contraire ; et

(iii) soit formé de manière adéquate pour respecter les engagements pris par Spendesk en termes de confidentialité et de sécurité des Données à Caractère Personnel.

15.4. Sécurité

Compte tenu de l’état de l’art, des coûts de mise en œuvre et de la nature, de l’étendue, du contexte et de l’objectif du traitement des Données à Caractère Personnel dans le cadre du présent Contrat, ainsi que la probabilité et la gravité du risque encouru pour les droits et les libertés des individus concernés, Spendesk mettra en place et maintiendra des mesures organisationnelles et techniques appropriées afin de garantir un niveau de sécurité approprié à ce risque, y compris, le cas échéant, les mesures mentionnées à l’article 32(1) du RGPD afin d’éviter toute altération, perte, destruction accidentelle ou illicite, divulgation ou accès non autorisés ou toute autre forme de traitement illicite des Données à Caractère Personnel.

15.5. Divulgation

Spendesk ne divulguera les Données à Caractère Personnel à aucun gouvernement, autorité ou tierce personne autre que ceux autorisés dans les Conditions Générales, sans le consentement écrit préalable du Client, sauf exigence légale contraire en vigueur. Par exception, aux fins d’exécution des Conditions Générales, Spendesk pourra divulguer les Données à Caractère Personnel à toute société affiliée, et notamment SFPMEI ainsi qu’à tout sous-traitant ultérieur conformément aux stipulations de l’Article 15.12.

15.6. Transferts

Dans l’hypothèse où des Données à Caractère Personnel seraient transférées en dehors de l’EEE, directement ou par l’intermédiaire d’un sous-traitant ultérieur, Spendesk s’engage à s’assurer que le traitement soit couvert par un instrument approprié tel qu’un contrat basé sur les modèles de clauses de la Commission européenne.

15.7. Assistance

Spendesk s'engage à coopérer avec le Client dans le cadre du respect de ses obligations légales au titre de la Loi pour la Protection des Données à Caractère Personnel, et notamment pour la mise en œuvre des droits garantis aux personnes concernées, la réalisation d’analyse d’impact et les échanges avec les autorités de contrôle.

Dans l’éventualité où Spendesk serait informé par écrit par une Personne Concernée de sa volonté d’exercer ses droits, Spendesk s’engage à transmettre au plus vite une telle demande au Client et à lui communiquer l’ensemble des informations nécessaires pour lui permettre de répondre à la demande de la Personne Concernée.

15.8. Information et audit

Spendesk mettra à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article 15 et pour permettre la réalisation d'audits. Le Client peut effectuer, à ses frais, tout contrôle qu'il juge utile pour vérifier le respect des obligations de Spendesk.

Spendesk permettra et contribuera aux audits que le Client ou un auditeur de son choix mènera dans le but d’étudier la conformité de Spendesk aux obligations exposées dans cette clause, sous réserve d’un préavis écrit d’au moins soixante (60) jours ouvrés.

Le Client peut demander, réaliser ou faire réaliser un audit une fois tous les douze (12) mois. Tout audit devra être mené au cours des heures ouvrables normales.

Le Client et ses auditeurs ne seront pas autorisés à auditer sur :

(i)  les données ou informations des autres clients ou prospects de Spendesk ;

(ii)  toute donnée interne appartenant à Spendesk qui n’est pas directement et strictement pertinente pour les objectifs autorisés de l’audit ; et

(iii)  toutes les informations dont la divulgation pourrait affecter les systèmes de sécurité et les données de Spendesk (c'est-à-dire présenter un risque pour la confidentialité des informations), et le code source des programmes informatiques utilisés pour l'exécution des présentes.

L'auditeur ne pourra pas copier un document, un fichier, des données ou des informations, en tout ou en partie, ni prendre des photos, scanner, ou réaliser un programme audio, vidéo ou informatique sans en informer au préalable Spendesk.

L’audit doit avoir lieu pendant les heures de travail et doit être effectué de manière à ne pas perturber les activités de Spendesk et l'exécution des Services de Spendesk pour le compte de ses autres clients.

Le Client doit prendre en charge l’intégralité des coûts de l’audit, et Spendesk sera en droit de facturer au Client tout coût et dépense supplémentaire concernant l’audit.

15.9. Suppression et restitution

Sauf si la loi en dispose autrement ou selon les instructions écrites du Client, à compter de la résiliation du Contrat, et sous réserve des durées de conservation applicables, Spendesk supprimera ou restituera au Client, selon son choix, toutes les Données à Caractère Personnel traitées pour son compte dans le cadre des Services et encore en sa possession.

La suppression ou restitution ne fait pas échec aux propres obligations légales de Spendesk qui pourra conserver une copie des Données à Caractère Personnel relatives à la relation commerciale avec le Client ou toutes données utiles à des fins de preuves pour la démonstration du respect de ses obligations légales et/ou contractuelles.

15.10. Violations de Données

En cas de Violation de Données, Spendesk en informera le Client par écrit dans les meilleurs délais, après en avoir pris connaissance.

Spendesk informera le Client de la personne à contacter afin d’obtenir plus d’informations au sujet de la Violation de Données et, le cas échéant, transmettra toute information permettant au Client si nécessaire, de notifier cette violation à l’autorité de contrôle compétente. Si ces informations ne sont pas disponibles au moment de la notification et nécessitent des investigations complémentaires, Spendesk procurera au Client ces informations le plus tôt possible.

15.11. Registre d’activités de traitement

Spendesk conserve un registre écrit du traitement des Données à Caractère Personnel réalisé au nom du Client.

Ce registre comprend les informations suivantes : (i) les catégories de destinataires auxquels les Données à Caractère Personnel ont été ou seront divulguées ; (ii) dans le cas où les Données à Caractère Personnel sont transférées à un tiers hors de l’EEE, une liste de ces transferts (dont le nom des pays et entreprise hors-EEE en question), et des informations sur les garanties appropriées mises en place pour ces transferts ; et (iii) le cas échéant, une description générale des mesures de sécurité organisationnelles et techniques mises en œuvre par tout sous-traitant.

Spendesk transmettra une copie de ce registre au Responsable de Traitement sur demande.

15.12. Sous-traitants

Le Client reconnaît que Spendesk a recours à des partenaires commerciaux et fournisseurs afin de fournir les Services et accepte que Spendesk engage un ou plusieurs sous-traitants pour traiter les Données à Caractère Personnel au nom du Client, dans la mesure où cela est nécessaire à la fourniture des Services.

Spendesk pourra continuer à utiliser les sous-traitants déjà engagés à la date de conclusion du Contrat. Une liste des sous-traitants de Spendesk est disponible dans le DPA Spendesk. Spendesk informera le Client de tout changement notable au sujet de sa politique de sous-traitance, tel que l’ajout ou le remplacement d’un sous- traitant, en mettant à jour la liste des sous-traitants et en la notifiant au Client. Sans objection écrite de la part du Client dans un délai de quinze (15) jours après la notification d’un changement, le Client sera réputé avoir consenti à ce changement.

Spendesk veillera à ce que tout sous-traitant soit (i) lié par des obligations en matière de protection de Données à Caractère Personnel équivalentes aux présentes et (ii) capable d'assurer le niveau de confidentialité et de sécurité des Données à Caractère Personnel requis par les Conditions Générales et la Loi pour la protection des données.

Le Client pourra obtenir une copie des contrats conclus avec les sous-traitants ultérieurs ou, à défaut, une description des éléments essentiels des conditions générales, y compris l'exécution des obligations liées à la protection des Données à Caractère Personnel.

15.13. Garantie

Le Client garantit se conformer à la Loi pour la Protection de Données en vigueur concernant les Données à Caractère Personnel traitées par Spendesk pour le compte du Client, et notamment que le traitement des Données à Caractère Personnel est juridiquement fondé, que toute Donnée à Caractère Personnel fournie a été collectée légalement, que les Utilisateurs ont été informés de la nature et de l’objectif de, et le cas échéant, ont donné leur accord au traitement des Données à Caractère Personnel effectué par Spendesk pour le compte du Client.

16. DROIT DE RÉTRACTATION EN CAS DE DÉMARCHAGE

Le présent article 16 ne s’applique que si le Client est immatriculé ou résident en France.

Lorsque le Client a été démarché par Spendesk au sens de l’article L. 341-1 du CMF, et sous réserve des exceptions prévues par la réglementation, le Client dispose, conformément à l’article L. 341-16 du CMF, d’un droit de rétractation qu’il peut exercer dans un délai maximum de quatorze (14) jours calendaires révolus à compter de la date d’acceptation du Contrat, sans avoir à justifier de motifs ni à supporter de pénalités.

L’exercice du droit de rétractation dans le délai visé ci-dessus emporte la résolution de plein droit du Contrat. Le Client peut exercer son droit de rétractation en utilisant le formulaire figurant en Annexe 2.

17. DATE D’EFFET ET DURÉE DU CONTRAT

Le Contrat prend effet pour une durée indéterminée à compter de la date de son acceptation par le Client dans les conditions prévues à l’article 2.2 ci-dessus, jusqu’à sa résiliation dans les conditions prévues à l’article 18 ci- dessous.

18. RÉSILIATION DU CONTRAT

18.1. Résiliation à l’initiative du Client

Nonobstant toute stipulation contraire figurant dans les Documents des Partenaires, le Client peut résilier le Contrat en respectant un préavis de deux (2) mois, par une notification adressée à Spendesk sur la Plateforme ou par lettre recommandée avec avis de réception.

La résiliation du Contrat par le Client emporte la résiliation de l’ensemble des Services fournis en vertu du Contrat.

18.2. Résiliation à l’initiative de Spendesk

Nonobstant toute stipulation contraire figurant dans les Documents des Partenaires, Spendesk peut résilier le Contrat en respectant un préavis de de deux (2) mois, par une notification adressée au Client par tout moyen écrit utile, et notamment par e-mail ou par messagerie sur la Plateforme.

Par exception à ce qui précède, Spendesk se réserve la possibilité de cesser de fournir les Services au Client et de résilier le Contrat de plein droit et sans préavis :

(i)  en cas de manquement grave du Client et/ou d’un Utilisateur aux obligations prévues par le Contrat, y compris, mais sans limitation, en cas de communication de fausses informations, d’exercice par le Client d’une activité illégale ou contraire aux bonnes mœurs, de menaces à l’encontre de préposés de Spendesk ou de défaut de paiement ;

(ii)  en cas d’utilisation frauduleuse ou abusive des Services par le Client et/ou un Utilisateur ;

(iii)  en cas de modification de la réglementation applicable et/ou de l’interprétation qui en est faite par les autorités compétentes qui affecterait la capacité de Spendesk, SFPMEI, TPL ou leurs prestataires à fournir les Services ; et

(iv)  en cas de résiliation par SFPMEI et/ou TPL de l’un des Documents des Partenaires.

En cas de résiliation immédiate du Contrat, Spendesk en informe le Client par tout moyen écrit utile, et notamment par e-mail.

19. RESPONSABILITÉ

19.1. Responsabilité du Client

Le Client, ayant reconnu avoir pris connaissance des caractéristiques et contraintes, notamment techniques, de l’ensemble des Services, est seul responsable de l’utilisation des Services par les Utilisateurs.

Le Client est seul responsable des actes réalisés par les Utilisateurs dans le cadre de l’utilisation des Services. Spendesk ne saurait être tenu responsable vis-à-vis du Client ou de tout tiers en cas d’utilisation frauduleuse ou abusive des Services par un ou plusieurs Utilisateurs.

Le Client s’engage à indemniser Spendesk pour tout dommage subi par Spendesk qui résulterait directement des actes réalisés par un ou plusieurs Utilisateurs, y compris en cas de non-respect de la réglementation, de fraude ou de négligence de la part d’un ou plusieurs Utilisateurs ou s’ils utilisent de manière frauduleuse ou abusive les Services.

Le Client garantit Spendesk contre toutes plaintes, réclamations, actions et/ou revendications quelconques que Spendesk pourrait subir du fait de la violation par le Client de ses obligations au titre des Conditions Générales. Il s’engage à indemniser Spendesk de tout préjudice que ce dernier subirait et à lui payer tous les frais, charges et/ ou condamnations qu’il pourrait avoir à supporter de ce fait.

19.2. Responsabilité de Spendesk

Spendesk ne saurait être tenu responsable en cas :

(i) de détournement des Données de Sécurité Personnalisées et, plus généralement, de toute information à caractère sensible pour le Client et dont il serait fait, par exemple, une utilisation frauduleuse par un tiers ;

(ii) de litige lié à la relation sous-jacente existant entre (a) le Client et (b) selon le cas, le Payeur, le Bénéficiaire et/ou l’Accepteur, notamment en cas d’inexécution par le Client de ses obligations vis-à- vis des personnes visées au (b) ; et

(iii) de dommage subi par le Client résultant d’un acte ou d’une omission d’un tiers, y compris en cas de suspension des Services ou de résiliation du Contrat à la demande d’une autorité de supervision telle que l’ACPR.

En outre, la responsabilité de Spendesk est limitée aux dommages matériels directs, à l’exclusion de tous dommages indirects et/ou immatériels et, en particulier, de toute perte de chiffre d’affaires, de bénéfice, de profit, d’exploitation, de clientèle, préjudice commercial, économique et autre perte de revenus, action d’un tiers, trouble commercial quelconque, atteinte à la réputation, la renommée ou l’image de marque, subis par le Client dans le cadre de l’utilisation des Services.

La responsabilité de Spendesk pour tout dommage matériel et/ou direct subi par le Client dans le cadre de l’exécution ou de la résiliation des Conditions Générales, quelle qu’en soit la cause, est limitée, tous préjudices confondus, au montant des Frais payés par le Client au cours de l’année civile pendant laquelle survient l’évènement engageant la responsabilité de Spendesk.

19.3. Responsabilité de SFPMEI

La responsabilité de SFPMEI au titre de la fourniture des Services relatifs aux Comptes en Euros est prévue dans les CGU SFPMEI figurant en Annexe 1.

19.4. Responsabilité de TPL

La responsabilité de TPL au titre de la fourniture des Services relatifs aux Comptes en GBP et aux Cartes est prévue dans les CGU TPL.

20. CESSION

Le Client ne peut céder ou transférer tout ou partie de ses droits ou obligations au titre du Contrat à un tiers, de quelque manière que ce soit.

Nonobstant toute stipulation contraire figurant dans les Documents des Partenaires, le Client autorise expressément Spendesk, SFPMEI et TPL à céder à un tiers tout ou partie de leurs obligations au titre du Contrat, sous réserve d’en informer au préalable le Client.

21. STIPULATIONS DIVERSES

21.1. Divisibilité

Si une ou plusieurs stipulations du Contrat sont tenues pour non valides ou déclarées telles en application d'une loi, d'un règlement ou à la suite d'une décision définitive d'une juridiction compétente, les autres stipulations garderont toute leur force et leur portée.

21.2. Non renonciation

Le fait pour Spendesk, SFPMEI ou TPL de ne pas se prévaloir d'un manquement du Client à l'une quelconque des stipulations du Contrat ne saurait être interprété pour l'avenir comme une renonciation à l'obligation ou à la stipulation en cause.

21.3. Convention de preuve

Les Parties reconnaissent que, dans les conditions prévues à l’article 1366 du Code civil, les courriels ont la même force probante que les écrits sur support papier. Par conséquent, les courriels et messages reçus électroniquement, y compris via la Plateforme, devront être conservés par les Parties dans des conditions propres à éviter toute altération de leur forme ou de leur contenu de façon à constituer des copies fiables.

21.4. Notifications

Toutes les notifications effectuées par courriel dans le cadre de l’exécution des Conditions Générales seront adressées :

-  en ce qui concerne le Client : à l’adresse de l’Utilisateur Principal ou de l’Utilisateur concerné, telle qu’enregistrée sur la Plateforme ;

-  en ce qui concerne Spendesk : à l’adresse support@spendesk.com.

21.5. Langues du Contrat

Le Client reconnaît et accepte que :

-  la langue utilisée lors de ses relations précontractuelles et contractuelles avec Spendesk peut être, soit le français, soit l’anglais, soit l’allemand soit les trois, en fonction des Documents des Partenaires applicables aux Services ; et

-  dans la mesure permise par la loi, la version française des Conditions Générales fait foi et les versions en langue étrangère n’existent qu’à titre indicatif.

Le Client est informé qu’il peut obtenir à tout moment et gratuitement auprès de Spendesk une copie du Contrat sur un support durable.

21.6. Référence commerciale

Le Client autorise expressément Spendesk à le citer lui ou ses Utilisateurs et à utiliser le cas échéant la reproduction de sa marque ou de son logo à titre de références commerciales, notamment lors de manifestations ou d’événements, dans ses documents commerciaux et sur son site internet, sous quelque forme que ce soit, pendant leur durée d’utilisation des Services et au-delà, pendant une durée de trois (3) ans.

22. DROIT APPLICABLE ET JURIDICTIONS COMPÉTENTES

22.1. Droit applicable

Les Conditions Générales sont soumises au droit français. Les Documents des Partenaires sont soumis au droit précisé au sein des Documents des Partenaires. 

22.2. Juridictions compétentes

Tout litige relatif notamment à la validité, l’interprétation ou l’exécution des Conditions Générales sera soumis à la compétence exclusive du Tribunal de commerce de Paris.

Tout litige relatif notamment à la validité, l’interprétation ou l’exécution des Documents des Partenaires sera soumis à la compétence du ou des tribunaux indiqués au sein des Documents des Partenaires.


Annexes

Annexe 1  

Annexe 1

Documents des partenaires applicables aux comptes en euros, aux cartes en euros, aux comptes en livres sterling, aux cartes en livres sterling et aux cartes en devises étrangères.

Documentation contractuelle applicable aux Comptes en Euros
Contrat-cadre pour les Services de Paiement SFPMEI lien
Documentation contractuelle applicable aux Cartes en Euros et en GBP
Conditions Générales Cartes de débit EEE lien
Conditions Générales Cartes de débit UK lien
Conditions tarifaires pour les Cartes de débit en Euros lien
Conditions tarifaires pour les Cartes de débit en GBP lien
Documentation contractuelle applicable aux Comptes en GBP
Conditions générales d’utilisation GBP TPL lien
Conditions tarifaires compte TPL lien
Documentation contractuelle applicable aux Cartes en Devises :
Conditions Générales Cartes prépayées EEE lien
Conditions Générales Carte prépayée UK lien
Conditions tarifaires pour les cartes virtuelles GBP lien
Conditions tarifaires pour les cartes physiques GBP lien
Conditions tarifaires pour les cartes virtuelles à hauts plafonds GBP lien
Conditions tarifaires pour les cartes virtuelles USD lien
Conditions tarifaires pour les cartes physiques USD lien
Conditions tarifaires pour les cartes virtuelles à hauts plafonds USD lien
Conditions tarifaires pour les cartes virtuelles DKK lien
Conditions tarifaires pour les cartes physiques DKK lien
Conditions tarifaires pour les cartes virtuelles à hauts plafonds DKK lien
Conditions tarifaires pour les cartes virtuelles NOK lien
Conditions tarifaires pour les cartes physiques NOK lien
Conditions tarifaires pour les cartes virtuelles à hauts plafonds NOK lien
Conditions tarifaires pour les cartes virtuelles SEK lien
Conditions tarifaires pour les cartes physiques SEK lien
Conditions tarifaires pour les cartes virtuelles à hauts plafonds SEK lien
Conditions tarifaires pour les cartes virtuelles EUR lien
Conditions tarifaires pour les cartes physiques EUR lien
Conditions tarifaires pour les cartes virtuelles à hauts plafonds EUR lien

Annexe 2 Formulaire de rétractation en cas de démarchage bancaire ou financier

FORMULAIRE RELATIF AU DÉLAI DE RÉTRACTATION PRÉVU PAR L’ARTICLE L. 341-16 DU CODE MONÉTAIRE ET FINANCIER

Formulaire à renvoyer au plus tard quatorze (14) jours calendaires après la date de conclusion du Contrat (tel que défini ci-après), par lettre recommandée avec accusé de réception, à :

Spendesk SAS 51 rue de Londres 75008 Paris

Désignation du contrat : conditions générales d’utilisation des services de Spendesk (le « Contrat »).

Conformément à l’article L. 341-16 du Code monétaire et financier, le droit de rétractation peut être exercé dans un délai de quatorze (14) jours calendaires à compter de la conclusion du Contrat ou à compter de la réception des conditions contractuelles, si cette dernière date est postérieure.

La présente rétractation n’est valable que si elle est adressée, par lettre recommandée avec accusé de réception, avant l’expiration du délai de 14 jours calendaires prévu à l’article L. 341-16 du Code monétaire et financier, lisiblement et dûment remplie.

Je, soussigné(e) ________________________________, dûment habilité(e) à représenter la société __________________________________ (ci-après le « Commerçant »), déclare exercer le droit de rétractation du Commerçant et renoncer à l’intégralité du Contrat conclu le ________________ avec la société Spendesk SAS pour la fourniture (notamment) de services de paiement et de monnaie électronique.

Fait à ______________

Le ______________

Signature du Client ______________


Annexe 3: Accord sur la Protection des Données

Le présent Accord sur la protection des données (“l’Accord”) fait partie du Contrat de Services (“Contrat de Services”) conclu entre le Client (la “Société” ou “le Responsable de Traitement”) et SPENDESK SAS (le “Prestataire de Services” ou “le Sous- Traitant”) (ensemble les “Parties”).

ATTENDU QUE:

(A)  La Société agit en qualité de Responsable de Traitement ;

(B)  La Société souhaite sous-traiter certains services, qui impliquent le traitement de données personnelles, au Sous-Traitant ;

(C)  Les Parties souhaitent meVre en place un Accord sur la protection des données qui soit conforme au cadre juridique en vigueur en matière de traitement de données et à la Législation en matière protection des données ;

(D)  Les Parties souhaitent définir leurs droits et obligations au titre du présent Accord sur la protection des données.

LES PARTIES SONT CONVENUES DE CE QUI SUIT :

1. Définitions et interprétation

Au sein de cet Accord, à moins qu’il n’en soit prévu autrement, les termes suivants ont pour définition :

Accord: Désigne le présent Accord sur la protection des données. En cas de conflit entre les termes du Contrat de Services et le présent Accord, les dispositions du second prévaudront sur celles du premier ;

Accord de Transfert de Données: Désigne un contrat prenant la forme définie à l’Annexe 3 (Clauses Contractuelles Types) ;

Autorité de contrôle: Désigne toute autorité compétente en matière de protection des données ou de la vie privée par laquelle le Responsable de Traitement est réglementé ;

Contrat de Services: Désigne le contrat de services conclu entre la Société et Spendesk SAS ;

Date de Commencement: Désigne la date de signature du Contrat de Services ;

Destinataire Autorisé: Désigne un directeur ou un employé du Prestataire de Services qui a un besoin légitime de recevoir et d’examiner les Données Personnelles aux fins de l’exercice par le Prestataire de ses droits et/ ou de l’accomplissement de ses obligations aux termes du présent Accord et/ou tout Sous-traitant autorisé auquel le Prestataire de Services fait appel dans le cadre de la fournir des Services ;

Donnée Personnelle: Désigne une donnée à caractère personnel (tel que ce terme est défini dans le Règlement Général sur la Protection des Données) traitée par le Prestataire de Services et ses sous-traitants en lien avec la fourniture des Services, incluant les informations décrites en Annexe 1 (Description des Traitements de Données) ;

Faille de sécurité des données: Désigne une faille de sécurité entraînant une destruction accidentelle ou illégale, la perte, l'altération ou la corruption de Données personnelles, ou la divulgation ou l’accès non autorisés aux Données personnelles ;

Finalités Autorisées: Désignent les Traitements de Données personnelles mis en œuvre dans le cadre du Contrat de Services tels que visés à l’Annexe 1 (Description des Traitements de Données) ;

Législation en matière de protection des données: Désigne les lois et règlements applicables au Traitement des Données Personnelles incluant (sans s’y limiter) :

(i)  Le Règlement Général sur la Protection des Données et la législation mise en œuvre par chaque Etat Membre en relation avec le Règlement Général sur la Protection des Données ; (ii)  Toute législation de remplacement susceptible d’impacter les Traitements mis en œuvre en vertu du présent Accord ; (iii)  Tout code de pratique ou autre directive émis par une Autorité de Contrôle ;

Pays Tiers: Tous pays en dehors de l’Espace Economique Européen (EEE)

Personne Concernée: Désigne toute personne physique identifiée ou identifiable à laquelle se rapportent les Données personnelles ;

Règlement Général sur la Protection des Données (ou RGPD): Désigne le Règlement (EU) 2016/679 du Parlement Européen et du Conseil en date du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Représentant du Prestataire de Services: Désigne un représentant nommé par le Prestataire de Services et/ou ses sous-traitants conformément à l’article 27 du Règlement Général sur la Protection des Données ou tout autre réglementation de remplacement équivalente applicable ;

Responsable de Traitement: Désigne l’entité qui détermine les moyens et les finalités des traitements tels que visés dans le Contrat de Services, à savoir la Société ;

Services: Désigne les services fournis par le Prestataire de Services au titre du Contrat de Services ;

Sous-Traitant: Désigne l’entité qui traite des données personnelles pour le compte du Responsable de Traitement, à savoir Spendesk SAS ;

Traitement: Désigne toute opération ou tout ensemble d’opérations pouvant être réalisées ou non à l’aide de procédés automatisés appliqués à des données personnelles ou ensembles de données, tels que la collecte, l’enregistrement, l’organisation, le traitement, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication, la transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ;

2. Désignation et rôle du Prestataire de Services

Le Responsable de Traitement désigne le Prestataire de Services pour qu’il traite les Données Personnelles pour son compte et pour les Finalités Autorisées.

3. Instructions et conformité

Le Prestataire de Services garantit au Responsable de Traitement qu’il :

1. Traite les Données Personnelles uniquement dans la mesure, et de la manière, nécessaires aux Finalités Autorisées et conformément aux instructions écrites du Responsable de Traitement (y compris les instructions énoncées dans cet Accord et dans le Contrat de Services) et qu’il ne doit pas traiter les Données Personnelles à d’autres fins à moins que le Traitement ne soit exigé par les lois applicables auxquelles le Sous-Traitant est soumis, auquel cas le Sous-Traitant doit dans la mesure permise par les lois applicables informer promptement le Responsable de Traitement de cette exigence légale lorsque le Sous-Traitant devient conscient d’une telle exigence et dans tous les cas avant le Traitement pertinent de ces Données Personnelles. Le Responsable de Traitement est seul responsable des Données Personnelles qu’il communique au Prestataire de Services et doit rembourser au Prestataire de Services les coûts et dépenses encourus résultant d’une instruction individuelle qui irait au-delà de ce qui est défini par la Législation sur la protection des données et/ou des activités de Traitement prévues dans le Contrat de Services ou dans cet Accord. Si le Prestataire de Services considère qu’une instruction du Responsable de Traitement est une violation de la Législation applicable en matière de protection des données, il doit en informer le Responsable de Traitement sans délai. En outre, le Prestataire de Services a le droit de suspendre l’exécution de l’instruction jusqu’à ce que celle-ci soit confirmée par le Responsable de Traitement ;

2. Se conforme, et s’assure que tout Destinataire Autorisé se conforme, à la Législation en matière de protection des données et, le cas échéant, aux politiques et directives du Responsable de Traitement préalablement communiquées au Prestataire de Services ;

3. Se conforme, et s’assure que tous systèmes, services et produits fournis par le Prestataire de Services au Responsable de Traitement sont conformes, à toutes les lois applicables, décrets, règlements, ordres, normes et autres instruments similaires (y compris la Législation relative à la protection des données) dans le cadre du Traitement des Données Personnelles ;

4. Coopère et se conforme aux instructions ou aux décisions de toute Autorité de Contrôle, et dans chaque cas dans un délai permettant au Responsable de Traitement de respecter tout délai imposé par l’Autorité de Contrôle. Dans l’hypothèse où une telle exigence ou les délais imposés par une Autorité de Contrôle feraient peser une charge déraisonnable sur le Sous-Traitant, les Parties devront coopérer pour se rapprocher de l’Autorité de Contrôle afin d’adapter ces exigences et/ou ajuster certains délais.

4. Coopération et assistance

Le Prestataire de Services s’engage auprès du Responsable de Traitement :

1. Dans la mesure où cela est légalement autorisé et dans la mesure où le Responsable de Traitement n’a pas accès à de telles Données Personnelles dans le cadre de son utilisation des Services, à rapidement modifier, transférer, changer et/ou supprimer toute Donnée Personnelle détenue par ou pour le compte du Prestataire de Services conformément à toute instruction écrite du Responsable de Traitement. Le Responsable de Traitement assumera l’ensemble des coûts supplémentaires résultant de telles actions qui iraient au-delà de ce qui est défini par les Législations sur la protection des données et/ou les activités de Traitement définies dans le Contrat de Services ou dans le présent Accord, après devis approuvé ;

2. Notifier le Responsable de traitement sans délai indu:

(i) Si le Prestataire de Services considère qu’une instruction du Responsable de Traitement relative au Traitement de Données Personnelles enfreint le Règlement Général sur la Protection des Données ou d’autres dispositions de l’Union européenne ou de ses États membres en matière de protection des données ; 

(ii)  De toute violation par le Prestataire de Services ou sous-traitants de toutes lois applicables, décrets, règlements, ordres, normes et autres dispositifs applicables au Traitement de Données personnelles (y compris la Législation sur la protection des données) et fournir un rapport complet au Responsable de Traitement sur les résultats des enquêtes menées sur de telles infractions ou Faille de sécurité de données ; 

(iii) Si le Prestataire de Services ou l’un de ses sous-traitants subit une Faille de sécurité des données ;

(iv) Si le Prestataire de Services ou l’un de ses sous-traitants reçoit toute plainte, avis ou communication d’une Autorité de Contrôle ou d’une autorité gouvernementale qui se rapporte directement à une exigence relative au Traitement des Données Personnelles ci-dessus ;

et doit, s’agissant de l’article 4.2 (iii), se conformer aux dispositions de l’article 4.4 ci- dessous, et s’agissant des articles 4.2 (i) - (iv), apporter au Responsable de Traitement une pleine coopération, information et assistance en relation avec une telle plainte, avis ou communication ou toute Faille de sécurité des données réelle ou présumée et ne doit faire aucune déclaration publique ou annonce à un tiers, y compris (sans s’y limiter) toute autorité gouvernementale ou Autorité de Contrôle, sans avoir au préalable, lorsque cela est raisonnablement possible et sauf interdiction résultant des lois applicables, consulté le Responsable de Traitement en ce qui concerne le contenu de telles déclarations ou annonces publique ;

3. S’agissant de l’article 4.2 (iii), le Prestataire de Services doit :

(i) Prendre toutes les mesures raisonnables nécessaires pour remédier ou protéger les systèmes du Prestataire de Services contre la Faille de sécurité des données ; (ii)  Mettre en œuvre des mesures qui permettent de restaurer toute Donnée Personnelle perdue, corrompue ou inutilisable ; (iii)  Fournir des rapports au Responsable de Traitement qui sont suffisants pour permettre au Responsable de Traitement de notifier la Faille de sécurité des données aux Autorités de Contrôle compétentes et aux Personnes Concernées conformément à la Législation en matière de protection des données ; (iv)  Prendre des mesures pour atténuer les effets néfastes découlant de la Faille de sécurité des données selon les directives du Responsable de Traitement ou en tout état de cause comme le ferait un opérateur prudent ; et (v)  Prendre des mesures pour éviter une Faille de de sécurité des données similaire à l’avenir.

4. Aider le Responsable de Traitement à assurer le respect des obligations prévues aux articles 32 à 36 (inclus) du Règlement Général sur la Protection des Données, en tenant compte de la nature du traitement de données effectué par le Prestataire de Services et des informations dont dispose le Prestataire de Services. Cette assistance comprend, dans les mesures appropriées et nécessaires, la fourniture d’informations et d’aide au Responsable de Traitement à la réalisation d’analyses d’impact sur la protection des données en rapport avec les activités mises en œuvre par le Prestataire de Services dans le cadre du Service.

5. Mesures techniques

Le Prestataire de Services s’engage auprès du Responsable de Traitement à mettre en œuvre des mesures techniques et organisationnelles appropriées afin que le Traitement des Données Personnelles réponde aux exigences de la Législation sur la protection des données et à permettre au Responsable de Traitement de remplir ses obligations de réponse aux demandes des personnes exerçant leurs droits en vertu de la Législation sur la protection des données, en tenant compte de l’état de l’art, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du Traitement ainsi que du risque pour les droits et libertés des personnes concernées, dont le degré de probabilité et de gravité varie.

6. Sécurité

1. Le Prestataire de Services s’engage auprès du Responsable de Traitement des données à:

(i) S’assurer qu’il a des mesures techniques et organisationnelles appropriées contre la destruction, la perte, l’altération - accidentelles ou illicites -, la divulgation ou l’accès non autorisés aux Données Personnelles qu’il détient ou traite, y compris toutes mesures qui peuvent être requises pour garantir la conformité aux exigences de sécurité des données prévues par la Législation sur la protection des données ; (ii) S’assurer que les Destinataires Autorisés se conforment à toutes les demandes raisonnables du Responsable de Traitement en ce qui concerne la sécurité et le Traitement des Données personnelles.

2. Le Prestataire de Services devra effectuer une revue annuelle de ses mesures techniques et organisationnelles et les mettra à jour régulièrement pour refléter :

(i) Les évolutions majeures des technologies avancées et les bonnes pratiques industrielles ; (ii) Tout changement ou proposition de modification des procédures, des sites et des systèmes du Prestataire de Services, des Services et/ou des procédures associés ; (iii) Toute nouvelle menace identifiée ou modifiée sur les procédures, les sites et les systèmes du Prestataire de Services.

7. Destinataires autorisés 

Le Prestataire de Services garantit au Responsable de Traitement qu’il :

1. Restreint l’accès aux Données Personnelles aux Destinataires Autorisés qui ont besoin d’obtenir un accès pour les Finalités Autorisées (dans le cas de tout accès par tout employé, le Prestataire de Services s’engage à s’assurer que l’accès aux Données Personnelles est limité à certaine partie ou aux parties des Données Personnelles strictement nécessaires à l’exécution des missions de cet employé) ;

2. Veille à ce que tous les Destinataires Autorisés aient suivi une formation relative aux lois en matière de manipulation de données personnelles ; 

3. Impose aux Destinataires Autorisés des obligations de confidentialité et de sécurité juridiquement contraignantes équivalentes à celles contenues dans cet Accord.

8. Registre des Traitements

Le Prestataire de Services s’engage auprès du Responsable de Traitement à :

1. conserver une trace de tout Traitement de Données Personnelles effectué pour le compte du Responsable de Traitement y compris le registre des activités de traitement requis conformément à l’Article 30 (2) du Règlement Général sur la Protection des Données ; et

2. Conserver un registre de la formation dispensée conformément au paragraphe 7.2 ci-dessus.

9. Personnes concernées

Le Prestataire de Services s’engage auprès du Responsable de Traitement à :

1. Aviser le Responsable de Traitement rapidement et en tout état de cause au plus tard dans les 15 jours de toute demande d’une Personne Concernée souhaitant exercer ses droits en vertu de la Législation sur la protection des données, y compris les demandes d’accès aux Données Personnelles, les demandes d’effacement des Données Personnelles, les demandes de communication des Données Personnelles à un tiers et les oppositions au Traitement ;

2. Apporter au Responsable de Traitement une coopération et une assistance raisonnables pour permettre au Responsable de Traitement de répondre aux demandes des Personnes Concernées qui souhaitent exercer leurs droits en vertu de Législation sur la protection des données (que ces demandes soient reçues par le Prestataire de Services ou le Responsable de Traitement) dans la mesure où cela est légalement autorisé et dans la mesure où le Responsable de Traitement n’a pas accès à de telles Données Personnelles dans le cadre de son utilisation des Services ; et

3. Ne pas divulguer ou communiquer toutes Données Personnelles en réponse à une Personne Concernée ou toute autre demande de divulgation de Données Personnelles sans avoir préalablement consulté et obtenu le consentement écrit du Responsable de Traitement.

10. Collecte de données

Si le Prestataire de Services est tenu de collecter des Données Personnelles pour le compte du Responsable de Traitement, le Prestataire de Services collectera les Données Personnelles dans le format convenu par écrit avec le Responsable de Traitement et fournira aux personnes au moment de la collecte des données une politique de confidentialité (incluant, si nécessaire, un formulaire de consentement) selon le format autorisé par le Responsable de Traitement.

11. Sous-traitance

1. Le Responsable de Traitement autorise le Sous-Traitant à sous-traiter une partie des Traitements auprès de ses sous-traitants ultérieurs actuels tels que listés en Annexe 2 ; cette Annexe 2 comprend les identités de chaque sous-traitant ultérieur actuel, les catégories de Données Personnelles qu’ils traitent, leur pays d’établissement et des informations quant à leur conformité à la Législation sur la protection des données.

2. Le Sous-Traitant informera par tout moyen le Responsable de Traitement du recrutement d’un nouveau sous-traitant ultérieur.

Le Responsable de Traitement peut s’opposer au recours du Sous-Traitant à un nouveau sous-traitant ultérieur en notifiant promptement le Sous- Traitant par écrit (par email) et en fournissant le même niveau d’information que celui indiqué au paragraphe 11.1 ci-dessus. Dans l’éventualité où le Responsable de Traitement s’oppose à la désignation d’un nouveau sous-traitant ultérieur, le Sous-Traitant fera des efforts raisonnables pour mettre à la disposition du Responsable de Traitement une modification des Services ou recommandera une modification commercialement raisonnable de la configuration ou de l’utilisation des Services permettant d’éviter le Traitement des Données Personnelles par le nouveau sous-traitant ultérieur auquel le Responsable de Traitement s’oppose, sans imposer une charge déraisonnable au Responsable de Traitement. Si le Sous-Traitant est dans l’incapacité d’opérer de telles modifications dans un délai raisonnable, qui ne saurait excéder trente (30) jours, le Responsable de Traitement pourra alors résilier le Contrat de Services applicable mais uniquement pour les Services qui ne peuvent pas être fournis par le Prestataire de Services sans le recours au nouveau sous- traitant ultérieur, en adressant au Prestataire de Services une notification écrite par lettre recommandée avec accusé de réception.

3. Toute sous-traitance de Données Personnelles ne saurait libérer le Sous- Traitant de ses devoirs, responsabilités et obligations envers le Responsable de Traitement au titre du présent Accord, et le Sous-Traitant doit rester entièrement responsable des actes et omissions de ses sous-traitants ultérieurs.

12. Transferts vers les Pays Tiers

1. Pour tout transfert vers des Pays Tiers où le Sous-Traitant a recours à des sous-traitants ultérieurs, le Sous-Traitant s’engage avant tout Traitement de Données Personnelles pour le compte du Responsable de Traitement, à conclure avec chaque sous-traitant ultérieur situé en dehors de l’EEE un Accord sur la Protection des Données et comprenant les mêmes principes et garanties que ceux des Clauses Contractuelles Types.

2. Le Responsable de Traitement mandate expressément le Sous-Traitant, dans le seul but de signer au nom et pour le compte du Responsable de Traitement les Clauses Contractuelles Types telles qu’approuvées par la Commission Européenne jointes au présent accord ("CCS ") conclues entre une entité du Sous-Traitant située dans l’EEE et une entité du sous-traitant ultérieur ou qui lui est affiliée située en dehors de l’EEE.

3. Le Sous-Traitant se conformera aux instructions du Responsable de Traitement en lien avec les transferts de Données Personnelles vers des Pays Tiers à moins que le Sous-Traitant ne soit tenu en vertu des lois applicables de transférer des Données Personnelles vers un Pays tiers, auquel cas le Sous-Traitant devra informer par écrit le Responsable de Traitement des exigences légales pertinentes requises avant qu’un tel transfert n’ait lieu, à moins que les lois applicables n’interdisent une telle notification pour des motifs importants d’intérêt public.

13. Responsabilité

Chaque Partie est et reste responsable de toute violation ou infraction à la Législation sur la protection des données et garantit l’autre Partie des conséquences éventuelles d’une telle violation.

La responsabilité du Sous-Traitant sera limitée à ses propres activités de traitement en vertu du présent Accord, et la responsabilité financière totale du Sous-Traitant ne saurait excéder les frais payés ou payables par le Responsable de Traitement en vertu de Contrat de Services au cours des 12 (douze) derniers mois.

14. Entrée en vigueur et résiliation

Le présent Accord prendra effet à la Date de Commencement et restera en vigueur jusqu’à ce que le Sous-Traitant cesse de Traiter les Données personnelles.

15. Conséquences de la résiliation

À l’expiration ou à la résiliation du Contrat de Services (pour quelque raison que ce soit), le Sous-Traitant doit, à la demande écrite du Responsable de Traitement, cesser le Traitement pour le compte du Responsable de Traitement et, en fonction des durées de conservation applicables telles qu’indiquées à l’Annexe 1 et à la demande écrite du Responsable de Traitement, lui restituer rapidement toutes les Données Personnelles en toute sécurité (indépendamment de leur forme, et qu’elles soient informatisées ou physiques).

16. Fourniture d’informations et droit d’audit

Le Sous-Traitant autorise le Responsable de Traitement à visiter les locaux du Sous- Traitant où le Sous-Traitant fournit les Services (« Visite ») à raison d’une (1) fois par année civile, et moyennant un préavis écrit de soixante (60) jours au Sous-Traitant. Une telle Visite devra être conditionnée au respect par le Responsable de Traitement de la sécurité et de la documentation privée et des procédures du Sous-Traitant. Une telle visite ne durera pas plus d’un (1) jour pour chaque installation et se déroulera pendant les heures normales de bureau du lieu où l’entreprise est implantée. Nonobstant toute disposition contraire, le Responsable de Traitement sera responsable de tous les coûts et/ou dépenses encourus à raison de cette visite.

17. Modification de l'Accord

1. Cet Accord ne peut être modifié, sauf par un écrit signé par les représentants dûment autorisés de chacune des Parties.

2. Les Parties conviennent qu’en cas de modification de la Législation sur la protection des données, les Parties pourront réviser les dispositions de cet Accord et négocieront de bonne foi pour se conformer à la Législation sur la protection des données mise à jour.

18. Intégralité de l'Accord

Le présent Accord et le Contrat de Services constituent l’intégralité de l’accord et des engagements souscrits par les Parties pour ce qui se rapporte à leur objet, et les termes de ces contrats prévalent sur tous précédents accords.

19. Renonciation aux recours

Chacune des Parties reconnaît et accepte qu’en concluant le présent Accord, elle renonce à se prévaloir de, et n’aura aucun recours s’agissant de, toute déclaration, représentation, garantie ou compréhension (qu’elles aient été faites par négligence ou imprudence) de toute personne (qu’il s’agisse d’une Partie à cet Accord ou non) autre que ce qui est expressément stipulé dans le présent Accord.

20. Loi applicable et juridiction

Le présent Accord est régi et doit être interprété conformément à la loi française et tout litige naissant du ou en relation avec le présent Accord sera soumis à la juridiction exclusive des tribunaux de Paris (France), auxquelles chacune des Parties se soumet irrévocablement.

21. Divers

Chaque Partie doit de temps à autre (tant pendant la durée du présent Accord qu’après sa résiliation) accomplir tous les actes et signer tous les documents qui peuvent être raisonnablement nécessaires pour donner effet aux dispositions du présent Accord.

Pour Spendesk

Rodolphe Ardant CEO


ANNEXES

ANNEXE 1: Description des Traitements de Données

A. Gouvernance du Sous-Traitant

Spendesk Délégué à la protection des données (DPO): François-Xavier Boulin (privacy@spendesk.com)

B. Détail des traitements de données et Durées de Conservation

Catégories de Personnes concernées :

- Les employés du Responsable de Traitement : contacts commerciaux et utilisateurs de la solution Spendesk

Finalité du Traitement de données :

- Relation contractuelle de Spendesk avec la Société à des fins de promotion et d’exécution du Contrat de services (y compris la facturation) ;

- Mise à disposition de moyens de paiement individuels pour les employés de la Société ;

- Mise à disposition d’une plateforme SaaS pour la gestion des paiements, des factures et des flux d’autorisation.

Type de données personnelles et nature du traitement :

- Coordonnées (prénom, nom, adresse e-mail, numéro de téléphone portable, photo) avec le consentement de l’employé: afin de garantir l’envoi des informations relatives au statut, le code de sécurité et les instructions dans le cadre du processus d'autorisation.

- Données de connexion (nom d’utilisateur, mot de passe, adresse IP): afin d' assurer la connexion des employés aux fins d’identification et l’accès à la plateforme Spendesk.

- Détail du poste des employés: afin de définir l’étendue des droits et autorisations de l’employé au sein de l’entreprise et de limiter les fonctions ou l’accès à la solution Spendesk.

- Informations de paiements: afin d' assurer le paiement et le remboursement des frais professionnels du salarié.

- Factures et reçus: Analyse des factures et des reçus afin de conserver les preuves et les informations comptables relatives aux paiements et remboursements.

Durée de conservation :

- Coordonnées de la Société : durée de la relation contractuelle avec la Société + 5 ans (à des fins de facturation ; obligations fiscales et comptables) 

- Données relatives aux employés de la Société (Utilisateur finaux)(coordonnées, login, position dans la Société) : durée de la relation contractuelle avec la Société + 24 mois à compter de la suppression de l’Utilisateur (sauf pour les informations de paiement et les données requises pour l’archivage sécurisé des factures et reçus : 11 ans à compter de la remise des documents à des fins d’archivage)

ANNEXE 2 - Liste des sous-traitants ultérieurs autorisés

Annexe 2

Liste des sous-traitants ultérieurs autorisés

Nom et adresse du sous- traitant ultérieur Détail des opérations de sous-traitance Lieu de réalisation Mesures adoptées
Aircall.io 233 Park Avenue South, 11th Floor, 10003, NYC, USA operating in France through: Aircall SAS 11-15rue Saint Georges 75009 Paris, France Assistance téléphonique États-Unis / France DPA et clauses contractuelles types (novembre 2020) Informations de sécurité ici. Aircall adopte les recommanda:ons de diverses normes de sécurité dont notamment les normes : ISO 27001/27002, SOC 2, et PCI/ DSS.
Amazon Web Services Greenhills Road, Tymon North, Dublin, Ireland Services d’hébergement Irlande Irlande/RGPD Programme de Conformité AWS: CAS/ISO 9001/ISO 27001/ISO 27017/ ISO 27018/ PCI DSS niveau 1/ SOC 1 / SOC 2/ SOC 3 AWS GDPR Data Processing Addendum
Bankable One Canada Square, Canary Wharf, London E14 5AB, UK Partenariat bancaire Royaume-Uni Royaume-Uni / RGPD
HelloSign 944 Market St 400, San Francisco, CA 94102, USA Signature électronique États-Unis DPA et clauses contractuelles types (novembre 2020)
Intercom 55 2nd Street, 4th Floor, San Francisco, CA 94105, USA Plateforme d’assistance / Système de messagerie et billetterie États-Unis DPA et clauses contractuelles types (novembre 2020)
Looker 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA Analyse de données États-Unis DPA and et clauses contractuelles types (novembre 2020) SOC 2 Type II + HIPAA report ISO27001 Certification
Mailjet 13bis rue de l'Aubrac, 75012 Paris, France Fournisseur d’email France France / RGPD
MessageBird Trompenburgstraat 2C, 1079 TX Amsterdam, Netherlands Fournisseur de SMS Pays-Bas Pays-Bas / RGPD
Mindee 14 rue Charles V, 75004 Paris, France Analyse des factures et des reçus France France / RGPD
Receipt Bank 3rd Floor, 1 Ashley Road, Altrincham, Cheshire, WA14 2DT, UK Analyse des factures et des reçus Royaume-Uni Royaume-Uni / RGPD
Slack 500 Howard St, San Francisco, CA 94105, USA Notification des autorisations États- Unis DPA et clauses contractuelles types (novembre 2020) ISO 27001 & 27018/ SAQ-A Questionnaire d’auto- certification applicable dans l’industrie des cartes de paiement
Segment 100 California St., Suite 700, San Francisco, CA 94111, USA Centre de données États- Unis DPA et clauses contractuelles types (17 novembre 2020)
Snowflake San Mateo 450 Concar Drive, San Mateo, CA 94402, USA Services d’hébergement États- Unis DPA et clauses contractuelles types (20 juillet 2020)
S.F.P.M.E.I 29, rue du Louvre 75002 Paris, France Partenariat bancaire France France / RGPD
Stripe 510 Townsend St, San Francisco, CA 94103, USA Virements bancaires États- Unis DPA et clauses contractuelles types (novembre 2020)
Transac Payment Ltd. Unit 5.1, Level 05 Madison, Midtown Queensway, Gibraltar, GX11 1AA Partenariat bancaire Malte Malte / RGPD
Universign 7 Rue du Faubourg Poissonnière 75009 Paris, France Signature électronique / archivage France France / RGPD

ANNEXE 3 - Clause contractuelles Types

SONT CONVENUES des Clauses Contractuelles suivantes (les Clauses) afin d’offrir des garanties adéquates en matière de protection de la vie privée et des libertés et droits fondamentaux des personnes pour le transfert par l’exportateur de données à l’importateur de données des données personnelles spécifiées à l’Annexe A.

1. DÉFINITIONS

Au sens des Clauses :

(a) données à caractère personnel, catégories particulières de données, traiter/ traitement, Responsable de traitement, Sous-traitant, Personne concernée et Autorité de contrôle ont la même signification que dans la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (1) ;

(b) l’exportateur de données est le responsable de traitement qui transfère les données à caractère personnel ;

(c) l’importateur de données est le sous-traitant qui accepte de recevoir de l’exportateur de données des données à caractère personnel destinées à être traitées pour le compte de ce dernier après le transfert conformément à ses instructions et aux termes des présentes Clauses et qui n’est pas soumis au mécanisme d’un pays tiers assurant une protection adéquate au sens de l’article 25, paragraphe 1, de la directive 95/46/CE ;

(d) le sous-traitant ultérieur désigne tout sous-traitant engagé par l’importateur de données ou par tout autre sous-traitant ultérieur de celui-ci, qui accepte de recevoir de l’importateur de données ou de tout autre sous-traitant ultérieur de celui-ci des données à caractère personnel exclusivement destinées à des activités de traitement à effectuer pour le compte de l’exportateur de données après le transfert conformément aux instructions de ce dernier, aux conditions énoncées dans les présentes clauses et selon les termes du contrat de sous-traitance écrit;

(e) le droit applicable à la protection des données est la législation protégeant les libertés et les droits fondamentaux des personnes, notamment le droit à la vie privée à l’égard du traitement des données à caractère personnel, et s’appliquant à un Responsable de traitement dans l’État membre où l’exportateur de données est établi ;

(f) les mesures techniques et organisationnelles de sécurité sont les mesures destinées à protéger les données à caractère personnel contre une destruction fortuite ou illicite, une perte fortuite, une altération, une divulgation ou un accès non autorisé, notamment lorsque le traitement suppose la transmission de données par réseau, et contre toute autre forme illicite de traitement.

2. DÉTAILS DU TRANSFERT

Les détails du transfert et notamment les catégories particulières de données à caractère personnel, sont spécifiés dans l’Annexe A qui fait partie intégrante des Clauses.

3. CLAUSE DU TIERS BÉNÉFICIAIRE

3.1 La personne concernée peut faire appliquer contre l’exportateur de données la présente clause 3, la clause 4(b) à la clause 4(i), la clause 5(a) à la clause 5(e) et la clause 5(g) à la clause 5 (j), la clause 6.1 et 6.2, la clause 7, la clause 8.2, et les clauses 9 à 12 en tant que tiers bénéficiaire.

3.2 La personne concernée peut faire appliquer contre l’importateur de données la présente clause 3.2, la clause 5(a) à la clause 5(e) et la clause 5(g), la clause 6, la clause 7, la clause 8.2, et les clauses 9 à 12 dans les cas où l’exportateur de données a matériellement disparu ou a juridiquement cessé d’exister, à moins que l’ensemble de ses obligations juridiques ait été transféré, par contrat ou par effet de la loi, à l’entité qui lui succède, à laquelle reviennent par conséquent les droits et les obligations de l’exportateur de données, et contre laquelle la personne concernée peut donc faire appliquer lesdites clauses.

3.3 La personne concernée peut faire appliquer contre le sous-traitant ultérieur la présente 3.3 clause, la clause 5(a) à la clause 5(e) et la clause 5(g), la clause 6, la clause 7, la clause 8.2, et les clauses 9 à 12, mais uniquement dans les cas où l’exportateur de données et l’importateur de données ont matériellement disparu, ont juridiquement cessé d’exister ou sont devenus insolvables, à moins que l’ensemble des obligations juridiques de l’exportateur de données ait été transféré, par contrat ou par effet de la loi, au successeur légal, auquel reviennent par conséquent les droits et les obligations de l’exportateur de données, et contre lequel la personne concernée peut donc faire appliquer lesdites clauses. Cette responsabilité du sous-traitant ultérieur doit être limitée à ses propres activités de traitement conformément aux présentes clauses.

3.4 Les Parties ne s’opposent pas à ce que la personne concernée soit représentée par une association ou un autre organisme si elle en exprime le souhait et si le droit national l’autorise.

4. OBLIGATIONS DE L'EXPORTATEUR DE DONNÉES

L’exportateur de données accepte et garantie ce qui suit :

(a) que le traitement, y compris le transfert proprement dit des données à caractère personnel, a été et continuera d’être effectué conformément aux dispositions pertinentes du droit applicable à la protection des données (et, le cas échéant, a été notifié aux autorités compétentes de l’État membre dans lequel l’exportateur de données est établi) et n’enfreint pas les dispositions pertinentes dudit État ;

(b) qu’il a donné et donnera instruction à l’importateur de données et ce pendant toute la durée des services de traitements de données personnelles de traiter les données personnelles uniquement pour le compte de l’exportateur de données et conformément au droit applicable à la protection des données et aux présentes clauses ;

(c) l’importateur de données offrira des garanties suffisantes en ce qui concerne les mesures techniques et organisationnelles liées à la sécurité et spécifiées dans l’Annexe du présent Accord ;

(d) qu’après l’évaluation des exigences du droit applicable à la protection des données, les mesures de sécurité sont adéquates pour protéger les données à caractère personnel contre une destruction fortuite ou illicite, une perte fortuite, une altération, une divulgation ou un accès non autorisé, notamment lorsque le traitement suppose la transmission de données par réseau, et contre toute autre forme illicite de traitement et qu’ elles assurent un niveau de sécurité adapté aux risques liés au traitement et à la nature des données à protéger, eu égard au à l’état de la technique et au coût de mise en œuvre ;

(e)  qu’il veillera au respect des mesures de sécurité ;

(f)  que si le transfert porte sur des catégories particulières de données, la Personne concernée a été informée ou sera informée avant le transfert ou dès que possible après le transfert que ses données pourraient être transmises à un pays tiers n’offrant pas un niveau de protection adéquat au sens de la directive 95/46/CE ;

(g) qu’il transmettra toute notification reçue de l’importateur de données ou de tout sous-traitant ultérieur conformément à la clause 5(b) et à la clause 8.3 à l’autorité de contrôle s’il décide de poursuivre le transfert ou de lever sa suspension

(h) qu’il mettra à la disposition des Personnes concernées, si elles le demandent, une copie des présentes clauses, à l’exception de l’Annexe B, et une description sommaire des mesures de sécurité, ainsi qu’une copie de tout contrat de sous-traitance ultérieure ayant été conclu conformément aux présentes clauses, à moins que les clauses ou le contrat contienne(nt) des informations commerciales ;

(i) qu’en cas de sous-traitance ultérieure, l’activité de traitement sera effectuée conformément à la clause 11 par un sous-traitant ultérieur offrant au moins le même niveau de garantie en matière de protection des données à caractère personnel et des droits des personnes concernées que l’importateur de données et ce conformément aux présentes clauses ; et

(j)  qu’il veillera au respect de la clause 4(a) à la clause 4(i).

5. OBLIGATIONS DE L’IMPORTATEUR DE DONNÉES

L’importateur de données accepte et garantit ce qui suit :

(a)  qu’il traitera les données à caractère personnel pour le compte exclusif de l’exportateur de données et conformément aux instructions de ce dernier et aux présentes clauses ; s’il est dans l’incapacité de s’y conformer pour quelque raison que ce soit, il accepte d’informer promptement l’exportateur de données de son incapacité, auquel cas ce dernier a le droit de suspendre le transfert de données et/ou de résilier le contrat;

(b)  qu’il reconnait que la Législation applicable ne l’empêche aucunement de remplir les instructions données par l’exportateur de données et les obligations qui lui incombent conformément au contrat, et si ladite législation fait l’objet d’une modification susceptible d’avoir des conséquences négatives importantes pour les garanties et les obligations offertes par les clauses, il communiquera promptement la modification à l’exportateur de données après en avoir eu connaissance, auquel cas ce dernier a le droit de suspendre le transfert de données et/ou de résilier le contrat ;

(c)  qu’il a mis en œuvre des mesures techniques et organisationnelles liées à la sécurité et spécifiées dans l’Annexe avant de traiter les données à caractère personnel transférées ;

(d)  qu’il communiquera promptement à l’exportateur de données :

i)  toute demande contraignante de divulgation des données à caractère personnel émanant d’une autorité gouvernementale, sauf disposition contraire, telle qu’une interdiction à caractère pénal visant à préserver le secret d’une enquête policière ; ii)  tout accès fortuit ou non autorisé ; et iii)  toute demande reçue directement des personnes concernées sans répondre à cette demande, à moins qu’il n’ait été autorisé à le faire ;

(e)  qu’il traitera promptement et comme il se doit toutes les demandes de renseignements émanant de l’exportateur de données relatives à son traitement des données à caractère personnel faisant l’objet du transfert et se pliera à l’avis de l’Autorité de contrôle en ce qui concerne le traitement des données transférées ;

(f)  qu’à la demande de l’exportateur de données, il soumettra ses moyens de traitement de données à un audit couvert par les présentes clauses et qui sera effectuée par l’exportateur de données ou un organe de contrôle composé de membres indépendants possédant les qualifications professionnelles requises, soumis à une obligation de secret et choisis par l’exportateur de données, le cas échéant, avec l’accord de l’Autorité de contrôle ;

(g)  qu’il mettra à la disposition des personnes concernées, si elles le demandent, une copie des présentes clauses, ou tout contrat de sous-traitance ultérieure existant, à moins que les clauses ou le contrat contienne(nt) des informations commerciales, auquel cas il pourra retirer ces informations, à l’exception de l’Annexe B, qui sera remplacée par une description sommaire des mesures de sécurité, lorsque la personne concernée n’est pas en mesure d’obtenir une copie de l’exportateur de données;

(h)  qu’en cas de sous-traitance ultérieure, il veillera au préalable à informer l’exportateur de données et à obtenir l’accord écrit de ce dernier ;

(i) que les services de traitement fournis par les sous-traitants ultérieurs seront conformes à la clause 11 ; et

(j) qu’il enverra promptement une copie de tout accord de sous-traitance ultérieure conclu par lui en vertu des Clauses à l’exportateur de données.

6. RESPONSABILITÉ

6.1 Les Parties conviennent que toute personne concernée, ayant subi un dommage du fait d’un manquement aux obligations visées à la clause 3 ou à la clause 11 par toute Partie ou sous-traitant ultérieur a le droit d’obtenir de l’exportateur de données réparation du dommage subi.

6.2 Si une personne concernée est empêchée d’intenter l’action en réparation visée au paragraphe 1 contre l’exportateur de données, pour manquement par l’importateur de données ou son sous-traitant ultérieur à l’une de leurs obligations visées à la clause 3 ou à la clause 11, parce que l’exportateur de données a matériellement disparu, a juridiquement cessé d’exister ou est devenu insolvable, l’importateur de données accepte que la personne concernée puisse déposer une plainte contre l’importateur des données comme s’il était l’exportateur de données, à moins que l’ensemble des obligations juridiques de l’exportateur de données ait été transféré, par contrat ou par effet de la loi, à l’entité qui lui succède, contre laquelle la personne concernée peut alors faire valoir ses droits.

L’importateur de données ne peut invoquer un manquement par un sous-traitant ultérieur à ses obligations pour échapper à ses propres responsabilités.

6.3 Si une personne concernée est empêchée d’intenter l’action visée aux paragraphes 1 et 2 contre l’exportateur de données ou l’importateur de données découlant du manquement par le sous-traitant ultérieur de l’une de leurs obligations visées à la clause 3 ou à la clause 11, parce que l’exportateur de données et l’importateur de données ont matériellement disparu, ont juridiquement cessé d’exister ou sont devenus insolvables, le sous-traitant ultérieur accepte que la personne concernée puisse déposer une plainte à son encontre en ce qui concerne ses propres activités de traitement conformément aux présentes clauses comme s’il était l’exportateur de données ou l’importateur de données, à moins que l’ensemble des obligations juridiques de l’exportateur de données ou de l’importateur de données ait été transféré, par contrat ou par effet de la loi, au successeur légal, contre lequel la personne concernée peut alors faire valoir ses droits. La responsabilité du sous-traitant ultérieur doit être limitée à ses propres activités de traitement conformément aux présentes clauses.

6.4  Les Parties conviennent que si une partie est tenue responsable d’une violation des clauses commise par l’autre partie, cette dernière, dans la mesure où elle est responsable, indemnisera la première pour tout coût, charge, dommage, dépense ou perte qu’elle a encouru.

L’indemnisation est subordonnée à ce que :

(a) l’exportateur de données notifie promptement l’importateur d’une réclamation ; et (b) l’importateur de données ait la possibilité de coopérer avec l’exportateur de données pour la défense et le règlement de la réclamation.

7. MÉDIATION ET JURISDICTION

7.1 L’importateur de données convient que si la personne concernée invoque à son encontre le droit du tiers bénéficiaire et/ou demande réparation du préjudice subi en vertu des Clauses, il acceptera la décision de la personne concernée :

(a) de soumettre le litige à la médiation d’une personne indépendante ou, le cas échéant, de l’autorité de contrôle ; (b) de porter le litige devant les tribunaux de l’État membre où l’exportateur de données est établi.

7.2 Les parties conviennent que le choix effectué par la personne concernée ne remettra pas en cause ses droits substantiels et procéduraux d’obtenir réparation conformément à d’autres dispositions du droit national ou international.

8. COOPÉRATION AVEC LES AUTORITÉS DE CONTRÔLE

8.1 L’exportateur de données convient de déposer une copie du présent Accord auprès de l’Autorité de contrôle si celle-ci l’exige ou si ce dépôt est prévu par le droit applicable en matière de protection des données.

8.2 Les parties conviennent que l’Autorité de contrôle a le droit de conduire un audit de l’importateur de données, et de tout sous-traitant ultérieur, selon la même portée et dans les mêmes conditions qu’en cas d’audit opéré chez l’exportateur de données conformément au droit applicable en matière de protection des données.

8.3 L’importateur de données informe promptement l’exportateur de données de l’existence d’une législation qui lui est applicable ou applicable à tout sous-traitant ultérieur faisant obstacle à ce que des audits soient effectués chez lui ou chez tout sous-traitant ultérieur conformément au paragraphe 2. Dans ce cas, l’exportateur de données a le droit de prendre les mesures prévues par la clause 5(b).

9. DROIT APPLICABLE

Les clauses sont régies par le droit de l’État membre où l’exportateur de données est établi.

10. MODIFICATION DU CONTRAT

Les parties s’engagent à ne pas faire varier ou modifier les Clauses. Toutefois elles restent libres d’inclure les clauses à caractère commercial qu’elles jugent nécessaires, à condition qu’elles ne contredisent pas les Clauses.

11. SOUS-TRAITANCE

11.1 L’importateur de données ne peut sous-traiter aucune de ses opérations de traitement effectuées pour le compte de l’exportateur de données en vertu des Clauses sans le consentement écrit préalable de l’exportateur de données. Lorsque l’importateur de données sous-traite ses obligations en vertu des Clauses, avec le consentement de l’exportateur de données, il ne doit le faire que par le biais d’un accord écrit avec le sous-traitant ultérieur qui impose au sous-traitant ultérieur les mêmes obligations que celles imposées à l’importateur de données en vertu des Clauses. Lorsque le sous- traitant ultérieur ne remplit pas ses obligations en matière de protection des données en vertu d’un tel accord écrit, l’importateur de données reste entièrement responsable envers l’exportateur de données de l’exécution des obligations du sous-traitant ultérieur en vertu d’un tel accord.

11.2 Le contrat écrit préalable entre l’importateur de données et le sous-traitant ultérieur prévoira également une clause du tiers bénéficiaire telle qu’énoncée à la clause 3 pour les cas où la personne concernée est empêchée d’intenter l’action en réparation visée au paragraphe 1 de la clause 6 contre l’exportateur de données ou l’importateur de données parce que ceux-ci ont matériellement disparu, ont juridiquement cessé d’exister ou sont devenus insolvables, et que l’ensemble des obligations juridiques de l’exportateur de données ou de l’importateur de données n’a pas été transféré, par contrat ou par effet de la loi, à une autre entité leur ayant succédé. Cette responsabilité du sous-traitant ultérieur doit être limitée à ses propres activités de traitement conformément aux présentes clauses.

11.3 Les dispositions relatives aux aspects de la sous-traitance ultérieure liés à la protection des données du contrat visé au paragraphe 1 sont régies par le droit de l’État membre où l’exportateur de données est établi.

11.4 L’exportateur de données tient une liste des accords de sous-traitance ultérieure conclus en vertu des présentes Clauses et notifiés par l’importateur de données conformément à la clause 5(j), qui sera mise à jour au moins une fois par an. Cette liste est mise à la disposition de l’autorité de contrôle de l’exportateur de données.

12. OBLIGATION APRÈS LA RÉSILIATION DES SERVICES DE TRAITEMENT DE DONNÉES PERSONNELLES

12.1 Les parties conviennent qu’au terme de la résiliation des services de traitement de données, l’importateur de données et le sous-traitant ultérieur restitueront à l’exportateur de données, et à la convenance de celui-ci, l’ensemble des données à caractère personnel transférées ainsi que les copies ou détruiront l’ensemble des données à caractère personnel et en apporteront la preuve à l’exportateur de données, à moins que la législation imposée à l’importateur de données l’empêche de restituer ou de détruire la totalité ou une partie des données à caractère personnel transférées. Dans ce cas, l’importateur de données garantit qu’il assurera la confiden:alité des données à caractère personnel transférées et qu’il ne traitera plus activement les données à caractère personnel transférées.

12.2 L’importateur de données et le sous-traitant ultérieur garantissent que si l’exportateur de données et/ou l’autorité de contrôle le demandent, ils soumettront leurs moyens de traitement de données à un audit des mesures visées au paragraphe 1.

Le présent Accord a été conclu à la date indiquée au début de l’Accord.

EXPORTATEUR DES DONNÉES

Nom: .............................

Signature:.............................

IMPORTATEUR DES DONNÉES

Nom:..................................................

Signature:.............................

Annexe A

Clauses Contractuelles Types

__La présente annexe fait partie des Clauses et doit être rempli et signé par les Parties. Les États membres peuvent compléter ou préciser, selon leurs procédures nationales, toute information supplémentaire devant éventuellement être incluse dans la présente annexe.

Form
L’exportateur des données: L’exportateur des données est (veuillez indiquer brièvement les ac:vités en lien avec le transfert)
L’importateur des données: L’importateur des données (veuillez indiquer brièvement les ac:vités en lien avec le transfert)
Personnes concernées: Les données à caractère personnel transférées concernent les catégories suivantes de personnes concernées (indiquer)
Catégories de données: Les données à caractère personnel transférées concernent les catégories suivantes de données (indiquer)
Catégories particulières de données (le cas échéant): Les données à caractère personnel transférées concernent les catégories particulières de données suivantes (indiquer)
Activités de traitement: Les données à caractère personnel transférées seront soumises aux activités de traitement suivantes (indiquer)

EXPORTATEUR DES DONNÉES

Nom: ............................

Signature:.............................

IMPORTATEUR DES DONNÉES

Nom: ............................

Signature:.............................



Annexe B

Clauses Contractuelles Types

La présente annexe fait partie des Clauses et doit être rempli et signé par les parties. Description des mesures techniques et organisationnelles de sécurité mises en œuvre par l’importateur de données conformément à la clause 4(d) et la clause 5(c) (ou document/législation jointe) : ........................................................................

EXPORTATEUR DES DONNÉES

Nom: ............................

Signature:.............................

IMPORTATEUR DES DONNÉES

Nom: ............................

Signature:.............................