Annexe relative au Traitement des Données (DPA) OneStock

Dernière mise à jour : 10 décembre 2025

La présente Annexe relative au Traitement des Données, y compris ses annexes (ensemble, le « DPA »), fait partie intégrante du Contrat conclu entre la société OneStock dans le Bon de Commande concerné (« OneStock ) et le client identifié dans le Bon de Commande correspondant (« Client ») faisant référence au présent DPA (le « Contrat »).

Le présent DPA prend effet à compter de la date d’effet du Contrat, ou à la date de signature du dernier Bon de commande par le Client, ou de tout autre accord électronique ou écrit dûment conclu entre les parties.

Traitement des données

Description du traitement. Le type de données à caractère personnel traité en application du présent DPA ainsi que l’objet, la durée, la nature et la finalité du traitement, et les catégories de personnes concernées, sont décrits à l’annexe 1 du présent DPA.

Périmètre et rôles. Les parties reconnaissent et conviennent que, s’agissant du Traitement des Données à Caractère Personnel dans le cadre de la fourniture des Services au titre du Contrat, le Client et/ou ses Affiliés agit en qualité de Responsable du traitement et OneStock en qualité de Sous-traitant.

Obligations du Client. Dans le cadre de son utilisation des Services, le Client traite les Données à Caractère Personnel conformément aux exigences des Lois sur la Protection des Données. Les instructions du Client relatives au Traitement des Données à Caractère Personnel doivent être conformes aux Lois sur la Protection des Données, y compris, le cas échéant, toute obligation d’information des Personnes Concernées concernant le recours à OneStock qualité de Sous-traitant. Le Client est seul responsable de l’exactitude, de la qualité et de la licéité des Données à Caractère Personnel, ainsi que des moyens par lesquels il a collecté ces Données à Caractère Personnel. Le Client s’assure qu’il est habilité à transférer les Données à Caractère Personnel concernées à OneStock que OneStock ses Sous-traitants Ultérieurs puissent utiliser, traiter et transférer licitement ces Données à Caractère Personnel conformément au présent DPA et au Contrat, pour le compte du Client et de ses Affiliés.

Obligations de OneStock. OneStock les Données à Caractère Personnel conformément aux exigences des Lois sur la Protection des Données applicables à l’exécution du présent DPA, notamment :

• OneStock traite les Données à Caractère Personnel qu’en conformité avec le Contrat et le présent DPA. En concluant le Contrat, le Client donne instruction à OneStock traiter les Données à Caractère Personnel aux fins suivantes : (i) Traitement conformément au Contrat, au Bon de Commande applicable et à tout autre accord électronique ou écrit dûment conclu, y compris la mise à jour de la Plateforme et la prévention ou la résolution d’incidents techniques ou de service ; (ii) Traitement initié par les utilisateurs du Client dans le cadre de leur utilisation de la Plateforme ; et (iii) Traitement visant à se conformer à d’autres instructions raisonnables fournies par le Client, lorsque ces instructions sont compatibles avec les stipulations du Contrat. Le présent DPA et le Contrat constituent les instructions documentées du Client à OneStock le Traitement des Données à Caractère Personnel.
• OneStock les Données à Caractère Personnel comme des informations confidentielles et s’assure que toute personne qu’elle autorise à traiter des Données à Caractère Personnel a accepté, ou est soumise à, des obligations de confidentialité similaires à celles auxquelles OneStock engagée au titre du Contrat.
• À la demande du Client et lorsque les lois sur la protection des données l'exigent, OneStock le Client à remplir ses obligations en matière d'analyse d'impact sur la protection des données (lorsque celles-ci sont liées aux Services, et uniquement dans la mesure où le Client n’a pas autrement accès aux informations pertinentes et où ces informations sont disponibles chez OneStock) ainsi que, le cas échéant, dans le cadre des consultations préalables auprès de l’autorité de contrôle compétente au titre du RGPD de l’UE et du RGPD du Royaume-Uni.

Durée

Le présent DPA demeure en vigueur jusqu’à la date la plus tardive entre : (i) l’expiration ou la résiliation du Contrat ; et (ii) la restitution ou la suppression des Données à Caractère Personnel.

Sécurité

Sécurité. OneStock en œuvre et maintient un programme complet de sécurité de l’information visant à protéger les Données à Caractère Personnel contre toute destruction, perte, altération, divulgation non autorisée ou accès non autorisé, accidentel ou illicite, sous réserve que ces mesures soient appropriées au regard : (a) de la taille, du périmètre et de la nature de l’activité de OneStock (b) des ressources dont dispose OneStock (c) de la nature des informations que OneStock ; et (d) des exigences de sécurité et de confidentialité de ces informations (ensemble, les « Mesures de sécurité OneStock ). Les Mesures de sécurité OneStock décrites à l’Annexe 2 du présent DPA. OneStock régulièrement le respect de ces mesures de protection.

Notification des violations. Dans la mesure permise et requise par la loi, OneStock par écrit au Client, sans retard injustifié, après avoir eu raisonnablement connaissance d’une violation de sécurité entraînant la destruction, la perte, l’altération, la divulgation non autorisée de, ou l’accès non autorisé à, des Données à Caractère Personnel (une « Violation de Données à Caractère Personnel »). Cette notification décrira, dans la mesure permise et requise par les lois applicables en matière de protection des données : (a) la nature de la violation des données à caractère personnel, y compris, si cela est connu, les catégories et le nombre approximatif de personnes concernées et de données à caractère personnel concernées ; (b) les mesures prises ou envisagées par OneStock répondre à la Violation de Données à Caractère Personnel et en atténuer les effets ; (c) toute mesure recommandée par OneStock Client afin de traiter la Violation de Données à Caractère Personnel ; et (d) les coordonnées du point de contact de OneStock à la Violation de Données à Caractère Personnel. Si OneStock peut fournir toutes ces informations lors de la notification initiale, elle les transmettra au Client dès qu’elles seront disponibles.

Audit.

• OneStock appel à des auditeurs externes afin de vérifier l’adéquation de ses mesures de sécurité concernant le traitement des données à caractère personnel. Ces audits sont réalisés au moins une fois par an, aux frais de OneStock, par des professionnels indépendants de la sécurité tiers, désignés à la discrétion de OneStock.
• Le Client peut demander un audit de OneStock de vérifier la conformité de OneStock présent DPA si un tel audit est requis par les Lois sur la Protection des Données et si la conformité de OneStock peut être démontrée par des moyens moins contraignants pour OneStock y compris au titre de l’article 3.3.1). Un tel audit ne pourra avoir lieu plus d’une fois par période de douze (12) mois, sauf exigence d’une autorité de contrôle compétente, et sous réserve des conditions suivantes : (1) le Client doit notifier OneStock écrit ; (2) après réception, le Client et OneStock conjointement du périmètre, du calendrier et de la durée de l’audit ainsi que des taux de remboursement à la charge du Client ; (3) tout audit est soumis aux obligations de confidentialité prévues au Contrat ou convenues autrement par écrit ; (4) le Client rembourse à OneStock temps consacré à tout audit sur site aux tarifs de services professionnels alors en vigueur chez OneStock, communiqués au Client sur demande. L’ensemble des taux de remboursement doivent être raisonnables au regard des ressources engagées par OneStock (5) tout audit doit être réalisé pendant les heures ouvrées, par le Client ou par un auditeur tiers indépendant du Client qui n’est pas un concurrent de OneStock, et doit être limité aux données pertinentes pour le Client ; (6) le Client notifiera sans délai OneStock toute non-conformité découverte au cours de l’audit, en fournissant les informations correspondantes.

Sous-traitants ultérieurs

Autorisation des Sous-traitants Ultérieurs. Le Client accorde une autorisation générale écrite : (a) permettant de recourir aux affiliés de OneStock qualité de Sous-traitants ultérieurs ; et (b) autorisant OneStock engager des sous-traitants ultérieurs tiers dans le cadre de la fourniture des Services.

Identification des Sous-traitants Ultérieurs. OneStock une liste à jour des Sous-traitants Ultérieurs disponible à l’adresse www.onestock-retail.com/fr/mentions-legales/subprocessors (la « Liste des Sous-traitants Ultérieurs »). OneStock à jour ladite liste en cas de nouveau Sous-Traitant Ultérieur au moins trente (30) jours avant la date à laquelle ce Sous-Traitant Ultérieur commence le Traitement des Données à Caractère Personnel. La Liste des Sous-traitants Ultérieurs comprend un mécanisme permettant au Client de s’abonner aux notifications relatives aux sous-traitants ultérieurs nouveaux ou de remplacement, notamment par e-mail.

Opposition à un Sous-traitant Ultérieur. Si le Client s’oppose à un nouveau Sous-Traitant Ultérieur, il peut s’opposer à l’utilisation de ce Sous-Traitant Ultérieur par OneStock notifiant OneStock délai par écrit dans un délai de dix (10) jours à compter de la date à laquelle OneStock mis à jour la Liste des Sous-Traitants Ultérieurs. Cette notification doit exposer des motifs raisonnables d’opposition. À réception de cette notification, OneStock des efforts raisonnables afin de proposer au Client une modification des Services ou de recommander une modification commercialement raisonnable de la configuration ou de l’utilisation des Services par le Client, afin d’éviter le Traitement des Données à Caractère Personnel par le Sous-traitant Ultérieur contesté, sans imposer une charge déraisonnable au Client. Si OneStock en mesure de proposer une telle modification dans un délai raisonnable n’excédant pas trente (30) jours, le Client pourra, dans ce délai, résilier avec effet immédiat le(s) Bon(s) de Commande applicable(s), uniquement pour les Services qui ne peuvent être fournis par OneStock recourir au Sous-Traitant Ultérieur contesté, en notifiant OneStock écrit. En cas de résiliation, OneStock au Client les Prix prépayés couvrant la période restant à courir au titre du/des Bon(s) de Commande concerné(s) à compter de la date d’effet de résiliation pour les Services résiliés, sans appliquer de pénalité au Client du fait de cette résiliation.

Exigences applicables aux Sous-traitants Ultérieurs. OneStock avec chaque Sous-Traitant Ultérieur un accord écrit comprenant des obligations de protection des données équivalentes à celles prévues au présent DPA. OneStock responsable des actes et omissions de ses Sous-Traitants Ultérieurs dans le cadre de l’exécution du présent DPA, dans la même mesure que si OneStock directement les Services.

Demandes des personnes concernées

Dans la mesure permise par la loi, OneStock sans délai le Client si OneStock une demande d’une Personne Concernée visant à exercer les droits suivants : accès, rectification, limitation du Traitement, effacement (« droit à l’oubli »), portabilité, opposition au Traitement, ou le droit de ne pas faire l’objet d’une décision individuelle automatisée (chacune, une « Demande de Personne Concernée »). Compte tenu de la nature du Traitement, OneStock le Client par des mesures techniques et organisationnelles appropriées, dans la mesure où cela est raisonnablement possible, afin de permettre au Client de satisfaire à son obligation de répondre à une Demande de Personne Concernée conformément aux Lois sur la Protection des Données applicables. En outre, dans la mesure où le Client ne dispose pas, via son utilisation des Services, de la capacité de répondre à une Demande de Personne Concernée, OneStock en œuvre, à la demande du Client, des efforts commercialement raisonnables pour l’assister dans la réponse à cette demande, dans la mesure où OneStock légalement autorisée à le faire et où la réponse est requise par les Lois sur la Protection des Données applicables.

Restitution et destruction des données

Conformément au Contrat, à la résiliation ou à l’expiration du Contrat, OneStock ou détruira toutes copies des Données Client dans les systèmes de OneStock autrement en sa possession ou sous son contrôle, sauf interdiction légale.

Transferts de données

Instructions. Les parties conviennent que les transferts de données à caractère personnel vers OneStock une décision d’adéquation applicable ne requièrent pas de mécanisme de transfert séparé approuvé. Si un transfert de Données à Caractère Personnel vers OneStock bénéficie pas d’une décision d’adéquation applicable (un « Transfert Restreint »), ce Transfert Restreint est effectué conformément aux stipulations suivantes :

7.1 Transferts restreints depuis l’EEE ou la Suisse. Lorsqu’un transfert restreint est effectué depuis l’EEE ou la Suisse, les CCT sont incorporées par référence au présent DPA et s’appliquent au transfert comme suit :

• Le Module 2 s'applique lorsque le Client est Responsable du traitement et OneStock ;
• à la clause 7 des CCT, la clause optionnelle d’adhésion (« docking clause ») ne s’applique pas ;
• Conformément à la clause 9(a) des CCT, l'option 2 s'applique conformément aux termes de l'article 4 du présent DPA ;
• à la clause 11(a) des CCT, le libellé optionnel ne s’applique pas ;
• à la clause 17 des CCT, l’option 1 s’applique et la loi applicable est le droit français ;
• Conformément à la clause 18(b) des CCT, les litiges seront portés devant les tribunaux de Toulouse (France) ;
• L'annexe 1 des CCT est complétée par les informations figurant à l'annexe 1 du présent DPA ;
• L'annexe 2 des CCT est complétée par les informations figurant à l'annexe 2 du présent DPA ;
• L'annexe 3 des CCT est complétée par les informations figurant dans la liste des sous-traitants ultérieurs.

7.2 Lorsqu’un Transfert Restreint est effectué depuis le Royaume-Uni. L’Addendum britannique aux CCT (« UK Transfer Addendum ») est incorporé par référence au présent DPA et s’applique au transfert comme suit :

• cet addendum est complété par les informations figurant à l’article 7.1.1, la Liste des Sous-Traitants Ultérieurs, et les Annexes 1 et 2 du présent DPA ;
• Les cases « Importer » et « Exporter » sont toutes deux cochées dans le tableau 4.

7.3 Applications spécifiques des CCT. Les stipulations suivantes s’appliquent aux CCT :

• le Client peut exercer ses droits d’audit au titre des CCT conformément à l’article 3.3 du présent DPA ;
• OneStock désigner des Sous-traitants Ultérieurs au titre des CCT conformément à l’article 4 du présent DPA ;
• Concernant les transferts restreints vers OneStock, OneStock peut participer, ni permettre à un sous-traitant ultérieur de participer, à tout transfert restreint ultérieur, sauf si ce transfert ultérieur est effectué en conformité intégrale avec les lois sur la protection des données et conformément aux CCT applicables ou à un mécanisme de transfert alternatif conforme.

Responsabilité

Le présent DPA est soumis aux limitations de responsabilité convenues entre les parties au titre du Contrat (toute référence à la responsabilité d’une partie visant ladite partie et ses Affiliés de manière agrégée).

Dispositions générales

Concernant l’objet du présent DPA, en cas d’incohérence entre les stipulations du présent DPA et celles du Contrat, prévalent (par ordre de priorité) : (i) les CCT ; puis (ii) le présent DPA ; puis (iii) le Contrat.

Le présent DPA est régi et interprété conformément aux stipulations relatives à la loi applicable et à la juridiction compétente prévues au Contrat, sauf exigence contraire des Lois sur la Protection des Données.

OneStock modifier le présent DPA si : (i) la modification est nécessaire afin de se conformer aux lois sur la protection des données ; ou (ii) la modification est commercialement raisonnable, ne réduit pas de manière significative la sécurité des Services, ne modifie pas le périmètre du Traitement des Données à Caractère Personnel effectué par OneStock n’a pas d’impact défavorable significatif sur les droits du Client au titre du présent DPA.

Définitions

Les termes commençant par une majuscule non définis dans le présent DPA ou le Contrat ont la signification suivante :

« Clauses contractuelles types » ou « CCT »: (i) lorsque le RGPD de l’UE ou la loi fédérale suisse sur la protection des données s’applique, les clauses annexées à la décision d’exécution (UE) 2021/914 de la Commission européenne du 4 juin 2021 relatives aux CCT pour le transfert de Données à Caractère Personnel vers des pays tiers au titre du RGPD (les « CCT UE ») ; et (ii) lorsque le RGPD du Royaume-Uni s’applique, les clauses standards de protection des données adoptées ou autorisées au titre de l’article 46 du RGPD du Royaume-Uni (les « CCT UK »).

« Données à caractère personnel »: toute information se rapportant à une personne identifiée ou identifiable qui a été fournie par ou pour le compte du Client à la Plateforme, ou collectée et traitée par ou pour le compte du Client via la Plateforme.

« Lois sur la Protection des Données »: l’ensemble des lois, traités et/ou réglementations locales, étatiques, nationales et/ou étrangères, incluant le RGPD de l’UE et le RGPD du Royaume-Uni, ainsi que les lois et réglementations de Suisse et des États-Unis (et de leurs États), applicables soit : (i) à OneStock son rôle de prestataire de services traitant des données au titre du Contrat, soit (ii) au Client et à ses Affiliés, selon le cas.

« Personne Concernée »: la personne physique identifiée ou identifiable à laquelle se rapportent des Données à Caractère Personnel.

« Responsable du traitement »: l’entité qui détermine les finalités et les moyens du traitement des données à caractère personnel.

« RGPD de l’UE »: le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données).

« RGPD du Royaume-Uni »: le RGPD de l’UE tel qu’intégré dans le droit du Royaume-Uni en vertu de l’article 3 de l’European Union (Withdrawal) Act 2018.

« Sous-traitant »: l’entité qui traite des Données à Caractère Personnel pour le compte du Responsable du traitement.

« Sous-traitant Ultérieur »: tout Sous-traitant engagé par OneStock traiter des Données à Caractère Personnel dans le cadre de la fourniture des Services.

« Traitement »: toute opération ou ensemble d’opérations effectuées sur des Données à Caractère Personnel, par des moyens automatisés ou non, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

ANNEXE 1 — DÉTAILS DU TRAITEMENT

LISTE DES PARTIES

Exportateur de données : le Client

Coordonnées : telles que prévues au Contrat (comprenant le Bon de commande)

Rôle : les parties reconnaissent et conviennent que, s’agissant du Traitement des Données à Caractère Personnel, le Client agit en qualité de Responsable du traitement et OneStock qualité de Sous-traitant.

Importateur de données : OneStock

Coordonnées : telles que prévues au Contrat

Rôle : les parties reconnaissent et conviennent que, s’agissant du Traitement des Données à Caractère Personnel, le Client agit en qualité de Responsable du traitement et OneStock qualité de Sous-traitant.

DESCRIPTION DU TRAITEMENT ET DU TRANSFERT

Catégories de personnes concernées dont les données sont transférées

L’Exportateur de données peut soumettre des Données à Caractère Personnel à la Plateforme de l’Importateur de données dans la mesure déterminée et contrôlée par l’Exportateur de données, limitée aux données relatives aux catégories suivantes :

• salariés, agents, conseillers, prestataires, contractants et travailleurs indépendants de l’Exportateur de données qui sont utilisateurs de la Plateforme (personnes physiques) ;
• clients ou visiteurs du Client provenant d’un site e-commerce ou d’un magasin du Client.

Catégories de données à caractère personnel transférées

L'Exportateur de données peut soumettre des Données à Caractère Personnel à la Plateforme de l'Importateur de données dans la mesure déterminée et contrôlée par l'Exportateur, limitée à :

Pour les utilisateurs de la Plateforme : nom d’utilisateur ; coordonnées ; fonction ; adresse e-mail ; adresse IP ; numéro de téléphone ; adresse postale du magasin d’affectation (le cas échéant).

Pour les clients et visiteurs du Client :

• détails de commande orchestrés via la Plateforme : nom du client ; e-mail ; adresse postale ; téléphone (facultatif) ; informations de facturation et de livraison ; informations d’achat et autres informations de transaction, y compris le statut de la transaction ; message cadeau (facultatif) ;
• préférences de magasin (facultatif) ;
• préférences de profil (facultatif).

Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées tenant pleinement compte de la nature des données et des risques encourus, telles que, par exemple, une limitation stricte des finalités, des restrictions d’accès (notamment un accès réservé aux seuls membres du personnel ayant suivi une formation spécialisée), la tenue d’un registre des accès aux données, des restrictions aux transferts ultérieurs, ou des mesures de sécurité supplémentaires.

Aucune (non autorisées au titre du Contrat).

Fréquence du transfert (c'est-à-dire si les données sont transférées de manière ponctuelle ou continue).

Continuer pendant la durée du Contrat, selon l'utilisation des Services par le Client.

Nature du traitement

OneStock les Données à Caractère Personnel dans le cadre de la fourniture des Services conformément au Contrat.

Finalité(s) du transfert et du traitement ultérieur

Traitement nécessaire à l’exécution des Services conformément au Contrat.

Durée de conservation des Données à Caractère Personnel ou, si celle-ci ne peut être déterminée, les critères utilisés pour fixer cette durée.

OneStock et conservera les Données à Caractère Personnel conformément à l’article 6 du présent DPA (Restitution et destruction des données).

Pour les transferts vers des sous-traitants, préciser également l’objet, la nature et la durée du traitement.

L'objet, la nature et la durée du Traitement sont tels que précisés dans la Liste des Sous-traitants Ultérieurs.

AUTORITÉ DE CONTRÔLE COMPÉTENTE

Identifier l'autorité de contrôle compétente conformément à la clause 13 des CCT

• En ce qui concerne les CCT UE : l'autorité compétente déterminée conformément à la clause 13 des CCT UE ;
• En ce qui concerne les CCT britanniques : « Information Commissioner's Office » (ICO) du Royaume-Uni.

ANNEXE 2 — MESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS LES MESURES TECHNIQUES ET ORGANISATIONNELLES VISANT À ASSURER LA SÉCURITÉ DES DONNÉES

Les mesures de sécurité techniques et organisationnelles sont décrites dans les Conditions générales de sécurité OneStock à la Plateforme, lesquelles sont soit annexées au Contrat, soit à tout autre accord électronique ou écrit dûment conclu entre les parties.