Contactez-nous

Addendum relatif au traitement OneStock

Dernière mise à jour : 3 novembre 2025

Le présent avenant relatif au traitement des données, y compris ses annexes (ci-après dénommés collectivement « l’avenant »), fait partie intégrante du contrat conclu entre la OneStock concernée mentionnée dans le bon de commande correspondant (OneStock) et le client identifié dans ledit bon de commande (« le client ») faisant référence au présent avenant (ci-après dénommé « le contrat »).

Le présent DPA prend effet à la date d'entrée en vigueur du Contrat ou à la signature du dernier Bon de commande par le Client ou de tout autre accord électronique ou écrit signé conjointement par les parties.

1. Traitement des données

1.1 Description du traitement des données. Le type de données à caractère personnel traitées en vertu du présent accord sur le traitement des données (ATD), ainsi que l'objet, la durée, la nature et la finalité du traitement, et les catégories de personnes concernées, sont décrits à l'annexe 1 du présent ATD.

1.2 Champ d'application et rôle. Les parties reconnaissent et conviennent que, s'agissant du traitement des données à caractère personnel dans le cadre de la fourniture des services prévus par le contrat, le Client et/ou ses sociétés affiliées agissent en tant que responsables du traitement, tandis que OneStock sous-traitant.

1.3 Obligations du Client. Dans le cadre de son utilisation des Services, le Client doit traiter les Données à caractère personnel conformément aux exigences des Lois sur la protection des données. Les instructions du Client relatives au traitement des Données à caractère personnel doivent respecter les Lois sur la protection des données, y compris toute obligation applicable d’informer les personnes concernées de l’utilisation de OneStock sous-traitant. Le Client est seul responsable de l'exactitude, de la qualité et de la légalité des Données à caractère personnel, ainsi que des moyens par lesquels il les a obtenues. Le Client doit s'assurer qu'il est habilité à transférer les Données à caractère personnel concernées à OneStock que OneStock ses sous-traitants puissent utiliser, traiter et transférer légalement les Données à caractère personnel conformément au présent ATD et au Contrat, pour le compte du Client et de ses Affiliés.

1.4 Obligations OneStock. OneStock les données à caractère personnel conformément aux exigences des lois sur la protection des données applicables à l'exécution de ses obligations au titre du présent accord, notamment :

  • 1.4.1 OneStock ne OneStock les données à caractère personnel que conformément au Contrat et au présent ATD. En concluant le Contrat, le Client charge OneStock traiter les données à caractère personnel aux fins suivantes : (i) le traitement conformément au Contrat, au Bon de commande applicable et à tout autre accord électronique ou écrit signé par les parties, ce qui inclut la mise à jour de la Plateforme et la prévention ou la résolution de problèmes techniques ou liés au service ; (ii) le traitement initié par les utilisateurs du Client dans le cadre de leur utilisation de la Plateforme ; et (iii) le traitement visant à se conformer à d’autres instructions raisonnables fournies par le Client, lorsque ces instructions sont conformes aux termes du Contrat. Le présent ATD et le Contrat constituent les instructions documentées adressées à OneStock le traitement des données à caractère personnel.
  • 1.4.2 OneStock les données à caractère personnel comme des informations confidentielles et OneStock ce que toute personne qu’ OneStock autorise à traiter ces données ait accepté ou soit soumise à des obligations de confidentialité similaires à celles auxquelles OneStock dans le Contrat.
  • 1.4.3 À la demande du Client et lorsque les lois sur la protection des données l'exigent, OneStock le Client à s'acquitter de ses obligations en matière d'analyses d'impact relatives à la protection des données (dans la mesure où celles-ci concernent les Services, et uniquement dans la mesure où le Client n'a pas accès par ailleurs aux informations pertinentes et dans la mesure où ces informations sont à la disposition de OneStock) et de consultation préalable de l'autorité de contrôle, le cas échéant, en vertu du RGPD de l'UE et du RGPD britannique.

2. Durée

2.1 Le présent accord sur le traitement des données personnelles reste en vigueur jusqu'à la première des deux dates suivantes : (i) l'expiration ou la résiliation du contrat ; et (b) la restitution ou la suppression des données à caractère personnel.

3. Sécurité

3.1 Sécurité. OneStock œuvre et maintiendra un programme complet de sécurité de l'information destiné à protéger les Données à caractère personnel contre toute destruction, perte, altération, divulgation ou accès non autorisés, accidentels ou illicites, à condition que ces mesures soient adaptées (a) à la taille, à la portée et à la nature des activités OneStock; (b) aux ressources dont dispose OneStock; (c) le type d'informations que OneStock ; et (d) le besoin de sécurité et de confidentialité de ces informations (« collectivement, OneStock »). Les Mesures OneStock sont décrites à l'annexe 2 du présent ATD. OneStock régulièrement le respect de ces mesures de protection.

3.2 Notification des violations. Dans la mesure où la loi l'autorise et l'exige, OneStock par écrit et sans retard injustifié le Client dès qu'elle aura raisonnablement pris connaissance d'une violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé, de manière accidentelle ou illicite, à des données à caractère personnel (« violation de données à caractère personnel »). Cette notification, dans la mesure où les lois applicables en matière de protection des données le permettent et l'exigent, décrira (i) la nature de la violation de données à caractère personnel, y compris, si elles sont connues, les catégories et le nombre approximatif de personnes concernées et d'enregistrements de données à caractère personnel concernés ; (b) les mesures OneStock prises ou prévoit de prendre pour répondre à la violation de données à caractère personnel et en atténuer les effets ; (c) toute mesure que OneStock au Client de prendre pour remédier à la violation de données à caractère personnel ; et (d) les coordonnées du point de contact OneStockconcernant la violation de données à caractère personnel. Si OneStock fournir toutes les informations ci-dessus dans la notification initiale, OneStock les OneStock au Client dès qu’elles seront disponibles.

3.3 Audit.
3.3.1 OneStock des auditeurs externes pour vérifier l'adéquation de ses mesures de sécurité en matière de traitement des données à caractère personnel. Ces audits sont réalisés au moins une fois par an, aux frais OneStock, par des professionnels de la sécurité tiers indépendants désignés à la discrétion OneStock.

3.3.2 Le Client peut demander un audit de OneStock vérifier le respect OneStockdes dispositions du présent ATD si un tel audit est requis par la législation en matière de protection des données et si la conformité OneStockne peut être démontrée par des moyens moins contraignants pour OneStock y compris en vertu de la section 3.3.1). Cet audit ne sera pas effectué plus d'une fois par période de 12 mois, sauf si une autorité de contrôle compétente l'exige, et sur la base des exigences suivantes : (1) le Client doit notifier OneStock écrit ; (2) à la réception de cette notification, le Client et OneStock d'un commun accord de la portée, du calendrier et de la durée de l'audit, ainsi que du taux de remboursement dont le Client sera responsable ; (3) tout audit sera soumis aux obligations de confidentialité énoncées dans le Contrat ou convenues par écrit entre les parties ; (4) le Client remboursera OneStock le temps consacré à un tel audit sur site aux tarifs alors en vigueur OneStockpour les services professionnels, qui seront communiqués au Client sur demande. Tous les taux de remboursement doivent être raisonnables, compte tenu des ressources engagées par OneStock; (5) tout audit doit être réalisé pendant les heures normales de travail par le Client ou par un auditeur tiers indépendant du Client qui n’est pas un concurrent de OneStock, et il doit se limiter aux données pertinentes pour le Client ; (6) le Client doit informer sans délai OneStock toute non-conformité constatée au cours d’un audit.

4. Sous-traitants

4.1 Autorisation des sous-traitants. Le Client accorde une autorisation générale écrite permettant (a) de faire appel aux sociétés affiliées OneStocken tant que sous-traitants ; et (b) OneStock faire appel à des sous-traitants tiers dans le cadre de la fourniture des Services.

4.2 Identification des sous-traitants. OneStock à jour une liste des sous-traitants, disponible à l'adresse www.onestock-retail/en/legals/subprocessors/ (la « Liste des sous-traitants »). OneStock à jour la Liste des sous-traitants en y ajoutant tout nouveau sous-traitant ou tout sous-traitant de remplacement devant être désigné au moins trente (30) jours avant la date à laquelle ce nouveau sous-traitant ou ce sous-traitant de remplacement commencera à traiter des données à caractère personnel. La Liste des sous-traitants comprend un mécanisme permettant au Client de s’abonner aux notifications concernant les nouveaux sous-traitants et les sous-traitants de remplacement. Le Client peut s’inscrire pour recevoir une notification par e-mail de ces modifications apportées à la Liste des sous-traitants.

4.3 Objections concernant les sous-traitants. Si le Client s'oppose à un nouveau sous-traitant, il peut s'opposer à OneStockde ce nouveau sous-traitant OneStock OneStock informant OneStock écrit dans les dix (10) jours suivant la date à laquelle OneStock mis à jour sa liste de sous-traitants. Cette notification doit exposer les motifs raisonnables de l'objection. Dès réception de cette notification, OneStock tout en œuvre pour proposer au Client une modification des Services ou recommander une modification commercialement raisonnable de la configuration ou de l'utilisation des Services par le Client, afin d'éviter le traitement des Données à caractère personnel par le nouveau sous-traitant faisant l'objet de l'objection, sans imposer de charge déraisonnable au Client. Si OneStock pas OneStock de mettre en place cette modification dans un délai raisonnable, qui ne doit pas dépasser trente (30) jours, le Client peut, dans ce délai, résilier immédiatement le ou les Bons de commande concernés, uniquement pour les Services qui ne peuvent être fournis par OneStock le recours au nouveau sous-traitant faisant l'objet de l'objection, en adressant une notification écrite à OneStock. À la suite de cette résiliation, OneStock au Client les frais prépayés couvrant la durée restante dudit ou desdits Formulaires de commande à compter de la date d'effet de la résiliation en ce qui concerne les Services résiliés, sans imposer de pénalité au Client pour cette résiliation.

4.4 Exigences applicables aux sous-traitants. OneStock avec chaque sous-traitant un accord écrit prévoyant des obligations en matière de protection des données équivalentes à celles prévues dans le présent ATD. OneStock responsable des actes et omissions de ses sous-traitants commis dans le cadre de l'exécution OneStockdes obligations prévues par le présent ATD, dans la même mesure OneStock si OneStock les Services directement.

5. Demandes des personnes concernées

5.1 OneStock la mesure où la loi le permet, OneStock sans délai le Client si OneStock une demande émanant d’une personne concernée visant à exercer les droits suivants : accès, rectification, limitation du traitement, effacement (« droit à l’oubli »), portabilité des données, opposition au traitement ou droit de ne pas faire l’objet d’une décision individuelle automatisée (chacune de ces demandes étant dénommée ci-après « demande de la personne concernée »). Compte tenu de la nature du traitement, OneStock le Client par des mesures techniques et organisationnelles appropriées, dans la mesure où cela est raisonnablement possible, afin de permettre au Client de s’acquitter de son obligation de répondre à une demande d’une personne concernée en vertu des lois applicables en matière de protection des données. En outre, dans la mesure où le Client, dans le cadre de son utilisation des Services, n’est pas en mesure de traiter une Demande de la personne concernée, OneStock , à la demande du Client, de manière commercialement raisonnable, d’aider le Client à répondre à cette Demande de la personne concernée, dans la mesure où OneStock légalement autorisé à le faire et où la réponse à cette Demande de la personne concernée est requise en vertu des lois applicables en matière de protection des données.

6. Restitution et destruction des données

6.1 Conformément aux dispositions du Contrat, en cas de résiliation ou d’expiration du Contrat, OneStock ou détruira toutes les copies des Données du client présentes dans OneStocksystèmes ou dont OneStocka la possession ou le contrôle, sauf si la loi l’interdit.

7. Transferts de données

Instructions. Les parties conviennent que les transferts de données à caractère personnel vers OneStock relèvent d’une décision d’adéquation applicable ne nécessitent pas de mécanisme de transfert distinct approuvé. Si un transfert de données à caractère personnel vers OneStock ne OneStock pas d’une décision d’adéquation applicable (un « transfert soumis à restriction »), ce transfert est effectué conformément aux dispositions suivantes :

7.1 Lorsqu'un transfert soumis à des restrictions est effectué depuis l'EEE ou la Suisse, les CCT sont intégrées par référence dans le présent accord de traitement des données et s'appliquent au transfert comme suit :

  • 7.1.1 Le module 2 s'applique lorsque le client est le responsable du traitement et OneStock le sous-traitant
  • 7.1.2 Dans la clause 7 des CGC, la clause facultative de réduction du prix ne s'applique pas ;
  • 7.1.3 À l'article 9, point a), des CGC, l'option 2 s'applique conformément aux dispositions de l'article 4 du présent accord sur le traitement des données ;
  • 7.1.4 À l'article 11, point a), des Conditions générales de vente, la formulation facultative ne s'applique pas ;
  • 7.1.5 À l'article 17 des CGV, l'option 1 s'applique, le droit applicable étant celui de la France ;
  • 7.1.6 Conformément à la clause 18(b) des CGV, tout litige sera porté devant les tribunaux de Toulouse, en France ;
  • 7.1.7 L'annexe 1 des CGU est complétée par les informations figurant à l'appendice 1 du présent ATD ;
  • 7.1.8 L'annexe 2 des CGC est complétée par les informations figurant à l'appendice 2 du présent accord sur le traitement des données ;
  • 7.1.9 L'annexe 3 des CCT est complétée par les informations figurant dans la liste des sous-traitants

7.2 Lorsqu'un transfert soumis à des restrictions est effectué depuis le Royaume-Uni, l'avenant relatif aux transferts depuis le Royaume-Uni est intégré par référence au présent accord sur le traitement des données et s'applique au transfert comme suit :

  • 7.2.1 L'avenant britannique est complété par les informations figurant à la section 7.1.1, la liste des sous-traitants, ainsi que les annexes 1 et 2 du présent accord de traitement des données ;
  • 7.2.2 Les options « Importateur » et « Exportateur » sont toutes deux sélectionnées dans le tableau 4

7.3 Applications spécifiques des CGC. Les conditions suivantes s'appliquent aux CGC :

  • 7.3.1 Le client peut exercer ses droits de contrôle prévus par les CCT, conformément à la section 3.3 du présent ATD
  • 7.3.2 OneStock désigner des sous-traitants auxiliaires conformément aux clauses contractuelles types (SCC) prévues à la section 4 du présent accord de traitement des données
  • 7.3.3 En ce qui concerne les transferts soumis à des restrictions effectués vers OneStock, OneStock ni participer à un transfert soumis à des restrictions ultérieur, ni autoriser un sous-traitant secondaire à y participer, à moins que ce transfert ultérieur ne soit effectué en totale conformité avec les lois sur la protection des données et conformément aux clauses contractuelles types applicables ou à un autre mécanisme de transfert conforme à la loi.

8. Responsabilité

8.1 Le présent accord sur le traitement des données est soumis aux limitations de responsabilité convenues entre les parties (toute référence à la responsabilité d'une partie désignant cette partie et l'ensemble de ses sociétés affiliées) en vertu du contrat.

9. Généralités

  • 9.1 En ce qui concerne l'objet du présent accord sur le traitement des données, en cas de contradiction entre les dispositions du présent accord et celles du contrat, les dispositions des documents suivants prévaudront (par ordre de priorité) : les clauses contractuelles types de l'UE ; puis le présent accord sur le traitement des données ; et enfin le contrat.
  • 9.2 Le présent accord sur le traitement des données sera régi et interprété conformément aux dispositions relatives au droit applicable et à la juridiction compétente figurant dans le contrat, sauf disposition contraire prévue par la législation en matière de protection des données.
  • 9.3 OneStock modifier le présent ATD lorsque (i) cette modification est nécessaire pour se conformer à la législation en matière de protection des données ; ou (ii) cette modification est commercialement raisonnable, ne réduit pas de manière significative la sécurité des Services, ne modifie pas la portée du traitement des Données à caractère personnel OneStocket n’a pas d’incidence négative significative sur les droits du Client en vertu du présent ATD.

10. Définitions

Les termes en majuscules qui ne sont pas définis dans le présent ATD ou dans le Contrat ont la signification suivante :

  • 10.1 Le terme « responsable du traitement » désigne l'entité qui détermine les finalités et les moyens du traitement des données à caractère personnel
  • 10.2 Le terme « sous-traitant » désigne l'entité qui traite des données à caractère personnel pour le compte du responsable du traitement
  • 10.3 Le terme « lois sur la protection des données » désigne l'ensemble des lois, traités et/ou réglementations locaux, régionaux, nationaux et/ou étrangers, y compris le RGPD de l'UE et le RGPD britannique, ainsi que les lois et réglementations de la Suisse, des États-Unis et de leurs États, applicables soit : (i) à OneStock sa qualité de prestataire de services traitant des données dans le cadre du Contrat, soit (ii) au Client et à ses sociétés affiliées, selon le cas
  • 10.4 Le terme « personne concernée » désigne la personne physique identifiée ou identifiable à laquelle se rapportent les données à caractère personnel
  • 10.5 « RGPD de l'UE » désigne le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
  • 10.6 Le terme « données à caractère personnel » désigne toute information relative à une personne identifiée ou identifiable qui a été fournie par le Client ou pour son compte à la Plateforme, ou qui a été collectée et traitée par le Client ou pour son compte via la Plateforme
  • 10.7 Le terme « traitement » désigne toute opération ou ensemble d'opérations effectuées sur des données à caractère personnel, par des moyens automatisés ou non, telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, le verrouillage, l'effacement ou la destruction
  • 10.8 Le terme « clauses contractuelles types » ou « SCC » désigne (i) lorsque le RGPD de l’UE ou la loi fédérale suisse sur le traitement des données s’applique, les clauses contractuelles annexées à la décision d’exécution 2021/914 de la Commission européenne du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu du règlement (UE) 2016/679 du Parlement européen et du Conseil (« SCC de l'UE ») ; et (ii) lorsque le RGPD britannique s'applique, les clauses types de protection des données adoptées conformément à l'article 46 du RGPD britannique ou autorisées en vertu de celui-ci (« SCC britanniques »)
  • 10.9 Le terme « sous-traitant » désigne tout sous-traitant engagé par OneStock traiter des données à caractère personnel dans le cadre de la prestation des services
  • 10.10 Le terme « RGPD britannique » désigne le RGPD de l'UE tel qu'il a été transposé dans le droit britannique en vertu de l'article 3 de la loi britannique de 2018 sur le retrait de l'Union européenne.

ANNEXE 1 : DÉTAILS DU TRAITEMENT

A. LISTE DES PARTIES

Exportateur de données Le client
Coordonnées conformément aux dispositions du Contrat (y compris le Bon de commande)
Rôle d'exportateur de données Les parties reconnaissent et conviennent qu'en ce qui concerne le traitement des données à caractère personnel, le Client agit en tant que responsable du traitement et OneStock sous-traitant
Outil d'importation de données OneStock
Coordonnées prévues dans l'accord
Rôle d'importateur de données Les parties reconnaissent et conviennent qu'en ce qui concerne le traitement des données à caractère personnel, le Client agit en qualité de responsable du traitement et OneStock sous-traitant

B. DESCRIPTION DU TRAITEMENT ET DU TRANSFERT DES DONNÉES

Catégories de personnes concernées dont les données à caractère personnel sont transférées

L'Exportateur de données peut transmettre des données à caractère personnel à la Plateforme de l'Importateur de données dans la mesure déterminée et contrôlée par l'Exportateur de données, lesquelles se limiteront aux données à caractère personnel relatives aux catégories suivantes de personnes concernées :

les employés, agents, conseillers, sous-traitants et travailleurs indépendants de l'exportateur de données qui sont des utilisateurs de la plateforme (à savoir des personnes physiques)

Les clients ou les visiteurs du site de commerce électronique du Client ou de son magasin
Catégories de données à caractère personnel transférées

L'exportateur de données peut soumettre des données personnelles à la plateforme de l'importateur de données dans la mesure déterminée et contrôlée par l'exportateur de données, qui sera limitée à :

Pour les utilisateurs de la plateforme : nom d'utilisateur ; coordonnées ; fonction ; adresse e-mail ; adresse IP ; numéro de téléphone ; adresse postale du magasin qui leur a été attribué (le cas échéant)

À l'attention des clients et des visiteurs du Client :

  • Détails de la commande gérés via la plateforme : nom du client ; adresse e-mail ; adresse postale ; numéro de téléphone (facultatif) ; informations de facturation et de livraison ; informations relatives à l'achat et aux autres transactions, y compris le statut de la transaction ; message d'accompagnement (facultatif)
  • Préférence du magasin (facultatif)
  • Préférences du profil (facultatif)
Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, telles que, par exemple, une limitation stricte de la finalité, des restrictions d'accès (y compris l'accès réservé au personnel ayant suivi une formation spécialisée), la conservation d'un registre des accès aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires. Aucun (non autorisé en vertu de l'accord)
La fréquence du transfert (c'est-à-dire si les données sont transférées de manière ponctuelle ou continue) Continu pendant toute la durée du Contrat, en fonction de l'utilisation des Services par le Client
Nature du traitement OneStock les Données personnelles dans le cadre de la fourniture des Services conformément aux termes du Contrat.
Finalité(s) du transfert et du traitement ultérieur des données Traitement nécessaire à l'exécution des Services conformément au Contrat
La durée pendant laquelle les données à caractère personnel seront conservées ou, si cela n'est pas possible, les critères utilisés pour déterminer cette durée. OneStock et conservera les données à caractère personnel conformément à la section 6 du présent ATD (Restitution et destruction des données à caractère personnel).
Pour les transferts vers des sous-traitants, précisez également l'objet, la nature et la durée du traitement. L'objet, la nature et la durée du traitement sont ceux spécifiés dans la liste des sous-traitants.

C. AUTORITÉ DE CONTRÔLE COMPÉTENTE

Identifier le ou les superviseurs compétents conformément à la clause 13 des SCC.
  • En ce qui concerne les clauses contractuelles types de l'UE, désigne l'autorité de contrôle compétente désignée conformément à la clause 13 des clauses contractuelles types de l'UE
  • En ce qui concerne les clauses contractuelles types britanniques, il s'agit du Bureau du commissaire à l'information du Royaume-Uni

ANNEXE 2 : MESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS LES MESURES TECHNIQUES ET ORGANISATIONNELLES VISANT À ASSURER LA SÉCURITÉ DES DONNÉES

Les mesures de sécurité techniques et organisationnelles sont définies dans les Conditions générales OneStock applicables à la Plateforme, qui sont jointes au Contrat ou à tout autre accord électronique ou écrit signé par les Parties.

L'Order Management System de référence.
Pour les marques qui font des promesses ambitieuses à leurs clients et qui les tiennent.
Réserver une démo