CONDITIONS GÉNÉRALES D’UTILISATION DES SERVICES DE SPENDESK

La société Spendesk propose une plateforme de gestion des dépenses pour les entreprises. Les présentes Conditions Générales ont pour objet de régir les Services fournis par Spendesk à ses Clients. Les Services incluent des Services de Paiement.

Dans le cadre des Services de Paiement fournis par SFS SAS, Spendesk agit en qualité d’agent de PSP au nom et pour le compte de SFS SAS. A ce titre, Spendesk est enregistrée auprès de l’ACPR et inscrite sur le registre français des agents financiers (accessible ici : https://www.regafi.fr) sous le numéro 74593.

Annexes:

• Annexe 1 - Documentation contractuelle applicable aux Services de Paiement

• Annexe 2 - Formulaire de rétractation en cas de démarchage bancaire ou financier

• Annexe 3 - Accord sur le traitement des données

• Annexe 4 - Notice d'information sur les Traitements de Données Personnelles réalisés par SFS SAS et Spendesk

1. Définitions et interprétation

1.1. Définitions

Dans les présentes Conditions Générales, les termes commençant par une majuscule et non définis spécifiquement dans le corps des Conditions Générales ont le sens qui leur est attribué ci-dessous :

1.2. Interprétation

Sauf indication contraire dans les présentes Conditions Générales, (i) les mots d’un genre donné impliquent l’autre genre, (ii) les mots au singulier impliquent également le pluriel et vice versa et (iii) les expressions « les présentes Conditions Générales », « aux présentes » et leurs formes dérivées ou expressions similaires se rapportent aux Conditions Générales dans leur intégralité.

Sauf indication contraire dans les présentes Conditions Générales, en cas de contradiction entre les Conditions Générales et les Documents des Partenaires, ces derniers prévalent sur les Conditions Générales.

A défaut d’utilisation du terme « Jour Ouvrable » tel que défini à l’article 1.1, le terme « jour » désigne un jour calendaire.

2. Souscription aux Services

2.1. Inscription

Si le Client remplit tous les critères indiqués sur la Plateforme au moment de son inscription, il peut souscrire aux Services en suivant les étapes indiquées sur la Plateforme.

Le Client ne peut être qu’une personne physique ou morale agissant à des fins professionnelles immatriculée ou résidente dans un État membre de l’EEE ou au Royaume-Uni. Les Services s’adressent exclusivement à des clients professionnels et ne sont pas destinés à des consommateurs.

En tout état de cause, l’inscription du Client implique notamment (i) l’acceptation de l’intégralité du Contrat et (ii) le paiement des Frais.

Spendesk peut, à sa seule discrétion, refuser à toute personne l’inscription aux Services, sans avoir à expliquer son refus.

2.2. Acceptation du Contrat

L’acceptation du Contrat par le Client est matérialisée, pendant le processus d’inscription mentionné à l’article 2.1 par la signature électronique du Contrat par un représentant habilité du Client.

En adhérant au Contrat, le Client reconnaît expressément qu’il a attentivement pris connaissance des Conditions Générales, des Documents des Partenaires et des Conditions Tarifaires en vigueur le jour de son acceptation, qu’il les a comprises et qu'il les accepte dans leur intégralité et sans réserve.

Le Client s’engage à porter le Contrat à la connaissance de tout Utilisateur et à faire respecter les stipulations du Contrat par tout Utilisateur.

Le Client accepte la transmission et la signature de tout document par voie électronique et reconnaît leur opposabilité en cas de litige.

2.3. Vérifications LCB-FT

Conformément à la réglementation applicable, SFS SAS et TPL sont tenues de recueillir certains documents et informations sur le Client (y compris sur ses représentants légaux et son Utilisateur Principal), ainsi que sur son/ses bénéficiaire(s) effectif(s), (i) avant d’entrer en relation avec le Client et de lui fournir des Services de Paiement, puis (ii) au cours de la relation d’affaires avec le Client.

Dans ce contexte, le Client s’engage à fournir à Spendesk, à tout moment de la relation, tout document et/ou toute information nécessaire pour permettre à SFS SAS et/ou à TPL de se conformer à leurs obligations en matière de LCB-FT (les « Éléments KYC »). Des mesures de vérification et de certification des documents communiqués par le Client peuvent être demandées ou effectuées, le cas échéant. Le Client s’engage à fournir promptement tous les éléments demandés, sous peine de voir son accès aux Services bloqué.

Le Client reconnait que dans l’hypothèse où il ne fournirait pas les documents et informations demandés, Spendesk se verrait dans l’impossibilité de fournir les Services et le cas échéant dans l’obligation de résilier le Contrat.

En cas de modification affectant les Éléments KYC, le Client doit en informer Spendesk dans les meilleurs délais.

Le Client accepte que les Éléments KYC soient conservés par SFS SAS et/ou TPL, selon le cas, pendant la durée et dans les conditions prévues par la réglementation applicable.

3. Accès aux Services

Dans les présentes Conditions Générales, le terme « Client » doit être interprété comme faisant référence (i) au Client lui-même s’il est une personne physique ou (ii) au Client agissant par l’intermédiaire d’un Utilisateur (soit l’Utilisateur Principal, soit un Utilisateur disposant des pouvoirs et habilitations nécessaires).

Lorsque l’Utilisateur Principal n’est pas le Client ou un représentant légal du Client, il doit s’agir d’une personne physique (salarié ou tiers) spécialement habilitée à agir au nom et pour le compte du Client (y compris pour conclure le Contrat pour le compte du Client) dans le cadre d’une procuration ou d’une délégation de pouvoirs accordée par un représentant légal du Client. Le Client s’engage à fournir à Spendesk, sur demande, une preuve des pouvoirs de l’Utilisateur Principal.

Tout acte, décision, instruction ou demande saisis par un Utilisateur sur la Plateforme sera considéré comme un acte, une décision, une instruction ou une demande du Client.

L’accès aux Services par les Utilisateurs requiert leur inscription sur la Plateforme. Le Client s’engage à ce que les Utilisateurs s’inscrivent sur la Plateforme et utilisent les Services en respectant les stipulations du Contrat.

L’Utilisateur Principal peut effectuer via la Plateforme tout acte de gestion des Services (incluant les Services de Paiement), y compris :

(i) inviter d’autres personnes à devenir des Utilisateurs et les habiliter à réaliser certaines actions sur la Plateforme ;

(ii) demander l’émission de Cartes ;

(iii) attribuer un plafond de dépenses ou de retrait à chaque Carte, dans la limite des montants maximaux autorisés par Spendesk, SFS SAS et TPL ;

(iv) demander l’exécution de Virements sortants, y compris vers un Compte Externe ; et/ou

(v) créditer un Compte.

L’Utilisateur Principal peut déléguer des pouvoirs à un Utilisateur en lui affectant un profil sur la Plateforme. Lorsqu’il attribue des pouvoirs à un Utilisateur, l’Utilisateur Principal peut être contraint de sélectionner l’un des profils prédéfinis proposés par Spendesk, sans pouvoir choisir la combinaison de pouvoirs/autorisations qu’il veut déléguer ou la terminologie attribuée à chaque profil (« Administrateur », « Demandeur », « Contrôleur », etc.).

4. Services de Paiement

Les stipulations prévues dans les différents documents contractuels en Annexe 1 s’appliquent alternativement selon (i) le pays d’immatriculation ou de résidence du Client et (ii) les Services de Paiement qu’il a sollicité lors de son inscription.

5. Service de Dématérialisation

5.1. Fonctionnement du Service de Dématérialisation

Spendesk procède pour le compte du Client à la dématérialisation, conformément à la réglementation applicable en France, des numérisations ou photographies de factures, devis, notes de frais et autres documents similaires (les « Contenus ») déposés par les Utilisateurs sur la Plateforme.

Le Client accepte et reconnaît que la dématérialisation des Contenus téléchargés par l’Utilisateur est effectuée par Spendesk pour le compte du Client.

Les Contenus téléchargés sur la Plateforme sont convertis si nécessaire au format PDF. Chaque fichier PDF est ensuite scellé et horodaté via un cachet électronique avec un numéro unique fourni par un fournisseur de services tiers. Le cachet est conforme à la réglementation eIDAS apportant une preuve d’intégrité de chaque Contenu, qui est conservé sur un serveur sécurisé (certifié ISO 27001) basé dans l’Union européenne. Chaque Contenu est stocké en toute sécurité pendant la période de conservation mentionnée dans la politique de protection des Données Personnelles de Spendesk.

5.2. Téléchargement des Contenus dématérialisés

Le Client, sous réserve d’agir en qualité d’Utilisateur Principal ou d’autre Utilisateur ayant les droits correspondants, peut télécharger et exporter à tout moment la version brute des Contenus déposés sur la Plateforme par ses Utilisateurs (soit la version du document non convertie, non scellée et non horodatée).

Le Client peut également à tout moment, pendant la durée du Contrat et jusqu’à sa date effective de résiliation, demander à Spendesk de télécharger et de lui transmettre ses Contenus ayant bénéficié du Service de Dématérialisation décrit à l’article 5.1 (soit la version du document convertie (si nécessaire), scellée et horodatée via un cachet électronique).

Le téléchargement n’est pas instantané, dans la mesure où les Contenus ayant bénéficié du Service de Dématérialisation sont stockés sur des serveurs dédiés au stockage de longue durée qui impliquent un délai de récupération de plusieurs heures.

Nonobstant les stipulations ci-dessus, Spendesk peut conserver une copie des Contenus du Client, notamment à des fins statistiques et/ou de preuves, dans les limites et délais permis par la loi.

5.3. Responsabilité relative aux Contenus

Le Client est seul responsable des Contenus qu’il télécharge sur la Plateforme.

Le service d’horodatage conforme à la réglementation eIDAS ne constitue pas une procédure de signature électronique. A ce titre, le Service de Dématérialisation n’a pas pour objectif ou effet de certifier l’authenticité d’une facture (au sens des dispositions de l’article 96 F bis de l’annexe 3 et/ou de l’article 289, VII, 1° ou 2° du Code général des impôts), mais uniquement de garantir l’intégrité d’un Contenu dématérialisé. La responsabilité de Spendesk ne saurait être engagée à ce titre.

6. Engagements et garanties du Client

6.1. Fourniture et mise à jour d’informations

Le Client s’engage à fournir à Spendesk toutes les informations et/ou documents nécessaires à la bonne exécution du Contrat et à la fourniture des Services et plus généralement, à coopérer activement avec Spendesk en vue de la bonne exécution des présentes. Si le Client ne se conforme pas à cette obligation, Spendesk se réserve le droit de suspendre les Services jusqu’à obtention des informations ou documents requis.

Le Client garantit à Spendesk que toutes les informations et documents qu’il fournit à Spendesk, y compris ceux fournis sur la Plateforme et ceux concernant chaque Utilisateur, sont exacts, à jour et sincères au jour où ils sont communiqués à Spendesk et ne sont entachés d’aucun caractère trompeur ou de nature à induire en erreur.

Si les informations et/ou documents fournis deviennent inexacts ou obsolètes pendant la durée du Contrat, le Client s’engage à les mettre à jour et/ou à transmettre une version à jour des documents concernés sur la Plateforme dans les meilleurs délais.

Plus généralement, il appartient au Client de notifier formellement à Spendesk tout changement des informations le concernant. Spendesk ne pourra en aucun cas être responsable de tout préjudice subi par le Client découlant d’une inexactitude ou d’un changement dont Spendesk n'a pas été avisée.

6.2. Respect de la réglementation

Le Client s’engage, pour lui-même et chacun des Utilisateurs, à (i) respecter, dans le cadre de son utilisation des Services, les lois et règlements en vigueur et à ne pas porter atteinte aux droits de tiers ou à l’ordre public et (ii) ne réaliser que des activités conformes à la réglementation applicable.

Le Client prendra à sa charge toute amende, sanction pécuniaire ou dommages-intérêts supportés par Spendesk et résultant d’une activité du Client qui serait illégale, illicite ou contraire aux bonnes mœurs.

6.3. Utilisation de la Plateforme et des Services

Le Client s’engage, pour lui-même et pour chacun des Utilisateurs, à :

(i) ne pas violer ou tenter de violer, scanner ou tester la vulnérabilité, du système de sécurité et des systèmes connexes de la Plateforme ;

(ii) ne pas accéder ou tenter d’accéder à toute donnée qui n’est pas destinée au Client ;

(iii) s’abstenir d’interférer avec le fonctionnement normal de la Plateforme ou d’effectuer toute action qui risquerait de provoquer l’interruption ou la dégradation d’un ou plusieurs Service(s) ;

(iv) ne pas télécharger vers les Services, afficher, envoyer par e-mail ou transmettre de toute autre manière tout matériel contenant des virus logiciels ou autres codes informatiques, des fichiers ou des programmes conçus pour interrompre, détruire ou limiter le fonctionnement de la Plateforme ;

(v) ne pas tenter d'interférer avec les Services fournis à tout autre client ou utilisateur, hôte ou réseau, y compris, mais sans s'y limiter, exposer les Services à un virus, créer une surcharge du serveur, inonder le serveur, inonder les services de messagerie ; et

(vi) ne pas utiliser les Services d’une manière qui : (a) viole ou enfreint les droit d’un tiers, y compris ceux relatifs à un contrat, à la propriété intellectuelle, à la vie privée ou à la publicité ; ou (b) effectue ou facilite le stockage ou la transmission de contenu diffamatoire, délictuel ou autrement illégal, y compris, mais sans s'y limiter, du contenu de harcèlement, menaçant ou obscène.

Le Client reconnaît avoir pris connaissance des caractéristiques et contraintes, notamment techniques, de l'ensemble des Services. Le Client est seul responsable de son utilisation des Services.

Le Client est informé et accepte que l'utilisation des Services nécessite une connexion Internet et que la qualité des Services dépend directement de cette connexion ainsi que d’équipements informatiques et/ou de logiciels tiers, dont le Client est seul responsable.

6.4. Obligations de sécurité et confidentialité

Le Client est seul responsable du maintien par les Utilisateurs de la confidentialité de leurs Données de Sécurité Personnalisées, ainsi que toute autre donnée ou information nécessaire pour accéder à la Plateforme et/ou utiliser les Services.

Les Utilisateurs ne doivent pas divulguer leurs Données de Sécurité Personnalisées, ainsi que toute autre donnée ou information nécessaire pour accéder à la Plateforme et/ou utiliser les Services, à des tiers. Le Client s’engage à faire respecter cette obligation de confidentialité par les Utilisateurs.

6.5. Usage des Services uniquement pour le compte du Client

Le Client s’engage à utiliser la Plateforme et les Services uniquement pour son propre compte, et à ne permettre à aucun tiers de les utiliser à sa place ou pour son propre compte, sauf à en supporter l’entière responsabilité. Les Utilisateurs ne peuvent utiliser la Plateforme et les Services qu’au nom et pour le compte du Client.

6.6. Test de nouvelles fonctionnalités

Spendesk peut occasionnellement mettre à disposition de certains Clients de nouvelles fonctionnalités avant leur date officielle de mise en production à l’ensemble des Clients (les « Bêta Tests »). Ces fonctionnalités sont désignées par Spendesk avec les termes « bêta », « test » ou autre désignation similaire.

Le Client est libre de s’inscrire pour participer aux Bêta Tests à sa seule discrétion. Toutes les restrictions d’utilisation des Services et engagements du Client en vertu du Contrat s'appliquent à l’accès et à l’utilisation des Bêta Tests. Spendesk peut désactiver, modifier ou interrompre les Bêta Tests à tout moment, à sa seule discrétion et sans préavis. En participant aux Bêta Tests, le Client reconnait et accepte que :

(i) les Bêta Tests ne doivent être utilisés qu'à des fins d'évaluation et de test ;

(ii) Spendesk fournit les Bêta Tests en l’état et sans aucune garantie ;

(iii) Spendesk ne peut être tenue responsable de tout préjudice découlant de ou lié aux Bêta Tests, y compris découlant de leur utilisation par le Client ou de son incapacité à les utiliser ; et

(iv) Toute Suggestion du Client relative aux Bêta Tests sera soumise aux dispositions de l’article 12.

7. Engagements et garanties de Spendesk

Spendesk s’engage à fournir les Services avec diligence et selon les règles de l’art, étant précisé qu’il pèse sur elle une obligation de moyens, à l’exclusion de toute obligation de résultat, ce que le Client reconnaît et accepte expressément.

Spendesk ne garantit pas au Client que les Services seront totalement exempts d’erreurs, de vices ou de défauts ou qu’ils soient continuellement disponibles. En outre, les Services sont standards et ne sont donc pas proposés à la seule intention d’un Client donné, en fonction de ses propres contraintes personnelles, ni pour répondre spécifiquement à ses besoins et attentes.

Spendesk s’engage à :

(i) faire ses meilleurs efforts pour assurer la sécurité de la Plateforme ;

(ii) informer le Client de toute difficulté raisonnablement prévisible, notamment quant à la fourniture des Services ou au bon fonctionnement de la Plateforme ; et

(iii) procéder régulièrement à des contrôles afin de vérifier le fonctionnement et l’accessibilité de la Plateforme.

Spendesk se réserve le droit de modifier à tout moment les modalités techniques d’accès aux Services et/ou à la Plateforme en fonction, notamment, de l’évolution de la technologie, de la réglementation ou de son offre de Services, étant entendu qu’une telle modification ne peut avoir pour effet de réduire le niveau général de sécurité de la Plateforme. Il appartient au Client de veiller à ce que les outils ou équipements informatiques ou de télécommunication dont il dispose soient adaptés à ces évolutions.

8. Souscription à une assurance (option seulement disponible pour les Clients immatriculés en France ou au Luxembourg)

Le Client a la possibilité, à titre optionnel, de faire bénéficier l’ensemble des Utilisateurs de Cartes d’une assurance de groupe souscrite par Spendesk auprès d’un assureur partenaire.

8.1. Information sur l’assurance

Une fiche d’information sur les différentes garanties, les plafonds d’indemnisation et les conditions tarifaires est disponible ici : https://www.spendesk.com/fr/product/insurance/.

Le document d’information normalisé sur le produit d’assurance est disponible ici : https://spx-production.s3-eu-west-1.amazonaws.com/tos/2021_03_23-Fiche_IPID_Spendesk_03-03-2022.pdf.

Si le Client estime le produit adapté à ses besoins et pertinent au regard de son activité et de celle des Utilisateurs de Cartes, Spendesk étant à ses côtés pour l’éclairer dans son choix, il est invité à lire attentivement la notice d’information du contrat d’assurance de groupe n° 4 091 933 disponible ici : https://spx-production.s3-eu-west-1.amazonaws.com/tos/2021_03_10-notice_dinformation_des_assurances_spendesk.pdf.

Cette notice, dont Spendesk n’est nullement responsable, définit précisément les conditions de garanties, les exclusions applicables, la durée de couverture ainsi que les formalités en cas de sinistre. L’adhésion à l’assurance exige du Client qu’il accepte sans réserve tous les termes de la notice d’information. Le Client s’engage par ailleurs à porter la notice d’information à la connaissance de tous les Utilisateurs de Cartes.

8.2. Gestion des sinistres

La déclaration de sinistre et ses suites seront traitées directement et exclusivement avec l’assureur partenaire selon les instructions disponibles ici : https://helpcenter.spendesk.com/fr/articles/4967565-comment-faire-pour-contacter-l-assurance-ou-l-assistance ce dont le Client informera les Utilisateurs de Cartes. Spendesk s’engage à assister Clients et Utilisateurs de Cartes pour leur permettre de faire valoir utilement leurs droits auprès de l’assureur partenaire.

8.3. Modifications du contrat d’assurance et des conditions tarifaires d’assurance

Spendesk attire l’attention du Client sur la possibilité qu’après son adhésion, l’assureur partenaire apporte des modifications à ses droits et obligations ainsi qu’à ceux des Utilisateurs de Cartes. Spendesk décline toute responsabilité en lien avec les modifications contractuelles et tarifaires qui relèvent de la seule décision de l’assureur partenaire.

Toute modification sera transmise par Spendesk au Client, sur la Plateforme et/ou par e-mail, au plus tard trois (3) mois avant la date proposée pour son entrée en vigueur. Le Client sera réputé avoir accepté les modifications proposées s’il n’a pas notifié son refus à Spendesk avant la date d'entrée en vigueur indiquée. Le Client informera les Utilisateurs de Cartes des modifications intervenues. Si le Client refuse les modifications, il peut dénoncer son adhésion à l’assurance, sans frais, par notification adressée à Spendesk avant la date d’entrée en vigueur des modifications, selon les modalités décrites à l’article 10. A compter de la notification, son adhésion prendra fin à l’expiration d’un délai de deux (2) mois. Le Client informera les Utilisateurs de Cartes de la cessation de l’assurance.

8.4. Résiliation de l’assurance

L’assurance de groupe est susceptible de résiliation par Spendesk ou l’assureur partenaire. Au plus tard deux (2) mois avant la date de résiliation proposée, Spendesk en informera le Client sur la Plateforme et/ou par e-mail. Le Client en informera les Utilisateurs de Cartes. La résiliation est opposable au Client et aux Utilisateurs de Cartes.

Le Client peut résilier l’assurance, après en avoir informé les Utilisateurs de Cartes, en respectant un préavis de deux (2) mois, par une notification adressée à Spendesk selon les modalités décrites à l’article 10. La résiliation de l’assurance par le Client emporte résiliation de l’assurance pour l’ensemble des Cartes fournies en vertu du Contrat.

Spendesk rappelle que l’assurance, indissociablement attachée à la Carte, ne peut perdurer après expiration ou retrait de la Carte. Le non-paiement des services d’assurance met également fin à l’adhésion.

8.5. Données Personnelles

En adhérant à l’assurance, le Client autorise expressément Spendesk à transmettre à l’assureur partenaire l’ensemble des informations nécessaires à la souscription de ladite assurance, y compris des Données Personnelles relatives aux Utilisateurs de Cartes. L’assureur partenaire traitera ces Données Personnelles en qualité de responsable de traitement selon les conditions et finalités définies dans la notice d’information du contrat d’assurance de groupe visée à l’article 8.1. Le Client est informé que l’assureur partenaire, en sa qualité de responsable de traitement pourra, au stade de la souscription et en cours de contrat d’assurance, lui demander toutes informations complémentaires ainsi qu’aux Utilisateurs concernés, y compris, le cas échéant, des Données Personnelles.

9. Conditions financières

9.1. Conditions Tarifaires

Les prix des Services sont indiqués dans les Conditions Tarifaires. Les Conditions Tarifaires peuvent être fournies gratuitement au Client, à sa demande, sur un support durable.

9.2. Mise à disposition des factures

Les factures sont mises à la disposition du Client sur la Plateforme.

Si le Client souhaite contester une facture, il doit en informer Spendesk dans un délai de soixante (60) jours après la date de la facture. Après ce délai, la facture ne peut plus faire l’objet d’une contestation.

9.3. Modalités de paiement des Frais

Les Frais dus par le Client à Spendesk en contrepartie de la fourniture des Services sont débités directement sur le Compte.

Si le Client dispose de plusieurs Comptes et que sa dette n’est pas inhérente à un Compte en particulier, Spendesk peut décider à sa seule discrétion de débiter tout ou partie des Frais sur l’un des Comptes du Client.

Le Client autorise expressément Spendesk à débiter sur le(s) Compte(s) du Client les Frais exigibles au titre du Contrat.

Dans l’hypothèse où le solde créditeur d’un Compte s’avérerait insuffisant pour permettre le prélèvement de la totalité des Frais, le Client s’engage à créditer immédiatement le Compte à hauteur du montant dû.

En cas de solde insuffisant du Compte, Spendesk se réserve le droit de bloquer le Compte, toute Opération de Paiement en cours, toute utilisation des Cartes déjà émises ainsi que l’émission de nouvelles Cartes.

9.4. Périodicité du paiement des Frais

Les Frais relatifs à l’utilisation de la Plateforme sont facturés et débités :

(i) mensuellement, si le Contrat est à durée indéterminée ; ou

(ii) selon la périodicité prévue dans les Conditions Tarifaires, si le Contrat est à durée déterminée (comme convenu entre les Parties le cas échéant, dans les conditions prévues à l’article 16).

Le montant de la première facture relative à l’utilisation de la Plateforme est débité par Spendesk un (1) mois après la date de souscription aux Services par le Client.

Les Frais relatifs aux Services de Paiement prévus en Annexe 1 sont également débités directement sur le Compte par SFS SAS ou TPL, à la date de l’Opération de Paiement concernée et selon les modalités prévues dans les Documents des Partenaires.

10. Traitement des réclamations

Toute réclamation liée à la fourniture des Services doit être adressée par le Client au service client de Spendesk :

• soit par e-mail à l'adresse suivante : support@spendesk.com ;

• soit par l’intermédiaire de la fonction « chat » disponible sur la Plateforme ;

• soit par courrier à l'adresse du service client, au siège social de Spendesk : 51 rue de Londres, 75008 Paris – France.

En cas de réclamation relative aux Services de Paiement, les délais de traitement des réclamations sont précisés au sein des Documents des Partenaires.

11. Modification du Contrat

Spendesk se réserve la possibilité de modifier, à tout moment, tout ou partie du Contrat liant Spendesk et le Client. Tout projet de modification du Contrat sera transmis par Spendesk au Client, sur la Plateforme et/ou par e-mail, au plus tard deux (2) mois avant la date proposée pour son entrée en vigueur. Le Client sera réputé avoir accepté les modifications proposées s’il n’a pas notifié à Spendesk, avant la date d'entrée en vigueur proposée de ces modifications, qu’il ne les accepte pas. Si le Client refuse les modifications, il peut résilier le Contrat, sans frais, avant la date d'entrée en vigueur proposée des modifications, dans les conditions prévues à l’article 17.

Par exception dans le cadre d’un Contrat à durée déterminée, si le Client refuse les modifications, la version antérieure du Contrat continuera à s’appliquer (hors modification technique liée à l’évolution de la Plateforme ou modification nécessaire en vertu de la réglementation applicable, qui s’appliquera en toute hypothèse) et la résiliation prendra effet à l’issue du terme contractuel en cours, tel que défini dans les Conditions Tarifaires.

Les Documents des Partenaires pourront être modifiés à tout moment dans les conditions et selon les délais prévus dans les Documents des Partenaires.

Spendesk ne peut en aucun cas être tenue responsable d’un quelconque dommage, à quelque titre que ce soit, en lien avec la modification du Contrat dès lors que le Client s’abstient de résilier le Contrat et continue à utiliser les Services après la date d’entrée en vigueur des modifications.

12. Propriété Intellectuelle

Les Parties conviennent expressément qu'aucun droit de propriété intellectuelle n'est transféré au Client sur l'un quelconque des éléments des Services et de la Plateforme mis à sa disposition au titre du Contrat, y compris les logiciels, structures, infrastructures, codes sources, bases de données, savoir-faire, interfaces utilisateur, photos, marques, éléments interactifs ou tout contenu de toute nature (textes, images, visuels, musiques, logos, marques, base de données, etc.) exploités par Spendesk et la documentation technique éventuellement fournie par Spendesk au Client.

Sous réserve du paiement des Frais dus à Spendesk et des stipulations et limites prévues au Contrat, Spendesk concède au Client une licence personnelle, non exclusive et non transférable d'utilisation de la Plateforme et des Services pour ses seuls besoins propres. Ce droit est consenti pour la durée du Contrat.

Le Client s'interdit d'effectuer :

• toute adaptation, modification, duplication, décompilation, désassemblage, ingénierie inverse ou reproduction des Services et de la Plateforme, quelle qu'en soit la nature, toute extraction totale ou partielle (y compris du code source ou d’autres secrets commerciaux) et, de manière générale, tout acte qui contreviendrait aux droits de Spendesk et/ou de ses fournisseurs ;

• toute reproduction, par quelque moyen que ce soit et sur quelque support que ce soit, de la Plateforme ;

• toute forme d'utilisation de la Plateforme et de la documentation associée, de quelque façon que ce soit, aux fins de conception, réalisation, diffusion ou commercialisation de logiciels similaires, équivalents ou de substitution ;

• toute adaptation, modification, transformation, traduction, arrangement de la Plateforme pour quelque raison que ce soit, notamment en vue de la création de logiciels dérivés ou entièrement nouveaux, y compris pour corriger des erreurs ;

• toute transcription directe ou indirecte, toute traduction dans d'autres langues de la Plateforme ;

• toute modification ou contournement du code de protection tel que, notamment, les Données de Sécurité Personnalisées ; et/ou

• toute suppression, modification partielle ou totale des mentions existantes relatives aux droits d'auteur, aux marques et plus généralement aux droits de propriété intellectuelle, apposées sur la Plateforme.

Spendesk encourage le Client à fournir des suggestions, des propositions, des idées, des recommandations ou toutes autres réactions visant à améliorer les Services et la Plateforme (les « Suggestions »). Dans la mesure où une Suggestion fournie n’identifie pas le Client, ses Filiales ou ses Utilisateurs et n’inclut pas de données confidentielles propres au Client, le Client accorde à Spendesk une licence à titre gratuit, libre de redevances, pouvant faire l'objet d'une sous-licence, cessible, non exclusive, irrévocable, mondiale pour produire, utiliser, céder, proposer à la vente, importer et exploiter de toute autre manière la Suggestion (y compris par l’intégration de la Suggestion dans les Services) sans restriction, pendant toute la durée des droits de propriété intellectuelle applicables à ces Suggestions.

13. Traitement des Données Personnelles

13.1. Spendesk en qualité de sous-traitant du Client

Dans le cadre des traitements opérés pour (i) la fourniture de la Plateforme, (ii) la fourniture de Services de Paiement au Client et aux Utilisateurs et (iii) la mise à disposition de données anonymisées sur les tendances de l'industrie en matière de dépenses professionnelles selon des critères prédéterminés en fonction du domaine d'activité du Client, Spendesk agit en qualité de sous-traitant conformément aux termes de l’Annexe 3 (Accord sur le traitement des données).

13.2. Spendesk en qualité de responsable de traitement

Par ailleurs, Spendesk réalise les traitements suivants en qualité de responsable de traitement :

• gestion commerciale et contractuelle avec le Client ;

• recherche et développement autour de la Plateforme ;

• enregistrement vidéo et audio des appels à des fins d’amélioration des Services et de formation du personnel de Spendesk ; et

• supervision du compte des Utilisateurs sur la Plateforme pour la fourniture du support technique au Client et à des fins de formation du personnel de Spendesk habilité à traiter les informations du Client.

Pour ces finalités, Spendesk s’engage à respecter les obligations liées à sa qualité de responsable de traitement, conformément à la réglementation applicable.

13.3. Spendesk et SFS SAS en qualité de responsables conjoints de traitement

Pour la fourniture des Services de Paiement et conformément à la réglementation applicable, Spendesk et SFS SAS traitent également les Données Personnelles en qualité de responsables conjoints de traitement. Les rôles respectifs de chacun des responsables conjoints sont définis dans un contrat de responsabilité conjointe conformément à la réglementation applicable, dont les informations utiles pour le Client sont mises à disposition dans la notice d’information figurant en Annexe 4.

14. Secret professionnel et confidentialité

14.1. Secret professionnel

Conformément à la réglementation, Spendesk (en tant qu’agent de PSP), SFS SAS et TPL (en tant que PSP) ainsi que leurs dirigeants et salariés sont tenus au secret professionnel concernant les données de leurs Clients.

Toutefois, le secret professionnel ne peut pas être opposé ni aux régulateur(s) compétent(s), ni à l’autorité judiciaire agissant dans le cadre d’une procédure pénale.

En outre, Spendesk, SFS SAS et TPL pourront communiquer des informations couvertes par le secret professionnel à des tiers, soit lorsque cela est permis par la loi, soit, au cas par cas, avec l’autorisation expresse du Client.

14.2. Confidentialité

Par ailleurs, chacune des Parties s’engage à garder strictement confidentiels tous les documents et informations de nature juridique, commerciale, industrielle, stratégique, technique ou financière relatifs à l’autre Partie dont elle aurait eu connaissance à l’occasion de la conclusion et de l’exécution du Contrat, et à ne pas les divulguer sans l’accord écrit préalable de l’autre Partie.

Cette obligation ne s’étend pas aux documents et informations pour lesquels il peut être démontré :

(i) que la Partie qui les reçoit en avait déjà connaissance ;

(ii) qu’ils étaient déjà publics lors de leur communication ou le sont devenus sans violation du Contrat ;

(iii) qu’ils ont été reçus d’un tiers de manière licite ; ou

(iv) que leur communication est exigée par les autorités judiciaires, en application des lois et règlements applicables ou en vue d’établir les droits d’une Partie au titre du Contrat.

Cette obligation de confidentialité s’étend à l’ensemble des employés, travailleurs indépendants, stagiaires, dirigeants et mandataires des Parties ainsi qu’à leurs conseils et Filiales, auxquels ne pourront être transmis des documents ou informations confidentielles que s’ils sont tenus à la même obligation de confidentialité que celle prévue aux présentes.

Celle-ci continuera à produire ses effets pendant trois (3) ans suivant la fin du Contrat, ou toute durée supérieure prévue par la loi ou la réglementation applicable.

Chaque Partie devra, à ses propres frais, au terme du Contrat ou à tout autre moment, sur réception d'une demande écrite de l'autre Partie, (i) restituer ou détruire toutes les informations confidentielles écrites qui lui ont été fournies directement ou à ses conseillers et qui sont en possession de cette Partie ou sous sa garde et son contrôle, sans en conserver de copies ; et (ii) fournir un certificat signé par un représentant légal confirmant qu'à sa connaissance, après avoir mené toutes les enquêtes appropriées, les exigences du présent article ont été pleinement respectées.

Toutefois, la Partie réceptrice peut conserver les informations confidentielles dans la mesure où elle y est tenue par la loi ou la réglementation applicable ou si ces informations confidentielles ont été créées conformément aux procédures d'archivage électronique automatique. Toute information confidentielle qui est conservée par la Partie réceptrice conformément à ce qui précède continuera à être soumise aux obligations de confidentialité du Contrat jusqu'à ce que cette information confidentielle soit restituée ou détruite.

15. Droit de rétractation en cas de démarchage

Lorsque le Client a été démarché par Spendesk au sens de l’article L. 341-1 du CMF, et sous réserve des exceptions prévues par la réglementation, le Client dispose, conformément à l’article L. 341-16 du CMF, d’un droit de rétractation qu’il peut exercer dans un délai maximal de quatorze (14) jours calendaires révolus à compter de la date d’acceptation du Contrat, sans avoir à justifier de motifs ni à supporter de pénalités.

L’exercice du droit de rétractation dans le délai visé ci-dessus emporte la résolution de plein droit du Contrat.

Le Client peut exercer son droit de rétractation en utilisant le formulaire figurant en Annexe 2 des Conditions Générales, ou par toute autre déclaration de son choix. Dans ce dernier cas, sa déclaration doit être dénuée d’ambiguïté et exprimer clairement la volonté du Client de se rétracter.

Si le Client exerce son droit de rétractation, il n’est tenu qu'au paiement du prix correspondant à l'utilisation des Services effectivement fournis entre la Date d’Effet du Contrat et celle de l'exercice du droit de rétractation, à l'exclusion de toute pénalité.

Le Client consent expressément à ce que Spendesk lui fournisse les Services (y compris les Services de Paiement) avant le terme du délai de rétractation.

16. Date d'Effet et durée du Contrat

Sauf mention contraire dans les Conditions Tarifaires, le Contrat prend effet pour une durée indéterminée à compter de sa Date d’Effet, jusqu’à sa résiliation dans les conditions prévues à l’article 17.

Par exception, les Parties peuvent convenir dans les Conditions Tarifaires propres au Client que le Contrat est conclu pour une durée déterminée et à compter d’une Date d’Effet spécifique. Le Contrat est alors tacitement renouvelé à son terme, pour de nouvelles périodes successives dont la durée est définie dans les Conditions Tarifaires, sauf si l’une des Parties refuse le renouvellement à l’issue du terme initial ou du terme renouvelé, par notification écrite en respectant un préavis d’un (1) mois (ou tout autre durée de préavis spécifiquement définie dans les Conditions Tarifaires, qui prévaudra le cas échéant).

17. Résiliation ou terme du Contrat

17.1. Résiliation à l’initiative du Client

Nonobstant toute stipulation contraire figurant dans les Documents des Partenaires et dans le cas d’un Contrat à durée indéterminée, le Client peut résilier le Contrat à tout moment en respectant un préavis de deux (2) mois, par une notification adressée à Spendesk selon les modalités décrites à l’article 10.

Dans le seul cas d’un Contrat à durée indéterminée, aucun frais ne sera facturé au Client au titre du préavis de résiliation si la demande de résiliation est notifiée par le Client dans un délai de quatre-vingt-dix (90) jours suivant la Date d’Effet du Contrat.

17.2. Résiliation à l’initiative de Spendesk

Nonobstant toute stipulation contraire figurant dans les Documents des Partenaires et dans le cas d’un Contrat à durée indéterminée, Spendesk peut résilier le Contrat à tout moment en respectant un préavis de deux (2) mois, par une notification adressée au Client par tout moyen écrit, et notamment par e-mail ou par messagerie sur la Plateforme.

Par exception et quelle que soit la durée du Contrat, Spendesk se réserve la possibilité de cesser de fournir les Services au Client et de résilier le Contrat de plein droit et sans préavis :

(i) en cas de manquement grave du Client et/ou d’un Utilisateur aux obligations prévues par le Contrat, y compris, mais sans limitation, en cas de communication de fausses informations, d’exercice par le Client d’une activité illégale ou contraire aux bonnes mœurs, de menaces à l’encontre d'employés de Spendesk ou de défaut de paiement ;

(ii) en cas d’utilisation frauduleuse ou abusive des Services par le Client et/ou un Utilisateur ;

(iii) en cas de modification de la réglementation applicable et/ou de l’interprétation qui en est faite par les autorités compétentes qui affecterait la capacité de Spendesk, SFS SAS, TPL ou leurs prestataires à fournir les Services ; ou

(iv) en cas de résiliation par SFS SAS et/ou TPL de l’un des Documents des Partenaires.

En cas de résiliation immédiate du Contrat, Spendesk en informe le Client par tout moyen écrit, et notamment par e-mail.

17.3. Résiliation anticipée d’un Contrat à durée déterminée

Le présent article s’applique uniquement à l’hypothèse d’un Contrat à durée déterminée.

Un Contrat à durée déterminée peut être résilié avant son terme uniquement (a) par Spendesk dans les cas prévus à l’article 17.2, ou (b) en cas de manquement ou d’inexécution substantielle par l’une des Parties de l’une de ses obligations au titre du Contrat, après notification écrite du manquement ou de l’inexécution par la Partie non défaillante et en l’absence de remédiation par la Partie défaillante dans un délai de trente (30) jours à compter de la réception de la notification écrite.

En cas de notification de résiliation anticipée du Contrat (a) par le Client pour convenance ou (b) par Spendesk pour faute du Client dans les conditions du présent article, le Client sera immédiatement redevable de l’intégralité des mensualités restant dues jusqu’au terme du Contrat et le Client autorise Spendesk à débiter son Compte des Frais dus à ce titre, dans les conditions prévues à l’article 9.3.

En cas de notification de résiliation anticipée du Contrat (a) par le Client pour faute de Spendesk dans les conditions du présent article ou (b) par Spendesk en application de l’article 17.2 (iii) ou 17.2 (iv), Spendesk procèdera rapidement à un remboursement au prorata de la période contractuelle restante des éventuels Frais prépayés par le Client pour les Services.

17.4. Effets de la résiliation ou du terme

Le non renouvellement ou la résiliation du Contrat par le Client ou par Spendesk emporte la résiliation de l’ensemble des Services fournis au titre du Contrat, y compris la résiliation de l’ensemble des Services de Paiement décrits dans les Documents des Partenaires, selon les conditions de résiliation prévues dans ces documents.

De même, la résiliation par le Client ou par SFS SAS et/ou TPL de l’ensemble des Services de Paiement emporte la résiliation du Contrat à la date effective de résiliation du dernier Service de Paiement fourni au Client.

La fin des Services, quelle qu’en soit la cause, entraînera automatiquement et de plein droit la désactivation de l’accès de tous les Utilisateurs à la Plateforme. Il appartient au Client, préalablement à cette désactivation, de récupérer les documents, éléments, données et informations qu’il aura stockés sur la Plateforme dans le cadre de son utilisation des Services.

18. Réclamations de tiers

18.1. Indemnisation par Spendesk

Spendesk s'engage à indemniser, défendre et dégager de toute responsabilité le Client et ses dirigeants, administrateurs, employés, Filiales et Utilisateurs contre toute réclamation, action ou procédure de tiers, dans la mesure où elle est causée par une violation par les Services des droits de propriété intellectuelle d’un tiers.

Nonobstant les termes contenus dans le présent article et à l’article 18.4, Spendesk ne sera pas responsable des réclamations de tiers si la contrefaçon présumée est basée sur ou découle de (a) la combinaison ou l'utilisation des Services avec des logiciels ou d'autres matériels non fournis ou approuvés pour utilisation par Spendesk, (b) la modification des Services par toute personne autre que Spendesk ou ses employés, ou (c) l'utilisation des Services non conforme à la documentation fournie ou au Contrat.

18.2. Indemnisation par le Client

Le Client s'engage à indemniser, défendre et dégager de toute responsabilité Spendesk et ses dirigeants, administrateurs, employés et Filiales contre toute réclamation, action ou procédure de tiers, dans la mesure où elle est causée par la violation par le Client de ses obligations au titre du Contrat. Le Client s’engage à indemniser Spendesk de tout préjudice que cette dernière subirait de ce fait et à lui payer tous les frais, charges et/ou condamnations qu’elle pourrait avoir à supporter en conséquence.

18.3. Procédure d'indemnisation

Toute Partie ayant droit à une indemnisation en vertu du présent article (la « Partie Indemnisée ») se conformera aux conditions suivantes afin de bénéficier de l'indemnisation :

(i) un notification écrite dans les meilleurs délais par la Partie Indemnisée à la Partie qui indemnise (la « Partie Responsable ») de toute réclamation de tiers pour laquelle une indemnisation peut être demandée en vertu du présent article (à condition, toutefois, que tout manquement ou retard dans la fourniture de cette notification ne libère pas la Partie Responsable de ses obligations, sauf dans la mesure où le manquement ou le retard porte préjudice à la défense de la Partie Responsable) ;

(ii) un transfert à la Partie Responsable du contrôle plein et entier de la défense et du règlement de la réclamation ; et

(iii) une coopération raisonnable de la Partie Indemnisée, aux frais de la Partie Responsable, pour faciliter cette défense ou cette résolution.

Nonobstant ce qui précède, la Partie Responsable ne consentira pas à l'inscription d'un jugement ou ne conclura pas de compromis ou de protocole d’accord à l'égard d'une réclamation d'un tiers pour laquelle elle défend la Partie Indemnisée en vertu du présent article sans le consentement écrit préalable de cette Partie Indemnisée, à moins que ce jugement, ce compromis ou ce protocole d’accord :

(i) prévoit le paiement par la Partie Responsable d'une somme d'argent à titre de réparation unique pour le tiers qui présente une réclamation ;

(ii) entraîne la libération complète et générale de la Partie Indemnisée de toutes les responsabilités découlant de la réclamation du tiers, s'y rapportant ou en relation avec celle-ci ; et

(iii) n'implique aucune constatation ou admission d'une violation de la loi, de la réglementation ou des droits d'un tiers par la Partie Indemnisée et n'a aucun effet sur d'autres réclamations.

18.4. Autres recours du Client en cas de réclamation de tiers

Si les Services font, ou, selon Spendesk, sont susceptibles de faire l'objet d'une réclamation de tiers pour contrefaçon empêchant l’utilisation des Services par le Client, Spendesk peut, à sa seule discrétion : (i) obtenir pour le Client le droit de continuer à utiliser les Services, (ii) remplacer ou modifier les Services concernés de manière à ce qu'ils ne soient plus en infraction tout en fournissant des fonctionnalités substantiellement équivalentes, ou (iii) si de telles solutions ne sont pas réalisables à des conditions commercialement raisonnables, telles que déterminées par Spendesk, résilier la licence d'utilisation de la partie concernée des Services, et procéder rapidement à un remboursement au prorata des éventuels Frais prépayés par le Client pour la partie concernée des Services.

Sans limiter l'obligation de Spendesk d’indemniser le Client selon les stipulations de l’article 18.1, les recours prévus dans cet article seront les recours exclusifs du Client en ce qui concerne les réclamations de tiers pour contrefaçon réelle ou présumée de la part de Spendesk.

19. Responsabilité

19.1. Responsabilité limitée aux dommages directs

La responsabilité de chacune des Parties au titre du Contrat est limitée aux dommages directs subis par l’autre Partie, à l’exclusion de tous dommages indirects.

19.2. Responsabilité du Client

Le Client, reconnaissant avoir pris connaissance des caractéristiques et contraintes, notamment techniques, de l’ensemble des Services, est seul responsable de l’utilisation des Services par les Utilisateurs.

Le Client est seul responsable des actes réalisés par les Utilisateurs dans le cadre de l’utilisation des Services, y compris en cas de non-respect de la réglementation, de fraude, de négligence ou d’utilisation abusive des Services. Spendesk ne saurait être tenue responsable vis-à-vis du Client ou de tout tiers en cas d’utilisation frauduleuse ou abusive des Services par un ou plusieurs Utilisateur(s).

19.3. Responsabilité de Spendesk

Spendesk ne saurait être tenue responsable en cas :

(i) de détournement des Données de Sécurité Personnalisées et, plus généralement, de toute information à caractère sensible pour le Client et dont il serait fait, par exemple, une utilisation frauduleuse par un tiers, si ce détournement résulte d’une action ou d’une omission du Client ;

(ii) de litige lié à la relation sous-jacente existant entre (a) le Client et (b) selon le cas, le Payeur, le Bénéficiaire et/ou l’Accepteur, notamment en cas d’inexécution par le Client de ses obligations vis-à-vis des personnes visées au (b) ; ou

(iii) de dommage subi par le Client résultant d’un acte ou d’une omission d’un tiers, y compris en cas de suspension des Services ou de résiliation du Contrat à la demande d’une autorité de supervision telle que l’ACPR.

En outre, la responsabilité de Spendesk est limitée, tous préjudices confondus, au montant des Frais payés par le Client au cours des douze (12) mois calendaires précédant l’évènement engageant la responsabilité de Spendesk ; étant précisé que ce plafond de responsabilité ne s’applique pas (a) en cas de faute lourde ou dolosive de Spendesk et (b) dans le cadre de la procédure d’indemnisation prévue à l’article 18.1.

19.4. Force majeure

Les Parties ne seront pas responsables d’un dommage, d’un retard, d’une non-exécution ou d’une exécution partielle de leurs obligations respectives au titre du Contrat résultant d’un Cas de Force Majeure.

Les obligations de la Partie victime du Cas de Force Majeure seront suspendues sans qu’elle n’encoure de responsabilité, quelle qu’elle soit.

Si un Cas de Force Majeure empêche l’une des Parties d’exécuter une obligation essentielle au titre du Contrat pendant une période de plus de cinq (5) Jours Ouvrables consécutifs, les Parties se concerteront en vue d’aboutir à une solution satisfaisante. A défaut d’accord sur une telle solution dans un délai de quinze (15) Jours Ouvrables suivant l’expiration de la période de cinq (5) Jours Ouvrables, chacune des Parties pourra résilier le Contrat sans indemnité pour l’autre Partie, selon les modalités de l’article 17.

19.5. Responsabilité de SFS SAS

La responsabilité de SFS SAS au titre de la fourniture des Services de Paiement est prévue dans les CGU SFS SAS.

19.6. Responsabilité de TPL

La responsabilité de TPL au titre de la fourniture des Services de Paiement est prévue dans les CGU TPL.

19.7. Services Tiers

Le Client peut choisir à sa discrétion d’intégrer les Services fournis par Spendesk avec des produits et services de tiers (les « Services Tiers »). Toute acquisition par le Client de Services Tiers se fait uniquement entre le Client et le fournisseur de Services Tiers concerné et Spendesk ne garantit pas, ne soutient pas et n'assume aucune responsabilité ou autre obligation en ce qui concerne ces Services Tiers, sauf disposition contraire expresse dans le Contrat.

Dans le cas où le Client choisit d'intégrer ou d'interopérer des Services Tiers avec les Services fournis par Spendesk d'une manière qui nécessite que Spendesk ou la Plateforme échangent des données du Client avec lesdits Services Tiers ou fournisseur de Services Tiers, le Client : (a) donne permission à Spendesk d'autoriser les Services Tiers et le prestataire de Services Tiers à accéder aux données du Client et aux informations relatives à l'utilisation des Services par le Client de manière appropriée et nécessaire pour permettre l'interopérabilité de ces Services Tiers avec les Services fournis par Spendesk ; (b) reconnaît que tout échange de données entre le Client et tous Services Tiers se fait uniquement entre le Client et le fournisseur de Services Tiers et est soumis aux conditions générales du fournisseur de Services Tiers régissant l'utilisation et la fourniture desdits Services Tiers ; et (c) dégage Spendesk de toute responsabilité relative à toute divulgation, modification ou suppression des données du Client résultant de l'accès à ces données par les Services Tiers et le fournisseur de Services Tiers.

20. Cession

Le Client ne peut céder ou transférer tout ou partie de ses droits ou obligations au titre du Contrat à un tiers, de quelque manière que ce soit.

Nonobstant toute stipulation contraire figurant dans les Documents des Partenaires, le Client autorise expressément Spendesk, SFS SAS et TPL à céder à un tiers tout ou partie de leurs obligations au titre du Contrat, sous réserve d’en informer au préalable le Client.

21. Stipulations diverses

21.1. Divisibilité

Si une ou plusieurs stipulation(s) du Contrat sont tenues pour non valides ou déclarées telles en application d'une loi, d'un règlement ou à la suite d'une décision définitive d'une juridiction compétente, les autres stipulations garderont toute leur force et leur portée.

21.2. Non renonciation

Aucune des Parties ne sera considérée comme ayant renoncé à ses droits en n’exerçant pas (ou en retardant l’exercice de) ses droits au titre du Contrat.

21.3. Communication électronique

Les Parties reconnaissent que, dans les conditions prévues à l’article 1366 du Code civil, les e-mails ont la même force probante que les écrits sur support papier. Par conséquent, les e-mails et messages reçus électroniquement, y compris via la Plateforme, devront être conservés par les Parties dans des conditions propres à éviter toute altération de leur forme ou de leur contenu de façon à constituer des copies fiables.

21.4. Notifications

Toutes les notifications effectuées par e-mail dans le cadre de l’exécution du Contrat seront adressées :

• en ce qui concerne le Client : à l’adresse de l’Utilisateur Principal ou de l’Utilisateur concerné, telle qu’enregistrée sur la Plateforme ; et

• en ce qui concerne Spendesk : à l’adresse support@spendesk.com.

21.5. Langues du Contrat

Le Client reconnaît et accepte que :

• la langue utilisée lors de ses relations précontractuelles et contractuelles avec Spendesk peut être, soit le français, soit l’anglais, soit les deux, en fonction des Documents des Partenaires applicables aux Services ; et

• dans la mesure permise par la loi, (i) la version française des Conditions Générales fait foi pour les Clients immatriculés ou résidents en France et (ii) la version anglaise des Conditions Générales fait foi pour les Clients immatriculés ou résidents hors de France ; toute autre traduction disponible des Conditions Générales n’existe qu’à titre indicatif.

Le Client est informé qu’il peut obtenir à tout moment et gratuitement auprès de Spendesk une copie du Contrat sur un support durable.

21.6. Accords préalables

Le présent Contrat remplace tout accord préalable oral ou écrit, et toute autre communication entre le Client et Spendesk concernant l’objet du Contrat, y compris tout accord de confidentialité ou de non-divulgation.

21.7. Référence commerciale

Les Parties ne sont pas autorisées, à l'exception de toute obligation imposée par la loi ou la réglementation applicable, à publier ou diffuser une annonce, une déclaration, un communiqué de presse ou tout autre matériel publicitaire ou de marketing relatif à ce Contrat ou utiliser les marques ou logos de l'autre Partie sans le consentement écrit préalable de l'autre Partie.

Par exception à ce qui précède, Spendesk pourra inclure le nom et le logo du Client à titre de référence commerciale, notamment lors de manifestations ou d’événements, dans ses documents commerciaux et sur son site internet, sous quelque forme que ce soit, pendant la durée du Contrat et au-delà, pendant une durée de six (6) mois.

Spendesk accepte de cesser une telle utilisation du nom et du logo du Client dans les plus brefs délais à compter de la réception d’une demande adressée par le Client à logos@spendesk.com.

22. Droit applicable et juridictions compétentes

22.1. Droit applicable

Les Conditions Générales sont soumises au droit français.

Les Documents des Partenaires sont soumis au droit précisé au sein des Documents des Partenaires.

22.2. Juridictions compétentes

Tout litige relatif notamment à la validité, l’interprétation ou l’exécution des Conditions Générales sera soumis à la compétence exclusive du Tribunal de commerce de Paris.

Tout litige relatif notamment à la validité, l’interprétation ou l’exécution des Documents des Partenaires sera soumis à la compétence du ou des tribunaux indiqués au sein des Documents des Partenaires.

Documentation contractuelle applicable aux Services de Paiement fournis par SFS SAS :

Documentation contractuelle applicable aux Services de Paiement fournis par TPL :

Complément aux Conditions Générales de Spendesk SAS relatif à l’utilisation des Services de Paiement fournis par TPL : Lien

FORMULAIRE RELATIF AU DÉLAI DE RETRACTATION PRÉVU PAR L’ARTICLE L. 341-16 DU CMF

Formulaire à renvoyer au plus tard quatorze (14) jours calendaires après la date de conclusion du Contrat (tel que défini ci-après), par lettre recommandée avec accusé de réception, à :

Spendesk SAS

51 rue de Londres

75008 Paris 

Désignation du contrat : conditions générales d’utilisation des services de Spendesk (le « Contrat »).

Conformément à l’article L. 341-16 du Code monétaire et financier, le droit de rétractation peut être exercé dans un délai de quatorze (14) jours calendaires à compter de la conclusion du Contrat ou à compter de la réception des conditions contractuelles, si cette dernière date est postérieure.

La présente rétractation n’est valable que si elle est adressée, par lettre recommandée avec accusé de réception, avant l’expiration du délai de 14 jours calendaires prévu à l’article L. 341-16 du Code monétaire et financier, lisiblement et dûment remplie.

Je, soussigné(e) ________________________________, [dûment habilité(e) à représenter la société __________________________________] (ci-après le « Commerçant »), déclare exercer le droit de rétractation du Commerçant et renoncer à l’intégralité du Contrat conclu le ________________ avec la société Spendesk SAS pour la fourniture (notamment) de services de paiement.

Fait à ______________

Le ______________

Signature du Client ______________

Le présent accord sur le Traitement des données (l’« Accord ») fait partie des conditions générales d’utilisation des services de Spendesk (les « Conditions Générales ») conclues entre le Client (le « Responsable de Traitement ») et Spendesk (le« Sous-Traitant »), tels que définis respectivement dans les Conditions Générales (ensemble, les « Parties »).

Spendesk fournit des Services au Client, qui impliquent le Traitement de Données Personnelles. A ce titre, les Parties souhaitent mettre en place le présent Accord, conformément à la Législation sur la protection des données, et en particulier l’article 28 du RGPD, pour définir leurs droits et obligations respectifs.

1. Définitions

Dans le présent Accord, les termes commençant par une majuscule et non définis spécifiquement dans le corps de l’Accord ont le sens qui leur est attribué (a) ci-dessous, (b) à défaut, dans le corps des Conditions Générales ou (c) à défaut, dans le RGPD :

2. Désignation et rôle des Parties

Dans le cadre des Traitements opérés pour (i) la fourniture de la Plateforme aux Utilisateurs et (ii) la collecte des Données Personnelles pour la fourniture de Services de Paiement au Client et aux Utilisateurs :

2.1. Le Client agit en qualité de Responsable de Traitement ; et

2.2. Spendesk agit en qualité de Sous-Traitant.

3. Obligations du Sous-Traitant

Le Sous-Traitant garantit au Responsable de Traitement qu’il :

3.1. Traite les Données Personnelles uniquement dans la mesure, et de la manière, nécessaires aux Finalités Autorisées et conformément aux instructions écrites du Responsable de Traitement (y compris les instructions énoncées dans cet Accord et dans le corps des Conditions Générales), avec les conséquences suivantes :

(i) Le Sous-Traitant ne doit pas traiter les Données Personnelles à d’autres fins, à moins que le Traitement ne soit exigé par les lois applicables au Sous-Traitant, auquel cas le Sous-Traitant doit, dans la mesure permise par les lois applicables, informer promptement le Responsable de Traitement de cette exigence légale lorsque le Sous-Traitant en a connaissance et dans tous les cas avant le Traitement de ces Données Personnelles ;

(ii) Le Responsable de Traitement est seul responsable des Données Personnelles qu’il communique au Sous-Traitant et doit rembourser au Sous-Traitant les coûts et dépenses encourus résultant d’une instruction individuelle qui irait au-delà (a) de ce qui est défini par la Législation sur la protection des données et/ou (b) des activités de Traitement prévues dans le Contrat ou dans cet Accord ;

(iii) Si le Sous-Traitant considère qu’une instruction du Responsable de Traitement constitue une infraction à la Législation sur la protection des données, il doit en informer le Responsable de Traitement sans délai ; en outre, le Sous-Traitant a le droit de suspendre l’exécution de l’instruction jusqu’à ce que celle-ci soit confirmée par le Responsable de Traitement ;

3.2. Se conforme, et s’assure que tout Destinataire Autorisé se conforme, à la Législation sur la protection des données et, le cas échéant, aux politiques et directives du Responsable de Traitement préalablement communiquées au Sous-Traitant ;

3.3. Se conforme, et s’assure que tous systèmes, Services et produits fournis par le Sous-Traitant au Responsable de Traitement sont conformes à toutes lois, décrets, règlements, ordres, normes et autres instruments similaires (y compris la Législation sur la protection des données) applicables dans le cadre du Traitement des Données Personnelles ;

3.4. Coopère et se conforme aux instructions ou aux décisions de toute Autorité de Contrôle, et dans chaque cas dans un délai permettant au Responsable de Traitement de respecter tout délai imposé par l’Autorité de Contrôle. Dans l’hypothèse où une telle exigence ou les délais imposés par une Autorité de Contrôle feraient peser une charge déraisonnable sur le Sous-Traitant, les Parties devront coopérer pour se rapprocher de l’Autorité de Contrôle afin d’adapter ces exigences et/ou ajuster certains délais.

4. Coopération et assistance

Le Sous-Traitant s’engage :

4.1. Dans la mesure où cela est légalement autorisé et dans la mesure où le Responsable de Traitement n’a pas accès à ces Données Personnelles dans le cadre de son utilisation des Services, à rapidement modifier, transférer, changer et/ou supprimer toute Donnée Personnelle détenue pour le compte du Responsable de Traitement conformément à toute instruction écrite du Responsable de Traitement. Le Responsable de Traitement assumera l’ensemble des coûts supplémentaires résultant de telles actions qui iraient au-delà (a) de ce qui est défini par la Législation sur la protection des données et/ou (b) des activités de Traitement prévues dans le Contrat ou dans cet Accord, après devis approuvé ;

4.2. A notifier le Responsable de Traitement sans délai indu :

(i) Si le Sous-Traitant considère qu’une instruction du Responsable de Traitement relative au Traitement de Données Personnelles enfreint la Législation sur la protection des données ;

(ii) De toute infraction par le Sous-Traitant ou l’un de ses sous-traitants ultérieurs à la Législation sur la protection des données ;

(iii) Si le Sous-Traitant ou l’un de ses sous-traitants ultérieurs subit une Violation de Données Personnelles ;

(iv) Des résultats des enquêtes menées sur les infractions visées à l’article 4.2 (ii) ou sur les Violations de Données Personnelles visées à l’article 4.2 (iii) ;

(v) Si le Sous-Traitant ou l’un de ses sous-traitants ultérieurs reçoit toute plainte, avis ou communication d’une Autorité de Contrôle ou d’une autorité gouvernementale qui se rapporte directement à une exigence relative au Traitement des Données Personnelles ci-dessus ;

et, s’agissant de l’article 4.2 (iii), à se conformer aux dispositions de l’article 4.3, et s’agissant des articles 4.2 (i) à (v), à apporter au Responsable de Traitement une pleine coopération, information et assistance en relation avec une telle plainte, avis ou communication ou toute Violation de Données Personnelles et à ne faire aucune déclaration publique ou annonce à un tiers, y compris (sans s’y limiter) toute autorité gouvernementale ou Autorité de Contrôle, sans avoir au préalable, lorsque cela est raisonnablement possible et sauf interdiction résultant des lois applicables, consulté le Responsable de Traitement en ce qui concerne le contenu de telles déclarations ou annonces publiques ;

4.3. S’agissant de l’article 4.2 (iii), à :

(i) Prendre toutes les mesures raisonnables nécessaires pour remédier ou protéger les systèmes du Sous-Traitant contre la Violation de Données Personnelles ;

(ii) Mettre en œuvre des mesures qui permettent de restaurer toute Donnée Personnelle perdue, corrompue ou inutilisable ;

(iii) Fournir des rapports au Responsable de Traitement qui sont suffisants pour lui permettre de notifier la Violation de Données Personnelles aux Autorités de Contrôle compétentes et, si besoin, aux Personnes Concernées conformément à la Législation sur la protection des données ;

(iv) Prendre des mesures pour atténuer les effets néfastes découlant de la Violation de Données Personnelles selon les directives du Responsable de Traitement ou en tout état de cause comme le ferait un opérateur prudent ; et

(v) Prendre des mesures pour éviter une Violation de Données Personnelles similaire à l’avenir.

4.4. A aider le Responsable de Traitement à assurer le respect des obligations prévues aux articles 32 à 36 (inclus) du RGPD, en tenant compte de la nature des Traitements effectués par le Sous-Traitant et des informations dont dispose le Sous-Traitant. Cette assistance comprend, dans les mesures appropriées et nécessaires, la fourniture d’informations et d’aide au Responsable de Traitement à la réalisation d’analyses d’impact sur la protection des Données Personnelles en rapport avec les Traitements mis en œuvre par le Sous-Traitant dans le cadre des Services.

5. Obligations du Responsable de Traitement

Le Client, en tant que Responsable de Traitement, est seul responsable du respect de toutes les obligations attachées à ce statut découlant de la Législation sur la protection des données, et notamment :

5.1. De s’assurer de la licéité, de l’exactitude des Données Personnelles des Personnes Concernées, et de l’autorisation des Utilisateurs au Traitement de leurs Données Personnelles par le Sous-Traitant dans le cadre des Services fournis ;

5.2. Des informations fournies aux Utilisateurs concernant le Traitement de leurs Données Personnelles par le Sous-Traitant dans les conditions décrites au présent Accord et la manière dont les Utilisateurs peuvent exercer leurs droits auprès du Sous-Traitant ;

5.3. Des informations fournies à l’Utilisateur Principal, aux représentants légaux et aux bénéficiaires effectifs concernant le Traitement et la transmission de leurs Données Personnelles par le Sous-Traitant aux prestataires de services de paiement partenaires, tenus d’effectuer les Traitement liés aux procédures de LCB-FT conformément à leurs obligations légales et réglementaires, selon les modalités décrites à l’article « Vérifications LCB-FT » des Conditions Générales ;

5.4. D’informer sans délai le Sous-Traitant dans le cas où un Utilisateur n'agit plus au nom et pour le compte ou avec l’autorisation du Responsable de Traitement.

6. Mesures techniques et organisationnelles - Sécurité

Le Sous-Traitant s’engage à mettre en œuvre des mesures techniques et organisationnelles appropriées conformes à la Législation sur la protection des données.

Le Sous-Traitant s’engage à :

(i) S’assurer qu’il dispose de mesures techniques et organisationnelles appropriées contre la destruction, la perte, l’altération (accidentelles ou illicites), la divulgation ou l’accès non autorisés aux Données Personnelles qu’il traite ;

(ii) S’assurer que les Destinataires Autorisés se conforment à toutes les demandes raisonnables du Responsable de Traitement en ce qui concerne la sécurité et le Traitement des Données Personnelles.

Le Sous-Traitant doit effectuer une revue annuelle de ses mesures techniques et organisationnelles et les mettre à jour régulièrement pour refléter :

(i) Les évolutions majeures des technologies et les règles de l’art ;

(ii) Tout changement ou projet de changement des procédures, des sites et des systèmes, des Services et/ou des modes opératoires associés du Sous-Traitant ;

(iii) Toute nouvelle menace identifiée ou modifiée sur les procédures, les sites et les systèmes du Sous-Traitant.

7. Destinataires Autorisés et confidentialité

Le Sous-Traitant s’engage à :

7.1. Restreindre l’accès aux Données Personnelles aux Destinataires Autorisés qui ont besoin d’obtenir un accès pour les Finalités Autorisées ;

7.2 Veiller à ce que tous les Destinataires Autorisés soient sensibilisés à la protection des données ;

7.3 Imposer aux Destinataires Autorisés des obligations de confidentialité et de sécurité juridiquement contraignantes équivalentes à celles contenues dans cet Accord.

8. Registre des Traitements

Le Sous-Traitant s’engage auprès du Responsable de Traitement à conserver une trace de tout Traitement de Données Personnelles effectué pour le compte du Responsable de Traitement, y compris le registre des activités de Traitement requis conformément à l’article 30 (2) du RGPD.

9. Droits des Personnes Concernées

Le Sous-Traitant s’engage à :

9.1. Notifier le Responsable de Traitement rapidement, et en tout état de cause au plus tard dans les quinze (15) jours, de toute demande d’une Personne Concernée souhaitant exercer ses droits en vertu de la Législation sur la protection des données ;

9.2. Apporter au Responsable de Traitement une coopération et une assistance raisonnables pour permettre au Responsable de Traitement de répondre aux demandes des Personnes Concernées qui souhaitent exercer leurs droits en vertu de la Législation sur la protection des données (que ces demandes soient reçues par le Sous-Traitant ou le Responsable de Traitement) dans la mesure où cela est légalement autorisé et dans la mesure où le Responsable de Traitement n’a pas accès à ces Données Personnelles dans le cadre de son utilisation des Services ; et

9.3. Ne pas divulguer ou communiquer toute Donnée Personnelle en réponse à une Personne Concernée ou ne pas répondre à toute autre demande de divulgation de Données Personnelles sans avoir préalablement consulté et obtenu le consentement écrit du Responsable de Traitement.

10. Collecte de Données Personnelles

Si le Sous-Traitant est tenu de collecter des Données Personnelles pour le compte du Responsable de Traitement nécessitant le consentement des Personnes Concernées, le Sous-Traitant collectera les Données Personnelles dans le format convenu par écrit avec le Responsable de Traitement et fournira aux Personnes Concernées au moment de la collecte une politique de confidentialité (incluant, si nécessaire, un formulaire de consentement) selon le format autorisé par le Responsable de Traitement et suivant le type de collecte (directe ou indirecte).

11. Sous-traitance ultérieure

Le Responsable de Traitement autorise le Sous-Traitant à sous-traiter une partie des Traitements auprès de ses sous-traitants ultérieurs actuels tels que mentionnés dans la liste des sous-traitants ultérieurs disponible sur le site internet du Sous-Traitant. Cette liste comprend les identités de chaque sous-traitant ultérieur actuel, les catégories de Données Personnelles qu’ils traitent, leur pays d’établissement et des informations quant à leur conformité à la Législation sur la protection des données.

Le Sous-Traitant peut mettre à jour la liste des sous-traitants ultérieurs et il informe le Responsable de Traitement du recrutement d’un nouveau sous-traitant ultérieur.

Le Responsable de Traitement peut s’opposer au recours du Sous-Traitant à un nouveau sous-traitant ultérieur en notifiant promptement le Sous-Traitant dans les formes prévues aux Conditions Générales. Dans l’éventualité où le Responsable de Traitement s’oppose à la désignation d’un nouveau sous-traitant ultérieur, le Responsable de Traitement peut résilier le Contrat applicable en adressant au Sous-Traitant une notification écrite dans les formes prévues aux Conditions Générales.

Toute sous-traitance ultérieure de Données Personnelles ne saurait libérer le Sous-Traitant de ses devoirs, responsabilités et obligations envers le Responsable de Traitement au titre du présent Accord, et le Sous-Traitant reste entièrement responsable des actes et omissions de ses sous-traitants ultérieurs.

12. Transferts vers les Pays Tiers

Tout transfert de Données Personnelles vers un Pays Tiers ou une organisation internationale par le Sous-Traitant dans le cadre des Services n’est effectué que sur la base d’instructions documentées du Responsable de Traitement ou afin de satisfaire à une exigence spécifique de la loi ou de la réglementation à laquelle le Sous-Traitant est soumis et s’effectue conformément au Chapitre V du RGPD.

Le Responsable de Traitement convient que lorsque le Sous-Traitant recrute un sous-traitant ultérieur conformément à l’article 11 pour mener des activités de Traitement spécifiques (pour le compte du Responsable de Traitement) et que ces activités de Traitement impliquent un transfert de Données Personnelles au sens du chapitre V du RGPD, le Sous-Traitant et le sous-traitant ultérieur se conforment au chapitre V du RGPD en utilisant les mécanismes de transfert adéquats (notamment les clauses contractuelles types publiées par la Commission européenne (les « Clauses Contractuelles Types »)).

Dans le cas où le Sous-Traitant se trouve dans une obligation de transférer des Données Personnelles, au regard de la loi applicable, vers un Pays Tiers ou une organisation internationale, le Sous-Traitant devra informer le Responsable de Traitement sans délai, et en tout état de cause avant l’exécution dudit transfert obligatoire, sauf si la loi applicable interdit cette information pour des motifs d’intérêt public.

13. Responsabilité

Chaque Partie est et demeure responsable de toute infraction à la Législation sur la protection des données et garantit l’autre Partie des conséquences éventuelles d’une telle infraction.

La responsabilité du Sous-Traitant sera limitée (i) à ses propres activités de Traitement en vertu du présent Accord, et (ii) aux seuls dommages et montants maximaux spécifiés dans les Conditions Générales.

14. Entrée en vigueur et résiliation

Le présent Accord prendra effet à la Date d’Effet définie dans les Conditions Générales et restera en vigueur jusqu’à ce que le Sous-Traitant cesse de Traiter les Données Personnelles pour le compte du Responsable de Traitement.

15. Conséquences de la résiliation

À l’expiration ou à la résiliation du Contrat (pour quelque raison que ce soit), le Sous-Traitant doit cesser le Traitement pour le compte du Responsable de Traitement et, en fonction des durées de conservation applicables telles qu’indiquées en Annexe A et sur demande écrite du Responsable de Traitement, lui restituer toutes les Données Personnelles dans les meilleurs délais par un moyen sécurisé (indépendamment de leur forme, et que les Données Personnelles soient informatisées ou physiques).

16. Information et audit

Le Sous-Traitant met à la disposition du Responsable de Traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent Accord et pour permettre la réalisation d'audits.

Le Responsable de Traitement peut effectuer, à ses frais, tout contrôle qu’il juge utile pour vérifier le respect des obligations du Sous-Traitant, dans les conditions de la politique d’audit externe du Sous-Traitant.

Le Sous-Traitant permettra et contribuera aux audits que le Responsable de Traitement ou un auditeur de son choix soumis à une obligation de confidentialité mènera dans le but d’étudier la conformité du Sous-Traitant aux obligations exposées dans cet Accord, sous réserve d’un préavis écrit d’au moins soixante (60) Jours Ouvrables.

Le Responsable de Traitement peut demander, réaliser ou faire réaliser un audit une fois tous les douze (12) mois. Le Sous-Traitant peut s’opposer au choix par le Responsable de Traitement d’un auditeur indépendant dans un délai de dix (10) jours à compter de la notification par le Responsable de Traitement.

L’audit ne peut porter que sur les obligations du Sous-Traitant au titre du présent Accord et ne peut notamment pas porter sur :

(i) Les données ou informations des autres clients ou prospects du Sous-Traitant ;

(ii) Toute donnée interne appartenant au Sous-Traitant qui n’est pas directement et strictement pertinente pour les objectifs autorisés de l’audit ;

(iii) Toutes les informations dont la divulgation pourrait affecter la sécurité des systèmes et des données du Sous-Traitant (c’est-à-dire créer un risque pour la confidentialité des informations) ; et

(iv) Le code source des programmes informatiques utilisés pour la fourniture des Services.

L’auditeur ne peut pas copier un document, un fichier, des données ou des informations, en tout ou en partie, ni prendre des photos, scanner, ou réaliser un programme audio, vidéo ou informatique sans en informer au préalable le Sous-Traitant.

L’audit doit avoir lieu les Jours Ouvrables pendant les heures ouvrables et doit être effectué de manière à ne pas perturber les activités du Sous-Traitant et la fourniture des Services par le Sous-Traitant pour le compte de ses autres clients. La durée de l’audit ne peut excéder trois (3) Jours Ouvrables de mobilisation des personnels du Sous-Traitant, qui peuvent être répartis sur un (1) mois calendaire.

Le Responsable de Traitement doit prendre en charge l’intégralité des coûts de l’audit, et le Sous-Traitant est en droit de facturer au Responsable de Traitement tout coût et dépense supplémentaire concernant l’audit. L’audit doit être contradictoire et une copie du rapport d’audit est remise au Sous-Traitant.

17. Intégralité de l’Accord

Le présent Accord constitue l’intégralité des engagements souscrits par les Parties pour ce qui se rapporte à son objet, et les termes de l’Accord prévalent sur tous autres accords.

Chacune des Parties reconnaît et accepte qu’en concluant le présent Accord, elle renonce à se prévaloir de, et n’aura aucun recours s’agissant de, toute déclaration, représentation, garantie ou compréhension de toute personne (qu’il s’agisse d’une Partie à cet Accord ou non) autre que ce qui est expressément stipulé dans le présent Accord.

18. Interprétation

En cas de conflit entre les stipulations du présent Accord et celles du corps des Conditions Générales, les stipulations du présent Accord prévaudront.

19. Loi applicable et juridiction

Le présent Accord est régi et doit être interprété conformément à la loi française et tout litige naissant du ou en relation avec le présent Accord sera soumis à la juridiction exclusive des tribunaux de Paris (France), auxquelles chacune des Parties se soumet irrévocablement.

20. Divers

Chaque Partie doit de temps à autre (tant pendant la durée du présent Accord qu’après sa résiliation) accomplir tous les actes et signer tous les documents qui peuvent être raisonnablement nécessaires pour donner effet aux dispositions du présent Accord.

Annexe A. Description des Traitements de Données Personnelles

1. Gouvernance du Sous-Traitant

Délégué à la protection des données (DPD) : François-Xavier Boulin (privacy@spendesk.com)

2. Détail des Traitements de Données Personnelles

2.1 Catégories de Personnes Concernées :

(i) Les Utilisateurs désignés par le Client ;

(ii) Les représentants légaux et les bénéficiaires effectifs du Client ;

(iii) L’Utilisateur Principal désigné par le Client.

2.2 Finalités du Traitement de Données Personnelles :

(i) Fourniture d’une Plateforme SaaS pour la gestion des paiements, des factures et des flux d’autorisation des dépenses professionnelles des Utilisateurs ;

(ii) Fourniture de Services de Paiement au Client et aux Utilisateurs, y compris :

• ouverture d’un Compte au nom du Client

• émission des Cartes pour chaque Utilisateur à la demande du Client

• gestion des Opérations de Paiements (y compris par Carte et Virements)

• gestion des demandes et des réclamations du Client ou d’un ou plusieurs Utilisateur(s)

(iii) Mise à disposition de données anonymisées sur les tendances de l'industrie en matière de dépenses professionnelles selon des critères prédéterminés en fonction du domaine d'activité du Client.

2.3 Type de Données Personnelles et nature du Traitement :

(i) Éléments KYC relatifs aux représentants légaux et bénéficiaires effectifs du Client et à l’Utilisateur Principal (prénom, nom, adresse postale, date de naissance, nationalité, adresse e-mail professionnelle (uniquement pour l’Utilisateur Principal), nature de la relation avec le Client (uniquement pour les bénéficiaires effectifs), pièce d'identité et tout autre justificatif nécessaire à la validation de la conformité du Client pour l’entrée en relation d'affaire)

Nature du Traitement : collecte des Données Personnelles dans le cadre de l’ouverture du Compte du Client et collecte des informations dans le cadre des vérifications imposées par la réglementation en matière de LCB-FT au(x) prestataire(s) de services de paiement partenaire(s) de Spendesk.

(ii) Informations relatives aux Utilisateurs (prénom, nom, adresse e-mail et numéro de téléphone professionnels, adresse postale (uniquement pour la livraison de la Carte), photo (avec le consentement de l’Utilisateur))

Nature du Traitement : pour garantir l’envoi des informations relatives au statut, collecte des informations dans le cadre de l’envoi de la Carte, du code de sécurité et des instructions dans le cadre du processus d’autorisation des Opérations de Paiement ; création de compte sur la Plateforme Spendesk ; gestion des demandes et réclamations légales ; utilisation de la Plateforme et des Services souscrits par le Client.

(iii) Données de connexion des Utilisateurs (nom d’utilisateur, mot de passe, adresse IP)

Nature du Traitement : assurer la connexion des Utilisateurs aux fins d’identification et l’accès à la Plateforme Spendesk.

(iv) Détail du poste des Utilisateurs

Nature du Traitement : définir l’étendue des droits et autorisations de l’Utilisateur et limiter les fonctions ou l’accès à la Plateforme Spendesk.

(v) Informations de paiements des Utilisateurs (IBAN uniquement)

Nature du Traitement : assurer le paiement (remboursement) des frais professionnels de l’Utilisateur.

(vi) Factures et reçus des dépenses professionnelles

Nature du Traitement : analyse et conservation des factures et des reçus afin de conserver les preuves et les informations comptables relatives aux paiements et remboursements.

2.4 Durée de conservation :

(i) Données relatives aux Utilisateur(s) : durée de la relation contractuelle avec le Client et vingt-quatre (24) mois à compter de la suppression de l’Utilisateur (sous réserve d’une autre durée de conservation définie dans une réglementation spécifique).

(ii) Données relatives à l’Utilisateur Principal, aux représentants légaux et aux bénéficiaires effectifs du Client : durée de la relation contractuelle avec le Client (sous réserve d’une autre durée de conservation définie dans une réglementation spécifique).

(iii) Factures et reçus des dépenses professionnelles des Utilisateurs : dix (10) ans, à partir de la fin de l’année civile durant lequel ils ont été reçus.

Dans le cadre de l’exécution du Contrat, Spendesk et SFS SAS (respectivement définies dans les Conditions Générales) sont amenées à traiter ensemble, en qualité de Responsables conjoints de Traitement, certaines Données Personnelles du Client, à savoir celles se rapportant à ses bénéficiaires effectifs, à ses représentants légaux, à son Utilisateur Principal ainsi qu’aux Utilisateurs désignés par le Client (les « Personnes Concernées »).

Afin de protéger ces Données Personnelles, et conformément à la Législation sur la protection des données, Spendesk et SFS SAS ont conclu un accord de responsabilité conjointe qui précise leurs rôles et obligations respectifs à l’égard du Client et des Personnes Concernées dont les Données Personnelles sont traitées pour fournir les Services de Paiement.

Par ailleurs, SFS SAS est susceptible d’agir en tant que Responsable de Traitement distinct lorsqu’elle traite les Données Personnelles des Personnes Concernées en sa qualité d’établissement de paiement, pour respecter ses obligations légales et réglementaires et répondre à son intérêt légitime.

La présente notice d'information (la « Notice ») inclut (1) les principaux éléments de l’accord de responsabilité conjointe entre Spendesk et SFS SAS, (2) les informations relatives aux Traitements effectués par SFS SAS en qualité de Responsable de Traitement distinct et (3) les mesures techniques et opérationnelles mises en place y compris les mesures de sécurité et la distribution de responsabilité entre Spendesk et SFS SAS pour assurer la protection des Données Personnelles et la gestion des droits des Personnes Concernées.

Le Client s’engage à informer les Personnes Concernées des Traitements décrits dans la Notice et à leur fournir l'information sur la manière dont elles peuvent exercer leurs droits auprès de Spendesk et SFS SAS.

Cette Notice pourra être mise à jour, notamment en cas de modification de la Législation sur la protection des données ou en cas de modification des Services.

Au sein de cette Notice, les termes commençant par une majuscule et non définis spécifiquement ont le sens qui leur est attribué (a) dans l’Accord sur le Traitement des données annexé aux Conditions Générales, (b) à défaut, dans le corps des Conditions Générales ou, (c) à défaut, dans le RGPD.

1. Traitements effectués par SFS SAS et Spendesk en qualité de Responsables conjoints

A. Caractéristiques des Traitements

Pour fournir les Services de Paiement et satisfaire à leurs obligations légales et contractuelles, Spendesk et SFS SAS traitent conjointement les Données Personnelles collectées auprès des Personnes Concernées, comme indiqué ci-dessous :

Le Traitement des Données Personnelles susvisées est obligatoire. A défaut, le Client ne pourra pas bénéficier des Services de Paiement.

B. Durées de conservation des Données Personnelles

Spendesk et SFS SAS s’engagent à conserver les Données Personnelles uniquement pour les durées nécessaires à la réalisation des finalités décrites ci-dessus.

Certaines Données Personnelles pourront être conservées pour une durée supplémentaire de cinq (5) ans, conformément au délai de prescription de droit commun en matière civile et commerciale, pour permettre à Spendesk et SFS SAS d’assurer la défense de leurs droits et intérêts en cas de litige.

Pour les Traitements effectués en vertu d’une obligation légale, Spendesk et SFS SAS respectent les durées de conservation imposées par la réglementation applicable.

C. Destinataires des Données Personnelles

Spendesk et SFS SAS peuvent être amenées à partager certaines Données Personnelles avec leurs sous-traitants et prestataires de services de paiement partenaires lorsque cela est nécessaire pour la fourniture des Services de Paiement, ainsi qu’à les communiquer aux autorités compétentes dans la mesure où elles y sont obligées par la réglementation applicable.

2. Traitements effectués par SFS SAS en qualité de Responsable distinct

A. Caractéristiques des Traitements

SFS SAS, en sa qualité de Responsable de Traitement distinct, traite les Données Personnelles collectées indirectement auprès des Personnes Concernées, par l'intermédiaire de Spendesk ou de tiers (et notamment auprès de sources d’informations accessibles au public, d’administrations et d’autorités publiques), comme indiqué ci-dessous :

Le Traitement des Données Personnelles susvisées est obligatoire. A défaut, le Client ne pourra pas bénéficier des Services de Paiement.

B. Durées de conservation des Données Personnelles

SFS SAS s’engage à conserver les Données Personnelles uniquement pour la durée nécessaire à la réalisation des finalités décrites ci-dessus.

Certaines Données Personnelles pourront être conservées pour une durée supplémentaire de cinq (5) ans, conformément au délai de prescription de droit commun en matière civile et commerciale, pour permettre à SFS d’assurer la défense de ses droits et intérêts en cas de litige.

Pour les Traitements effectués en vertu d’une obligation légale, SFS SAS respecte les durées de conservation imposées par la réglementation applicable.

Pour le Traitement nécessaire à la lutte contre le blanchiment et le financement du terrorisme, les documents et informations relatifs à l’identité des bénéficiaires effectifs, représentants légaux et Utilisateur Principal du Client, sont conservés pour une durée de cinq (5) ans à compter de la cessation de la relation d’affaires avec le Client, et les documents et informations relatifs aux Opérations de Paiement effectuées par les Utilisateurs sont conservés pour une durée de cinq (5) ans à compter de leur exécution.

C. Destinataires des Données Personnelles

SFS SAS peut être amenée à partager certaines Données Personnelles avec ses sous-traitants et certaines professions réglementées, ainsi qu’à les divulguer aux autorités compétentes notamment pour répondre à toute demande ou requête émise dans le cadre de la réglementation applicable.

3. Mesures techniques et organisationnelles pour assurer la protection des Données Personnelles

A. Mesures de sécurité

Spendesk et SFS SAS accordent la plus grande importance à la sécurité et à l'intégrité des Données Personnelles qui lui sont confiées. SFS SAS et Spendesk s'engagent à prendre toutes les mesures nécessaires pour préserver la sécurité des Données Personnelles et, en particulier, à protéger les Données Personnelles contre toute destruction, perte, altération (accidentelles ou illicites), divulgation ou accès non autorisé, ainsi que contre toute autre forme de Traitement illicite ou de divulgation à des personnes non autorisées.

À cette fin, SFS SAS et Spendesk mettent en œuvre des mesures de sécurité conformes aux normes de l'industrie pour protéger les Données Personnelles contre toute divulgation non autorisée. Afin d’éviter notamment tout accès non autorisé et de garantir l’exactitude et la bonne utilisation des Données Personnelles, SFS SAS et Spendesk ont mis en place les procédures électroniques, physiques et de gestion appropriées en vue de sauvegarder et préserver les Données Personnelles recueillies par le biais des Services.

Ces engagements sont valables quelle que soit la responsabilité de Traitement retenue aux paragraphes 1 et 2 de la présente Notice.

B. Transferts des Données Personnelles

Les Données Personnelles traitées par Spendesk et SFS SAS sont hébergées sur le territoire de l’Union européenne.

Afin de fournir des Services de Paiement aux Utilisateurs, par exemple pour permettre des Opérations de Paiement par Carte ou des remboursements de dépenses professionnelles, certaines Données Personnelles peuvent être transmises à des sous-traitants situés en dehors de l'Union européenne.

Spendesk et SFS SAS s'engagent à mettre en place un mécanisme de transfert adéquat conformément à la réglementation en vigueur, notamment les Clauses Contractuelles Types. Elles exigent en outre de chacun de leurs sous-traitants qu'ils respectent la Législation sur la protection des données et qu'ils fournissent des garanties contractuelles concernant la sécurité et la confidentialité des Traitements des Données Personnelles.

C. Droits des Personnes Concernées

Conformément à la Législation sur la protection des données, les Personnes Concernées disposent d’un droit d’accès, de rectification, de limitation, d’effacement des Données Personnelles les concernant, ainsi que d’un droit d’opposition, d’un droit à la portabilité et d'un droit de soumettre des instructions concernant la gestion des Données Personnelles après leur décès.

Conformément à l'accord de responsabilité conjointe conclu entre Spendesk et SFS SAS, Spendesk est chargée de la gestion des demandes des Personnes Concernées exerçant leurs droits accordés par le RGPD.

Ainsi, Spendesk et SFS SAS ont déterminé que le point de contact privilégié pour l’exercice des droits des Personnes Concernées est le délégué à la protection des données (DPD) de Spendesk. Les demandes d’information et les demandes d’exercice de droits doivent par conséquent être adressées de préférence :

• par e-mail : privacy@spendesk.com ; ou

• par courrier postal : Spendesk SAS - Délégué à la protection des données (DPD) - 51 rue de Londres, 75008 Paris, France.

Pour autant, les Personnes Concernées peuvent exercer leurs droits auprès de chaque Responsable de Traitement.

SFS SAS a également désigné un délégué à la protection des données (DPD), qui peut être contacté par e-mail : privacy@spendesk-sfs.com.

En toute hypothèse, la Personne Concernée est informée qu'il existe des exceptions aux droits susvisés. SFS SAS et/ou Spendesk pourront notamment refuser de donner suite à la demande si :

• Il existe des motifs légitimes et impérieux à traiter les Données Personnelles ou que ces dernières sont nécessaires à la constatation, l’exercice ou défense de droits en justice ;

• Le Traitement en question est nécessaire à l’exécution des Conditions Générales ; ou

• Une obligation légale impose de traiter les Données Personnelles de la Personne Concernée.

Par exemple, SFS SAS ne peut donner suite à une demande de droit d’accès aux Données Personnelles d’une Personne Concernée traitées à des fins de LCB-FT, conformément à l’article L. 561-45 du CMF. La demande de droit d’accès relative à LCB-FT doit être adressée de manière indirecte à la Commission Nationale de l’Informatique et des Libertés (CNIL) : www.cnil.fr.

Enfin, la Personne Concernée a le droit de saisir la CNIL via son site internet (www.cnil.fr) ou par courrier postal (CNIL, Service des Plaintes, 3 place de Fontenoy - TSA 80715 -75334 Paris Cedex 07).