18 septembre 2019

CGV

CONDITIONS GENERALES DE VENTE EN LIGNE DES TOMBOLAS d’entreprise et des Bons d’Achat à la Demande sur www.tombolastar.fr

(06/09/2019)

 

  1. Objet

Les présentes Conditions Générales de Vente (« CGV ») régissent la vente à distance des TOMBOLAS d’entreprise et des Bons d’Achat à la Demande sur le site internet www.tombolastar.fr (« Site ») par TOMBOLASTAR SAS, Société par Actions Simplifiée de 1 000 Euros, immatriculée au Registre du Commerce et des Sociétés de Pontoise sous le n° 801815515, dont le n° de TVA intracommunautaire est FR11801815515 et dont le siège est situé 10 rue de la Ferme 95230 Soisy-sous-Montmorency (« TOMBOLASTAR ») à des entreprises, comités d‘entreprise et comités social et économique situés sur le territoire français (« Client »).

Les présentes CGV expriment l’intégralité des obligations et des droits des parties. Le Client a la possibilité de les sauvegarder et de les imprimer. Préalablement à toute transaction, le Client reconnaît avoir pris connaissance des CGV et déclare expressément les accepter sans réserve, dès lors qu’il coche la case prévue à cet effet. A défaut, sa commande ne sera pas validée.

Les Conditions Générales d’Utilisation et mentions légales du Site sont disponibles sur le Site à l’adresse : www.tombolastar.fr

  1. Durée

A compter de la date d’acceptation des présentes, TOMBOLASTAR SAS et le Client sont liés par un contrat de fourniture de Bons d’Achat à la Demande et de services conclus pour une durée indéterminée.

Toute commande sera régie par les CGV en vigueur sur le Site au jour de la commande du Client. Chacune des parties peut mettre fin au contrat à tout moment par lettre recommandée avec Accusé de Réception moyennant le respect d’un préavis de trois mois durant lequel le Client reste lié à TOMBOLASTAR SAS.

  1. Commandes

Les commandes sont passées électroniquement via le Site. Le Client reconnaît être conscient des risques inhérents à l’usage d’un outil informatique ou d’internet pour le passage d’une commande.

Aucune commande ne pourra être prise en compte si toutes les rubriques d’informations ne sont pas parfaitement renseignées. TOMBOLASTAR SAS ne procédera à aucune annulation de commande.

Les données enregistrées par TOMBOLASTAR SAS sur le Site constituent la preuve de l’ensemble des transactions passées entre TOMBOLASTAR SAS et le Client. Les données enregistrées par le système de paiement constituent la preuve des transactions financières.

Sauf accord dérogatoire, toute commande de TOMBOLAS dûment complétée et signée numériquement par le Client ne sera traitée par TOMBOLASTAR SAS que si elle est accompagnée du règlement intégral de la commande. TOMBOLASTAR SAS se réserve le droit (1) de ne traiter la commande qu’après avoir vérifié la régularité du paiement et (2) de refuser un règlement par chèque bancaire. En cas de règlement incomplet, TOMBOLASTAR SAS en informera le Client et se réservera le droit d’honorer ou non la commande ou toute autre commande future en fonction du montant restant dû.

  1. Obligations de TOMBOLASTAR SAS

TOMBOLASTAR SAS s’engage à fournir, au choix du Client, des Tombolas  personnalisées par le Client lui-même lors de sa commande.

Dans le cas d’une livraison de Bons d’achat résulatants des Tombolas organisées par le client, ces bénéficiaires salariés, employés, ou toute autre personne physique ou entité tierce désignée par le Client (ci-après individuellement désignés « Destinataire ») par coursier ou transporteur, TOMBOLASTAR SAS s’engage à mettre les Bons d’Achat à la disposition du coursier ou du transporteur (autre que les services postaux), dans les 3 jours ouvrés à compter de la validation de la conformité de la commande (ou dans les 5 jours ouvrés à compter de la validation de la conformité de la commande en cas de demande par les bénéficiaires de notre Client d’une mise sous pli des Bons d’achat), pour une livraison personnalisée au(x) lieu(x) indiqué(s) de façon clairement identifiable par le Client lors de sa commande. Les Bons d’Achat à la Demande utilisés sur des sites de e-commerce sont dématérialisés et envoyés dans la boite courriel du bénéficiaire et peuvent prendre toutes les formes, comme un code, un QR Code, etc. Certains Bons d’achat peuvent être imprimés directement chez le bénéficiaire et c’est à chacun de choisir cette option dans le formulaire de commande de Bons d’achat via son tableau de bord sauf survenance d’un cas de force majeure tel que défini par l’article 1218 du Code Civil ou tout événement rendant l’exécution des présentes plus onéreuse. Dans une telle hypothèse, TOMBOLASTAR SAS s’engage à faire de son mieux pour livrer dans les meilleurs délais. Le délai moyen de livraison observé est de 3 jours ouvrés. Ce délai, qui n’est pas de la responsabilité de TOMBOLASTAR SAS est mentionné à titre indicatif et correspond au délai annoncé par les transporteurs et livreurs utilisés par TOMBOLASTAR SAS.

Dans le cas d’une livraison par les services postaux, TOMBOLASTAR SAS s’engage à envoyer les Bons d’Achat à la Demande au destinataire, par lettre suivie. Le délai de traitement de la commande par TOMBOLASTAR SAS est de 5 jours ouvrés à compter de la validation de la conformité de la commande, auquel s’ajoute le délai d’acheminement par les services postaux, sauf survenance d’un cas de force majeure tel que défini par l’article 1218 du Code Civil ou tout événement rendant l’exécution des présentes plus onéreuse.

TOMBOLASTAR SAS renverra au Client les bons d’achat récupérés suite à des plis non distribuables (« PND ») correspondant notamment aux anomalies d’adresse, boite inaccessible, etc.

Pour chaque Pli Non Distribué, TOMBOLASTAR SAS annulera la commande et le Destinataire de cette annulation devra procéder à une nouvelle commande. Chaque Destinataire peut suivre l’état de sa commande de Bon(s) d’achat depuis son tableau de bord.

Si le nombre de PND est de 2 pour une même commande, TOMBOLASTAR SAS se résèrve le droit de facturer au Client du Destinataire les frais inhérents à ces dysfonctionnements.

Cette facturation sera effectuée suite à chaque reporting faisant état des PND pour le mois antérieur aux tarifs en vigueur au jour où TOMBOLASTAR SAS est informée de l’existence des PND.

L’envoi en lettre suivie ne vaut que pour les Destinataires ayant une adresse postale en France métropolitaine, hors Corse, Monaco, Guadeloupe, Guyane, Martinique, Réunion, Mayotte, Saint-Pierre-et-Miquelon, Saint-Martin, Saint-Barthélemy.

  1. Obligations du Client

Le Client s’engage à communiquer à TOMBOLASTAR SAS ses coordonnées exactes afin de permettre son identification et le traitement de sa commande.

Le Client s’engage à régler à la commande la valeur faciale des Bons d’Achat à la demande, le montant des frais de service et des frais des livraisons pour le compte de ses destinataires, en un seul règlement libellé à l’ordre de TOMBOLASTAR SAS.

Aucune Tombola ne pourra démarrer tant que la totalité du paiement n’aura pas été validée par TOMBOLASTAR SAS. Le Client doit prévoir un délai minimum de 3 jours entre le jour de son paiement et la validation par TOMBOLASTAR SAS de ce dernier et le démarrage du service au Client. Le retard de paiement décalera d’autant la date de début du service fourni par TOMBOLASTAR SAS au Client.

Pour les Clients privés, conformément à l’article L.441-6 du Code de Commerce, à défaut de règlement dans les délais, des pénalités de retard seront dues de plein droit, sans qu’il soit besoin d’une mise en demeure ou d’un quelconque rappel. Le taux d’intérêt annuel de ces pénalités est égal au taux d’intérêt appliqué par la Banque Centrale Européenne à son opération de refinancement la plus récente majoré de 10 points de pourcentage.

Pour les Clients publics, tout retard de paiement d’une quelconque facture fait courir, de plein droit, des intérêts de retard calculés conformément à l’article 98 du Code des Marchés Publics et à ses décrets d’application, à compter de la date d’échéance mentionnée sur la facture impayée, et ce jusqu’au règlement effectif et intégral.

Aux intérêts de retard s’ajoutera une indemnité forfaitaire pour frais de recouvrement d’un montant de 40 € qui sera due de plein droit, sans qu’il soit besoin d’une mise en demeure ou d’un quelconque rappel. Lorsque les frais de recouvrement exposés seront supérieurs au montant de cette indemnité forfaitaire, une indemnisation complémentaire visant à couvrir l’intégralité des frais de procédure de recouvrement de créances engagés sera facturée au Client.

Le Client s’engage à ne pas divulguer à des tiers les conditions commerciales qui lui sont accordées par TOMBOLASTAR SAS, à l’exception de toute autorité administrative ou judiciaire fondée à en obtenir communication.

Le Client autorise TOMBOLASTAR SAS et toute société la contrôlant, à le citer à titre de référence commerciale.

  1. Tarification

Les tarifs proposés sur le Site sont des tarifs spécifiques à la vente en ligne sur le Site et ne pourront être cumulés avec toutes autres conditions particulières négociées avec le Client.

Les tarifs mentionnés sur le Site sont en Euros. La contrevaleur, les frais de livraison et les frais de services sont indiqués en hors taxes et le montant total de la commande est affiché toutes taxes comprises, étant précisé que la valeur faciale des bons d’achat n’est pas soumise à TVA. Toutes les commandes sont payables en Euros. La prestation de services décrite à l’article « Obligations de TOMBOLASTAR SAS» est réalisée aux conditions tarifaires en vigueur à la date de la commande.

Les tarifs seront mis à jour en fonction de l’évolution générale du barème de prix de TOMBOLASTAR SAS et des frais d’acheminement. En tout état de cause, le fait pour le Client de passer commande de Bons d’Achat à la Demande après l’entrée en vigueur des nouveaux tarifs implique l’acceptation de ces nouvelles conditions de commande par le Client.

  1. Mode de règlement

Le règlement des commandes s’effectue, selon les modes de paiement proposés lors du processus de commande, TOMBOLASTAR SAS se réservant le droit de ne proposer qu’un ou plusieurs modes de règlement à sa discrétion. Aucune réclamation du Client à ce titre ne sera recevable.

Quel que soit le mode de règlement, le Client devra impérativement suivre les procédures de paiement indiquées sur le Site (exemple : mentionner le libellé indiqué dans le virement, etc…).

En cas de règlement par carte bancaire, le Client est informé que seules les cartes bancaires suivantes sont acceptées : Carte Bleue, Visa, Mastercard. Lorsque le Client a choisi ce mode de règlement, il est redirigé sur le site internet sécurisé de la Banque Populaire pour la saisie de son numéro, de l’échéance de validité et du cryptogramme de sa carte bancaire. Ces numéros et codes saisis ne transitent jamais par les serveurs de TOMBOLASTAR SAS et ne sont donc jamais ni visualisés, ni enregistrés par TOMBOLASTAR SAS.

Après finalisation de la procédure de paiement sur le site de la Banque Populaire, le Client revient sur le Site.

En cas de règlement par chèque bancaire, alors que ce mode n’était pas autorisé par TOMBOLASTAR SAS, nous nous réservons le droit de refuser ce règlement. Dans ce cas, le chèque bancaire remis à TOMBOLASTAR SAS sera restitué au Client. Dans le cas où le règlement par chèque bancaire autorisé par TOMBOLASTAR SAS serait refusé pour insuffisance de provision ou défaut de signatures, les frais bancaires de rejet supportés par TOMBOLASTAR SAS seront refacturés au Client.

Quel que soit le mode de règlement choisi, la commande sera bloquée en attente de règlement conforme puis annulée dans le délai de 90 jours calendaires faute de réception par TOMBOLASTAR SAS du règlement conforme.

Le Client ne pourra effectuer aucune compensation en application des dispositions des articles 1347 et suivants du Code Civil, entre toute somme due par TOMBOLASTAR SAS et toute somme due par le Client, sauf accord préalable et écrit de TOMBOLASTAR SAS.

TOMBOLASTAR SAS se réserve le droit d’annuler toute commande d’un Client avec lequel existerait un litige de paiement, sans que celui-ci puisse réclamer une quelconque indemnité à quelque titre que ce soit.

  1. Propriété et risques

8.1. Les Bons d’achat restent la propriété de TOMBOLASTAR SAS jusqu’au paiement intégral de la commande par le Client. En cas de non-respect des conditions de paiement, le Client s’engage, à première demande de TOMBOLASTAR SAS, à renvoyer immédiatement l’intégralité des Bons d’achat non encore payés à TOMBOLASTAR SAS 10, rue de la Ferme 95230 Soisy-sous-Montmorency.

8.2. Dans le cas des livraisons par coursier ou transporteur (autre que les services postaux), le transfert des risques au Client est effectif dès la remise des Bons dAchat à la Demande au Destinataire. Dans ce cas, les éventuels dommages constatés à la réception des Bons d’achat devront faire l’objet de réserves formelles et immédiates auprès de l’opérateur en charge du transport. À défaut, il appartient au Client d’apporter la preuve que le dommage a eu lieu pendant le transport. Sous peine d’irrecevabilité, toute réclamation devra être adressée à TOMBOLASTAR SAS – Relation Client – 10, rue de la Ferme 95230 Soisy-sous-Montmorency, par lettre Recommandée avec Avis de Réception, éventuellement complété d’un envoi par e-mail à écrire@tombolastar.fr, avec tout élément de preuve nécessaire, dans les 3 jours ouvrables suivant la livraison. Tout retour de Bons d’achat à TOMBOLASTAR SAS suite à des réserves se fait par le Client sous la seule responsabilité de ce dernier.

8.3. Dans le cas des livraisons par les services postaux en lettre suivie, le transfert des risques au Client est effectif dès la distribution des Bons d’achat dans la boîte aux lettres du Destinataire.

La lettre suivie ne permettant pas d’effectuer une remise contradictoire des plis, les informations communiquées par les services postaux relatives au suivi de la lettre feront foi et auront valeur de preuve entre TOMBOLASTAR SAS et le Client, ce que le Client accepte.

En cas de 1ère réclamation relative à une non-réception par un Destinataire, transmise par le Client au plus tard 30 jours calendaires suivant la date d’expédition du pli, TOMBOLASTAR SAS procèdera à une réclamation auprès des services postaux.

TOMBOLASTAR SAS refabriquera les Bons d’achat et les renverra à sa charge au destinataire sous réserve de la transmission par le Client à TOMBOLASTAR SAS dans le délai susvisé, de la copie d’un justificatif d’identité du Destinataire et de la déclaration de non-réception effectuée par le Destinataire auprès du Client.

A compter de la 2e réclamation relative à une non-réception par un même Destinataire, transmise par le Client au plus tard 30 jours calendaires suivant la date d’expédition du pli, TOMBOLASTAR SAS procédera à une réclamation auprès des services postaux.

TOMBOLASTAR SAS refabriquera les Bons d’achat et les renverra à sa charge au Destinataire sous réserve de la transmission par le Client à TOMBOLASTAR SAS dans le délai susvisé, de la copie d’un justificatif d’identité du Destinataire, de la déclaration de non-réception effectuée par le Destinataire auprès du Client et d’une copie de la plainte du Client ou du Destinataire auprès des autorités judiciaires.

Tout non-respect de cette procédure de réclamation a pour conséquence soit la non-refabrication des Bons d’achat soit leur refabrication aux frais du Client, à savoir la valeur faciale des titres refabriqués et le prix de l’affranchissement en lettre suivie.

Si postérieurement à une refabrication aux frais de TOMBOLASTAR SAS, les services postaux confirment la distribution du pli objet d’une réclamation, la refabrication des Bons d’Achat à la Demande sera refacturée au Client, à savoir la valeur faciale des titres refabriqués et le prix de l’affranchissement.

En tout état de cause, aucune refabrication ne sera initiée par TOMBOLASTAR SAS à ses frais si les services postaux indiquent que le pli est en cours d’acheminement.

Enfin, toute refabrication due à une communication erronée par le Client d’une adresse du Destinataire sera effectuée aux frais du Client.

  1. Perte, vol et opposition

TOMBOLASTAR SAS ne saurait être responsable de quelque manière que ce soit d’une perte ou d’un vol de Bons d’Achat à la Demande survenant après leur remise au Client ou à tout tiers désigné par ce dernier. Les Bons d’Achat à la Demande sous la responsabilité du Client qui seraient perdus ou volés ne peuvent donner lieu ni à échange, ni à remboursement. Aucune opposition ou interdiction quelconque relative à l’acceptation d’un Bon d’Achat à la Demande par le réseau de commerçants TOMBOLASTAR SAS ne sera possible.

  1. Retours de Bons d’Achat à la Demande

Les retours par le Client de Bons d’Achat à la Demande non périmés à la date du retour, pour avoir ou échange aux conditions ci-après, se font sous sa seule responsabilité ; le Client s’engageant à se conformer aux paliers d’assurance des valeurs définies par l’opérateur en charge du transport.

Les retours feront l’objet, au choix du Client, moyennant des frais de gestion toutes taxes comprises de 10% du montant retourné : (a) soit d’un avoir d’un montant égal à la valeur faciale facturée et payée lors de la vente, déduction faite de toute remise et des frais de gestion indiqués ci-dessus ; (b) soit d’un échange contre des Bons d’achat non personnalisés, de même catégorie, du nouveau millésime, d’un montant total égal à la valeur faciale facturée et payée lors de la vente, déduction faite de toute remise et des frais de gestion indiqués ci-dessus.

Pour que les retours soient recevables, le Client devra envoyer le bordereau de retour dûment complété accompagné des Bons d’achat. Dans tous les cas de remise non conforme (Bons d’achat ne pouvant être lus par nos systèmes. Exemple : présence de trombone, agrafe, bon endommagé, etc), celle-ci fera l’objet de frais forfaitaires de 50 € HT déduits du montant de l’échange ou de l’avoir.

L’adresse de destination des retours est TOMBOLASTAR SAS, Avoir, 10, rue de la Ferme 95230 Soisy-sous-Montmorency.

  1. Réglementation applicable aux Bons d’achat à la demande

Le Client fait son affaire de toutes dispositions légales et réglementaires, notamment fiscales et sociales, liées à l’attribution de Bons d’achat et à leur utilisation.

TOMBOLASTAR SAS ne pourra être tenue responsable par le Client ou par un bénéficiaire, ni de l’absence de déclaration aux administrations compétentes, ni des conséquences de l’attribution de Bons d’Achat à la Demande. Le Client et le bénéficiaire sont seuls responsables des conséquences de l’utilisation de leurs Bons d’Achat à la Demande.

Le Client ne pourra exécuter lui-même ou faire exécuter par un tiers une obligation inexécutée par TOMBOLASTAR SAS, aux frais de cette dernière, qu’après accord écrit préalable de TOMBOLASTAR SAS sur les modalités de cette exécution.

  1. Interdiction de revente

Sauf accord préalable écrit de TOMBOLASTAR SAS, le Client et ses bénéficiaires s’interdisent de revendre les Bons d’Achat à la Demande. TOMBOLASTAR SAS se réserve le droit de mettre fin à ses relations commerciales avec tout Client manquant à cette obligation et ce, sans préavis ni indemnités.

  1. Acceptation par les Affiliés, partenaires et commerçants

Les Bons d’achat sont valables auprès des enseignes affiliées, partenaires et commerçants (sauf mentions particulières ou limitations présentes sur les Bons d’achat).

Le refus par tout affilié, partenaire ou commerçant appartenant au réseau TOMBOLASTAR SAS ou tout autre manquement d’un affilié, partenaire ou commerçant, ne pourra entraîner la mise en jeu de la responsabilité de TOMBOLASTAR SAS. Les affiliés, les partenaires et les commerçants sont seuls responsables des biens et services vendus contre remise de Bons d’achat à la demande.

  1. Données à caractère personnel

14.1. Définitions

Données à caractère personnel : toutes les données à caractère personnel communiquées par le Responsable de traitement dans le cadre de l’exécution du présent contrat, sont considérées notamment comme des Données à caractère personnel en vertu de la Règlementation en matière de protection des données à caractère personnel, les informations relatives à une personne physique identifiée ou identifiable. Une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou un ou plusieurs éléments spécifiques propre à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne physique.

Personne concernée : toute personne physique identifiée ou identifiable dont les Données à caractère personnel la concernant font l’objet d’un Traitement. Les catégories de Personnes concernées par le Traitement sont mentionnées à l’Annexe A du présent contrat.

Pays tiers : tout pays, territoire ou secteur défini dans ledit pays, en dehors de l’Union européenne (UE) et de l’Espace économique européen (EEE).

Responsable de traitement : toute personne physique ou morale, autorité publique, agence ou autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du Traitement des Données à caractère personnel qui peut être effectué par le Sous-traitant dans le cadre du contrat. Aux fins du présent contrat, on entend par « Responsable de traitement » le Client et toute personne physique ou morale, autorité publique, agence ou autre organisme avec lequel le Client aurait conclu un contrat aux termes duquel il est amené à Traiter, en qualité de Sous-traitant, des Données à caractère personnel.

RGPD : Règlementation (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 sur la protection des personnes physiques en ce qui concerne le traitement des données à caractère personnel et la libre circulation de ces données, qui remplace la Directive 95/46/CE.

Règlementation en matière de protection des données à caractère personnel : la législation en matière de protection des données à caractère personnel du pays dans lequel le Responsable de traitement est établi. Si le Responsable de traitement est établi dans un État membre de l’Union européenne (ci-après, le « Responsable de traitement dans l’UE »), la Législation applicable en matière de protection des données à caractère personnel désigne le RGPD, et l’ensemble de la règlementation et des règles supplémentaires en vigueur dans les États membres de l’Union européenne applicables au Traitement.

Sous-traitant : la personne ou l’organisme qui traite ou sous-traite les Données à caractère personnel pour le compte du Responsable de traitement et conformément à ses instructions. Aux fins du présent contrat, on entend par « Sous-traitant » la société TOMBOLASTAR SAS (« TOMBOLASTAR »).

Sous-traitant ultérieur : toute personne physique ou morale engagée par le Sous-traitant uniquement dans le cadre de l’exécution du Traitement prévu par le présent contrat et expressément autorisée préalablement par écrit par le Responsable de traitement.

Tiers : toute société ou entité autre que le Responsable de traitement, le Sous-traitant et la Personne concernée qui, sous l’autorité directe du Responsable de traitement ou du Sous-traitant, est autorisée à traiter les Données à caractère personnel.

Traitement ou Traitée : toute opération ou ensemble d’opérations effectuées à l’égard des Données à caractère personnel, y compris, sans s’y limiter, la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation, l’altération, le retrait, la consultation, l’utilisation, la divulgation par transmission, la diffusion ou autrement la mise à disposition, la combinaison, le lien vers d’autres données à caractère personnel, le blocage, la suppression ou la destruction des Données à caractère personnel du Client. Le Traitement inclut les finalités et les opérations mentionnées à l’Annexe A du présent contrat.

Violation des Données à caractère personnel ou Violation : toute violation avérée de la sécurité qui entraîne de manière accidentelle ou illicite la destruction, la perte, l’altération, l’accès ou la divulgation non autorisée des Données à caractère personnel du Client transmises, conservées ou autrement Traitées.

14.2. Respect de la Réglementation en matière de protection des données à caractère personnel

Chacune des Parties atteste à l’égard de l’autre qu’elle s’engage à respecter à tout moment ses obligations respectives en vertu de la Réglementation en matière de protection des données à caractère personnel dans le cadre du Traitement de Données à caractère personnel de l’autre Partie et dans l’exécution de ses obligations en vertu du présent contrat.

14.3. Obligations du Sous-traitant

Le Sous-traitant s’engage à :

(a) respecter la Réglementation en matière de protection des données à caractère personnel dans le cadre de l’exécution du Traitement, de manière à ne pas exposer le Responsable de traitement à une quelconque violation de la Réglementation en matière de protection des données à caractère personnel ;

(b) traiter les Données à caractère personnel uniquement selon les instructions du Responsable de traitement conformes au droit applicable (lesquelles peuvent être de nature spécifique ou générale), et uniquement pour les besoins de l’exécution du contrat, conformément à l’Annexe A jointe au présent contrat intitulée « Description du Traitement » ;

(c) avertir le Responsable de traitement sans délai si, de son point de vue, les instructions de ce dernier contreviennent à la Règlementation en matière de protection des données à caractère personnel ;

(d) informer le Responsable de traitement si le Sous-traitant n’est pas en mesure d’assurer toute conformité à la Réglementation en matière de protection des données à caractère personnel, pour quelque raison que ce soit ;

(e) ne pas divulguer ni permettre la divulgation des Données à caractère personnel à des tiers ;

(f) s’abstenir de modifier, d’amender ou d’altérer le contenu des Données à caractère personnel, excepté avec le consentement préalable du Responsable de traitement ;

(g) sur sa demande, assister le Responsable de traitement à accomplir ses obligations consistant à : fournir aux Personnes concernées les informations exigées par la Règlementation en matière de protection des données à caractère personnel ; répondre aux demandes et aux réclamations des Personnes concernées ; mettre en place des mesures de sécurité appropriées ; signaler toute Violation des Données à caractère personnel à l’autorité de contrôle et/ou, le cas échéant, aux Personnes concernées ; exécuter une évaluation de l’impact sur la protection des Données à caractère personnel ou à consulter, le cas échéant, préalablement l’autorité de contrôle ;

(h) tenir un registre de toutes les catégories d’activités de Traitement exécutées au nom du Responsable de traitement conformément à la Réglementation en matière de protection des données à caractère personnel ;

(i) informer par écrit le Responsable de traitement concernant toute demande reçue directement d’une Personne concernée, et à fournir une assistance raisonnable au Responsable de traitement pour répondre à ladite demande ;

(j) informer le Responsable de traitement (si la loi le permet), par écrit, s’il reçoit un courrier ou une demande d’information provenant d’une autorité de contrôle en relation avec les Données à caractère personnel Traitées par le Sous-traitant dans le cadre de l’exécution du contrat ; fournir, après avoir reçu un tel courrier ou demande, une assistance raisonnable au Responsable de traitement afin de répondre à l’autorité de contrôle ; et fournir son assistance et sa coopération pour assister le Responsable de traitement dans ses démarches destinées à mener les évaluations des risques et audits nécessaires concernant les opérations de Traitement des Données à caractère personnel effectuées par le Sous-traitant ;

(k) en cas de cessation de la relation contractuelle, quelle qu’en soit la cause, supprimer ou anonymiser, l’ensemble des Données à caractère personnel ainsi que l’ensemble des copies de celles-ci qu’il traite, qu’il a traitée ou qui ont été traitées pour le compte de ce dernier, dans un format convenu avec le Responsable de traitement, à moins que la législation locale applicable n’impose leur conservation . La suppression ou l’anonymisation des Données à caractère personnel sera effectuée dans les délais mentionnés en Annexe A.

14.4. Obligations du Responsable de traitement

Dans le cadre du Traitement des Données à caractère personnel relatives aux services, le Client déclare agir en tant que Responsable de traitement et :

(a) qu’il se conforme à la Règlementation en matière de protection des données à caractère personnel et qu’il transmet au Sous-traitant uniquement des instructions conformes au droit applicable ;

(b) qu’il se fonde sur une base juridique valable dans le cadre de la Règlementation en matière de protection des données à caractère personnel pour chaque finalité, incluant le recueil du consentement approprié des Personnes concernées si nécessaire ou tel qu’exigé par ladite Règlementation en matière de protection des données à caractère personnel;

(c) qu’il fournit une information claire et appropriée aux Personnes concernées sur les Traitements de Données personnelles pour les finalités définies aux présentes, dans un délai opportun, et contenant au moins les éléments exigés par la Règlementation en matière de protection des données à caractère personnel ;

(d) qu’il prend des mesures raisonnables pour vérifier que les Données à caractère personnel sont exactes, complètes et mises à jour ; adéquates, pertinentes et limitées au strict nécessaire relativement aux finalités pour lesquelles elles sont traitées ; et qu’elles sont dans une forme permettant d’identifier les Personnes concernées pour une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées, sauf si une période de conservation plus longue est exigée ou permise dans le cadre de la loi applicable ;

(e) qu’il a mis en place des mesures techniques et organisationnelles appropriées pour garantir que les Traitements de Données à caractère personnel sont effectués de façon appropriée, en conformité avec la Règlementation en matière de protection des données à caractère personnel ;

(f) qu’il réponde aux demandes des Personnes concernées qui souhaiteraient exercer leurs droits d’accès, de rectification, d’effacement, de portabilité des données, de limitation du Traitement et d’opposition au Traitement conformément à la Règlementation en matière de protection des données à caractère personnel ;

(g) Qu’il coopère avec le Sous-traitant pour respecter leurs obligations respectives de conformité en application de la Règlementation en matière de protection des données à caractère personnel.

14.5. Mesures de sécurité et de confidentialité

(a) Obligations générales

Le Sous-traitant s’engage à mettre en oeuvre les mesures de sécurité et de confidentialité appropriées sur le plan technique et organisationnel, telles que décrites à l’Annexe B, permettant de garantir la sécurité, la confidentialité et l’intégrité des Données à caractère personnel ; et les mettra régulièrement à jour, de manière à assurer un niveau de sécurité adapté aux risques relatifs au Traitement des Données à caractère personnel et à protéger lesdites données contre tout Traitement non autorisé ou illégal, toute perte accidentelle, altération, destruction ou tout dommage.

(b) Programmes de sensibilisation à la protection et à la confidentialité des Données à caractère personnel

Durant toute la durée d’exécution du contrat, le Sous-traitant s’engage à mettre en oeuvre et à maintenir à jour un programme de sensibilisation de ses collaborateurs relatif à la Règlementation en matière de protection des données à caractère personnel. Le Sous-traitant veillera à ce que les personnes autorisées à avoir accès aux Données à caractère personnel soient correctement sensibilisées à la bonne gestion de la conformité de Traitement desdites données et n’aient accès aux Données à caractère personnel qu’en fonction de la nécessité de les connaître au regard du poste qu’ils occupent et sous réserve que ces derniers soient liés par une obligation de confidentialité.

14.6. Sous-traitants ultérieurs

Le Responsable de traitement accorde par les présentes au Sous-traitant une autorisation générale de recruter tout Sous-traitant ultérieur : ces derniers étant listés en Annexe C.

En cas d’ajout ou de remplacement de tout Sous-traitant ultérieur, par rapport à ceux listés en Annexe C, le Sous-traitant informe le Responsable de traitement et lui donne ainsi la possibilité d’émettre des objections à l’encontre de ces changements.

Le Sous-traitant conclura un contrat avec le Sous-traitant ultérieur par lequel il lui imposera le respect des obligations de même nature que celles auxquelles il est lui-même soumis en vertu du présent contrat.

Cette sous-traitance ultérieure ne dégagera pas le Sous-traitant de ses obligations et de sa responsabilité vis-à-vis du Responsable de traitement dans le cadre de l’exécution du présent contrat. Le Sous-traitant sera responsable de la bonne exécution des opérations de Traitement réalisées par tout Sous-traitant ultérieur et sera tenu responsable de toute action, défaut, négligence et/ou omission de tout Sous-traitant ultérieur dans la même mesure que s’il s’agissait de ses propres actions, défauts, négligences et/ou omissions.

14.7. Transfert international de Données à caractère personnel

(a) Les présentes s’appliquent (i) lorsque le Responsable de traitement est établi dans l’ Union Européenne ou (ii) lorsque le Responsable de traitement, même s’il n’est pas établi dans l’Union Européenne, a recours à des moyens de Traitement dans l’Union Européenne autrement que pour des besoins de transit (flux techniques) des Données à caractère personnel et, à partir du 25 mai 2018, lorsque le Responsable de traitement est établi dans l’Union Européenne ou lorsque des biens ou services sont proposés par le Responsable de traitement aux Personnes concernées dans l’Union européenne ou lorsque le comportement de ces personnes est suivi, dans la mesure où il s’agit d’un comportement qui a lieu dans l’Union Européenne.

(b) Le Sous-traitant ne traitera pas et/ou ne fera pas traiter (y compris par un Sous-traitant ultérieur) des Données à caractère personnel dans un Pays tiers, de quelque manière que ce soit, à moins qu’il ait reçu le consentement préalable, par écrit, du Responsable de traitement.

(c) En particulier, le Sous-traitant s’abstiendra d’héberger ou de sous-traiter l’hébergement des Données à caractère personnel dans un Pays tiers sans le consentement exprès et préalable du Responsable de traitement.

(d) Si cette autorisation spécifique par écrit a été préalablement accordée, le Sous-traitant s’engage à :

(i) soit signer, avec le Responsable de traitement, les clauses contractuelles types encadrant le transfert des données à caractère personnel entre les Responsables du traitement et les Sous-traitants, telles que définies dans la décision de la Commission européenne du 5 février 2010 (C (2010) 593) (ci-après, les « Clauses contractuelles types ») susceptibles d’être ponctuellement amendées ; le sous-traitant respectera les obligations de l’importateur des Données à caractère personnel et le responsable de traitement respectera celles de l’exportateur des Données à caractère personnel, telles que définies par lesdites Clauses contractuelles types ;

Soit mettre en place tout autre mode alternatif permettant de justifier de la mise en oeuvre effective de garanties appropriées (adoption de règles d’entreprises contraignantes, d’un code de conduite contraignant, de mécanismes de certification garantissant le respect de la Règlementation en matière de protection des données à caractère personnel et/ou respect de toute réglementation spécifique du type « Privacy Shield ») pour veiller à assurer un niveau de protection suffisant des Données à caractère personnel ;

(ii) veiller à ce que tout Sous-traitant ultérieur dûment autorisé qui Traite des Données à caractère personnel dans un Pays tiers respecte des obligations de même nature que celles prévues dans les alinéas a) ou b) ci-dessus ; le Sous-traitant s’engage à démontrer que son Sous-traitant ultérieur autorisé respecte ces obligations sur première demande du Responsable de traitement; et

(iii) compléter et maintenir à jour l’Annexe D qui inclut une description des transferts internationaux de Données à caractère personnel approuvés par le Responsable de traitement.

14.8. Violation des Données à caractère personnel

En cas de Violation de Données à caractère personnel, le Responsable de traitement est tenu de notifier la violation en question à l’autorité compétente, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.

Si une Violation des Données à caractère personnel a lieu, le Sous-traitant s’engage à :

(i) Informer par écrit le Responsable de traitement (en envoyant un e-mail à l’adresse mail telle que mentionnée en Annexe E) de la Violation des Données à caractère personnel dans les meilleurs délais et au plus tard dans un délai maximum de 48 heures après en avoir pris connaissance. Cette communication devra contenir au moins les informations suivantes :

  1. la nature de la Violation, y compris si possible les catégories et le nombre approximatif de Personnes concernées par la Violation, et les catégories et le nombre approximatif d’enregistrements de Données à caractère personnel concernés ;
  2. le nom et les coordonnées du délégué à la protection des données à caractère personnel ou autre interlocuteur auprès duquel des informations supplémentaires peuvent être obtenues ;
  3. les conséquences probables de la Violation ; et
  4. les mesures prises ou proposées pour répondre à la Violation, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

(ii) après avoir enquêté sur les causes de la Violation des Données à caractère personnel, prendre toutes les mesures susceptibles d’être nécessaires ou raisonnablement attendues par le Responsable de traitement pour atténuer les conséquences de la Violation ;

(iii) prendre toutes les mesures susceptibles d’être exigées par la Réglementation en matière de protection des données à caractère personnel et plus généralement à fournir au Responsable de traitement une assistance raisonnable en lien avec les obligations du Responsable de traitement consistant à signaler la Violation aux autorités de contrôle et, le cas échéant, aux Personnes concernées par la Violation ;

(iv) tenir un registre de toutes les informations relatives à la Violation, y compris les conclusions de ses propres enquêtes et de celles des autorités ;

(v) coopérer avec le Responsable de traitement et prendre toutes les mesures nécessaires pour prévenir toute Violation ultérieure ;

14.9. Audit

Le Sous-traitant s’engage à fournir, sur demande du Responsable de traitement, toutes les informations nécessaires permettant de démontrer le respect de ses obligations prévues par la présente clause 10 et par la Réglementation en matière de protection des données à caractère personnel.

Sous réserve d’une notification adressée au Sous-traitant avec un préavis de deux semaines, le Responsable de traitement peut, à ses frais, vérifier ou faire vérifier par un organisme tiers le respect par le Sous-traitant de ses obligations en vertu de la présente clause. L’organisme tiers ne peut en aucun cas être un concurrent de TOMBOLASTAR SAS, et les Parties conviendront mutuellement au préalable du périmètre, de la date et de la durée de l’audit qui ne pourra excéder deux jours par an.

Le Sous-traitant permettra la réalisation de l’audit susmentionné, contribuera et assistera le Responsable de traitement (ou tout tiers mandaté par ce dernier) dans son exécution.

Le Sous-traitant donnera au Responsable de traitement ou à tout tiers mandaté par ce dernier accès à ses locaux systèmes d’information et à toute information strictement en lien avec tout traitement objet des présentes pour permettre au Responsable de traitement d’évaluer le respect par le Sous-traitant de ses obligations. Tout accès aux systèmes d’informations du Sous-traitant le sera uniquement en présence d’un collaborateur de la Direction des services Informatiques de ce dernier.

Suite à la remise du rapport d’audit, les Parties se réuniront pour échanger sur les conclusions de celui-ci et décider des recommandations qu’elles jugent opportunes de mettre en oeuvre.

14.10. Traitement par chacune des Parties de Données à caractère personnel de l’autre Partie dans le cadre de la gestion de leur relation d’affaires

Chacune des Parties agit en tant que responsable du traitement de données à caractère personnel de collaborateurs de l’autre Partie identifiés en tant qu’interlocuteurs commerciaux pour les besoins de la gestion de la relation d’affaires, de professionnel à professionnel (BtoB), entre le Client et son prestataire TOMBOLASTAR SAS.

TOMBOLASTAR SAS pourra notamment être amenée à traiter, en qualité de responsable de traitement, certaines données à caractère personnel nécessaires pour gérer la relation commerciale avec le Client, mettre à disposition du Client et des Personnes concernées, sauf opposition de leur part, des informations et des services susceptibles de les intéresser, des enquêtes de satisfaction et pour réaliser des analyses, notamment statistiques, destinées à assurer la qualité et l’excellence opérationnelle des services.

Dans ce contexte, chacune des Parties s’engage à toujours agir et Traiter les Données à caractère personnel en conformité avec la Réglementation en matière de protection des données à caractère personnel. Chacune des Parties accordera aux Personnes concernées tous les droits d’accès, de rectification, de limitation, de portabilité, de suppression et d’opposition pour des motifs légitimes en relation avec les Données à caractère personnel qui peuvent être exercés en envoyant un e-mail aux responsables de la protection des données compétents chez chacune des Parties.

14.11. Responsabilité

Le Sous-traitant sera tenu responsable, en toutes circonstances, de tout manquement par lui et/ou par ses éventuels Sous-traitants ultérieurs à ses obligations en vertu de la présente clause ou de défaut de conformité à la Réglementation en matière de protection des données à caractère personnel.

Le Responsable de traitement pourra, si il l’estime justifié, engager la responsabilité du Sous-traitant afin d’obtenir réparation de tout dommage dont il apportera la preuve qu’il aura été causé par le Sous-traitant ou un Sous-traitant ultérieur.

  1. Droit et Compétence juridictionnelle

Les présentes CGV sont soumises au droit français. Tout litige lié à leur conclusion, leur exécution, leur interprétation ou leur résiliation est de la compétence exclusive du Tribunal de Commerce de Pontoise pour un Client privé ou du Tribunal Administratif dans le ressort duquel est établi le Client pour un Client public.

  1. Acceptation

Le Client reconnait avoir pris connaissance des présentes CGV et les avoir acceptées.

ANNEXES RGPD

ANNEXE RGPD A – DESCRIPTION DES TRAITEMENTS

1) Bons d’achat à la demande. Activités Sociales et Culturelles sur support Papier

Objet et durée du Traitement des Données à caractère personnel Emission et livraison des Bons d’Achat  à la Demande sur support papier ;

Durée du contrat ou de la relation d’affaires entre TOMBOLASTAR SAS et le client ;

Finalité Réception par TOMBOLASTAR SAS du fichier de commande du client ; intégration dans le système d’information de TOMBOLASTAR SAS en vue de la personnalisation des Bons ; émission et livraison des Bons d’Achat à la Demande sur support Papier.
Type de donnes à caractère personnel traitées Nom, Prénom,

Identification de l’employeur,

Adresse postale,

Téléphone,

Email,

Valeur faciale du Bon d’achat,

Catégories de Personnes concernées Salariés, employés du client
Durée de conservation des données – Durée légale de Prescription commerciale (dont les données contractuelles et bancaires) :

5 ans à compter de l’échéance de la relation commerciale (art. L.110-4 C.Co.) ;

– Durée légale de Conservation des documents contractuels et comptables (notamment contrats conclus par voie électronique, documents de commandes, bons de livraisons, factures) :

10 ans à compter de l’échéance de la relation commerciale (à partir de la clôture de l’exercice) ;

– Données de Contact (adresse postale, tél, email) :

3 ans à compter du dernier contact avec la personne (alignement Prospects)

(Délibération Cnil n°2016-264 du 21 juillet 2016) ;

– Pour les données dont la durée de conservation n’est pas régie par un texte, nous procédons à l’anonymisation ou à la destruction des données 12 mois après l’échéance du contrat ou de la relation d’affaires entre TOMBOLASTAR et le Client.

 

2) Bons d’Achat à la Demande  »Incentive » de personnes physiques salariées, employés de tiers sur support Papier

Objet et durée du Traitement des Données à caractère personnel Emission et livraison des Bons d’Achat à la Demande Incentive sur support Papier (Incentive de personnes physiques salariées de tiers) ;

Durée du contrat ou de la relation d’affaires entre TOMBOLASTAR SAS et le client ;

Finalité Réception par TOMBOLASTAR SAS du fichier de commande du client ; intégration dans le système d’information de TOMBOLASTAR SAS en vue de la personnalisation des Bons ; émission et livraison des Bons d’achat Incentive sur support Papier.
Type de donnes à caractère personnel traitées Nom, Prénom,

Identification de l’employeur,

Adresse postale,

Téléphone,

Email,

Valeur faciale du Bon d’achat,

Date et lieu de naissance

Catégories de Personnes concernées Salariés, employés des sociétés incentivées par les clients de TOMBOLASTAR SAS
Durée de conservation des données – Durée légale de Prescription commerciale (dont les données contractuelles et bancaires) :

5 ans à compter de l’échéance de la relation commerciale (art. L.110-4 C.Co.) ;

– Durée légale de Conservation des documents contractuels et comptables (notamment contrats conclus par voie électronique, documents de commandes, bons de livraisons, factures) :

10 ans à compter de l’échéance de la relation commerciale (à partir de la clôture de l’exercice) ;

– Données de Contact (adresse postale, tél, email) :

3 ans à compter du dernier contact avec la personne (alignement Prospects)

(Délibération Cnil n°2016-264 du 21 juillet 2016) ;

3 ans à compter de la clôture du dernier exercice fiscal au cours duquel le NIR a été utilisé (Délai de contrôle URSSAF)

– Pour les données dont la durée de conservation n’est pas régie par un texte, nous procédons à l’anonymisation ou à la destruction des données 12 mois après l’échéance du contrat ou de la relation d’affaires entre TOMBOLASTAR SAS et le Client.

 

3) Bons d’achat Incentive, hors incentive de personnes physiques employés de tiers

Objet et durée du Traitement des Données à caractère personnel Emission et livraison des Bons d’achat Incentive sur support Papier (hors Incentive de personnes physiques salariées de tiers) ;

Durée du contrat ou de la relation d’affaires entre TOMBOLASTAR SAS et le client ;

Finalité Réception par TOMBOLASTAR SAS du fichier de commande du client ; intégration dans le système d’information de TOMBOLASTAR SAS en vue de la personnalisation des Bons ; émission et livraison des Bons d’achat Incentive sur support Papier.
Type de donnes à caractère personnel traitées Nom, Prénom,

Identification de l’employeur,

Adresse postale,

Téléphone,

Email,

Valeur faciale du Bon d’achat,

Catégories de Personnes concernées Employés du client

Personnes physiques non salariées

Durée de conservation des données – Durée légale de Prescription commerciale (dont les données contractuelles et bancaires) :

5 ans à compter de l’échéance de la relation commerciale (art. L.110-4 C.Co.) ;

– Durée légale de Conservation des documents contractuels et comptables (notamment contrats conclus par voie électronique, documents de commandes, bons de livraisons, factures) :

10 ans à compter de l’échéance de la relation commerciale (à partir de la clôture de l’exercice) ;

– Données de Contact (adresse postale, tél, email) :

3 ans à compter du dernier contact avec la personne (alignement Prospects)

(Délibération Cnil n°2016-264 du 21 juillet 2016) ;

– Pour les données dont la durée de conservation n’est pas régie par un texte, nous procédons à l’anonymisation ou à la destruction des données 12 mois après l’échéance du contrat ou de la relation d’affaires entre TOMBOLASTAR SAS et le Client.

 

ANNEXE RGPD B – DESCRIPTION DES MESURES DE SÉCURITÉ ET DE CONFIDENTIALITÉ TECHNIQUES ET ORGANISATIONNELLES

Les mesures organisationnelles et techniques suivantes sont mises en oeuvre afin d’assurer la sécurité, la confidentialité et l’intégrité des données à caractère personnel traitées :

  1. Accès physique aux locaux 

Les locaux ne se trouvent pas au siège de la société et sont installés en France pour des raisons de sécurité et le personnel présent sur place est formé à un démarche de sécurité. L’accès aux locaux est contrôlé afin (i) de s’assurer que toute personne qui y pénètre est dûment autorisée et (ii) d’empêcher toute personne non autorisée d’accéder aux bureaux, équipements & infrastructures informatiques et systèmes d’information. Afin d’y veiller, les moyens suivants ont notamment été mis en place :

– Restriction des voies d’accès avec système d’autorisation et de contrôle des accès des collaborateurs et des tiers (badges personnels, verrouillage automatique des portes etc.) ;

– Personnel d’accueil ;

– Personnel de sécurité et PC Sécurité ;

– Installation d’un système d’alarme.

  1. Accès logique aux systèmes d’information

La mise à disposition d’accès au Système d’Information répond à un processus spécifique nécessitant la validation du responsable hiérarchique et/ou d’une validation supplémentaire du Responsable Sécurité des Systèmes d’Informations.

L’ensemble des accès est régit par une Politique de Sécurité qui énonce les principes clés pour la gestion des identifiants et mots de passe collaborateurs. Elle couvre notamment les points suivants :

– Les identifiants sont personnels et confidentiels et ne peuvent être partagés entre les collaborateurs

– Des politiques de mots de passe assurent le bon niveau de complexité, de rotation et d’historisation ;

– Blocage automatique des accès après plusieurs saisies infructueuses d’un mot de passe ou après un certain temps d’inactivité de la session ;

– Les comptes utilisateurs sont désactivés lors du départ du collaborateur ou en cas de changement de poste ;

– La liste des utilisateurs fait l’objet d’une revue périodique , à minima annuelle, afin notamment d’assurer l’exactitude et la pertinence des accès attribués aux collaborateurs ;

– Les droits d’accès sont définis, mis à jour et maintenus en fonction du principe de ségrégation des tâches.

  1. Gestion des accès, données et environnements

Les données ne doivent être traitées que par les personnes autorisées, et ne doivent pas pouvoir être lues, modifiées ou supprimées sans autorisation. Afin d’y veiller, les moyens suivants ont notamment été mis en place :

– Ségrégation des tâches et des accès ;

– Ségrégation des environnements de production, test et développement ;

– Des copies d’environnements peuvent être ponctuellement réalisées (environnement de production vers environnement de recette ou vers environnement de développement) mais uniquement après exécution des scripts d’assainissement/anonymisation des données, permettant d’assurer la confidentialité et la protection des données de production ;

– L’accès aux données est logué et peut être revu périodiquement ;

– Un processus de « Patch Management » est en place et opérationnel ;

– Des scans de vulnérabilités sont réalisés régulièrement sur l’ensemble du Système d’Information. Les exceptions sont analysées et font l’objet de plans d’actions suivis jusqu’à résolution.

  1. Respect des instructions de traitement des données

Les données ne doivent être traitées qu’en stricte conformité avec les instructions du responsable du traitement. Afin d’y veiller, les moyens suivants ont notamment été mis en place :

– Respect du principe de proportionnalité ;

– Collecte systématique du consentement ;

– Contrat en termes clairs avec tout sous-traitant de données ;

– Transmission des instructions de traitement aux collaborateurs concernés.

  1. Disponibilité des Données

Les données doivent être protégées contre toute atteinte à leur intégrité, destruction accidentelle ou volontaire, ou perte, physique ou logique. Afin d’y veiller, les moyens suivants ont notamment été mis en place :

– Procédures de sauvegarde des données et stockage sur un site distant ;

– Tests de restauration des données à minima annuel ;

– Système d’alimentation électrique de secours (type onduleur) ;

– Systèmes antivirus maintenus à jour avec exécution de scans réguliers ;

– Solution de firewall ;

– Solution IDS/IPS ;

– Plan de reprise d’activité testé annuellement.

  1. Activité contrôlée des collaborateurs et des prestataires

Les collaborateurs et prestataires sont sensibilisés aux sujets de traitement sécurisé et approprié des données. Afin d’y veiller, les moyens suivants ont notamment été mis en place :

– Charte d’utilisation des ressources informatiques ;

– Sensibilisation des collaborateurs à la Sécurité Informatique et à la protection des données ;

– Contrôle du respect des règles de sécurité pour l’ensemble des parties prenantes ;

– Reporting au manager par tout collaborateur qui détecte ou soupçonne une non-conformité ou un problème ;

– Procédures disciplinaires à l’encontre de tout collaborateur qui accèderait consciemment sans autorisation à des données.

  1. Gestion des Incidents et de la continuité de l’activité

Les incidents significatifs sont répertoriés, documentés et font l’objet d’un plan d’actions correctif. Une procédure garantit la continuité de l’activité en cas d’incident de sécurité ou d’interruption de service affectant tout ou partie des systèmes d’information.

La procédure de continuité d’activité fait régulièrement l’objet de tests et est mise à jour si nécessaire afin de maintenir son efficacité.

ANNEXE RGPD C – LISTE DES SOUS-TRAITANTS ULTÉRIEURS Nom et adresse des Sous-traitants ultérieurs Nature du Traitement
EXPLOSEO SARL

R.C.S Sedan 808 205 520

5 rue Jules Lobet 08000 Villers-Semeuse

France

Gestion des TOMBOLAS & Services
La Poste SA

RCS Paris 356 000 000

9 rue du Colonel Pierre Avia

75015 Paris, France

Livraison des Bons d’achat à la demande
OVH France

RCS Lille Métropole 424 761 419 00045

2 rue Kellermann – 59100 Roubaix, France

Hébergement

©2020 TOMBOLASTAR. Tous droits réservés. Site Web réalisé par Exploseo