CONDITIONS GÉNÉRALES D’UTILISATION DES SERVICES DE SPENDESK

Version applicable à compter du 01092023 - v010923

La société Spendesk propose une plateforme de gestion des dépenses pour les entreprises. Les présentes Conditions Générales ont pour objet de régir les Services fournis par Spendesk à ses Clients. Les Services incluent des services de paiement et des services de monnaie électronique. Dans le cadre de la fourniture des Services relatifs aux Comptes en Euros, Spendesk agit en qualité d’agent de PSP au nom et pour le compte d’Okali. A ce titre, Spendesk est enregistrée auprès de l’ACPR et inscrite sur le Registre des agents financiers (accessible ici :https://www.regafi.fr/) sous le numéro 74593.

1. DÉFINITIONS ET INTERPRÉTATION

1.1. Définitions

Dans les présentes Conditions Générales, les termes commençant par une majuscule et non définis spécifiquement dans le corps des Conditions Générales ont le sens qui leur est attribué ci-dessous :

Accepteur: désigne l’accepteur d’un Ordre de Paiement par Carte disposant d’un Point d’Acceptation ;

ACPR: désigne l’Autorité de contrôle prudentiel et de résolution sise 4, place de Budapest – 75436 Paris Cedex 09 ;

Bénéficiaire: désigne toute personne physique ou morale qui est le destinataire prévu de fonds ayant fait l’objet d’une Opération de Paiement ;

Carte: désigne, selon le cas, une Carte en Euros, Carte en livres Sterling (GBP) ou une Carte en Devises ;

Carte en Euros: désigne une carte physique ou virtuelle de débit libellée en euros qui est mise à la disposition du Client immatriculé dans un État partie à l’EEE (à l’exclusion des clients immatriculés au Royaume-Uni) et qui est régie par les Conditions Générales Cartes de débit EEE disponibles à l’Annexe 1 ;

Carte en Devises: désigne une carte physique ou virtuelle prépayée libellée dans une des devises suivantes: EUR, USD, GBP, NOK, SEK et DKK pour les clients immatriculés dans un État parti à l’EEE ou EUR, USD, GBP, NOK, SEK et DKK pour les clients immatriculés au Royaume-Uni , qui est mise à la disposition du Client; pour les clients immatriculés au Royaume-Uni à qui sont attribués des Cartes en Devises, ces Cartes sont régies par les Conditions Générales Cartes prépayées UK disponibles en Annexe 1; pour les clients immatriculés dans un État parti à l’EEE, ces Cartes sont régis par les Conditions Générales Cartes prépayées EEE disponibles en Annexe 1;

Carte en GBP: désigne une carte physique ou virtuelle de débit libellée en GBP qui est mise à la disposition du Client immatriculé dans un État parti à l’EEE ou au Royaume Uni et qui est régie par les Conditions Générales Cartes de débit UK disponibles en Annexe 1 ;

Client: désigne une personne physique ou morale, immatriculée ou résidente dans un État membre de l’UE ou dans un État partie à l’EEE ou au Royaume-Uni, agissant pour son compte dans le cadre de son activité professionnelle, ayant adhéré aux présentes Conditions Générales et souhaitant utiliser les Services fournis par Spendesk ;

CMF: désigne le Code monétaire et financier ;

Code PIN: désigne le code à quatre (4) chiffres associé à une Carte ;

Comptes: désigne les Comptes en Euros et/ou, selon le contexte, les Comptes en GBP ;

Compte en Euros: désigne un compte de paiement, au sens de l’article L. 314-1 I. du CMF, identifié par un IBAN, libellé en euro et ouvert au nom du Client immatriculé dans l’EEE dans les livres d’Okali ;

Compte en GBP: désigne le compte de monnaie électronique libellés en livres sterling (GBP) et ouvert au nom du Client dans les livres de TPL ;

Compte Externe: désigne un compte bancaire ou de paiement détenu par le Client auprès d'un PSP autre qu’Okali ;

Contrat: désigne, ensemble, les Documents des Partenaires et les Conditions Générales ;

CGU Cartes Devises: désigne soit (i) les Conditions Générales Cartes prépayées EEE figurant à l’Annexe 1 ou soit (ii) les Conditions Générales Cartes Prépayées UK figurant à l’Annexe 1 ;

CGU Compte GBP: désigne les conditions générales d’utilisation du Compte en GBP figurant à l’Annexe 1 ;

CGU Cartes Euros: désigne les Conditions Générales Cartes de débit EEE figurant à l’Annexe 1 ;

CGU Cartes GBP: désigne les conditions Générales Cartes de débit UK figurant à l’Annexe 1 ;

CGU Okali: désigne le « Contrat-cadre pour les Services de Paiement » figurant à l’Annexe 1 ;

CGU TPL: désigne, ensemble, les CGU Cartes Devises, les CGU Compte GBP, les CGU Carte GBP et les stipulations des Conditions Tarifaires applicables aux Comptes en GBP et aux Cartes en Devises et aux Cartes GBP ;

Conditions Générales: désigne les présentes conditions générales d’utilisation des services de Spendesk ;

Conditions Tarifaires: désigne les Frais applicables aux Services et qui figurent :

- en Annexe 1 pour les Cartes en Euros ; et

- en Annexe 1 pour le(s) Compte(s) en GBP et les Cartes en Devises.

DAB: désigne un distributeur automatique de billets ;

Documents des Partenaires: désigne, ensemble, les CGU Cartes Euros, les CGU Okali, les CGU Cartes Devises, les CGU Compte Devise TPL et les Conditions Tarifaires ;

Données à Caractère Personnel: désigne des « données à caractère personnel » au sens de la Loi pour la Protection des Données ;

Données de Sécurité Personnalisées: désigne les données personnalisées fournies à un Utilisateur par Spendesk ou, selon le cas, choisies par un Utilisateur, qui doivent être utilisées par cet Utilisateur afin de s’identifier pour accéder à la Plateforme et/ou réaliser une action sur la Plateforme, y compris pour demander l’exécution d’une Opération de Paiement. Les Données de Sécurité Personnalisées incluent également le Code PIN associé à une Carte ;

EEE: désigne l’Espace économique européen ;

Jour Ouvrable: désigne (i) pour Spendesk, un jour calendaire, à l’exception des samedis, dimanches et jours fériés en France métropolitaine, au cours duquel les infrastructures de paiement exercent leurs activités en fonctionnement régulier et au cours duquel Spendesk exerce une activité permettant d'exécuter des Opérations de Paiement, (ii) pour Okali, un jour ouvrable tel que défini dans les CGU Okali et (iii) pour TPL, un jour ouvrable tel que défini dans les CGU TPL applicables au Service concerné ;

Frais: désigne les frais dus par le Client en contrepartie de la fourniture des Services, selon les tarifs indiqués dans les Conditions Tarifaires ;

LCB-FT: désigne la lutte contre le blanchiment de capitaux et le financement du terrorisme ;

Loi pour la Protection des Données: désigne (i) le RGPD et (ii) toute autre réglementation applicable à Spendesk et au Client en matière de protection des Données à Caractère Personnel ;

Opération de Paiement: désigne une action consistant à verser, transférer ou retirer des fonds à partir ou à destination d’un Compte, indépendamment de toute obligation sous-jacente entre le Payeur et le Bénéficiaire ;

Ordre de Paiement: désigne une instruction d’un Payeur ou d’un Bénéficiaire à son PSP demandant l’exécution d’une Opération de Paiement ;

Parties: désigne, ensemble, (i) le Client et (ii) Spendesk agissant, selon le cas, soit en son nom et pour son compte, soit en tant qu’agent d’Okali ;

Payeur: désigne toute personne physique ou morale donnant ou autorisant un Ordre de Paiement ;

Plateforme: désigne la solution fournie par Spendesk qui permet aux Clients d’utiliser les Services et qui inclut notamment le site web disponible à l’adresse https:// www.spendesk.com (et/ou tout autre site web dont le Client pourrait être ultérieurement informé) et/ou toute application mobile que Spendesk mettrait à la disposition du Client ;

Point d’Acceptation: désigne la page de paiement ou le terminal de paiement permettant à un Client de transmettre un Ordre de Paiement par Carte à un Accepteur ;

PSP: désigne un prestataire de services de paiement ;

RGPD: désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Schéma de Carte: désigne Mastercard® et/ou tout autre schéma de cartes similaire, comme indiqué sur la Plateforme ;

Services: désigne l’accès à la Plateforme et aux services afférents, y compris les services relatifs aux Comptes en Euros, aux Cartes en Euros, aux Comptes en GBP, aux Cartes en Devises et le Service d’Archivage mais en excluant le Service d’Assurance qui sera uniquement traité à l’article 9 ;

Service d’Archivage: désigne le service décrit à l’article 6 ci-dessous ;

Service d’Assurance: désigne la possibilité pour le Client de souscrire à une assurance telle que décrite à l’article 9 ci-dessous ;

Okali: désigne Okali, société par actions simplifiée immatriculée au Registre du commerce et des sociétés de Paris sous le numéro 890111776, dont le siège social est sis 50 rue la Boétie 75008 Paris - France. Okali est agréée en qualité d’établissement de monnaie électronique par l’ACPR sous le numéro 17448 et est soumise au contrôle de cette dernière ;

Spendesk: désigne Spendesk SAS, société par actions simplifiée immatriculée au Registre du commerce et des sociétés de Paris sous le numéro 821 893 286, dont le siège social est sis 51 rue de Londres, 75008 Paris – France. Pour l’application des stipulations des présentes Conditions Générales relatives aux Comptes en Euros, toute référence à Spendesk doit être interprétée comme faisant référence à Spendesk SAS agissant en tant qu’agent d’Okali. Pour l’application des stipulations des présentes Conditions Générales relatives aux Comptes en GBP et aux Cartes, toute référence à Spendesk doit être interprétée comme faisant référence à Spendesk SAS;

TPE: désigne tout équipement électronique, y compris notamment tout terminal de paiement en proximité ou à distance (lecteur sécurisé connecté à un ordinateur, décodeur TV, téléphone mobile avec insertion de la Carte, etc.) ou DAB qui est utilisé pour initier une Opération de Paiement par Carte ;

TPL: désigne Transaction Payment Limited, société immatriculée à Gibraltar, dont le siège social est sis 6.20 World Trade Center, 6 Bayside Road, Gibraltar GX11 1AA autorisée en tant qu’établissement de monnaie électronique par la Commission des Services Financiers de Gibraltar et/ou Transact Payments Malta Limited , société immatriculée à Malte, dont le siège social est sis Vault 14, Level 2, Valletta Waterfront, Floriana FRN 1914, Malte, autorisée en tant qu’établissement de monnaie électronique par l’Autorité des Services Financiers de Malte sous le numéro 91879;

Utilisateur: désigne, selon le contexte, (i) l’Utilisateur Principal et/ou (ii) toute autre personne physique agissant au nom et pour le compte du Client dans le cadre de son activité professionnelle et qui est habilitée à utiliser les Services au nom et pour le compte du Client, dans la limite des habilitations qui lui ont été délivrées par l’Utilisateur Principal ;

Utilisateur Principal: désigne le Client (lorsqu’il est une personne physique) ou une personne physique dûment habilitée par le Client à (i) conclure le Contrat pour le compte du Client et (ii) exercer les fonctions prévues par les Conditions Générales, notamment celles indiquées à l’article 3. Lorsque l’Utilisateur Principal n’est pas le Client ou un mandataire social du Client, il doit s’agir d’une personne (salarié ou tiers) spécialement habilitée à agir au nom et pour le compte du Client (et, dans le cas visé au (i) ci-dessus, à conclure le Contrat pour le compte du Client) dans le cadre d’une procuration ou d’une délégation de pouvoirs accordée par un mandataire social du Client. Le Client s’engage à fournir à Spendesk, sur demande, une preuve des pouvoirs de l’Utilisateur Principal ;

Violation de Données: désigne une violation de sécurité menant de manière accidentelle ou illégale, à une destruction, perte, altération, révélation non-autorisée de, ou accès aux Données à Caractère Personnel transmises, stockées ou traitées d’une autre manière par Spendesk ; et

Virement: désigne une Opération de Paiement par laquelle le PSP qui tient le compte du Payeur vire, sur instruction du Payeur, une somme d'argent du compte du Payeur vers un autre compte ouvert au nom du Bénéficiaire.

1.2. Interprétation

Sauf indication contraire dans les présentes Conditions Générales, (i) les mots d’un genre donné impliquent l’autre genre, (ii) les mots au singulier impliquent également le pluriel et vice versa et (iii) les expressions « les présentes Conditions Générales », « aux présentes » et leurs formes dérivées ou expressions similaires se rapportent aux Conditions Générales dans leur intégralité.

Sauf indication contraire dans les présentes Conditions Générales, en cas de contradiction entre les Conditions Générales et les Documents des Partenaires, ces derniers prévalent sur les Conditions Générales.

2. SOUSCRIPTION AUX SERVICES

2.1. Inscription

Si le Client remplit tous les critères indiqués sur la Plateforme au moment de son inscription, il peut souscrire aux Services en suivant les étapes indiquées sur la Plateforme.

À la date des présentes Conditions Générales, le Client ne peut être qu’une personne physique ou morale agissant à des fins professionnelles ou une entreprise immatriculée ou résidente dans un État membre de l’UE ou dans un État partie à l’EEE ou au Royaume -Uni. Les Services s’adressent exclusivement à des clients professionnels et ne sont pas destinés à des consommateurs.

En tout état de cause, l’inscription du Client implique notamment (i) l’acceptation du Contrat (qui inclut les Conditions Générales, les Documents des Partenaires et les Conditions Tarifaires) et (ii) le paiement des Frais.

Spendesk peut, à sa seule discrétion, refuser à toute personne l’inscription aux Services, sans avoir à expliquer son refus.

2.2. Acceptation du Contrat

L’acceptation du Contrat par le Client est matérialisée, pendant le processus d’inscription mentionné à l’article 2.1 ci-dessus par une case cochée sur la Plateforme et la signature électronique d’un représentant légal du Client.

En adhérant au Contrat, le Client reconnaît expressément qu’il a attentivement pris connaissance des Conditions Générales, des Documents des Partenaires et des Conditions Tarifaires en vigueur le jour de son acceptation, qu’il les a comprises et qu'il les accepte dans leur intégralité et sans réserve.

Le Client s’engage à porter le Contrat à la connaissance de tout Utilisateur et à faire respecter les stipulations du Contrat par tout Utilisateur.

Le Client accepte la transmission et la signature de tout document par voie électronique et reconnaît leur opposabilité en cas de litige.

2.3. Vérifications LCB-FT

Conformément à la réglementation applicable, Okali et TPL sont tenus de recueillir certains documents et informations sur le Client, ainsi que sur son/ses bénéficiaire(s) effectif(s), avant d’entrer en relation avec lui ou pendant leur relation contractuelle.

Dans ce contexte, le Client s’engage à fournir à Spendesk tout document et/ou toute information nécessaire pour permettre à Okali et/ou à TPL de se conformer à leurs obligations en matière de LCB-FT (ci-après les « Éléments KYC »). Des mesures de vérification et de certification des documents communiqués par le Client peuvent être demandées ou effectuées, le cas échéant.

Le Client reconnaît que dans l’hypothèse où il ne fournirait pas les documents demandés, Spendesk se verrait dans l’impossibilité de fournir les Services et le cas échéant dans l’obligation de résilier le Contrat.

En cas de modification affectant les Éléments KYC, comme un changement de bénéficiaire effectif, le Client doit en informer Spendesk dans les meilleurs délais.

Le Client accepte que les informations et documents transmis à Spendesk dans le cadre de la mise en œuvre de la présente clause 2.3 soient conservés par Spendesk et Okali ou, selon le cas, TPL, pendant la durée et dans les conditions prévues par la réglementation applicable.

3. ACCÈS AUX SERVICES

Dans les présentes Conditions Générales, le terme « Client » doit être interprété comme faisant référence (i) au Client lui-même s’il est une personne physique ou (ii) au Client agissant par l’intermédiaire d’un Utilisateur (soit l’Utilisateur Principal, soit un Utilisateur disposant des pouvoirs et habilitations nécessaires). Tout acte, décision, instruction ou demande saisis par un Utilisateur sur la Plateforme sera considéré comme un acte, une décision, une instruction ou une demande du Client.

L’accès aux Services par les Utilisateurs requiert leur inscription sur la Plateforme. Le Client s’engage à ce que les Utilisateurs s’inscrivent sur la Plateforme et utilisent les Services en respectant les stipulations des Conditions Générales.

L’Utilisateur Principal peut effectuer tout acte de gestion du/des Compte(s) et des Services, y compris notamment :

(i) inviter d’autres personnes à devenir des Utilisateurs et les habiliter à réaliser certaines actions sur la Plateforme ;

(ii) demander l’émission de Cartes ;

(iii) attribuer un plafond de dépenses ou de retrait à chaque Carte, dans la limite des montants maximum autorisés par Spendesk ;

(iv) demander l’exécution de Virements sortants, y compris vers un Compte Externe ;

(v) approvisionner un Compte en Euros selon les stipulations prévues à l’article 4.1.2 ci-après ou charger un Compte en GBP selon les stipulations prévues à l’article 5.1.2 ci-après.

L’Utilisateur Principal peut déléguer des pouvoirs à un Utilisateur en lui affectant un profil sur la Plateforme. Lorsqu’il attribue des pouvoirs à un Utilisateur, l’Utilisateur Principal peut être contraint de sélectionner l’un des profils prédéfinis proposés par Spendesk, sans pouvoir choisir la combinaison de pouvoirs/autorisations qu’il veut déléguer ou la terminologie attribuée à chaque profil (« Administrateur », « Demandeur », « Gestionnaire », etc.).

4. SERVICES RELATIFS AUX COMPTE(S) EN EUROS ET AUX CARTES EN EUROS

Les stipulations du présent article 4 s’appliquent uniquement si le Client a sollicité l’ouverture d’un ou plusieurs Compte(s) en Euros et/ou la mise à disposition d’une ou plusieurs Cartes en Euros.

4.1. Services relatifs au(x) Compte(s) en Euros

4.1.1. Conditions d’ouverture d’un Compte en Euros

Les conditions d’ouverture d’un ou plusieurs Compte(s) en Euros au nom du Client ainsi que les modalités de fonctionnement de ce(s) Compte(s) en Euros sont régies par les CGU Okali figurant en Annexe 1. Dans le cadre de la fourniture des Services liés au(x) Compte(s) en Euros, Spendesk agit en tant qu’agent d’Okali.

L’ouverture d’un ou plusieurs Compte(s) en Euros au nom du Client est subordonnée (i) au respect par le Client des étapes d’inscription mentionnées sur la Plateforme, (ii) à l’examen par Spendesk des documents et informations fournis par le Client (iii) à l’acceptation de la demande d’inscription par Spendesk et (iv) au respect des présentes Conditions Générales ainsi que des CGU Okali figurant en Annexe 1.

Si Spendesk estime, à sa seule discrétion, que les éléments fournis par le Client lors de son inscription ne sont pas suffisants pour permettre à Spendesk et/ou Okali de respecter leurs obligations réglementaires et/ou contractuelles, notamment en matière de LCB-FT, Spendesk se réserve le droit de reporter ou refuser l’ouverture d’un Compte en Euros, sans avoir à motiver sa décision. Cette décision ne pourra en aucun cas donner lieu à des dommages-intérêts. Elle sera notifiée au Client soit par e-mail soit par téléphone et mettra immédiatement fin aux présentes Conditions Générales.

4.1.2. Approvisionnement d’un Compte en Euros

Le Client doit s'assurer que tout Compte en Euros présente à tout moment un solde suffisant et disponible pour permettre (i) l’exécution des Opérations de Paiement demandées par le Client et (ii) le prélèvement par Spendesk des Frais en application de l’article 10 ci-après.

Le Client peut approvisionner un Compte en Euros :

(i) en ordonnant un Virement vers ce Compte en Euros depuis un Compte Externe selon les modalités prévues précisées par les CGU Okali figurant en Annexe 1 ; ou

(ii) en effectuant un paiement par carte sur la Plateforme, conformément à la procédure décrite sur la Plateforme. Seules les cartes de marque Visa, American Express ou Mastercard sont acceptées à cette fin. Cette opération peut être sujette à des commissions qui seront mentionnées sur la Plateforme avant que le Client ne confirme le paiement par carte.

Le Client reconnaît et accepte expressément à ce que le Compte ne soit jamais utilisé comme un compte dit de dépôt. En effet et pour mémoire, le Compte a pour fonction de permettre au Client d'accompagner les Utilisateurs dans le cadre de leurs dépenses professionnelles en les facilitant et en en permettant un contrôle à travers la Plateforme. Dans ce cadre et comme indiqué dans le présent article, le Client doit veiller à ce que le Compte ait seulement un solde suffisant et disponible pour ces dépenses. Néanmoins, ce solde doit représenter un montant en cohérence avec la moyenne des dépenses mensuelles du client, à savoir selon un montant prévisionnel ou réel constaté sur les 3 (trois) derniers mois précédant le chargement éventuel du Compte du Client. Ainsi, et dans l'hypothèse où le solde dudit Compte dépasserait 12 (douze) fois le montant des dépenses mensuelles moyen, prévisionnel ou réel sur les 3 (trois) derniers mois (la "Moyenne"), Spendesk en informera le Client immédiatement et qui devra procéder au virement de la partie du solde dépassant la Moyenne sur le compte émetteur du Client. Sans actions de la part du Client dans les 7 (sept) jours qui suivent l'information par Spendesk, le montant initialement versé par le Client sera renvoyé en totalité sur le compte émetteur.

4.1.3. Virements effectués à partir d’un Compte en Euros

Le Client peut ordonner un Virement depuis un Compte en Euros vers un Compte Externe selon les modalités prévues précisées par les CGU Okali figurant en Annexe 1.

4.1.4. Contestation des Opérations de Paiement et/ou blocage du Compte en Euros

Le Client peut contester des Opérations de Paiement autorisées, non autorisées ou mal exécutées réalisées sur le Compte en Euros aussi rapidement que possible et au plus tard dans les soixante (60) jours suivant l'enregistrement de l'Opération litigieuse sur le Compte en Euros. Pour contester une Opération, le Client informe Spendesk selon les modalités décrites à l’article 11 ci-après.

Lorsqu'il découvre la perte, le vol ou l'usage frauduleux de ses Données de Sécurité Personnalisées, le Client ou tout Utilisateur doit informer Spendesk afin de bloquer l'accès au Compte en Euro. Cette demande doit être faite par e-mail envoyé à l'adresse indiquée à l’article 11 ci-après. Spendesk accuse réception et notifie le Client du blocage du Compte en Euro par e-mail.

Les modalités de contestation d’Opérations de Paiement réalisées sur le Compte en Euros et de blocage d’un Compte en Euros sont également régies par les CGU Okali figurant en Annexe 1.

Spendesk se réserve la possibilité de bloquer, de sa propre initiative, le Compte en Euros pour des raisons ayant trait à la sécurité du Compte en Euros, dans les conditions prévues par les CGU Okali figurant en Annexe 1.

4.1.5. Consultation du solde d’un Compte en Euros

Le solde d’un Compte en Euros et l'historique des Opérations de Paiement réalisées sur ce Compte en Euros peuvent être consultés à tout moment en se connectant à la Plateforme. Il est recommandé au Client de vérifier régulièrement l’historique afin d’être en mesure de détecter une Opération de Paiement non autorisée ou mal exécutée.

4.2. Services liés à l’utilisation des Cartes en Euros

Le Client peut demander la mise à disposition d’une ou plusieurs Carte(s) en Euros dont les conditions de souscription et d’utilisation sont décrites par les CGU Cartes Euros figurant à l’Annexe 1 pour les cartes de débit.

4.2.1. Délivrance et activation d’une Carte en Euros

Une Carte est délivrée à la demande du Client. Cette demande doit être effectuée par le biais de la Plateforme.

Spendesk se réserve le droit de refuser de délivrer une Carte. Dans ce cas, Spendesk informe le Client, sur demande de ce dernier, des motifs de sa décision, à moins qu’une telle information soit interdite en vertu de la réglementation applicable.

Une Carte physique (plastique) est directement envoyée au Client ou à l’Utilisateur désigné par le Client à l'adresse indiquée sur le bon de commande de la Carte rempli via la Plateforme. Lorsque la Carte est envoyée au Client, il lui appartient de la remettre à l’Utilisateur concerné.

Pour pouvoir activer la Carte qui lui est attribuée, l’Utilisateur doit se connecter à la Plateforme et suivre les indications qui lui sont communiquées. La Carte ne pourra pas être utilisée si elle n’est pas activée par l'Utilisateur dans le délai imparti.

Dans le cas d’une Carte physique, l’Utilisateur de la Carte doit signer l'arrière de la Carte dès qu'il la reçoit.

4.2.2. Utilisation des Cartes en Euros

Une Carte en Euros permet à son Utilisateur d’effectuer :

- des retraits d'espèces auprès de DAB affichant la marque du Schéma de Cartes apposée sur la Carte ; et

- des achats de biens ou de services (en proximité ou à distance) auprès des Accepteurs qui acceptent les cartes portant la marque du Schéma de Cartes apposée sur la Carte.

Lorsque la Carte en Euros est une carte de débit régie par les CGU Cartes Euros figurant à l’Annexe 1, les Opérations de Paiement réalisées avec cette Carte sont débitées du Compte en Euros associé à la Carte.

4.2.3. Saisie du Code PIN associé à une Carte en Euros

Le nombre d'essais successifs de composition du Code PIN est limité à trois (3) sur les TPE et les DAB. Le troisième essai infructueux provoque l'invalidation de la Carte et/ou, le cas échéant, sa capture par le DAB. Dans ce cas, le Client ou l’Utilisateur de la Carte contacte le service client de Spendesk selon les modalités décrites à l’article 11 ci-après.

4.2.4. Plafonds d’utilisation des Cartes en Euros

Les plafonds d’utilisation et de retrait d’espèces maximaux pour les Cartes en Euros sont indiqués pour les Cartes prépayées à l’Annexe 1 selon le type de Carte concerné (virtuelles, physiques ou virtuelles à hauts plafonds).

4.2.5. Opposition

Dès qu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation frauduleuse d’une Carte ou des Données de Sécurité Personnalisées qui lui sont liées, ou du détournement ou de toute utilisation frauduleuse de la Plateforme et des Données de Sécurité Personnalisées permettant d’y accéder, le Client doit en informer sans tarder Spendesk aux fins de blocage de la Carte et/ou de l’accès à la Plateforme, en indiquant les motifs pour lesquels le blocage est demandé.

Cette demande d’opposition (blocage) doit être faite :

- par e-mail à l’adresse support@spendesk.fr ; ou

- par téléphone en appelant le numéro suivant :0033(0)182880510 ; ou

- en utilisant le chat sur la Plateforme.

En cas de vol ou d’utilisation frauduleuse de la Carte, le Client s’engage à se conformer aux obligations prévues par les CGU Cartes Euros figurant à l’Annexe 1 pour les cartes de débit.

Spendesk ne saurait être tenue pour responsable des conséquences d’une demande d’opposition qui n’émanerait pas du Client ou d’un Utilisateur dûment habilité.

Si une Carte signalée comme perdue est ultérieurement retrouvée par l’Utilisateur, elle ne doit pas être utilisée. Dans cette hypothèse, le Client ou l’Utilisateur doit contacter le service client de Spendesk selon les modalités décrites à l’article 11 ci-après, pour connaître les démarches à effectuer.

4.2.6. Blocage de la Carte en Euros pour des raisons de sécurité

Spendesk et TPL se réservent la possibilité de bloquer, de leur propre initiative, une ou plusieurs Carte(s) pour des raisons ayant notamment trait à la sécurité de la/des Carte(s) telles que listées au sein des les CGU Cartes Euros figurant à l’Annexe 1 pour les Cartes de débit.

Le Client et/ou l’Utilisateur de la Carte peut demander à tout moment le déblocage de la Carte en contactant le service client de Spendesk. Toutefois, la décision de déblocage appartient en dernier ressort à TPL.

5. SERVICES RELATIFS AUX COMPTE(S) EN GBP ET AUX CARTES EN DEVISES OU AUX CARTES EN GBP

Les stipulations du présent article 5 s’appliquent uniquement si le Client a sollicité l’ouverture d’un ou plusieurs Compte(s) en GBP et/ou la mise à disposition d’une ou plusieurs Cartes en Devises et/ou Carte en GBP.

5.1. Services relatifs aux Comptes en GBP

5.1.1. Conditions d’ouverture d’un Compte en GBP

Les conditions d’ouverture d’un ou plusieurs Compte(s) en GBP au nom du Client ainsi que les modalités de fonctionnement de ce(s) Compte(s) en GBP sont régies par les CGU Compte GBP figurant en Annexe 1.

L’ouverture d’un ou plusieurs Compte(s) en GBP au nom du Client est subordonné (i) au respect par le Client des étapes d’inscription mentionnées sur la Plateforme, (ii) à l’examen par Spendesk des documents et informations fournis par le Client, (iii) à l’acceptation de la demande d’inscription par Spendesk et (iv) au respect des présentes Conditions Générales ainsi que des CGU Compte TPL figurant en Annexe 1.

Si Spendesk estime, à sa seule discrétion, que les éléments fournis par le Client lors de son inscription ne sont pas suffisants pour permettre à Spendesk et TPL de respecter leurs obligations réglementaires et/ou contractuelles, notamment en matière de LCB-FT, Spendesk se réserve le droit de reporter ou refuser l’ouverture d’un Compte en GBP, sans avoir à motiver sa décision. Cette décision ne pourra en aucun cas donner lieu à des dommages-intérêts. Elle sera notifiée au Client par e-mail et mettra immédiatement fin aux présentes Conditions Générales.

5.1.2. Chargement d’un Compte en GBP

Le Client doit s'assurer que tout Compte en GBP présente à tout moment un solde suffisant et disponible pour permettre (i) l’exécution des Opérations de Paiement demandées par le Client et (ii) le prélèvement par Spendesk des Frais en application de l’article 10 ci-après.

Le Client peut charger un Compte en GBP en :

(i) ordonnant un Virement vers le Compte depuis un Compte Externe britannique selon les modalités prévues précisées par les CGU Compte GBP ; ou

(ii) en effectuant un paiement par carte sur la Plateforme, conformément à la procédure décrite sur la Plateforme. Seules les cartes de marque Visa, American Express ou Mastercard sont acceptées à cette fin. Cette opération peut être sujette à des commissions qui seront clairement mentionnées sur la Plateforme avant que le Client ne confirme le paiement par carte.

Le Client reconnaît et accepte expressément à ce que le Compte ne soit jamais utilisé comme un compte dit de dépôt. En effet et pour mémoire, le Compte a pour fonction de permettre au Client d'accompagner les Utilisateurs dans le cadre de leurs dépenses professionnelles en les facilitant et en en permettant un contrôle à travers la Plateforme. Dans ce cadre et comme indiqué dans le présent article, le Client doit veiller à ce que le Compte ait seulement un solde suffisant et disponible pour ces dépenses. Néanmoins, ce solde doit représenter un montant en cohérence avec la moyenne des dépenses mensuelles du client, à savoir selon un montant prévisionnel ou réel constaté sur les 3 derniers mois précédant le chargement éventuel du Compte du Client. Ainsi, et dans l'hypothèse où le solde dudit Compte dépasserait 12 (douze) fois le montant des dépenses mensuelles moyen, prévisionnel ou réel sur les 3 (trois) derniers mois (la "Moyenne"), Spendesk en informera le Client immédiatement et qui devra procéder au virement de la partie du solde dépassant la Moyenne sur le compte émetteur du Client. Sans actions de la part du client dans les 7 jours qui suivent l'information par Spendesk, le montant initialement versé par le Client sera renvoyé en totalité sur le compte émetteur.

5.1.3. Transfert de fonds à partir d’un Compte en GBP

Le Client peut demander l’exécution d’un transfert de fonds à partir d’un Compte en GBP, dans les conditions prévues aux CGU TPL Annexe 1.

5.1.4. Contestation des Opérations de Paiement et/ou blocage du Compte en GBP

Le Client peut contester des Opérations de Paiement autorisées, non autorisées ou mal exécutées réalisées sur le Compte en GBP aussi rapidement que possible et au plus tard dans les soixante (60) jours suivant l'enregistrement de l'Opération litigieuse sur le Compte en GBP. Pour contester une Opération, le Client informe Spendesk selon les modalités décrites à l’article 11 ci-après.

Lorsqu'il découvre la perte, le vol ou l'usage frauduleux de ses Données de Sécurité Personnalisées, le Client ou tout Utilisateur doit informer Spendesk afin de bloquer l'accès au Compte en GBP. Cette demande doit être faite par e-mail et être confirmée par lettre recommandée avec accusé de réception et envoyée à l'adresse indiquée à l’article 11 ci-après. Spendesk accuse réception et notifie le Client du blocage du Compte en GBP par e-mail

TPL se réserve la possibilité de suspendre, de sa propre initiative le Compte en GBP en cas de réalisation de l’un des évènements listés au sein des CGU Compte GBP figurant en Annexe 1.

5.1.5. Consultation du solde d’un Compte en GBP

Le solde d’un Compte en GBP et l'historique des Opérations de Paiement réalisées sur ce Compte en GBP peuvent être consultés à tout moment en se connectant à la Plateforme. Il est recommandé au Client de vérifier régulièrement l’historique afin d’être en mesure de détecter une Opération de Paiement non autorisée ou mal exécutée.

5.2. Services liés à l’utilisation des Cartes en GBP

Le Client peut demander la mise à disposition d’une ou plusieurs Carte(s) en GBP dont les conditions de souscription et d’utilisation sont décrites par les CGU Cartes GBP figurant à l’Annexe 1 pour les cartes de débit.

5.2.1. Délivrance et activation d’une Carte en GBP

Une Carte est délivrée à la demande du Client. Cette demande doit être effectuée par le biais de la Plateforme.

Dans le cas d’une Carte physique, l’Utilisateur de la Carte doit signer l'arrière de la Carte dès qu'il la reçoit.

5.2.2. Utilisation des Cartes en GBP

Une Carte en GBP permet à son Utilisateur d’effectuer :

- des retraits d'espèces auprès de DAB affichant la marque du Schéma de Cartes apposée sur la Carte ; et

- des achats de biens ou de services (en proximité ou à distance) auprès des Accepteurs qui acceptent les cartes portant la marque du Schéma de Cartes apposée sur la Carte.

Lorsque la Carte en GBP est une carte de débit régie par les CGU Cartes GBP figurant à l’Annexe 1, les Opérations de Paiement réalisées avec cette Carte sont débitées du Compte en GBP associé à la Carte.

5.2.3. Saisie du Code PIN associé à une Carte en GBP

5.2.4. Plafonds d’utilisation des Cartes en GBP

Les plafonds d’utilisation et de retrait d’espèces maximaux pour les Cartes en GBP sont indiqués en pour les Cartes de débit à l’Annexe 1. L’Utilisateur Principal peut modifier les plafonds d’utilisation et/ou de retrait d’espèces via la Plateforme, dans la limite de ces plafonds.

5.2.5. Opposition

Cette demande d’opposition (blocage) doit être faite :

- par e-mail à l’adresse support@spendesk.fr ; ou

- par téléphone en appelant le numéro suivant :0033(0)182880510 ; ou

- en utilisant le chat sur la Plateforme.

En cas de vol ou d’utilisation frauduleuse de la Carte, le Client s’engage à se conformer aux obligations prévues par les CGU Cartes GBP figurant à l’Annexe 1 pour les Cartes de débit.

Spendesk ne saurait être tenue pour responsable des conséquences d’une demande d’opposition qui n’émanerait pas du Client ou d’un Utilisateur dûment habilité.

5.2.6. Blocage de la Carte en GBP pour des raisons de sécurité

Spendesk et TPL se réservent la possibilité de bloquer, de leur propre initiative, une ou plusieurs Carte(s) pour des raisons ayant notamment trait à la sécurité de la/des Carte(s) telles que listées au sein des les CGU Cartes GBP figurant en Annexe 1 pour les Cartes de débit.

5.3. Services liés à l’utilisation des Cartes en Devises

Le Client peut demander la mise à disposition d’une ou plusieurs Carte(s) en Devises dont les conditions de souscription et d’utilisation sont régies par les CGU Cartes Devises figurant à l’Annexe 1 pour les Cartes prépayées.

5.3.1. Délivrance et activation d’une Carte en Devises

Une Carte est délivrée à la demande du Client. Cette demande doit être effectuée par le biais de la Plateforme.

Dans le cas d’une Carte physique, l’Utilisateur de la Carte doit signer l'arrière de la Carte dès qu'il la reçoit.

5.3.2. Utilisation des Cartes en Devises

Une Carte en Devises permet à son Utilisateur d’effectuer :

- des retraits d'espèces auprès de DAB affichant la marque du Schéma de Cartes apposée sur la Carte ; et

- des achats de biens ou de services (en proximité ou à distance) auprès des Accepteurs qui acceptent les cartes portant la marque du Schéma de Cartes apposée sur la Carte.

5.3.3. Saisie du Code PIN associé à une Carte en Devises

5.3.4. Plafonds d’utilisation des Cartes en Devises

Les plafonds d’utilisation et de retrait d’espèces maximaux pour les Cartes en Devises sont indiqués pour les Cartes prépayées en Annexe 1 selon le type de Carte concerné (virtuelles, physiques ou virtuelles à hauts plafonds) et la devise concernée (GBP, USD, DKK, NOK ou SEK).

5.3.5. Opposition

Cette demande d’opposition (blocage) doit être faite :

- par e-mail à l’adresse support@spendesk.fr ; ou

- par téléphone en appelant le numéro suivant :0033(1)82880510 ; ou

- en utilisant le chat sur la Plateforme.

En cas de vol ou d’utilisation frauduleuse de la Carte, le Client s’engage à se conformer aux obligations prévues par les CGU Cartes Devises figurant à l’Annexe 1 pour les Cartes prépayées.

Spendesk ne saurait être tenue pour responsable des conséquences d’une demande d’opposition qui n’émanerait pas du Client ou d’un Utilisateur dûment habilité.

5.3.6. Blocage de la Carte en Devises pour des raisons de sécurité

Spendesk et TPL se réservent la possibilité de bloquer, de leur propre initiative, une ou plusieurs Carte(s) pour des raisons ayant notamment trait à la sécurité de la/des Carte(s) telles que listées au sein des CGU Cartes Devises figurant à l’Annexe 1 pour les cartes prépayées.

6. SERVICE D’ARCHIVAGE

Le Service d’Archivage est fourni au Client par Spendesk en son nom et pour son propre compte.

6.1. Fonctionnement du Service d’Archivage

Lorsque le Client souscrit au Service d’Archivage, il autorise expressément Spendesk à tamponner électroniquement pour le compte du Client et par l’intermédiaire d’un cachet électronique les factures et/ou quittances reçues en provenance de ses employés ou représentants, et qui sont téléchargées sur la Plateforme.

Le Service d’Archivage est basé sur un processus certifié qui permet à Spendesk de (i) générer un fichier PDF pour la facture et/ou la quittance concernée, (ii) tamponner ce fichier PDF par l’intermédiaire d’un cachet électronique basé sur un certificat qualifié, et (iii) archiver la facture et/ou la quittance concernée sur un serveur certifié ISO 27001 basé dans l’UE, pour une durée totale de onze (11) ans (la « Période d’Archivage »).

Les factures et/ou quittances (ci-après les « Contenus ») sont scellées avec un service d’horodatage qualifié eIDAS afin d’apporter une preuve d’intégrité indéniable. Ce processus certifié se base sur un circuit de contrôle fiable.

6.2. Fin du Service d’Archivage

Le Client peut mettre fin au Service d’Archivage à tout moment, à condition d’en avertir Spendesk par lettre recommandée avec avis de réception avec un préavis de six (6) mois.

Si le Client met fin au Service d’Archivage ou si les Conditions Générales sont résiliées :

(i) le Client peut conserver l’accès en ligne aux Contenus archivés pour le reste de la Période d’Archivage, à condition de payer les Frais dus au titre du Service d’Archivage ;

(ii) le Client peut obtenir une version électronique de tous ses Contenus archivés sur demande écrite adressée à Spendesk au plus tard un (1) mois suivant la résiliation des Conditions Générales ou du Service d’Archivage. Une fois la demande du Client exécutée, le Client n’aura plus accès à la Plateforme ;

(iii) à défaut d’instruction contraire de la part du Client, à la fin du mois suivant la résiliation des Conditions Générales ou du Service d’Archivage, le Client perd définitivement l’accès à la Plateforme et à ses Contenus archivés.

6.3. Restitution ou destruction des Contenus archivés

À la fin de la Période d’Archivage, le Client peut demander à Spendesk de :

(i) détruire tous les Contenus archivés ; ou

(ii) lui restituer au format électronique tous les Contenus archivés ; ou

(iii) restituer les Contenus archivés au prestataire d’archivage que le Client aura nommé.

La restitution d’une version électronique des Contenus Archivés du Client sera directement facturée par le sous- traitant de Spendesk au prix alors en vigueur.

Nonobstant les stipulations ci-dessus, Spendesk peut conserver une copie des Contenus du Client, notamment à des fins statistiques et/ou de preuves, dans les limites et délais permis par la loi.

6.4. Responsabilité relative aux Contenus

Le Client est seul responsable des Contenus qu’il télécharge sur la Plateforme.

En particulier, le service d’horodatage qualifié eIDAS n’a pas pour objectif ou effet d’identifier une facture signée ou mal signée dans le cas de non-conformité fiscale au sens des dispositions des articles 96 F bis de l’Annexe 2 du Code général des impôts et/ou 1° ou 2° de l’article 289 du Code général des impôts. La responsabilité de Spendesk ne saurait être engagée à ce titre.

7. ENGAGEMENTS ET GARANTIES DU CLIENT

7.1. Fourniture et mise à jour d’informations

Le Client s’engage à fournir à Spendesk toutes les informations et/ou documents nécessaires à la bonne exécution du Contrat et à la fourniture des Services et plus généralement, à coopérer activement avec Spendesk en vue de la bonne exécution des présentes. Si le Client ne se conforme pas à cette obligation, Spendesk se réserve le droit de suspendre les Services jusqu’à obtention des informations ou documents requis.

Le Client garantit à Spendesk que toutes les informations et documents qu’il fournit à Spendesk, y compris celles fournies sur la Plateforme et celles concernant chaque Utilisateur, sont exactes, à jour et sincères au jour où elles sont communiquées à Spendesk et ne sont entachées d’aucun caractère trompeur ou de nature à induire en erreur.

Si les informations et/ou documents fournis deviennent inexacts ou obsolètes pendant la durée du Contrat, le Client s’engage à les mettre à jour et/ou à transmettre une version à jour des documents concernés sur la Plateforme dans les meilleurs délais.

Plus généralement, il appartient au Client de notifier formellement à Spendesk tout changement des informations le concernant. Spendesk n’est pas responsable de tout dommage pouvant découler d’une inexactitude ou d’un changement dont il n'a pas été avisé.

7.2. Respect de la réglementation

Le Client s’engage, pour lui-même et chacun des Utilisateurs, à (i) respecter, dans de la cadre de son utilisation des Services, les lois et règlements en vigueur et à ne pas porter atteinte aux droits de tiers ou à l’ordre public et (ii) ne réaliser que des activités conformes à la réglementation applicable.

Le Client prendra à sa charge toute amende, sanction pécuniaire ou dommages-intérêts supportée par Spendesk et résultant d’une activité du Client qui serait illégale, illicite ou contraire aux bonnes mœurs.

7.3. Utilisation de la Plateforme et des Services

Le Client s’engage, pour lui-même et pour chacun des Utilisateurs, à :

(i) ne pas violer ou tenter de violer, scanner ou tester la vulnérabilité, du système de sécurité et des systèmes connexes de la Plateforme ;

(ii) ne pas accéder ou tenter d’accéder à toute donnée qui n’est pas destinée au Client ;

(iii) s’abstenir d’interférer avec le fonctionnement normal de la Plateforme ou d’effectuer toute action qui risquerait de provoquer l’interruption ou la dégradation d’un ou plusieurs Services ;

(iv) ne pas télécharger vers les Services, afficher, envoyer par courrier électronique ou transmettre de toute autre manière tout matériel contenant des virus logiciels ou autres codes informatiques, des fichiers ou des programmes conçus pour interrompre, détruire ou limiter la fonctionnalité de la Plateforme ; et

(v) ne pas tenter d'interférer avec les Services de tout autre client ou utilisateur, hôte ou réseau, y compris, mais sans s'y limiter, exposer les Services à un virus, créer une surcharge du serveur, inonder le serveur, inonder les services de messagerie.

Le Client reconnaît avoir pris connaissance des caractéristiques et contraintes, notamment techniques, de l'ensemble des Services. Le Client est seul responsable de son utilisation des Services.

Le Client est informé et accepte que l'utilisation des Services nécessite une connexion Internet et que la qualité des Services dépend directement de cette connexion ainsi que d’équipements informatiques et/ou de logiciels tiers, dont le Client est seul responsable.

7.4. Usage personnel de la Plateforme et des Services

Le Client s’engage à faire un usage strictement personnel de la Plateforme et des Services, et à ne permettre à aucun tiers de les utiliser à sa place ou pour son propre compte, sauf à en supporter l’entière responsabilité. Les Utilisateurs ne peuvent utiliser la Plateforme et des Services qu’au nom et pour le compte du Client.

8. ENGAGEMENTS ET GARANTIES DE SPENDESK

Spendesk s’engage à fournir les Services avec diligence et selon les règles de l’art, étant précisé qu’il pèse sur elle une obligation de moyens, à l’exclusion de toute obligation de résultat, ce que le Client reconnaît et accepte expressément.

Spendesk ne garantit pas au Client que les Services seront totalement exempts d’erreurs, de vices ou de défauts ou qu’ils soient continuellement disponibles. En outre, les Services sont standards et ne sont donc pas proposés à la seule intention d’un Client donné, en fonction de ses propres contraintes personnelles, ni pour répondre spécifiquement à ses besoins et attentes.

Spendesk s’engage à :

(i) faire ses meilleurs efforts pour assurer la sécurité de la Plateforme ;

(ii) informer le Client de toute difficulté raisonnablement prévisible, notamment quant à la mise en œuvre des Services ou au bon fonctionnement de la Plateforme ; et

(iii) procéder régulièrement à des contrôles afin de vérifier le fonctionnement et l’accessibilité de la Plateforme.

Spendesk se réserve le droit de modifier à tout moment les modalités techniques d’accès aux Services et/ou à la Plateforme en fonction, notamment, de l'évolution de la technologie ou de son offre de services. Il appartient au Client de veiller à ce que les outils ou équipements informatiques ou de télécommunication dont il dispose soient adaptés à ces évolutions.

9. SOUSCRIPTION À UNE ASSURANCE (OPTION SEULEMENT DISPONIBLE POUR LES CLIENTS IMMATRICULÉS EN FRANCE OU AU LUXEMBOURG)

Le Client a la possibilité, à titre optionnel, de faire bénéficier l’ensemble des Utilisateurs de la Carte d’une assurance de groupe souscrite par Spendesk auprès d’un assureur partenaire.

9.1. Information sur l'assurance

Une fiche d’information sur les différentes garanties, les plafonds d’indemnisation et les conditions tarifaires est disponible ici : https://www.spendesk.com/fr/product/insurance/.

Le document d’information normalisé sur le produit d’assurance est disponible ici : https://spx-production.s3-eu-west-1.amazonaws.com/tos/2021_03_23-Fiche_IPID_Spendesk_03-03-2022.pdf.

Si le Client estime le produit adapté à ses besoins et pertinent au regard de son activité et de celle des Utilisateurs de la Carte, Spendesk étant à ses côtés pour l’éclairer dans son choix, il est invité à lire attentivement la notice d’information du contrat d’assurance de groupe n° 4 091 933 disponible ici : https://spx-production.s3-eu-west-1.amazonaws.com/tos/2021_03_10-notice_dinformation_des_assurances_spendesk.pdf.

Cette notice, dont Spendesk n’est nullement responsable du contenu, définit précisément les conditions de garanties, les exclusions applicables, la durée de couverture ainsi que les formalités en cas de sinistre. L’adhésion à l’assurance exige du Client qu’il accepte sans réserve tous les termes de la notice d’information. Le Client s’engage par ailleurs à porter la notice d’information à la connaissance de tous les Utilisateurs de la Carte.

9.2. Gestion des sinistres

La déclaration de sinistre et ses suites seront traitées directement et exclusivement avec l’assureur partenaire selon les instructions disponibles ici : https://helpcenter.spendesk.com/fr/articles/4967565-comment-faire-pour- contacter-l-assurance-ou-l-assistance ce dont le Client informera les Utilisateurs de la Carte. Spendesk s’engage à assister Clients et Utilisateurs de la Carte pour leur permettre de faire valoir utilement leurs droits auprès de l’assureur partenaire.

9.3. Modifications du contrat et des conditions tarifaires

Spendesk attire l’attention du Client sur la possibilité qu’après son adhésion, l’assureur partenaire apporte des modifications à ses droits et obligations ainsi qu’à ceux des Utilisateurs de la Carte. Spendesk décline toute responsabilité en lien avec les modifications contractuelles et tarifaires qui relèvent de la seule décision de l’assureur partenaire.

Toute modification sera transmise par Spendesk au Client, sur la Plateforme et/ou par e-mail, au plus tard trois (3) mois avant la date proposée pour son entrée en vigueur. Le Client sera réputé avoir accepté les modifications proposées s’il n’a pas notifié son refus à Spendesk avant la date d'entrée en vigueur indiquée. Le Client informera les Utilisateurs de la Carte des modifications intervenues. Si le Client refuse les modifications, il peut dénoncer son adhésion à l’assurance, sans frais, par notification adressée à Spendesk avant la date d’entrée en vigueur des modifications soit sur la Plateforme soit par lettre recommandée avec avis de réception. A compter de la notification, son adhésion prendra fin à l'expiration d'un délai de deux (2) mois. Le Client informera les utilisateurs de la Carte de la cessation de l’assurance.

9.4. Résiliation de l'assurance et exclusion de l'adhérent

L’assurance de groupe est susceptible de résiliation par Spendesk ou l’assureur partenaire. Au plus tard deux (2) mois avant la date de résiliation proposée, Spendesk en informera le Client sur la Plateforme et/ou par e-mail. Le Client en informera les Utilisateurs de la Carte. La résiliation est opposable au Client et aux Utilisateurs de la Carte.

Le Client peut résilier l’assurance, après en avoir informé les Utilisateurs de la Carte, en respectant un préavis de deux (2) mois, par une notification adressée à Spendesk sur la Plateforme ou par lettre recommandée avec avis de réception. La résiliation de l’assurance par le Client emporte résiliation de l’assurance pour l’ensemble des Cartes fournies en vertu du Contrat.

Spendesk rappelle que l’assurance, indissociablement attachée à la Carte, ne peut perdurer après expiration ou retrait de la Carte. Le non-paiement des services d’assurances met également fin à l’adhésion. L’exclusion sera notifiée par Spendesk au Client suivant lettre recommandée avec avis de réception. Le Client en informera les Utilisateurs de la Carte.

9.5. Données personnelles

En adhérant à l’assurance, le Client autorise expressément Spendesk à transmettre à l’assureur partenaire l’ensemble des informations nécessaires à la souscription de ladite assurance, y compris des Données personnelles relatives aux Utilisateurs de la Carte. L’assureur partenaire traitera ces Données personnelles en qualité de responsable de traitement selon les conditions et finalités définies dans la notice d’information. Le Client est informé que l’assureur partenaire, en sa qualité de responsable de traitement pourra, au stade de la souscription et en cours de contrat, lui demander toutes informations complémentaires ainsi qu’aux Utilisateurs concernés, y compris, le cas échéant, des Données personnelles.

10. CONDITIONS FINANCIÈRES

10.1. Conditions Tarifaires

Les prix des Services sont indiqués dans les Conditions Tarifaires, qui sont disponibles sur la Plateforme. Les Conditions Tarifaires peuvent également être fournies gratuitement au Client, à sa demande, sur un support durable.

10.2. Facturation et paiement des Frais

Les Frais dus par le Client à Spendesk en contrepartie de la fourniture des Services sont facturés mensuellement.

Les factures sont mises à la disposition du Client sur la Plateforme.

Le montant de la première facture est prélevé par Spendesk à la date anniversaire (soit 1 mois après) de la date de souscription aux Service par le Client, et pour les factures suivantes le premier jour de chaque mois. Les factures sont prélevées directement sur le Compte. Si le Client dispose de plusieurs Comptes et que sa dette n’est pas inhérente à un Compte en particulier, Spendesk peut décider à sa seule discrétion de prélever tout ou partie des Frais sur l’un des Comptes du Client.

Le Client autorise expressément Spendesk à prélever sur le(s) Compte(s) du Client les Frais dus par le Client à Spendesk et exigibles au titre des présentes Conditions Générales.

Dans l’hypothèse où le solde créditeur d’un Compte s’avérerait insuffisant pour permettre le prélèvement de la totalité du prix des Services, l’Utilisateur s’engage à approvisionner immédiatement le Compte à hauteur du montant dû.

En cas de solde insuffisant du Compte, Spendesk se réserve le droit de bloquer le Compte, toute Opération de Paiement en cours, toute utilisation des Cartes déjà émises ainsi que l’émission de nouvelles Cartes.

Si le Client souhaite contester une facture, il doit en informer Spendesk dans un délai de trente (30) jours après la date de la facture. Après ce délai, la facture ne peut plus faire l’objet d’une contestation.

11. TRAITEMENT DES RÉCLAMATIONS

Toute réclamation liée à la fourniture des Services doit être adressée par le Client au service client de Spendesk :

- soit par e-mail à l'adresse suivante : support@spendesk.com;

- soit par courrier à l'adresse du siège social de Spendesk, 51 rue de Londres, 75008 Paris – France ; ou

- en utilisant le chat sur la Plateforme.

En cas de réclamation relative aux Service d’Archivage, Spendesk apportera une réponse au Client dans les meilleurs délais à compter de la réception de la réclamation.

En cas de réclamation relative aux Services décrits aux articles 4 et 5 ci-dessus, les délais de traitement des réclamations sont précisés au sein des Documents des Partenaires.

12. MODIFICATION DU CONTRAT

12.1. Modification des Conditions Générales

Spendesk se réserve la possibilité de modifier, à tout moment, tout ou partie des Conditions Générales.

Tout projet de modification des Conditions Générales sera transmis par Spendesk au Client, sur la Plateforme et/ ou par e-mail, au plus tard un (1) mois avant la date proposée pour son entrée en vigueur. Le Client sera réputé avoir accepté les modifications proposées s’il n’a pas notifié à Spendesk, avant la date d'entrée en vigueur proposée de ces modifications, qu’il ne les accepte pas. Si le Client refuse les modifications, il peut résilier les Conditions Générales, sans frais, avant la date proposée pour l’entrée en vigueur des modifications, selon les formes décrites à l’article 18 des présentes.

Spendesk ne peut en aucun cas être tenue responsable d’un quelconque dommage, à quelque titre que ce soit, en lien avec la modification des Conditions Générales dès lors que le Client s’abstient de résilier les Conditions Générales et continue à utiliser les Services après la date d’entrée en vigueur des modifications.

12.2. Modification des Documents des Partenaires

Les Documents des Partenaires pourront être modifiés à tout moment dans les conditions et selon les délais prévus dans les Documents des Partenaires.

13. ENREGISTREMENTS TÉLÉPHONIQUES

Le Client est informé que les conversations téléphoniques avec le personnel de Spendesk peuvent faire l’objet d’un enregistrement par Spendesk ou toute société mandatée à cet effet, afin d’assurer au Client une meilleure qualité des Services.

14. PROPRIÉTÉ INTELLECTUELLE

Les Parties conviennent expressément qu'aucun droit de propriété intellectuelle n'est transféré au Client sur l'un quelconque des éléments des Services et de la Plateforme mis à sa disposition au titre des Conditions Générales, y compris les logiciels, structures, infrastructures, codes sources, bases de données, savoir-faire, interface utilisateur, photos, marque, éléments interactifs ou tout contenu de toute nature (textes, images, visuels, musiques, logos, marques, base de données, etc.) exploités par Spendesk et la documentation technique éventuellement fournie par Spendesk au Client.

Sous réserve du paiement des Frais dus à Spendesk au titre de l’article 10 et des stipulations et limites prévues au Contrat, Spendesk concède au Client une licence personnelle, non exclusive et non transférable d'utilisation de la Plateforme et des Services pour ses seuls besoins propres. Ce droit est consenti pour la durée du Contrat.

Le Client s'interdit d'effectuer :

- toute adaptation, modification, duplication, décompilation, désassemblage ou reproduction des Services et de la Plateforme, quelle qu'en soit la nature, de l’extraire en tout ou partie et, de manière générale, s'interdit tout acte qui contreviendrait aux droits de Spendesk et/ou de ses fournisseurs ;

- toute reproduction, par quelque moyen que ce soit et sur quelque support que ce soit, de la Plateforme ;

- toute forme d'utilisation de la Plateforme et de la documentation associée, de quelque façon que ce soit, aux fins de conception, réalisation, diffusion ou commercialisation de logiciels similaires, équivalents ou de substitution ;

- toute adaptation, modification, transformation, traduction, arrangement de la Plateforme pour quelque raison que ce soit, notamment en vue de la création de logiciels dérivés ou entièrement nouveaux, y compris pour corriger des erreurs ;

- toute transcription directe ou indirecte, toute traduction dans d'autres langues de la Plateforme ;

- toute modification ou contournement du code de protection tel que, notamment, les codes d'accès ou identifiants ; et/ou

- toute suppression, modification partielle ou totale des mentions existantes relatives aux droits d'auteur, droit des marques et plus généralement aux droits de propriété intellectuelle, apposées sur la Plateforme.

Le Client autorise Spendesk à faire mention de son nom et de son logo à des fins de référencement commercial et de promotion de ses activités, à l’exclusion de tout autre usage, sur tout support et pour le monde entier.

15. PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL

15.1. Étendue

Cette clause s’applique lorsque Spendesk traite les Données à Caractère Personnel des Utilisateurs (les « Personnes Concernées ») pour le compte du Client.

Pour les besoins du présent Contrat et l’exécution des Services, Spendesk pourra ainsi être amené à procéder à des traitements de Données à Caractère Personnel ou y avoir accès pour le compte du Client.

En conséquence, dans le cadre du présent Contrat, Spendesk agit en qualité de « Sous-Traitant » et le Client agit en tant que « Responsable de Traitement » au sens de la Loi pour la Protection des Données.

Conformément à la Loi pour la Protection des Données, le Client reconnaît que Spendesk peut collecter, stocker, organiser, structurer, conserver, adapter, modifier, extraire, consulter, utiliser, transmettre, rapproche, limiter et plus généralement traiter les Données à Caractère Personnel fournies par les Utilisateurs afin d’accéder aux ou d’utiliser les Services et celles relatives aux préférences et flux des Utilisateurs.

La présente clause décrit les principaux engagements de Spendesk à ce titre, étant précisé que la sous-traitance de Données à Caractère Personnel ainsi réalisée par Spendesk au profit du Client est décrite en détails et encadrée par l’accord de protection des données figurant en Annexe 3 (ci-après le “DPA Spendesk”), lequel fait partie intégrante du présent Contrat et, en cas de contradiction avec la présente clause, prévaudra sur celle-ci. Les types de Données à Caractère Personnel que Spendesk peut traiter dans le cadre et pour la durée du Contrat sont exposés dans le DPA Spendesk et dans la Politique de Confidentialité de Spendesk (https:// www.spendesk.com/fr/legals/privacy/). Les Utilisateurs sont informés de la Politique de Confidentialité lors de leur première inscription sur la Plateforme.

Spendesk traitera les Données à Caractère Personnel au nom du Client en cohérence avec les Conditions Générales, le DPA Spendesk et conformément aux instructions écrites reçues du Client. Spendesk s’engage à informer immédiatement le Client si, selon lui, une instruction du Client constitue une violation des Conditions Générales ou de la Loi pour la Protection des Données.

15.2. Obligations du Client

Le Client, en sa qualité de Responsable de Traitement, s’engage à :

- fournir à Spendesk en sa qualité de Sous-Traitant les Données à Caractère Personnel nécessaires à l’exécution des Services ;

- documenter par écrit toute instruction concernant le traitement des données par le Sous-Traitant, veiller au préalable et pendant toute la durée du Contrat, au respect des obligations prévues par la Loi pour la Protection des Données de la part du Sous-Traitant, superviser le traitement, y compris réaliser les audits et les inspections auprès du Sous-Traitant ; et

- respecter les obligations qui lui incombent en sa qualité de Responsable de traitement.

15.3. Personnel de Spendesk

L’accès aux Données à Caractère Personnel sera limité au personnel de Spendesk qui a besoin d’un accès aux Données à Caractère Personnel afin de fournir les Services.

Spendesk veillera à ce que tout personnel chargé de traiter les Données à Caractère Personnel :

(i) soit lié par des obligations adéquates en matière de confidentialité, de protection des Données à Caractère Personnel et/ou de sécurité des Données à Caractère Personnel, au moins aussi restrictives que celles prévues par le présent article 15 ;

(ii) traite les Données à Caractère Personnel uniquement conformément aux Conditions Générales, sauf exigence légale contraire ; et

(iii) soit formé de manière adéquate pour respecter les engagements pris par Spendesk en termes de confidentialité et de sécurité des Données à Caractère Personnel.

15.4. Sécurité

Compte tenu de l’état de l’art, des coûts de mise en œuvre et de la nature, de l’étendue, du contexte et de l’objectif du traitement des Données à Caractère Personnel dans le cadre du présent Contrat, ainsi que la probabilité et la gravité du risque encouru pour les droits et les libertés des individus concernés, Spendesk mettra en place et maintiendra des mesures organisationnelles et techniques appropriées afin de garantir un niveau de sécurité approprié à ce risque, y compris, le cas échéant, les mesures mentionnées à l’article 32(1) du RGPD afin d’éviter toute altération, perte, destruction accidentelle ou illicite, divulgation ou accès non autorisés ou toute autre forme de traitement illicite des Données à Caractère Personnel.

15.5. Divulgation

Spendesk ne divulguera les Données à Caractère Personnel à aucun gouvernement, autorité ou tierce personne autre que ceux autorisés dans les Conditions Générales, sans le consentement écrit préalable du Client, sauf exigence légale contraire en vigueur. Par exception, aux fins d’exécution des Conditions Générales, Spendesk pourra divulguer les Données à Caractère Personnel à toute société affiliée, et notamment Okali ainsi qu’à tout sous-traitant ultérieur conformément aux stipulations de l’Article 15.12.

15.6. Transferts

Dans l’hypothèse où des Données à Caractère Personnel seraient transférées en dehors de l’EEE, directement ou par l’intermédiaire d’un sous-traitant ultérieur, Spendesk s’engage à s’assurer que le traitement soit couvert par un instrument approprié tel qu’un contrat basé sur les modèles de clauses de la Commission européenne.

15.7. Assistance

Spendesk s'engage à coopérer avec le Client dans le cadre du respect de ses obligations légales au titre de la Loi pour la Protection des Données à Caractère Personnel, et notamment pour la mise en œuvre des droits garantis aux personnes concernées, la réalisation d’analyse d’impact et les échanges avec les autorités de contrôle.

Dans l’éventualité où Spendesk serait informée par écrit par une Personne Concernée de sa volonté d’exercer ses droits, Spendesk s’engage à transmettre au plus vite une telle demande au Client et à lui communiquer l’ensemble des informations nécessaires pour lui permettre de répondre à la demande de la Personne Concernée.

15.8. Information et audit

Spendesk mettra à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article 15 et pour permettre la réalisation d'audits. Le Client peut effectuer, à ses frais, tout contrôle qu'il juge utile pour vérifier le respect des obligations de Spendesk.

Spendesk permettra et contribuera aux audits que le Client ou un auditeur de son choix mènera dans le but d’étudier la conformité de Spendesk aux obligations exposées dans cette clause, sous réserve d’un préavis écrit d’au moins soixante (60) jours ouvrés.

Le Client peut demander, réaliser ou faire réaliser un audit une fois tous les douze (12) mois. Tout audit devra être mené au cours des heures ouvrables normales.

Le Client et ses auditeurs ne seront pas autorisés à auditer sur :

(i) les données ou informations des autres clients ou prospects de Spendesk ;

(ii) toute donnée interne appartenant à Spendesk qui n’est pas directement et strictement pertinente pour les objectifs autorisés de l’audit ; et

(iii) toutes les informations dont la divulgation pourrait affecter les systèmes de sécurité et les données de Spendesk (c'est-à-dire présenter un risque pour la confidentialité des informations), et le code source des programmes informatiques utilisés pour l'exécution des présentes.

L'auditeur ne pourra pas copier un document, un fichier, des données ou des informations, en tout ou en partie, ni prendre des photos, scanner, ou réaliser un programme audio, vidéo ou informatique sans en informer au préalable Spendesk.

L’audit doit avoir lieu pendant les heures de travail et doit être effectué de manière à ne pas perturber les activités de Spendesk et l'exécution des Services de Spendesk pour le compte de ses autres clients.

Le Client doit prendre en charge l’intégralité des coûts de l’audit, et Spendesk sera en droit de facturer au Client tout coût et dépense supplémentaire concernant l’audit.

15.9. Suppression et restitution

Sauf si la loi en dispose autrement ou selon les instructions écrites du Client, à compter de la résiliation du Contrat, et sous réserve des durées de conservation applicables, Spendesk supprimera ou restituera au Client, selon son choix, toutes les Données à Caractère Personnel traitées pour son compte dans le cadre des Services et encore en sa possession.

La suppression ou restitution ne fait pas échec aux propres obligations légales de Spendesk qui pourra conserver une copie des Données à Caractère Personnel relatives à la relation commerciale avec le Client ou toutes données utiles à des fins de preuves pour la démonstration du respect de ses obligations légales et/ou contractuelles.

15.10. Violations de Données

En cas de Violation de Données, Spendesk en informera le Client par écrit dans les meilleurs délais, après en avoir pris connaissance.

Spendesk informera le Client de la personne à contacter afin d’obtenir plus d’informations au sujet de la Violation de Données et, le cas échéant, transmettra toute information permettant au Client si nécessaire, de notifier cette violation à l’autorité de contrôle compétente. Si ces informations ne sont pas disponibles au moment de la notification et nécessitent des investigations complémentaires, Spendesk procurera au Client ces informations le plus tôt possible.

15.11. Registre d’activités de traitement

Spendesk conserve un registre écrit du traitement des Données à Caractère Personnel réalisé au nom du Client.

Ce registre comprend les informations suivantes : (i) les catégories de destinataires auxquels les Données à Caractère Personnel ont été ou seront divulguées ; (ii) dans le cas où les Données à Caractère Personnel sont transférées à un tiers hors de l’EEE, une liste de ces transferts (dont le nom des pays et entreprise hors-EEE en question), et des informations sur les garanties appropriées mises en place pour ces transferts ; et (iii) le cas échéant, une description générale des mesures de sécurité organisationnelles et techniques mises en œuvre par tout sous-traitant.

Spendesk transmettra une copie de ce registre au Responsable de Traitement sur demande.

15.12. Sous-traitants

Le Client reconnaît que Spendesk a recours à des partenaires commerciaux et fournisseurs afin de fournir les Services et accepte que Spendesk engage un ou plusieurs sous-traitants pour traiter les Données à Caractère Personnel au nom du Client, dans la mesure où cela est nécessaire à la fourniture des Services.

Spendesk pourra continuer à utiliser les sous-traitants déjà engagés à la date de conclusion du Contrat. Une liste des sous-traitants de Spendesk est disponible dans le DPA Spendesk. Spendesk informera le Client de tout changement notable au sujet de sa politique de sous-traitance, tel que l’ajout ou le remplacement d’un sous- traitant, en mettant à jour la liste des sous-traitants et en la notifiant au Client. Sans objection écrite de la part du Client dans un délai de quinze (15) jours après la notification d’un changement, le Client sera réputé avoir consenti à ce changement.

Spendesk veillera à ce que tout sous-traitant soit (i) lié par des obligations en matière de protection de Données à Caractère Personnel équivalentes aux présentes et (ii) capable d'assurer le niveau de confidentialité et de sécurité des Données à Caractère Personnel requis par les Conditions Générales et la Loi pour la protection des données.

Le Client pourra obtenir une copie des contrats conclus avec les sous-traitants ultérieurs ou, à défaut, une description des éléments essentiels des conditions générales, y compris l'exécution des obligations liées à la protection des Données à Caractère Personnel.

15.13. Garantie

Le Client garantit se conformer à la Loi pour la Protection de Données en vigueur concernant les Données à Caractère Personnel traitées par Spendesk pour le compte du Client, et notamment que le traitement des Données à Caractère Personnel est juridiquement fondé, que toute Donnée à Caractère Personnel fournie a été collectée légalement, que les Utilisateurs ont été informés de la nature et de l’objectif de, et le cas échéant, ont donné leur accord au traitement des Données à Caractère Personnel effectué par Spendesk pour le compte du Client.

16. DROIT DE RÉTRACTATION EN CAS DE DÉMARCHAGE

Le présent article 16 ne s’applique que si le Client est immatriculé ou résident en France.

Lorsque le Client a été démarché par Spendesk au sens de l’article L. 341-1 du CMF, et sous réserve des exceptions prévues par la réglementation, le Client dispose, conformément à l’article L. 341-16 du CMF, d’un droit de rétractation qu’il peut exercer dans un délai maximum de quatorze (14) jours calendaires révolus à compter de la date d’acceptation du Contrat, sans avoir à justifier de motifs ni à supporter de pénalités.

L’exercice du droit de rétractation dans le délai visé ci-dessus emporte la résolution de plein droit du Contrat. Le Client peut exercer son droit de rétractation en utilisant le formulaire figurant en Annexe 2.

17. DATE D’EFFET ET DURÉE DU CONTRAT

Le Contrat prend effet pour une durée indéterminée à compter de la date de son acceptation par le Client dans les conditions prévues à l’article 2.2 ci-dessus, jusqu’à sa résiliation dans les conditions prévues à l’article 18 ci- dessous.

18. RÉSILIATION DU CONTRAT

18.1. Résiliation à l’initiative du Client

Nonobstant toute stipulation contraire figurant dans les Documents des Partenaires, le Client peut résilier le Contrat en respectant un préavis de deux (2) mois, par une notification adressée à Spendesk sur la Plateforme ou par lettre recommandée avec avis de réception.

La résiliation du Contrat par le Client emporte la résiliation de l’ensemble des Services fournis en vertu du Contrat.

18.2. Résiliation à l’initiative de Spendesk

Nonobstant toute stipulation contraire figurant dans les Documents des Partenaires, Spendesk peut résilier le Contrat en respectant un préavis de de deux (2) mois, par une notification adressée au Client par tout moyen écrit utile, et notamment par e-mail ou par messagerie sur la Plateforme.

Par exception à ce qui précède, Spendesk se réserve la possibilité de cesser de fournir les Services au Client et de résilier le Contrat de plein droit et sans préavis :

(i) en cas de manquement grave du Client et/ou d’un Utilisateur aux obligations prévues par le Contrat, y compris, mais sans limitation, en cas de communication de fausses informations, d’exercice par le Client d’une activité illégale ou contraire aux bonnes mœurs, de menaces à l’encontre de préposés de Spendesk ou de défaut de paiement ;

(ii) en cas d’utilisation frauduleuse ou abusive des Services par le Client et/ou un Utilisateur ;

(iii) en cas de modification de la réglementation applicable et/ou de l’interprétation qui en est faite par les autorités compétentes qui affecterait la capacité de Spendesk, Okali, TPL ou leurs prestataires à fournir les Services ; et

(iv) en cas de résiliation par Okali et/ou TPL de l’un des Documents des Partenaires.

En cas de résiliation immédiate du Contrat, Spendesk en informe le Client par tout moyen écrit utile, et notamment par e-mail.

19. RESPONSABILITÉ

19.1. Responsabilité du Client

Le Client, ayant reconnu avoir pris connaissance des caractéristiques et contraintes, notamment techniques, de l’ensemble des Services, est seul responsable de l’utilisation des Services par les Utilisateurs.

Le Client est seul responsable des actes réalisés par les Utilisateurs dans le cadre de l’utilisation des Services. Spendesk ne saurait être tenu responsable vis-à-vis du Client ou de tout tiers en cas d’utilisation frauduleuse ou abusive des Services par un ou plusieurs Utilisateurs.

Le Client s’engage à indemniser Spendesk pour tout dommage subi par Spendesk qui résulterait directement des actes réalisés par un ou plusieurs Utilisateurs, y compris en cas de non-respect de la réglementation, de fraude ou de négligence de la part d’un ou plusieurs Utilisateurs ou s’ils utilisent de manière frauduleuse ou abusive les Services.

Le Client garantit Spendesk contre toutes plaintes, réclamations, actions et/ou revendications quelconques que Spendesk pourrait subir du fait de la violation par le Client de ses obligations au titre des Conditions Générales. Il s’engage à indemniser Spendesk de tout préjudice que ce dernier subirait et à lui payer tous les frais, charges et/ ou condamnations qu’il pourrait avoir à supporter de ce fait.

19.2. Responsabilité de Spendesk

Spendesk ne saurait être tenu responsable en cas :

(i) de détournement des Données de Sécurité Personnalisées et, plus généralement, de toute information à caractère sensible pour le Client et dont il serait fait, par exemple, une utilisation frauduleuse par un tiers ;

(ii) de litige lié à la relation sous-jacente existant entre (a) le Client et (b) selon le cas, le Payeur, le Bénéficiaire et/ou l’Accepteur, notamment en cas d’inexécution par le Client de ses obligations vis-à- vis des personnes visées au (b) ; et

(iii) de dommage subi par le Client résultant d’un acte ou d’une omission d’un tiers, y compris en cas de suspension des Services ou de résiliation du Contrat à la demande d’une autorité de supervision telle que l’ACPR.

En outre, la responsabilité de Spendesk est limitée aux dommages matériels directs, à l’exclusion de tous dommages indirects et/ou immatériels et, en particulier, de toute perte de chiffre d’affaires, de bénéfice, de profit, d’exploitation, de clientèle, préjudice commercial, économique et autre perte de revenus, action d’un tiers, trouble commercial quelconque, atteinte à la réputation, la renommée ou l’image de marque, subis par le Client dans le cadre de l’utilisation des Services.

La responsabilité de Spendesk pour tout dommage matériel et/ou direct subi par le Client dans le cadre de l’exécution ou de la résiliation des Conditions Générales, quelle qu’en soit la cause, est limitée, tous préjudices confondus, au montant des Frais payés par le Client au cours de l’année civile pendant laquelle survient l’évènement engageant la responsabilité de Spendesk.

19.3. Responsabilité d’Okali

La responsabilité d’Okali au titre de la fourniture des Services relatifs aux Comptes en Euros est prévue dans les CGU Okali figurant en Annexe 1.

19.4. Responsabilité de TPL

La responsabilité de TPL au titre de la fourniture des Services relatifs aux Comptes en GBP et aux Cartes est prévue dans les CGU TPL.

20. CESSION

Le Client ne peut céder ou transférer tout ou partie de ses droits ou obligations au titre du Contrat à un tiers, de quelque manière que ce soit.

Nonobstant toute stipulation contraire figurant dans les Documents des Partenaires, le Client autorise expressément Spendesk, Okali et TPL à céder à un tiers tout ou partie de leurs obligations au titre du Contrat, sous réserve d’en informer au préalable le Client.

21. STIPULATIONS DIVERSES

21.1. Divisibilité

Si une ou plusieurs stipulations du Contrat sont tenues pour non valides ou déclarées telles en application d'une loi, d'un règlement ou à la suite d'une décision définitive d'une juridiction compétente, les autres stipulations garderont toute leur force et leur portée.

21.2. Non renonciation

Le fait pour Spendesk, Okali ou TPL de ne pas se prévaloir d'un manquement du Client à l'une quelconque des stipulations du Contrat ne saurait être interprété pour l'avenir comme une renonciation à l'obligation ou à la stipulation en cause.

21.3. Convention de preuve

Les Parties reconnaissent que, dans les conditions prévues à l’article 1366 du Code civil, les courriels ont la même force probante que les écrits sur support papier. Par conséquent, les courriels et messages reçus électroniquement, y compris via la Plateforme, devront être conservés par les Parties dans des conditions propres à éviter toute altération de leur forme ou de leur contenu de façon à constituer des copies fiables.

21.4. Notifications

Toutes les notifications effectuées par courriel dans le cadre de l’exécution des Conditions Générales seront adressées :

- en ce qui concerne le Client : à l’adresse de l’Utilisateur Principal ou de l’Utilisateur concerné, telle qu’enregistrée sur la Plateforme ;

- en ce qui concerne Spendesk : à l’adresse support@spendesk.com.

21.5. Langues du Contrat

Le Client reconnaît et accepte que :

- la langue utilisée lors de ses relations précontractuelles et contractuelles avec Spendesk peut être, soit le français, soit l’anglais, soit l’allemand soit les trois, en fonction des Documents des Partenaires applicables aux Services ; et

- dans la mesure permise par la loi, la version française des Conditions Générales fait foi et les versions en langue étrangère n’existent qu’à titre indicatif.

Le Client est informé qu’il peut obtenir à tout moment et gratuitement auprès de Spendesk une copie du Contrat sur un support durable.

21.6. Référence commerciale

Le Client autorise expressément Spendesk à le citer lui ou ses Utilisateurs et à utiliser le cas échéant la reproduction de sa marque ou de son logo à titre de références commerciales, notamment lors de manifestations ou d’événements, dans ses documents commerciaux et sur son site internet, sous quelque forme que ce soit, pendant leur durée d’utilisation des Services et au-delà, pendant une durée de trois (3) ans.

22. DROIT APPLICABLE ET JURIDICTIONS COMPÉTENTES

22.1. Droit applicable

Les Conditions Générales sont soumises au droit français. Les Documents des Partenaires sont soumis au droit précisé au sein des Documents des Partenaires.

22.2. Juridictions compétentes

Tout litige relatif notamment à la validité, l’interprétation ou l’exécution des Conditions Générales sera soumis à la compétence exclusive du Tribunal de commerce de Paris.

Tout litige relatif notamment à la validité, l’interprétation ou l’exécution des Documents des Partenaires sera soumis à la compétence du ou des tribunaux indiqués au sein des Documents des Partenaires.

Annexes

Annexe 1

Documents des partenaires applicables aux comptes en euros, aux cartes en euros, aux comptes en livres sterling, aux cartes en livres sterling et aux cartes en devises étrangères.

Documentation contractuelle applicable aux Comptes en Euros

Contrat-cadre pour les Services de Paiement Okali

lien

Documentation contractuelle applicable aux Cartes en Euros et en GBP

Conditions Générales Cartes de débit EEE

lien

Conditions Générales Cartes de débit UK

lien

Conditions tarifaires pour les Cartes de débit en Euros

lien

Conditions tarifaires pour les Cartes de débit en GBP

lien

Documentation contractuelle applicable aux Comptes en GBP

Conditions générales d’utilisation GBP TPL

lien

Conditions tarifaires compte TPL

lien

Documentation contractuelle applicable aux Cartes en Devises

Conditions Générales Cartes prépayées EEE

lien

Conditions Générales Carte prépayée UK

lien

Conditions tarifaires pour les cartes virtuelles GBP

lien

Conditions tarifaires pour les cartes physiques GBP

lien

Conditions tarifaires pour les cartes virtuelles à hauts plafonds GBP

lien

Conditions tarifaires pour les cartes virtuelles USD

lien

Conditions tarifaires pour les cartes physiques USD

lien

Conditions tarifaires pour les cartes virtuelles à hauts plafonds USD

lien

Conditions tarifaires pour les cartes virtuelles DKK

lien

Conditions tarifaires pour les cartes physiques DKK

lien

Conditions tarifaires pour les cartes virtuelles à hauts plafonds DKK

lien

Conditions tarifaires pour les cartes virtuelles NOK

lien

Conditions tarifaires pour les cartes physiques NOK

lien

Conditions tarifaires pour les cartes virtuelles à hauts plafonds NOK

lien

Conditions tarifaires pour les cartes virtuelles SEK

lien

Conditions tarifaires pour les cartes physiques SEK

lien

Conditions tarifaires pour les cartes virtuelles à hauts plafonds SEK

lien

Conditions tarifaires pour les cartes virtuelles EUR

lien

Conditions tarifaires pour les cartes physiques EUR

lien

Conditions tarifaires pour les cartes virtuelles à hauts plafonds EUR

lien

Annexe 2 Formulaire de rétractation en cas de démarchage bancaire ou financier

FORMULAIRE RELATIF AU DÉLAI DE RÉTRACTATION PRÉVU PAR L’ARTICLE L. 341-16 DU CODE MONÉTAIRE ET FINANCIER

Formulaire à renvoyer au plus tard quatorze (14) jours calendaires après la date de conclusion du Contrat (tel que défini ci-après), par lettre recommandée avec accusé de réception, à :

Spendesk SAS 51 rue de Londres 75008 Paris

Désignation du contrat : conditions générales d’utilisation des services de Spendesk (le « Contrat »).

Conformément à l’article L. 341-16 du Code monétaire et financier, le droit de rétractation peut être exercé dans un délai de quatorze (14) jours calendaires à compter de la conclusion du Contrat ou à compter de la réception des conditions contractuelles, si cette dernière date est postérieure.

La présente rétractation n’est valable que si elle est adressée, par lettre recommandée avec accusé de réception, avant l’expiration du délai de 14 jours calendaires prévu à l’article L. 341-16 du Code monétaire et financier, lisiblement et dûment remplie.

Je, soussigné(e) ________________________________, dûment habilité(e) à représenter la société __________________________________ (ci-après le « Commerçant »), déclare exercer le droit de rétractation du Commerçant et renoncer à l’intégralité du Contrat conclu le ________________ avec la société Spendesk SAS pour la fourniture (notamment) de services de paiement et de monnaie électronique.

Fait à ______________

Le ______________

Signature du Client ______________

Annexe 3: Accord sur la Protection des Données

Le présent Accord sur la protection des données (“l’Accord”) fait partie du Contrat de Services (“Contrat de Services”) conclu entre le Client (la “Société” ou “le Responsable de Traitement”) et SPENDESK SAS (le “Prestataire de Services” ou “le Sous- Traitant”) (ensemble les “Parties”).

ATTENDU QUE:

(A) La Société agit en qualité de Responsable de Traitement ;

(B) La Société souhaite sous-traiter certains services, qui impliquent le traitement de données personnelles, au Sous-Traitant ;

(C) Les Parties souhaitent mettre en place un Accord sur la protection des données qui soit conforme au cadre juridique en vigueur en matière de traitement de données et à la Législation en matière protection des données et en particulier l'article 28 du Règlement Général sur la Protection des Données ;

(D) Les Parties souhaitent définir leurs droits et obligations au titre du présent Accord sur la protection des données.

LES PARTIES SONT CONVENUES DE CE QUI SUIT :

1. Définitions et interprétation

Au sein de cet Accord, à moins qu’il n’en soit prévu autrement, les termes suivants ont pour définition :

Accord: Désigne le présent Accord sur la protection des données. En cas de conflit entre les termes du Contrat de Services et le présent Accord, les dispositions du second prévaudront sur celles du premier ;

Accord de Transfert de Données: Désigne un contrat prenant la forme définie à l’Annexe 3 (Clauses Contractuelles Types) ;

Autorité de contrôle: Désigne toute autorité compétente en matière de protection des données ou de la vie privée par laquelle le Responsable de Traitement est réglementé ;

Contrat de Services: Désigne le contrat de services conclu entre la Société et Spendesk SAS ;

Date de Commencement: Désigne la date de signature du Contrat de Services ;

Destinataire Autorisé: Désigne un directeur ou un employé du Prestataire de Services qui a un besoin légitime de recevoir et d’examiner les Données Personnelles aux fins de l’exercice par le Prestataire de Service de ses droits et/ ou de l’accomplissement de ses obligations aux termes du présent Accord et/ou tout Sous-traitant ultérieur autorisé auquel le Prestataire de Services fait appel dans le cadre de la fourniture des Services ;

Donnée Personnelle: Désigne une donnée à caractère personnel (tel que ce terme est défini dans le Règlement Général sur la Protection des Données) traitée par le Prestataire de Services et ses Sous-traitants ultérieurs en lien avec la fourniture des Services, incluant les informations décrites en Annexe 1 (Description des Traitements de Données) ;

Faille de sécurité des données: Désigne une faille de sécurité entraînant une destruction accidentelle ou illégale, la perte, l'altération ou la corruption de Données Personnelles, ou la divulgation ou l’accès non autorisés aux Données Personnelles ;

Finalités Autorisées: Désignent les Traitements de Données Personnelles mis en œuvre dans le cadre du Contrat de Services tels que visés à l’Annexe 1 (Description des Traitements de Données) ;

Législation en matière de protection des données: Désigne les lois et règlements applicables au Traitement des Données Personnelles incluant (sans s’y limiter) :

(i) Le Règlement Général sur la Protection des Données et la législation mise en œuvre par chaque Etat Membre en relation avec le Règlement Général sur la Protection des Données ; (ii) Toute législation de remplacement susceptible d’impacter les Traitements mis en œuvre en vertu du présent Accord ; (iii) Tout code de pratique ou autre directive émis par une Autorité de Contrôle ;

Pays Tiers: Tous pays en dehors de l’Espace Economique Européen (EEE)

Personne Concernée: Désigne toute personne physique identifiée ou identifiable à laquelle se rapportent les Données Personnelles ;

Règlement Général sur la Protection des Données (ou RGPD): Désigne le Règlement (EU) 2016/679 du Parlement Européen et du Conseil en date du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Représentant du Prestataire de Services: Désigne un représentant nommé par le Prestataire de Services et/ou ses Sous-traitants ultérieurs conformément à l’article 27 du Règlement Général sur la Protection des Données ou tout autre réglementation de remplacement équivalente applicable ;

Responsable de Traitement: Désigne l’entité qui détermine les moyens et les finalités des Traitements tels que visés dans le Contrat de Services, à savoir la Société ;

Services: Désigne les services fournis par le Prestataire de Services au titre du Contrat de Services ;

Sous-Traitant: Désigne l’entité qui traite des Données Personnelles pour le compte du Responsable de Traitement, à savoir Spendesk SAS ;

Sous-traitant ultérieur: Désigne un fournisseur ou prestataire ultérieur engagé par le Prestataire de Services, et placé sous sa responsabilité, pour réaliser certaines activités de Traitement nécessaires aux Services, en conformité avec les instructions du Responsable de Traitement ;

Traitement: Désigne toute opération ou tout ensemble d’opérations pouvant être réalisées ou non à l’aide de procédés automatisés appliqués à des Données Personnelles ou ensembles de données, tels que la collecte, l’enregistrement, l’organisation, le traitement, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication, la transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ;

2. Désignation et rôle du Prestataire de Services

Le Responsable de Traitement désigne le Prestataire de Services pour qu’il traite les Données Personnelles pour son compte et pour les Finalités Autorisées.

3. Instructions et conformité

Le Prestataire de Services garantit au Responsable de Traitement qu’il :

1. Traite les Données Personnelles uniquement dans la mesure, et de la manière, nécessaires aux Finalités Autorisées et conformément aux instructions écrites du Responsable de Traitement (y compris les instructions énoncées dans cet Accord et dans le Contrat de Services) et qu’il ne doit pas traiter les Données Personnelles à d’autres fins à moins que le Traitement ne soit exigé par les lois applicables auxquelles le Sous-Traitant est soumis, auquel cas le Sous-Traitant doit dans la mesure permise par les lois applicables informer promptement le Responsable de Traitement de cette exigence légale lorsque le Sous-Traitant devient conscient d’une telle exigence et dans tous les cas avant le Traitement pertinent de ces Données Personnelles. Le Responsable de Traitement est seul responsable des Données Personnelles qu’il communique au Prestataire de Services et doit rembourser au Prestataire de Services les coûts et dépenses encourus résultant d’une instruction individuelle qui irait au-delà de ce qui est défini par la Législation sur la protection des données et/ou des activités de Traitement prévues dans le Contrat de Services ou dans cet Accord. Si le Prestataire de Services considère qu’une instruction du Responsable de Traitement est une violation de la Législation applicable en matière de protection des données, il doit en informer le Responsable de Traitement sans délai. En outre, le Prestataire de Services a le droit de suspendre l’exécution de l’instruction jusqu’à ce que celle-ci soit confirmée par le Responsable de Traitement ;

2. Se conforme, et s’assure que tout Destinataire Autorisé se conforme, à la Législation en matière de protection des données et, le cas échéant, aux politiques et directives du Responsable de Traitement préalablement communiquées au Prestataire de Services ;

3. Se conforme, et s’assure que tous systèmes, services et produits fournis par le Prestataire de Services au Responsable de Traitement sont conformes, à toutes les lois applicables, décrets, règlements, ordres, normes et autres instruments similaires (y compris la Législation relative à la protection des données) dans le cadre du Traitement des Données Personnelles ;

4. Coopère et se conforme aux instructions ou aux décisions de toute Autorité de Contrôle, et dans chaque cas dans un délai permettant au Responsable de Traitement de respecter tout délai imposé par l’Autorité de Contrôle. Dans l’hypothèse où une telle exigence ou les délais imposés par une Autorité de Contrôle feraient peser une charge déraisonnable sur le Sous-Traitant, les Parties devront coopérer pour se rapprocher de l’Autorité de Contrôle afin d’adapter ces exigences et/ou ajuster certains délais.

4. Coopération et assistance

Le Prestataire de Services s’engage auprès du Responsable de Traitement :

1. Dans la mesure où cela est légalement autorisé et dans la mesure où le Responsable de Traitement n’a pas accès à de telles Données Personnelles dans le cadre de son utilisation des Services, à rapidement modifier, transférer, changer et/ou supprimer toute Donnée Personnelle détenue par ou pour le compte du Prestataire de Services conformément à toute instruction écrite du Responsable de Traitement. Le Responsable de Traitement assumera l’ensemble des coûts supplémentaires résultant de telles actions qui iraient au-delà de ce qui est défini par les Législations sur la protection des données et/ou les activités de Traitement définies dans le Contrat de Services ou dans le présent Accord, après devis approuvé ;

2. Notifier le Responsable de traitement sans délai indu :

(i) Si le Prestataire de Services considère qu’une instruction du Responsable de Traitement relative au Traitement de Données Personnelles enfreint le Règlement Général sur la Protection des Données ou d’autres dispositions de l’Union européenne ou de ses États membres en matière de protection des données ;

(ii) De toute violation par le Prestataire de Services ou l'un de ses Sous-traitants ultérieurs de toutes lois applicables, décrets, règlements, ordres, normes et autres dispositifs applicables au Traitement de Données personnelles (y compris la Législation sur la protection des données) et fournir un rapport complet au Responsable de Traitement sur les résultats des enquêtes menées sur de telles infractions ou Faille de sécurité de données ;

(iii) Si le Prestataire de Services ou l’un de ses Sous-traitants ultérieurs subit une Faille de sécurité des données ;

(iv) Si le Prestataire de Services ou l’un de ses Sous-traitants ultérieurs reçoit toute plainte, avis ou communication d’une Autorité de Contrôle ou d’une autorité gouvernementale qui se rapporte directement à une exigence relative au Traitement des Données Personnelles ci-dessus ;

et doit, s’agissant de l’article 4.2 (iii), se conformer aux dispositions de l’article 4.4 ci- dessous, et s’agissant des articles 4.2 (i) - (iv), apporter au Responsable de Traitement une pleine coopération, information et assistance en relation avec une telle plainte, avis ou communication ou toute Faille de sécurité des données réelle ou présumée et ne doit faire aucune déclaration publique ou annonce à un tiers, y compris (sans s’y limiter) toute autorité gouvernementale ou Autorité de Contrôle, sans avoir au préalable, lorsque cela est raisonnablement possible et sauf interdiction résultant des lois applicables, consulté le Responsable de Traitement en ce qui concerne le contenu de telles déclarations ou annonces publique ;

3. S’agissant de l’article 4.2 (iii), le Prestataire de Services doit :

(i) Prendre toutes les mesures raisonnables nécessaires pour remédier ou protéger les systèmes du Prestataire de Services contre la Faille de sécurité des données ; (ii) Mettre en œuvre des mesures qui permettent de restaurer toute Donnée Personnelle perdue, corrompue ou inutilisable ; (iii) Fournir des rapports au Responsable de Traitement qui sont suffisants pour permettre au Responsable de Traitement de notifier la Faille de sécurité des données aux Autorités de Contrôle compétentes et si besoin, aux Personnes Concernées conformément à la Législation en matière de protection des données ; (iv) Prendre des mesures pour atténuer les effets néfastes découlant de la Faille de sécurité des données selon les directives du Responsable de Traitement ou en tout état de cause comme le ferait un opérateur prudent ; et (v) Prendre des mesures pour éviter une Faille de de sécurité des données similaire à l’avenir.

4. Aider le Responsable de Traitement à assurer le respect des obligations prévues aux articles 32 à 36 (inclus) du Règlement Général sur la Protection des Données, en tenant compte de la nature du Traitement de données effectué par le Prestataire de Services et des informations dont dispose le Prestataire de Services. Cette assistance comprend, dans les mesures appropriées et nécessaires, la fourniture d’informations et d’aide au Responsable de Traitement à la réalisation d’analyses d’impact sur la protection des données en rapport avec les activités mises en œuvre par le Prestataire de Services dans le cadre du Service.

5. Mesures techniques

Le Prestataire de Services s’engage auprès du Responsable de Traitement à mettre en œuvre des mesures techniques et organisationnelles appropriées afin que le Traitement des Données Personnelles réponde aux exigences de la Législation sur la protection des données et à permettre au Responsable de Traitement de remplir ses obligations de réponse aux demandes des personnes exerçant leurs droits en vertu de la Législation sur la protection des données, en tenant compte de l’état de l’art, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du Traitement ainsi que du risque pour les droits et libertés des Personnes Concernées, dont le degré de probabilité et de gravité varie.

6. Sécurité

1. Le Prestataire de Services s’engage auprès du Responsable de Traitement des données à:

(i) S’assurer qu’il a des mesures techniques et organisationnelles appropriées contre la destruction, la perte, l’altération - accidentelles ou illicites -, la divulgation ou l’accès non autorisés aux Données Personnelles qu’il détient ou traite, y compris toutes mesures qui peuvent être requises pour garantir la conformité aux exigences de sécurité des données prévues par la Législation sur la protection des données ; (ii) S’assurer que les Destinataires Autorisés se conforment à toutes les demandes raisonnables du Responsable de Traitement en ce qui concerne la sécurité et le Traitement des Données personnelles.

2. Le Prestataire de Services devra effectuer une revue annuelle de ses mesures techniques et organisationnelles et les mettra à jour régulièrement pour refléter :

(i) Les évolutions majeures des technologies avancées et les bonnes pratiques industrielles ; (ii) Tout changement ou proposition de modification des procédures, des sites et des systèmes du Prestataire de Services, des Services et/ou des procédures associés ; (iii) Toute nouvelle menace identifiée ou modifiée sur les procédures, les sites et les systèmes du Prestataire de Services.

7. Destinataires autorisés et confidentialité

Le Prestataire de Services garantit au Responsable de Traitement qu’il :

1. Restreint l’accès aux Données Personnelles aux Destinataires Autorisés qui ont besoin d’obtenir un accès pour les Finalités Autorisées (dans le cas de tout accès par tout employé, le Prestataire de Services s’engage à s’assurer que l’accès aux Données Personnelles est limité à certaine partie ou aux parties des Données Personnelles strictement nécessaires à l’exécution des missions de cet employé) ;

2. Veille à ce que tous les Destinataires Autorisés aient suivi une formation relative aux lois en matière de manipulation de données personnelles ;

3. Impose aux Destinataires Autorisés des obligations de confidentialité et de sécurité juridiquement contraignantes équivalentes à celles contenues dans cet Accord.

8. Registre des Traitements

Le Prestataire de Services s’engage auprès du Responsable de Traitement à :

1. conserver une trace de tout Traitement de Données Personnelles effectué pour le compte du Responsable de Traitement y compris le registre des activités de traitement requis conformément à l’Article 30 (2) du Règlement Général sur la Protection des Données ; et

2. Conserver un registre de la formation dispensée conformément au paragraphe 7.2 ci-dessus.

9. Droits des Personnes concernées

Le Prestataire de Services s’engage auprès du Responsable de Traitement à :

1. Aviser le Responsable de Traitement rapidement et en tout état de cause au plus tard dans les 15 jours de toute demande d’une Personne Concernée souhaitant exercer ses droits en vertu de la Législation sur la protection des données, y compris les demandes d’accès aux Données Personnelles, les demandes d’effacement des Données Personnelles, les demandes de communication des Données Personnelles à un tiers et les oppositions au Traitement ;

2. Apporter au Responsable de Traitement une coopération et une assistance raisonnables pour permettre au Responsable de Traitement de répondre aux demandes des Personnes Concernées qui souhaitent exercer leurs droits en vertu de Législation sur la protection des données (que ces demandes soient reçues par le Prestataire de Services ou le Responsable de Traitement) dans la mesure où cela est légalement autorisé et dans la mesure où le Responsable de Traitement n’a pas accès à de telles Données Personnelles dans le cadre de son utilisation des Services ; et

3. Ne pas divulguer ou communiquer toutes Données Personnelles en réponse à une Personne Concernée ou toute autre demande de divulgation de Données Personnelles sans avoir préalablement consulté et obtenu le consentement écrit du Responsable de Traitement.

10. Collecte de données

Si le Prestataire de Services est tenu de collecter des Données Personnelles pour le compte du Responsable de Traitement, le Prestataire de Services collectera les Données Personnelles dans le format convenu par écrit avec le Responsable de Traitement et fournira aux personnes au moment de la collecte des données une politique de confidentialité (incluant, si nécessaire, un formulaire de consentement) selon le format autorisé par le Responsable de Traitement.

11. Sous-traitance

1. Le Responsable de Traitement autorise le Sous-Traitant à sous-traiter une partie des Traitements auprès de ses Sous-traitants ultérieurs actuels tels que mentionnés dans la liste des sous-traitants ultérieurs disponible sur le site internet du Sous-Traitant. Cette liste comprend les identités de chaque Sous-traitant ultérieur actuel, les catégories de Données Personnelles qu’ils traitent, leur pays d’établissement et des informations quant à leur conformité à la Législation sur la protection des données.

2. Le Sous-Traitant informera par tout moyen le Responsable de Traitement du recrutement d’un nouveau Sous-traitant ultérieur.

Le Responsable de Traitement peut s’opposer au recours du Sous-Traitant à un nouveau Sous-traitant ultérieur en notifiant promptement le Sous-Traitant par écrit (par email). Dans l’éventualité où le Responsable de Traitement s’oppose à la désignation d’un nouveau Sous-traitant ultérieur, le Responsable de Traitement pourra résilier le Contrat de Services en adressant au Prestataire de Services une notification écrite dans les formes prévues au Contrat de Services.

3. Toute sous-traitance de Données Personnelles ne saurait libérer le Sous- Traitant de ses devoirs, responsabilités et obligations envers le Responsable de Traitement au titre du présent Accord, et le Sous-Traitant doit rester entièrement responsable des actes et omissions de ses Sous-traitants ultérieurs.

12. Transferts vers les Pays Tiers

1. Tout transfert de données vers un pays tiers où un pays tiers ou une organisation internationale par le Sous-traitant relatif au Contrat de Service n’est effectué que sur la base d’instructions documentées du Responsable de Traitement ou afin de satisfaire à une exigence spécifique du droit de l’Union ou du droit de l’État membre à laquelle le Sous-traitant est soumis et s’effectue conformément au Chapitre V du Règlement Général sur la Protection des Données.

2. Le Responsable de Traitement convient que lorsque le Sous-traitant recrute un Sous-traitant ultérieur conformément à l’article 11 ci-avant pour mener des activités de traitement spécifiques (pour le compte du Responsable de Traitement) et que ces activités de traitement impliquent un transfert de Données à caractère personnel au sens du chapitre V du Règlement Général sur la Protection des Données, le Sous-traitant et le Sous-traitant ultérieur peuvent garantir le respect du chapitre V du Règlement Général sur la Protection des Données en utilisant les clauses contractuelles types adoptées par la Commission le 4 juin 2021 (Annexe 3), pour autant que les conditions d’utilisation de ces clauses contractuelles types soient remplies.

13. Responsabilité

Chaque Partie est et demeure responsable de toute violation ou infraction à la Législation sur la protection des données et garantit l’autre Partie des conséquences éventuelles d’une telle violation.

La responsabilité du Sous-Traitant sera limitée à ses propres activités de traitement en vertu du présent Accord, et la responsabilité financière totale du Sous-Traitant ne saurait excéder le montant total des redevances payés ou payables par le Responsable de Traitement en vertu de Contrat de Services au cours des 12 (douze) derniers mois.

14. Entrée en vigueur et résiliation

Le présent Accord prendra effet à la Date de Commencement et restera en vigueur jusqu’à ce que le Sous-Traitant cesse de Traiter les Données personnelles pour le compte du Responsable de Traitement.

15. Conséquences de la résiliation

À l’expiration ou à la résiliation du Contrat de Services (pour quelque raison que ce soit), le Sous-Traitant doit, à la demande écrite du Responsable de Traitement, cesser le Traitement pour le compte du Responsable de Traitement et, en fonction des durées de conservation applicables telles qu’indiquées à l’Annexe 1 et dans la demande écrite du Responsable de Traitement, lui restituer rapidement toutes les Données Personnelles en toute sécurité (indépendamment de leur forme, et qu’elles soient informatisées ou physiques).

16. Fourniture d’informations et droit d’audit

Le Sous-Traitant met à la disposition du Responsable de Traitement les informations nécessaires pour démontrer le respect de ses obligations en qualité de Sous-Traitant.

Le Sous-Traitant autorise le Responsable de Traitement à visiter les locaux du Sous- Traitant où le Sous-Traitant fournit les Services (« Visite ») à raison d’une (1) fois par année civile, et moyennant un préavis écrit d'au moins soixante (60) jours ouvrés au Sous-Traitant. Une telle Visite devra être conditionnée au respect par le Responsable de Traitement de la sécurité et de la documentation privée et des procédures du Sous-Traitant. Une telle visite ne durera pas plus de trois (3) jours pour chaque installation et se déroulera pendant les heures normales de bureau du lieu où l’entreprise est implantée. Nonobstant toute disposition contraire, le Responsable de Traitement sera responsable de tous les coûts et/ou dépenses encourus à raison de cette visite.

17. Modification de l'Accord

1. Cet Accord ne peut être modifié, sauf par un écrit signé par les représentants dûment autorisés de chacune des Parties.

2. Les Parties conviennent qu’en cas de modification de la Législation sur la protection des données, les Parties pourront réviser les dispositions de cet Accord et négocieront de bonne foi pour se conformer à la Législation sur la protection des données mise à jour.

18. Intégralité de l'Accord

Le présent Accord et le Contrat de Services constituent l’intégralité de l’accord et des engagements souscrits par les Parties pour ce qui se rapporte à leur objet, et les termes de ces contrats prévalent sur tous autres accords.

19. Renonciation aux recours

Chacune des Parties reconnaît et accepte qu’en concluant le présent Accord, elle renonce à se prévaloir de, et n’aura aucun recours s’agissant de, toute déclaration, représentation, garantie ou compréhension (qu’elles aient été faites par négligence ou imprudence) de toute personne (qu’il s’agisse d’une Partie à cet Accord ou non) autre que ce qui est expressément stipulé dans le présent Accord.

20. Loi applicable et juridiction

Le présent Accord est régi et doit être interprété conformément à la loi française et tout litige naissant du ou en relation avec le présent Accord sera soumis à la juridiction exclusive des tribunaux de Paris (France), auxquelles chacune des Parties se soumet irrévocablement.

21. Divers

Chaque Partie doit de temps à autre (tant pendant la durée du présent Accord qu’après sa résiliation) accomplir tous les actes et signer tous les documents qui peuvent être raisonnablement nécessaires pour donner effet aux dispositions du présent Accord.

Pour Spendesk

Rodolphe Ardant CEO

Pour le Client

ANNEXES

ANNEXE 1: Description des Traitements de Données

A. Gouvernance du Sous-Traitant

Spendesk Délégué à la protection des données (DPO): François-Xavier Boulin (privacy@spendesk.com)

B. Détail des traitements de données et Durées de Conservation

Catégories de Personnes Concernées :

- Les employés du Responsable de Traitement : contacts commerciaux et utilisateurs de la solution Spendesk

Finalités du Traitement de données :

- Relation contractuelle de Spendesk avec la Société à des fins de promotion et d’exécution du Contrat de services (y compris la facturation) ;

- Mise à disposition de moyens de paiement individuels pour les employés de la Société ;

- Mise à disposition d’une plateforme SaaS pour la gestion des paiements, des factures et des flux d’autorisation.

Type de données personnelles et nature du traitement :

- Coordonnées (prénom, nom, adresse e-mail, numéro de téléphone portable, photo) avec le consentement de l’employé: afin de garantir l’envoi des informations relatives au statut, le code de sécurité et les instructions dans le cadre du processus d'autorisation.

- Données de connexion (nom d’utilisateur, mot de passe, adresse IP): afin d' assurer la connexion des employés aux fins d’identification et l’accès à la plateforme Spendesk.

- Détail du poste des employés: afin de définir l’étendue des droits et autorisations de l’employé au sein de l’entreprise et de limiter les fonctions ou l’accès à la solution Spendesk.

- Informations de paiements: afin d' assurer le paiement et le remboursement des frais professionnels du salarié.

- Factures et reçus: Analyse des factures et des reçus afin de conserver les preuves et les informations comptables relatives aux paiements et remboursements.

Durée de conservation :

- Coordonnées de la Société : durée de la relation contractuelle avec la Société + 5 ans (à des fins de facturation ; obligations fiscales et comptables)

- Données relatives aux employés de la Société (Utilisateur finaux)(coordonnées, login, position dans la Société) : durée de la relation contractuelle avec la Société + 24 mois à compter de la suppression de l’Utilisateur (sauf pour les informations de paiement et les données requises pour l’archivage sécurisé des factures et reçus : 11 ans à compter de la remise des documents à des fins d’archivage)

Annexe 2

Clauses Contractuelles Types

version du 4 juin 2021 - Pour information

SECTION I

Clause 1

Finalités et champ d’application
a) Les présentes clauses contractuelles types visent à garantir le respect des exigences du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) (1) en cas de transfert de données à caractère personnel vers un pays tiers.
b) Les parties : i. la ou les personnes physiques ou morales, la ou les autorités publiques, la ou les agences ou autre(s) organisme(s) (ci-après la ou les «entités») qui transfèrent les données à caractère personnel, mentionnés à l’annexe I.A. (ci-après l’«exportateur de données»), et ii. la ou les entités d’un pays tiers qui reçoivent les données à caractère personnel de l’exportateur de données, directement ou indirectement par l’intermédiaire d’une autre entité également partie aux présentes clauses, mentionnées à l’annexe I.A. (ci-après l’«importateur de données») sont convenues des présentes clauses contractuelles types (ci-après les «clauses»). c) Les présentes clauses s’appliquent au transfert de données à caractère personnel précisé à l’annexe I.B. d) L’appendice aux présentes clauses, qui contient les annexes qui y sont mentionnées, fait partie intégrante des présentes clauses.

Clause 2

Effet et invariabilité des clauses
a) Les présentes clauses établissent des garanties appropriées, notamment des droits opposables pour la personne concernée et des voies de droit effectives, en vertu de l’article 46, paragraphe 1, et de l’article 46, paragraphe 2, point c), du règlement (UE) 2016/679 et, en ce qui concerne les transferts de données de responsables du traitement à sous-traitants et/ou de sous-traitants à sous-traitants, des clauses contractuelles types en vertu de l’article 28, paragraphe 7, du règlement (UE) 2016/679, à condition qu’elles ne soient pas modifiées, sauf pour sélectionner le ou les modules appropriés ou pour ajouter ou mettre à jour des informations dans l’appendice. Cela n’empêche pas les parties d’inclure les clauses contractuelles types prévues dans les présentes clauses dans un contrat plus large et/ou d’ajouter d’autres clauses ou des garanties supplémentaires, à condition que celles-ci ne contredisent pas, directement ou indirectement, les présentes clauses et qu’elles ne portent pas atteinte aux libertés et droits fondamentaux des personnes concernées.
b) les présentes clauses sont sans préjudice des obligations auxquelles l’exportateur de données est soumis en vertu du règlement (UE) 2016/679.

Clause 3

Tiers bénéficiaires a) Les personnes concernées peuvent invoquer et faire appliquer les présentes clauses, en tant que tiers bénéficiaires, contre l’exportateur et/ou l’importateur de données, avec les exceptions suivantes :

i. clause 1, clause 2, clause 3, clause 6, clause 7; ii. clause 8.1, paragraphes a), c) et d) et clause 8.9, paragraphes a), c), d), e), f) et g); iii. clause 9, paragraphes a) c), d) et e); iv. clause 12, paragraphes a), d) et f); v. clause 13; vi. clause 15.1, paragraphes c), d) et e); vii. clause 16, paragraphe e); viii. clause 18, paragraphes a) et b).

b) Le paragraphe a) est sans préjudice des droits des personnes concernées au titre du règlement (UE) 2016/679.

Clause 4

Interprétation a) Lorsque les présentes clauses utilisent des termes définis dans le règlement (UE) 2016/679, ceux-ci ont la même signification que dans ledit règlement. b) Les présentes clauses sont lues et interprétées à la lumière des dispositions du règlement (UE) 2016/679. c) Les présentes clauses ne sont pas interprétées dans un sens contraire aux droits et obligations prévus dans le règlement (UE) 2016/679.

Clause 5

Hiérarchie
En cas de contradiction entre les présentes clauses et les dispositions des accords connexes entre les parties existant au moment où les présentes clauses sont convenues, ou souscrites par la suite, les présentes clauses prévalent.

Clause 6

Description du ou des transferts
Les détails du ou des transferts, en particulier les catégories de données à caractère personnel qui sont transférées et la ou les finalités pour lesquelles elles le sont, sont précisés à l’annexe I.B.

Clause 7

Clause d’adhésion
a) Une entité qui n’est pas partie aux présentes clauses peut, avec l’accord des parties, y adhérer à tout moment, soit en tant qu’exportateur de données soit en tant qu’importateur de données, en remplissant l’appendice et en signant l’annexe I.A. b) Une fois l’appendice rempli et l’annexe I.A. signée, l’entité adhérente devient partie aux présentes clauses et a les droits et obligations d’un exportateur de données ou d’un importateur de données selon sa désignation dans l’annexe I.A. c) L’entité adhérente n’a aucun droit ni obligation découlant des présentes clauses pour la période antérieure à son adhésion à celles-ci.

SECTION II — OBLIGATIONS DES PARTIES

Clause 8

Garanties en matière de protection des données
L’exportateur de données garantit qu’il a entrepris des démarches raisonnables pour s’assurer que l’importateur de données est à même, par la mise en œuvre de mesures techniques et organisationnelles appropriées, de satisfaire aux obligations qui lui incombent en vertu des présentes clauses.

8.1. Instructions
a) L’exportateur de données a informé l’importateur de données qu’il agit en qualité de sous-traitant sur instructions de son ou ses responsables du traitement, instructions qu’il met à la disposition de l’importateur de données avant le traitement. b) L’importateur de données ne traite les données à caractère personnel que sur instructions documentées du responsable du traitement, telles qu’elles lui ont été communiquées par l’exportateur de données, ainsi que sur instructions documentées supplémentaires de l’exportateur de données. Ces instructions supplémentaires ne sont pas en contradiction avec les instructions du responsable du traitement. Le responsable du traitement ou l’exportateur de données peut donner d’autres instructions documentées concernant le traitement des données pendant toute la durée du contrat. c) S’il n’est pas en mesure de suivre ces instructions, l’importateur de données en informe immédiatement l’exportateur de données. Lorsque l’importateur de données n’est pas en mesure de suivre les instructions du responsable du traitement, l’exportateur de données en informe immédiatement ce dernier. d) L’exportateur de données garantit qu’il a imposé à l’importateur de données les mêmes obligations en matière de protection des données que celles fixées dans le contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre entre le responsable du traitement et l’exportateur de données (2).

8.2. Limitation des finalités L’importateur de données traite les données à caractère personnel uniquement pour la ou les finalités spécifiques du transfert, telles que précisées à l’annexe I.B, sauf en cas d’instructions supplémentaires du responsable du traitement, telle qu’elles lui ont été communiquées par l’exportateur de données, ou de l’exportateur de données.

8.3. Transparence Sur demande, l’exportateur de données met gratuitement à la disposition de la personne concernée une copie des présentes clauses, notamment de l’appendice tel que rempli par les parties. Dans la mesure nécessaire pour protéger les secrets d’affaires ou d’autres informations confidentielles, notamment les données à caractère personnel, l’exportateur de données peut occulter une partie du texte de l’appendice avant d’en communiquer une copie, mais fournit un résumé valable s’il serait autrement impossible, pour la personne concernée, d’en comprendre le contenu ou d’exercer ses droits. Les parties fournissent à la personne concernée, à la demande de celle-ci, les motifs des occultations, dans la mesure du possible sans révéler les informations occultées.

8.4. Exactitude Si l’importateur de données se rend compte que les données à caractère personnel qu’il a reçues sont inexactes, ou sont obsolètes, il en informe l’exportateur de données dans les meilleurs délais. Dans ce cas, l’importateur de données coopère avec l’exportateur de données pour rectifier ou effacer les données.

8.5. Durée du traitement et effacement ou restitution des données Le traitement par l’importateur de données n’a lieu que pendant la durée précisée à l’annexe I.B. Au terme de la prestation des services de traitement, l’importateur de données, à la convenance de l’exportateur de données, efface toutes les données à caractère personnel traitées pour le compte du responsable du traitement et en apporte la preuve à l’exportateur de données, ou lui restitue toutes les données à caractère personnel traitées pour son compte et efface les copies existantes. Jusqu’à ce que les données soient effacées ou restituées, l’importateur de données continue de veiller au respect des présentes clauses. Lorsque la législation locale applicable à l’importateur de données interdit la restitution ou l’effacement des données à caractère personnel, ce dernier garantit qu’il continuera à respecter les présentes clauses et qu’il ne traitera les données à caractère personnel que dans la mesure où et aussi longtemps que cette législation locale l’exige. Ceci est sans préjudice de la clause 14, en particulier de l’obligation imposée à l’importateur de données par la clause 14, paragraphe e), d’informer l’exportateur de données, pendant toute la durée du contrat, s’il a des raisons de croire qu’il est ou est devenu soumis à une législation ou à des pratiques qui ne sont pas conformes aux exigences de la clause 14, paragraphe a).

8.6. Sécurité du traitement a) L’importateur de données et, durant la transmission, l’exportateur de données mettent en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données, notamment pour les protéger d’une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à ces données (ci-après la « violation de données à caractère personnel »). Lors de l’évaluation du niveau de sécurité approprié, ils tiennent dûment compte de l’état des connaissances, des coûts de mise en œuvre, de la nature, de la portée, du contexte et de la ou des finalités du traitement ainsi que des risques inhérents au traitement pour la personne concernée. Les parties envisagent en particulier de recourir au chiffrement ou à la pseudonymisation, notamment pendant la transmission, lorsque la finalité du traitement peut être atteinte de cette manière. En cas de pseudonymisation, les informations supplémentaires permettant d’attribuer les données à caractère personnel à une personne concernée précise restent, dans la mesure du possible, sous le contrôle exclusif de l’exportateur de données ou du responsable du traitement. Pour s’acquitter des obligations qui lui incombent en vertu du présent paragraphe, l’importateur de données met au moins en œuvre les mesures techniques et organisationnelles précisées à l’annexe II. Il procède à des contrôles réguliers pour s’assurer que ces mesures continuent d’offrir le niveau de sécurité approprié. b) L’importateur de données ne donne l’accès aux données aux membres de son personnel que dans la mesure strictement nécessaire à la mise en œuvre, à la gestion et au suivi du contrat. Il veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité. c) En cas de violation de données à caractère personnel concernant des données à caractère personnel traitées par l’importateur de données au titre des présentes clauses, ce dernier prend des mesures appropriées pour remédier à la violation, y compris des mesures visant à en atténuer les effets négatifs. L’importateur de données informe également, dans les meilleurs délais, l’exportateur de données et, s’il y a lieu et dans la mesure du possible, le responsable du traitement après avoir eu connaissance de la violation. Cette notification contient les coordonnées d’un point de contact auprès duquel il est possible d’obtenir plus d’informations, ainsi qu’une description de la nature de la violation (y compris, si possible, les catégories et le nombre approximatif de personnes concernées et d’enregistrements de données à caractère personnel concernés), de ses conséquences probables et des mesures prises ou proposées pour y remédier, y compris des mesures visant à en atténuer les effets négatifs potentiels. Si, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, la notification initiale contient les informations disponibles à ce moment-là et les autres informations sont fournies par la suite, dans les meilleurs délais, à mesure qu’elles deviennent disponibles. d) L’importateur de données coopère avec l’exportateur de données et l’aide afin de lui permettre de respecter les obligations qui lui incombent en vertu du règlement (UE) 2016/679, notamment celle d’informer son responsable du traitement afin que ce dernier puisse à son tour informer l’autorité de contrôle compétente et les personnes concernées, compte tenu de la nature du traitement et des informations à la disposition de l’importateur de données.

8.7. Données sensibles
Lorsque le transfert concerne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, des données génétiques ou des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou concernant la vie sexuelle ou l’orientation sexuelle d’une personne, ou des données relatives à des condamnations pénales et à des infractions (ci-après les «données sensibles»), l’importateur de données applique les restrictions particulières et/ou les garanties supplémentaires indiquées à l’annexe I.B.
8.8. Transferts ultérieurs
L’importateur de données ne divulgue les données à caractère personnel à un tiers que sur instructions documentées du responsable du traitement, telles qu’elles lui ont été communiquées par l’exportateur de données. En outre, les données ne peuvent être divulguées à un tiers situé en dehors de l’Union européenne (3) (dans le même pays que l’importateur de données ou dans un autre pays tiers, ci-après « transfert ultérieur »), que si le tiers est lié par les présentes clauses ou accepte de l’être, en vertu du module approprié, ou si : i) le transfert ultérieur est effectué vers un pays bénéficiant d’une décision d’adéquation en vertu de l’article 45 du règlement (UE) 2016/679 qui couvre le transfert ultérieur ; ii) le tiers offre d’une autre manière des garanties appropriées conformément aux articles 46 ou 47 du règlement (UE) 2016/679 ; iii) le transfert ultérieur est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice dans le contexte de procédures administratives, réglementaires ou judiciaires spécifiques ; ou iv) le transfert ultérieur est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique. Tout transfert ultérieur est soumis au respect, par l’importateur de données, de toutes les autres garanties au titre des présentes clauses, en particulier de la limitation des finalités.
8.9. Documentation et conformité
a) L’importateur de données traite rapidement et de manière appropriée les demandes de renseignements de l’exportateur de données ou du responsable du traitement concernant le traitement au titre des présentes clauses. b) Les parties sont en mesure de démontrer le respect des présentes clauses. En particulier, l’importateur de données conserve une trace documentaire appropriée des activités de traitement menées pour le compte du responsable du traitement. c) L’importateur de données met toutes les informations nécessaires pour démontrer le respect des obligations prévues par les présentes clauses à la disposition de l’exportateur de données, qui les transmet au responsable du traitement. d) L’importateur de données permet la réalisation, par l’exportateur de données, d’audits des activités de traitement couvertes par les présentes clauses, et contribue à ces audits, à intervalles raisonnables ou s’il existe des indications de non-respect. Il en est de même lorsque l’exportateur de données demande un audit sur instructions du responsable du traitement. Lorsqu’il décide d’un audit, l’exportateur de données peut tenir compte des certifications pertinentes détenues par l’importateur de données. e) Lorsque l’audit est effectué sur instructions du responsable du traitement, l’exportateur de données met les résultats à la disposition de ce dernier. f) L’exportateur de données peut choisir de procéder à l’audit lui-même ou de mandater un auditeur indépendant. Les audits peuvent comprendre des inspections dans les locaux ou les installations physiques de l’importateur de données et sont, le cas échéant, effectués avec un préavis raisonnable. g) Les parties mettent à la disposition de l’autorité de contrôle compétente, à la demande de celle-ci, les informations mentionnées aux paragraphes b) et c), y compris les résultats de tout audit.

Clause 9

Recours à des sous-traitants ultérieurs
a) OPTION 1 : AUTORISATION SPÉCIFIQUE PRÉALABLE — L’importateur de données ne sous-traite aucune des activités de traitement qu’il mène pour le compte de l’exportateur de données au titre des présentes clauses à un sous-traitant ultérieur sans l’autorisation écrite spécifique préalable du responsable du traitement. L’importateur de données soumet la demande d’autorisation spécifique au moins (précisez le délai) avant le recrutement du sous-traitant ultérieur, avec les informations nécessaires pour permettre au responsable du traitement de se prononcer sur l’autorisation. Il informe l’exportateur de données de ce recrutement La liste des sous-traitants ultérieurs déjà autorisés par le responsable du traitement est disponible à l’annexe III. Les parties tiennent cette annexe à jour.
OPTION 2 : AUTORISATION ÉCRITE GÉNÉRALE — L’importateur de données a l’autorisation générale du responsable du traitement de recruter un ou plusieurs sous-traitants ultérieurs à partir d’une liste arrêtée d’un commun accord. L’importateur de données informe expressément par écrit le responsable du traitement de tout changement concernant l’ajout ou le remplacement de sous-traitants ultérieurs qu’il est prévu d’apporter à cette liste au moins (précisez le délai) à l’avance, donnant ainsi au responsable du traitement suffisamment de temps pour émettre des objections à l’encontre de ces changements avant le recrutement du ou des sous-traitants ultérieurs. L’importateur de données fournit au responsable du traitement les informations nécessaires pour permettre à ce dernier d’exercer son droit d’émettre des objections. L’importateur de données informe l’exportateur de données du recrutement du ou des sous-traitants ultérieurs.
b) Lorsque l’importateur de données recrute un sous-traitant ultérieur pour mener des activités de traitement spécifiques (pour le compte du responsable du traitement), il le fait au moyen d’un contrat écrit qui prévoit, en substance, les mêmes obligations en matière de protection des données que celles qui lient l’importateur de données en vertu des présentes clauses, notamment en ce qui concerne les droits du tiers bénéficiaire pour les personnes concernées (4). Les parties conviennent qu’en respectant la présente clause, l’importateur de données satisfait aux obligations qui lui incombent en vertu de la clause 8.8. L’importateur de données veille à ce que le sous-traitant ultérieur respecte les obligations auxquelles il est lui-même soumis en vertu des présentes clauses. c) L’importateur de données fournit sur demande, à l’exportateur de données ou au responsable du traitement, une copie du contrat avec le sous-traitant ultérieur et de ses éventuelles modifications ultérieures. Dans la mesure nécessaire pour protéger les secrets d’affaires ou d’autres informations confidentielles, notamment les données à caractère personnel, l’importateur de données peut occulter une partie du texte du contrat avant d’en communiquer une copie. d) L’importateur de données reste pleinement responsable à l’égard de l’exportateur de données de l’exécution des obligations qui incombent au sous-traitant ultérieur en vertu du contrat qu’il a conclu avec lui. L’importateur de données notifie à l’exportateur de données tout manquement du sous-traitant ultérieur aux obligations qui lui incombent en vertu dudit contrat. e) L’importateur de données convient avec le sous-traitant ultérieur d’une clause du tiers bénéficiaire en vertu de laquelle, dans les cas où l’importateur de données a matériellement disparu, a cessé d’exister en droit ou est devenu insolvable, l’exportateur de données a le droit de résilier le contrat du sous-traitant ultérieur et de donner instruction à ce dernier d’effacer ou de restituer les données à caractère personnel.

Clause 10

Droits des personnes concernées
a) L’importateur de données informe sans délai l’exportateur de données et, s’il y a lieu, le responsable du traitement de toute demande reçue d’une personne concernée, mais n’y répond pas à moins d’y avoir été autorisé par le responsable du traitement. b) L’importateur de données aide, si nécessaire en coopération avec l’exportateur de données, le responsable du traitement à s’acquitter de son obligation de répondre aux demandes de personnes concernées désireuses d’exercer leurs droits en vertu du règlement (UE) 2016/679 ou du règlement (UE) 2018/1725, selon le cas. À cet égard, les parties indiquent à l’annexe II les mesures techniques et organisationnelles appropriées, compte tenu de la nature du traitement, au moyen desquelles l’aide sera fournie, ainsi que la portée et l’étendue de l’aide requise. c) Lorsqu’il s’acquitte des obligations qui lui incombent en vertu des paragraphes a) et b), l’importateur de données se conforme aux instructions du responsable du traitement, telles qu’elles lui ont été communiquées par l’exportateur de données.

Clause 11

Voies de recours
a) L’importateur de données informe les personnes concernées, sous une forme transparente et aisément accessible, au moyen d’une notification individuelle ou sur son site web, d’un point de contact autorisé à traiter les réclamations. Il traite sans délai toute réclamation reçue d’une personne concernée. b) En cas de litige entre une personne concernée et l’une des parties portant sur le respect des présentes clauses, cette partie met tout en œuvre pour parvenir à un règlement à l’amiable dans les meilleurs délais. Les parties se tiennent mutuellement informées de ces litiges et, s’il y a lieu, coopèrent pour les résoudre. c) Lorsque la personne concernée invoque un droit du tiers bénéficiaire en vertu de la clause 3, l’importateur de données accepte la décision de la personne concernée : i) d’introduire une réclamation auprès de l’autorité de contrôle de l’État membre dans lequel se trouve sa résidence habituelle ou son lieu de travail, ou auprès de l’autorité de contrôle compétente au sens de la clause 13 ; ii) de renvoyer le litige devant les juridictions compétentes au sens de la clause 18. d) Les parties acceptent que la personne concernée puisse être représentée par un organisme, une organisation ou une association à but non lucratif dans les conditions énoncées à l’article 80, paragraphe 1, du règlement (UE) 2016/679. e) L’importateur de données se conforme à une décision qui est contraignante en vertu du droit applicable de l’Union ou d’un État membre. f) L’importateur de données convient que le choix effectué par la personne concernée ne remettra pas en cause le droit procédural et matériel de cette dernière d’obtenir réparation conformément à la législation applicable.

Clause 12

Responsabilité
a) Chaque partie est responsable envers la ou les autres parties des dommages qu’elle cause à l’autre ou aux autres parties du fait d’un manquement aux présentes clauses. b) L’importateur de données est responsable à l’égard de la personne concernée, et la personne concernée a le droit d’obtenir réparation de tout dommage matériel ou moral qui lui est causé par l’importateur de données ou son sous-traitant ultérieur du fait d’une violation des droits du tiers bénéficiaire prévus par les présentes clauses. c) Nonobstant le paragraphe b), l’exportateur de données est responsable à l’égard de la personne concernée et celle-ci a le droit d’obtenir réparation de tout dommage matériel ou moral qui lui est causé par l’exportateur de données ou l’importateur de données (ou son sous-traitant ultérieur) du fait d’une violation des droits du tiers bénéficiaire prévus par les présentes clauses. Ceci est sans préjudice de la responsabilité de l’exportateur de données et, si l’exportateur de données est un sous-traitant agissant pour le compte d’un responsable du traitement, de la responsabilité de ce dernier au titre du règlement (UE) 2016/679 ou du règlement (UE) 2018/1725, selon le cas. d) Les parties conviennent que, si l’exportateur de données est reconnu responsable, en vertu du paragraphe c), du dommage causé par l’importateur de données (ou son sous-traitant ultérieur), il a le droit de réclamer auprès de l’importateur de données la part de la réparation correspondant à la responsabilité de celui-ci dans le dommage. e) Lorsque plusieurs parties sont responsables d’un dommage causé à la personne concernée du fait d’une violation des présentes clauses, toutes les parties responsables le sont conjointement et solidairement et la personne concernée a le droit d’intenter une action en justice contre n’importe laquelle de ces parties. f) Les parties conviennent que, si la responsabilité d’une d’entre elles est reconnue en vertu du paragraphe e), celle-ci a le droit de réclamer auprès de l’autre ou des autres parties la part de la réparation correspondant à sa/leur responsabilité dans le dommage. g) L’importateur de données ne peut invoquer le comportement d’un sous-traitant ultérieur pour échapper à sa propre responsabilité.

Clause 13

Contrôle
a) L’autorité de contrôle chargée de garantir le respect, par l’exportateur de données, du règlement (UE) 2016/679 en ce qui concerne le transfert de données, telle qu’indiquée à l’annexe I.C, agit en qualité d’autorité de contrôle compétente. b) L’importateur de données accepte de se soumettre à la juridiction de l’autorité de contrôle compétente et de coopérer avec elle dans le cadre de toute procédure visant à garantir le respect des présentes clauses. En particulier, l’importateur de données accepte de répondre aux demandes de renseignements, de se soumettre à des audits et de se conformer aux mesures adoptées par l’autorité de contrôle, notamment aux mesures correctrices et compensatoires. Il confirme par écrit à l’autorité de contrôle que les mesures nécessaires ont été prises.

SECTION III — LÉGISLATIONS LOCALES ET OBLIGATIONS EN CAS D’ACCÈS DES AUTORITÉS PUBLIQUES

Clause 14

Législations et pratiques locales ayant une incidence sur le respect des clauses
a) Les parties garantissent qu’elles n’ont aucune raison de croire que la législation et les pratiques du pays tiers de destination applicables au traitement des données à caractère personnel par l’importateur de données, notamment les exigences en matière de divulgation de données à caractère personnel ou les mesures autorisant l’accès des autorités publiques à ces données, empêchent l’importateur de données de s’acquitter des obligations qui lui incombent en vertu des présentes clauses. Cette disposition repose sur l’idée que les législations et les pratiques qui respectent l’essence des libertés et droits fondamentaux et qui n’excèdent pas ce qui est nécessaire et proportionné dans une société démocratique pour préserver un des objectifs énumérés à l’article 23, paragraphe 1, du règlement (UE) 2016/679 ne sont pas en contradiction avec les présentes clauses. b) Les parties déclarent qu’en fournissant la garantie mentionnée au paragraphe a), elles ont dûment tenu compte, en particulier, des éléments suivants : i) des circonstances particulières du transfert, parmi lesquelles la longueur de la chaîne de traitement, le nombre d’acteurs concernés et les canaux de transmission utilisés ; les transferts ultérieurs prévus; le type de destinataire; la finalité du traitement; les catégories et le format des données à caractère personnel transférées; le secteur économique dans lequel le transfert a lieu et le lieu de stockage des données transférées; ii) des législations et des pratiques du pays tiers de destination – notamment celles qui exigent la divulgation de données aux autorités publiques ou qui autorisent l’accès de ces dernières aux données – pertinentes au regard des circonstances particulières du transfert, ainsi que des limitations et des garanties applicables (5) ; iii) de toute garantie contractuelle, technique ou organisationnelle pertinente mise en place pour compléter les garanties prévues par les présentes clauses, y compris les mesures appliquées pendant la transmission et au traitement des données à caractère personnel dans le pays de destination.

c) L’importateur de données garantit que, lors de l’évaluation au titre du paragraphe b), il a déployé tous les efforts possibles pour fournir des informations pertinentes à l’exportateur de données et convient qu’il continuera à coopérer avec ce dernier pour garantir le respect des présentes clauses. d) Les parties conviennent de conserver une trace documentaire de l’évaluation au titre du paragraphe b) et de mettre cette évaluation à la disposition de l’autorité de contrôle compétente si celle-ci en fait la demande. e) L’importateur de données accepte d’informer sans délai l’exportateur de données si, après avoir souscrit aux présentes clauses et pendant la durée du contrat, il a des raisons de croire qu’il est ou est devenu soumis à une législation ou à des pratiques qui ne sont pas conformes aux exigences du paragraphe a), notamment à la suite d’une modification de la législation du pays tiers ou d’une mesure (telle qu’une demande de divulgation) indiquant une application pratique de cette législation qui n’est pas conforme aux exigences du paragraphe a). L’exportateur de données transmet la notification au responsable du traitement. f) À la suite d’une notification au titre du paragraphe e), ou si l’exportateur de données a d’autres raisons de croire que l’importateur de données ne peut plus s’acquitter des obligations qui lui incombent en vertu des présentes clauses, l’exportateur de données définit sans délai les mesures appropriées (par exemple des mesures techniques ou organisationnelles visant à garantir la sécurité et la confidentialité) qu’il doit adopter et/ou qui doivent être adoptées par l’importateur de données pour remédier à la situation, si nécessaire en concertation avec le responsable du traitement. L’exportateur de données suspend le transfert de données s’il estime qu’aucune garantie appropriée ne peut être fournie pour ce transfert ou si le responsable du traitement ou l’autorité de contrôle compétente lui en donnent l’instruction. Dans ce cas, l’exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement de données à caractère personnel au titre des présentes clauses. Si le contrat concerne plus de deux parties, l’exportateur de données ne peut exercer ce droit de résiliation qu’à l’égard de la partie concernée, à moins que les parties n’en soient convenues autrement. Lorsque le contrat est résilié en vertu de la présente clause, la clause 16, paragraphes d) et e), s’applique.

Clause 15

Obligations de l’importateur de données en cas d’accès des autorités publiques
15.1. Notification
a) L’importateur de données convient d’informer sans délai l’exportateur de données et, si possible, la personne concernée (si nécessaire avec l’aide de l’exportateur de données): i) s’il reçoit une demande juridiquement contraignante d’une autorité publique, y compris judiciaire, en vertu de la législation du pays de destination en vue de la divulgation de données à caractère personnel transférées au titre des présentes clauses ; cette notification comprend des informations sur les données à caractère personnel demandées, l’autorité requérante, la base juridique de la demande et la réponse fournie ; ou ii) s’il a connaissance d’un quelconque accès direct des autorités publiques aux données à caractère personnel transférées au titre des présentes clauses en vertu de la législation du pays de destination ; cette notification comprend toutes les informations dont l’importateur de données dispose. L’exportateur de données transmet la notification au responsable du traitement. b) Si la législation du pays de destination interdit à l’importateur de données d’informer l’exportateur de données et/ou la personne concernée, l’importateur de données convient de tout mettre en œuvre pour obtenir une levée de cette interdiction, en vue de communiquer autant d’informations que possible, dans les meilleurs délais. L’importateur de données accepte de garder une trace documentaire des efforts qu’il a déployés afin de pouvoir en apporter la preuve à l’exportateur de données, si celui-ci lui en fait la demande. c) Lorsque la législation du pays de destination le permet, l’importateur de données accepte de fournir à l’exportateur de données, à intervalles réguliers pendant la durée du contrat, autant d’informations utiles que possible sur les demandes reçues (notamment le nombre de demandes, le type de données demandées, la ou les autorités requérantes, la contestation ou non des demandes et l’issue de ces contestations, etc.). L’exportateur de données transmet les informations au responsable du traitement. d) L’importateur de données accepte de conserver les informations mentionnées aux paragraphes a) à c) pendant la durée du contrat et de les mettre à la disposition de l’autorité de contrôle compétente si celle-ci lui en fait la demande. e) Les paragraphes a) à c) sont sans préjudice de l’obligation incombant à l’importateur de données, en vertu de la clause 14, paragraphe e), et de la clause 16, d’informer sans délai l’exportateur de données s’il n’est pas en mesure de respecter les présentes clauses.
15.2. Contrôle de la légalité et minimisation des données
a) L’importateur de données accepte de contrôler la légalité de la demande de divulgation, en particulier de vérifier si elle s’inscrit dans les limites des pouvoirs conférés à l’autorité publique requérante, et de la contester si, après une évaluation minutieuse, il conclut qu’il existe des motifs raisonnables de considérer qu’elle est illégale en vertu de la législation du pays de destination, des obligations applicables en vertu du droit international et des principes de courtoisie internationale. L’importateur de données exerce les possibilités d’appel ultérieures dans les mêmes conditions. Lorsqu’il conteste une demande, l’importateur de données demande des mesures provisoires visant à suspendre les effets de la demande jusqu’à ce que l’autorité judiciaire compétente se prononce sur son bien-fondé. Il ne divulgue pas les données à caractère personnel demandées tant qu’il n’est pas obligé de le faire en vertu des règles de procédure applicables. Ces exigences sont sans préjudice des obligations incombant à l’importateur de données en vertu de la clause 14, paragraphe e). b) L’importateur de données accepte de garder une trace documentaire de son évaluation juridique ainsi que de toute contestation de la demande de divulgation et, dans la mesure où la législation du pays de destination le permet, de mettre les documents concernés à la disposition de l’exportateur de données. Il les met également à la disposition de l’autorité de contrôle compétente si celle-ci lui en fait la demande. L’exportateur de données met l’évaluation à la disposition du responsable du traitement. c) L’importateur de données accepte de fournir le minimum d’informations autorisé lorsqu’il répond à une demande de divulgation, sur la base d’une interprétation raisonnable de la demande.

SECTION IV — DISPOSITIONS FINALES

Clause 16

Non-respect des clauses et résiliation
a) L’importateur de données informe sans délai l’exportateur de données s’il n’est pas en mesure de respecter les présentes clauses, quelle qu’en soit la raison. b) Dans le cas où l’importateur de données enfreint les présentes clauses ou n’est pas en mesure de les respecter, l’exportateur de données suspend le transfert de données à caractère personnel à l’importateur de données jusqu’à ce que le respect des présentes clauses soit à nouveau garanti ou que le contrat soit résilié. Ceci est sans préjudice de la clause 14, paragraphe f). c) L’exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement de données à caractère personnel au titre des présentes clauses, lorsque : i) l’exportateur de données a suspendu le transfert de données à caractère personnel à l’importateur de données en vertu du paragraphe b) et que le respect des présentes clauses n’est pas rétabli dans un délai raisonnable et, en tout état de cause, dans un délai d’un mois à compter de la suspension ; ii) l’importateur de données enfreint gravement ou de manière persistante les présentes clauses ; ou iii) l’importateur de données ne se conforme pas à une décision contraignante d’une juridiction ou d’une autorité de contrôle compétente concernant les obligations qui lui incombent au titre des présentes clauses. Dans ces cas, il informe l’autorité de contrôle compétente et le responsable du traitement de ce non-respect. Si le contrat concerne plus de deux parties, l’exportateur de données ne peut exercer ce droit de résiliation qu’à l’égard de la partie concernée, à moins que les parties n’en soient convenues autrement. d) Les données à caractère personnel qui ont été transférées avant la résiliation du contrat au titre du paragraphe c) sont immédiatement restituées à l’exportateur de données ou effacées dans leur intégralité, à la convenance de celui-ci. Il en va de même pour toute copie des données. L’importateur de données apporte la preuve de l’effacement des données à l’exportateur de données. Jusqu’à ce que les données soient effacées ou restituées, l’importateur de données continue de veiller au respect des présentes clauses. Lorsque la législation locale applicable à l’importateur de données interdit la restitution ou l’effacement des données à caractère personnel transférées, ce dernier garantit qu’il continuera à respecter les présentes clauses et qu’il ne traitera les données que dans la mesure où et aussi longtemps que cette législation locale l’exige. e) Chaque partie peut révoquer son consentement à être liée par les présentes clauses i) si la Commission européenne adopte une décision en vertu de l’article 45, paragraphe 3, du règlement (UE) 2016/679 qui couvre le transfert de données à caractère personnel auquel les présentes clauses s’appliquent ; ou ii) si le règlement (UE) 2016/679 est intégré dans le cadre juridique du pays vers lequel les données à caractère personnel sont transférées. Ceci est sans préjudice des autres obligations qui s’appliquent au traitement en question en vertu du règlement (UE) 2016/679.

Clause 17

Droit applicable

[OPTION 1 : Les présentes clauses sont régies par le droit d’un des États membres de l’Union européenne, pour autant que ce droit reconnaisse des droits au tiers bénéficiaire. Les parties conviennent qu’il s’agit du droit de/du/de la ___ (précisez l’État membre).] [OPTION 2 : Les présentes clauses sont régies par le droit de l’État membre de l’Union européenne dans lequel l’exportateur de données est établi. Si ce droit ne reconnaît pas de droits au tiers bénéficiaire, les clauses sont régies par le droit d’un autre État membre de l’Union européenne qui reconnaît de tels droits. Les parties conviennent qu’il s’agit du droit de/du/de la ___ (précisez l’État membre).]

Clause 18

Élection de for et juridiction
a) Tout litige survenant du fait des présentes clauses est tranché par les juridictions d’un État membre de l’Union européenne. b) Les parties conviennent qu’il s’agit des juridictions de/du/de la _____ (précisez l’État membre). c) La personne concernée peut également poursuivre l’exportateur et/ou l’importateur de données devant les juridictions de l’État membre dans lequel elle a sa résidence habituelle. d) Les parties acceptent de se soumettre à la compétence de ces juridictions.

1) Si l’exportateur de données est un sous-traitant soumis au règlement (UE) 2016/679 agissant pour le compte d’une institution ou d’un organe de l’Union en tant que responsable du traitement, le recours aux présentes clauses lors du recrutement d’un autre sous-traitant (sous-traitance ultérieure) qui n’est pas soumis au règlement (UE) 2016/679 garantit également le respect de l’article 29, paragraphe 4, du règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO L 295 du 21.11.2018, p. 39), dans la mesure où les présentes clauses et les obligations en matière de protection des données fixées dans le contrat ou un autre acte juridique entre le responsable du traitement et le sous-traitant conformément à l’article 29, paragraphe 3, du règlement (UE) 2018/1725 sont alignées. Ce sera en particulier le cas lorsque le responsable du traitement et le sous-traitant se fondent sur les clauses contractuelles types qui figurent dans la décision 2021/915.
2) Voir l’article 28, paragraphe 4, du règlement (UE) 2016/679 et, lorsque le responsable du traitement est une institution ou un organe de l’Union, l’article 29, paragraphe 4, du règlement (UE) 2018/1725.
3) L’accord sur l’Espace économique européen (accord EEE) prévoit l’extension du marché intérieur de l’Union européenne aux trois pays de l’EEE que sont l’Islande, le Liechtenstein et la Norvège. La législation de l’Union en matière de protection des données, notamment le règlement (UE) 2016/679, est couverte par l’accord EEE et a été intégrée dans l’annexe XI de celui-ci. Dès lors, une divulgation par l’importateur de données à un tiers situé dans l’EEE ne peut être qualifiée de transfert ultérieur aux fins des présentes clauses. 4) Cette exigence peut être satisfaite par l’adhésion du sous-traitant
ultérieur aux présentes clauses en vertu du module approprié, conformément à la clause 7.
5) En ce qui concerne l’incidence de ces législations et pratiques sur le respect des présentes clauses, différents éléments peuvent être considérés comme faisant partie d’une évaluation globale. Ces éléments peuvent inclure une expérience concrète, documentée et pertinente de cas antérieurs de demandes de divulgation émanant d’autorités publiques, ou l’absence de telles demandes, couvrant un laps de temps suffisamment représentatif. Il peut s’agir de registres internes ou d’autres documents établis de manière continue conformément au principe de diligence raisonnable et certifiés à un niveau hiérarchique élevé, pour autant que ces informations puissent être partagées légalement avec des tiers. Lorsque cette expérience pratique est invoquée pour conclure que l’importateur de données ne sera pas empêché de respecter les présentes clauses, il y a lieu de l’étayer par d’autres éléments pertinents et objectifs, et il appartient aux parties d’examiner avec soin si ces éléments, pris dans leur ensemble, ont un poids suffisant, du point de vue de leur fiabilité et de leur représentativité, pour soutenir cette conclusion. En particulier, les parties doivent s’assurer que leur expérience pratique est corroborée et non contredite par des informations fiables accessibles au public ou disponibles d’une autre manière sur l’existence ou l’absence de demandes dans le même secteur et/ou sur l’application pratique du droit, comme la jurisprudence et les rapports d’organes de contrôle indépendants.

APPENDICE

ANNEXE I

A. LISTE DES PARTIES

Exportateur(s) de données: [Identité et coordonnées du ou des exportateurs de données et, le cas échéant, de leur délégué à la protection des données et/ou de leur représentant dans l’Union européenne]

Nom: … Adresse: … Nom, fonction et coordonnées de la personne de contact: … Activités en rapport avec les données transférées au titre des présentes clauses: … Signature et date: …
```
  Rôle (responsable du traitement/sous-traitant): …
```
Importateur(s) de données: [Identité et coordonnées du ou des importateurs de données, y compris de toute personne de contact chargée de la protection des données]
Nom: … Adresse: … Nom, fonction et coordonnées de la personne de contact: … Activités en rapport avec les données transférées au titre des présentes clauses: … Signature et date: …
```
  Rôle (responsable du traitement/sous-traitant): …
```
B. DESCRIPTION DU TRANSFERT Catégories de personnes concernées dont les données à caractère personnel sont transférées … Catégories de données à caractère personnel transférées … Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, telles que la limitation stricte des finalités, les restrictions d’accès (notamment l’accès réservé au personnel ayant suivi une formation spécialisée), la tenue d’un registre d’accès aux données, les restrictions applicables aux transferts ultérieurs ou les mesures de sécurité supplémentaires. … Fréquence du transfert (indiquez, par exemple, si les données sont transférées sur une base ponctuelle ou continue). … Nature du traitement … Finalité(s) du transfert et du traitement ultérieur des données … Durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, critères utilisés pour déterminer cette durée … Pour les transferts à des sous-traitants (ultérieurs), veuillez également préciser l’objet, la nature et la durée du traitement C. AUTORITÉ DE CONTRÔLE COMPÉTENTE Indiquez la ou les autorités de contrôle compétentes conformément à la clause 13 Commission nationale de l’informatique et des libertés (CNIL) 3 place de Fontenoy TSA 80715 - 75334 PARIS CEDEX 07 (FRANCE)

ANNEXE II

MESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS LES MESURES TECHNIQUES ET ORGANISATIONNELLES VISANT À GARANTIR LA SÉCURITÉ DES DONNÉES

ANNEXE III

LISTE DES SOUS-TRAITANTS ULTÉRIEURS Le responsable du traitement a autorisé le recours aux sous-traitants ultérieurs suivants:
Nom: … Adresse: … Nom, fonction et coordonnées de la personne de contact: …
Description du traitement (y compris une délimitation claire des responsabilités si plusieurs sous-traitants ultérieurs sont autorisés): …