Addenda sur le traitement des données par Shopify

Le présent Addenda sur le traitement des données par Shopify (« Addenda ») modifie les Conditions de service de Shopify et toute autre condition générale qui incorpore par renvoi le présent Addenda (ensemble, l’« Accord ») conclues entre vous et Shopify Inc., une société canadienne sise au 151 O’Connor Street, Ground floor, Ottawa (Ontario), K2P 2L8, en son nom et en celui de sa filiale singapourienne Shopify Commerce Singapore Pte. Ltd., et de sa filiale irlandaise Shopify International Ltd. (collectivement nommées « Shopify » ci-après).

  1. Définitions

    1. La « Législation européenne sur la protection des données personnelles » comprend le règlement (UE) 2016/679 (le « Règlement général sur la protection des données »), la loi britannique sur la protection des données de 2018 (le « DPA »), le règlement général britannique sur la protection des données tel que défini par le DPA et modifié par les règlements de 2019 sur la protection des données, le respect de la vie privée et les communications électroniques (modification, etc.) (sortie de l’UE) (Data Protection, Privacy and Electronic Communications [Amendments, etc.] [EU Exit] Regulations 2019) (dénommés ensemble avec le DPA, le « RGPD britannique »), ainsi que tout statut, loi, règlement, règle ou autre instrument contraignant pertinent mettant en œuvre ce qui précède ou qui concerne la protection des données, la vie privée ou le traitement des données personnelles au sein d’un État membre de l’Union européenne ou du Royaume-Uni, dans chaque cas tel qu’applicable et en vigueur, et tel qu’amendé, que consolidé, promulgué à nouveau ou remplacé à tout moment.

    2. Les « Données personnelles » doivent être interprétées conformément à la Législation européenne et la Législation américaine sur la protection des données personnelles, selon le cas, et se rapporter à une personne identifiable ou identifiée qui visite votre boutique ou effectue une transaction sur celle-ci (un « Client »). Shopify traite ces données en tant que sous-traitant des données ou fournisseur de services (tels que définis par ces lois) dans le cadre des Services qu’elle vous fournit en tant que responsable du traitement des données ou entreprise (tels que définis par ces lois). Le terme « Données personnelles » inclut également les « Informations personnelles », telles que définies par la législation américaine sur la protection des données personnelles. Nonobstant la phrase qui précède, les Données personnelles ne comprennent pas d’information que Shopify traite dans le contexte des services qu’elle fournit directement à un client, par exemple au moyen de ses applications destinées aux consommateurs, notamment Shop et Shop Pay.

    3. La « Législation américaine sur la protection des données personnelles » comprend le California Consumer Privacy Act, tels qu’amendé par le California Privacy Rights Act (le « CCPA »), le Virginia Consumer Data Protection Act (le « VCDPA »), le Colorado Privacy Act (le « CPA »), l’Utah Consumer Privacy Act (« l’UCPA »), le Connecticut Act Concerning Personal Data Privacy and Online Monitoring (le « CTDPA ») et toute autre loi étatique complète similaire qui impose des obligations en lien avec les Données personnelles (telles que définies par ces lois) à une entreprise ou un responsable du traitement des données ou tout autre règlement, règle ou instrument contraignant pertinent qui met en œuvre de telles lois, dans chaque cas tel qu’applicable et en vigueur, et tel qu’amendé, que consolidé, promulgué à nouveau ou remplacé à tout moment.

    4. « Consommateur des États-Unis » se réfère à un individu qui est un « consommateur », tel que défini par la Législation américaine sur la protection des données personnelles.

    5. Tous les autres termes utilisés dans le présent Addenda auront la même définition que dans l'Accord.

  2. Détails du traitement

    1. Les parties conviennent que l’Annexe 1 du présent Addenda décrit l’objet et les détails du traitement des Données personnelles. Shopify peut être amenée à rassembler, anonymiser ou désidentifier des Données personnelles et traiter ces données pour les finalités fixées dans l’Annexe 1 ou dans la mesure où la législation applicable le permet. Étant donné que Shopify reçoit des données vous concernant qui ont été dépersonnalisées (comme défini dans la section 5.1 de cet Addenda), Shopify conservera et utilisera ces données uniquement sous forme dépersonnalisée.

  3. Union européenne et Royaume-Uni

    1. Cette section s’applique uniquement dans la mesure où le traitement des données personnelles de Shopify est soumis à la Législation européenne sur la protection des données personnelles. Dans cette section, le « Sous-traitant des données (Data Processor) », le « Responsable du traitement des données (Data Controller) », la « Personne concernée (Data Subject) », le « Traitement (Processing) », le « Sous-traitant ultérieur (Subprocessor) » et l’« Autorité de contrôle (Supervisory Authority) » doivent être interprétés conformément à la législation européenne sur la protection des données personnelles.

    2. Vous reconnaissez que Shopify agit en tant que Responsable du traitement des données indépendant en ce qui a trait aux Données à caractère personnel qu’elle recueille auprès des consommateurs dans le cadre de ses applications et services destinés aux consommateurs, tels que Shop et Shop Pay ;

    3. Lorsqu’une Personne concernée est située dans l’Espace économique européen ou le Royaume-Uni, ses données à caractère personnel sont traitées par la filiale irlandaise de Shopify, Shopify International Ltd (« Shopify EU »). Dans le cadre de la prestation de services, ces Données à caractère personnel peuvent être transférées vers d’autres régions, y compris le Canada et les États-Unis. Ces transferts seront effectués conformément à la Législation sur la protection des données.

    4. Lorsque Shopify EU traite des données à caractère personnel dans le cadre de la prestation de services :

      1. Shopify EU traitera les Données à caractère personnel en tant que Sous-traitant des données et/ou Fournisseur de services, uniquement dans le but de fournir les Services conformément à vos instructions documentées (à condition que ces instructions soient adaptées aux fonctionnalités des Services) et dans la mesure où vous y consentez ultérieurement. Si Shopify EU est légalement tenue de traiter les Données à caractère personnel à toute autre fin, Shopify EU vous en informera au préalable, sauf si la loi le lui interdit ;

      2. Dans le cadre de la prestation de services, Shopify EU transfère les Données à caractère personnel à votre demande à MaxMind, un service de détection des fraudes qui les traite pour vous fournir des évaluations de risque dans le but de vous aider à éviter les transactions frauduleuses. À ce titre, l’entreprise MaxMind agit en tant que Responsable du traitement des données indépendant en ce qui a trait à la totalité des Données à caractère personnel des clients qu’elle est susceptible de traiter, et nous ne sommes pas responsables de la manière dont elle traite lesdites données. Vous pourrez trouver des informations supplémentaires sur les pratiques de MaxMind en matière de confidentialité à l’adresse suivante : www.maxmind.com/en/privacy-policy ;

      3. Shopify EU vous informera si, de l’avis de Shopify EU, vos instructions pour le traitement des Données à caractère personnel enfreignent la Législation européenne sur la protection des données ;

      4. Shopify EU vous informera rapidement, dans la mesure permise par la loi, à la suite d’une demande d’informations ou d’une plainte émanant d’une Autorité de contrôle en rapport avec le Traitement des Données à caractère personnel par Shopify EU ;

      5. Shopify EU mettra en œuvre des mesures techniques et organisationnelles raisonnables vous permettant d’exécuter les demandes en lien avec les Données personnelles de vos Clients auxquelles vous êtes tenu(e) de répondre ;

      6. Shopify mettra en œuvre et maintiendra des mesures techniques et organisationnelles appropriées pour protéger les Données à caractère personnel contre tout traitement non autorisé ou illégal et contre toute perte, destruction, dommage, vol, altération ou divulgation. Ces mesures doivent être adaptées au préjudice pouvant résulter de tout traitement non autorisé ou illégal, de la perte, de la destruction, du dommage ou du vol de Données à caractère personnel, et adaptées à la nature des Données à caractère personnel à protéger ;

      7. Shopify EU fournira, sur demande, des informations raisonnables pour vous aider à remplir vos évaluations d’impact sur la protection des données et à effectuer vos consultations préalables avec les autorités réglementaires ;

      8. Shopify EU vous fournira, sur demande, des attestations, des rapports ou des extraits à jour, lorsqu’ils sont disponibles, provenant d’une source chargée de vérifier les pratiques de protection des données de Shopify EU (p. ex. auditeurs externes, audit interne, auditeurs en matière de protection des données), ou des certifications appropriées pour vous permettre d’évaluer le respect des conditions de cet Addenda ;

      9. Shopify vous informera rapidement après avoir pris connaissance et confirmé tout traitement, toute divulgation ou tout accès accidentels, non autorisés ou illégaux affectant des Données à caractère personnel ;

      10. Shopify EU veillera à ce que son personnel qui accède aux Données personnelles respecte les obligations de confidentialité ; et

      11. Shopify EU lancera rapidement, après la résiliation de l’Accord, son processus de suppression en vue de supprimer ou de rendre anonymes les Données à caractère personnel. Vous pouvez aussi demander que Shopify vous renvoie ces Données à caractère personnel dans les 60 jours suivant la résiliation.

    5. Dans le cadre de la fourniture des services, vous reconnaissez et donnez votre autorisation écrite à Shopify EU par la présente d’utiliser des Sous-traitants ultérieurs, listés en ligne à l’adresse suivante : Les sous-traitants ultérieurs de Shopify (« liste des Sous-traitants ultérieurs »), de traiter des Données personnelles. Le recours de Shopify EU à un Sous-traitant ultérieur spécifique pour traiter des Données personnelles doit respecter la Législation européenne sur la protection des données et être régi par un contrat entre Shopify EU et le Sous-traitant ultérieur qui impose des protections comparables à celles du présent Addenda sur le traitement des données. Dans le cas où Shopify EU désignerait un nouveau Sous-traitant ultérieur ou aurait l’intention d’apporter des changements concernant l’ajout ou le remplacement des Sous-traitants ultérieurs, ces changements seront apportés à notre liste des Sous-traitants ultérieurs. À partir de la date de mise à jour de notre liste des Sous-traitants ultérieurs, vous aurez sept (7) jours pour vous opposer à ce changement. Si vous vous opposez à ce qu’un Sous-traitant ultérieur soit désigné, vous pouvez mettre fin au présent accord, conformément à l’Accord et à votre Accord Shopify Plus, le cas échéant.

    6. Vous garantissez que vous avez respecté et continuez de respecter la Législation européenne sur la protection des données, en particulier, vous avez obtenu les consentements nécessaires ou avez un motif légitime de divulguer des données à Shopify EU et d’autoriser le traitement des données personnelles par Shopify EU, conformément au présent Accord.

  4. Consommateurs des États-Unis

    1. Cette section s’applique uniquement dans la mesure où, aux fins de la Législation américaine sur la protection des données, vous êtes une entreprise ou un responsable du traitement des données et, dans le cadre de la fourniture de services, Shopify traite des données personnelles concernant des Consommateurs des États-Unis qui sont soumis à la Législation américaine sur la protection des données personnelles. Dans cette section, les termes « Entreprise (Business) », « Objectif d’affaires (Business Purpose) », « Finalité commerciale » (Commercial Purpose), « Responsable du traitement des données (Controller) », « Dépersonnalisées (Deidentified) », « Sous-traitant des données (Processor) », « Vendre (Sell) », « Vente (Sale) », « Fournisseur de services (Service Provider) » ont le sens qui leur est attribué dans la Législation américaine sur la protection des données personnelles et le terme « Partage (Share) » a le sens qui lui est attribué dans le CCPA. Ces termes sont incorporés par la présente par renvoi.

    2. Concernant lesdites Données personnelles et dans la mesure requise par la Législation américaine sur la protection des données personnelles :

      1. Shopify traitera les Données personnelles en tant que Fournisseur de service et/ou Sous-traitant des données en votre nom pour fournir les services ou dans la mesure où la Législation américaine sur la protection des données personnelles le permet ;

      2. Shopify ne conservera, n’utilisera ou ne divulguera pas de Données personnelles en dehors de ses relations commerciales directes avec vous ou pour toute autre finalité que la prestation de Services, y compris la conservation, l’utilisation ou la divulgation de telles Données personnelles pour une finalité commerciale autre que celle d’accomplir les objectifs d’affaires décrit dans l’Accord ou dans la mesure où la Législation américaine sur la protection des données personnelles le permet ;

      3. Shopify ne vendra pas et ne partagera pas de telles Données personnelles ;

      4. Shopify n’associera pas de Données personnelles collectées dans le cadre de la prestation de Services avec des Données personnelles provenant d’une autre source ou recueillies à partir de ses propres interactions avec la personne, sauf dans le cadre de la prestation de Services avec le consentement ou suivant la directive, ou dans la mesure où la Législation américaine sur la protection des données personnelles le permet ;

      5. Shopify se conformera, dans le cadre du traitement de Données personnelles, aux dispositions de la Législation américaine sur la protection des données applicable aux Fournisseurs de services ou aux Sous-traitants des données, y compris en apportant le niveau de confidentialité requis par la Législation américaine sur la protection des données personnelles aux Entreprises et aux Responsables du traitement des données et en vous avertissant lorsqu’elle estime ne plus pouvoir répondre à ces obligations. Vous pouvez, dès réception d’une telle notification, prendre des mesures raisonnables et appropriées pour mettre fin et remédier à toute utilisation non autorisée de vos Données personnelles par Shopify ;

      6. Shopify engagera uniquement des sous-traitants pour le traitement des Données personnelles en son nom et en vertu d’un contrat écrit qui impose des protections comparables à celles du présent Addenda sur le traitement des données. Dans le cadre de la prestation de Services, vous reconnaissez et donnez, par la présente, votre autorisation écrite à Shopify de faire appel à des sous-traitants, listés en ligne à l’adresse suivante : Les sous-traitants ultérieurs de Shopify (« Liste des Sous-traitants ultérieurs »), pour traiter des Données personnelles. Le recours de Shopify à un Sous-traitant ultérieur spécifique doit respecter la Législation américaine sur la protection des données personnelles et être régi par un contrat entre Shopify et le Sous-traitant ultérieur qui impose des protections comparables à celles du présent Addenda sur le traitement des données. Dans le cas où Shopify désignerait un nouveau sous-traitant ou aurait l’intention d’apporter des changements concernant l’ajout ou le remplacement des sous-traitants, ces changements seront apportés à notre liste des sous-traitants ultérieurs. À partir de la date de mise à jour de notre liste des Sous-traitants ultérieurs, vous aurez sept (7) jours pour vous opposer au changement. Si nous ne recevons pas de réponse de votre part, le changement sera considéré comme accepté. Si vous vous opposez à ce qu’un Sous-traitant soit désigné, vous pouvez mettre fin au présent accord, conformément à l’Accord et à votre Accord Shopify Plus, le cas échéant.

      7. Shopify prendra des mesures raisonnables et appropriées, sur notification écrite de votre part, sous réserve des obligations de confidentialité énoncées dans cet Accord, pour vous aider à confirmer que l’utilisation que Shopify fait des Données personnelles respecte vos obligations conformément à la Législation américaine sur la protection des données personnelles ;

      8. Shopify fournira, sur demande, un rapport d’une évaluation raisonnable des politiques et des mesures techniques et organisationnelles de Shopify pour honorer ses obligations en vertu de la Législation américaine sur la protection des données personnelles, en utilisant une norme ou un cadre de contrôle et une procédure d’évaluation appropriés et acceptés pour ces évaluations ; et

      9. Shopify lancera rapidement, après la résiliation de l’Accord, son processus de suppression en vue de supprimer ou d’anonymiser les Données à caractère personnel. Vous pouvez aussi demander que Shopify vous renvoie ces Données à caractère personnel dans les 60 jours suivant la résiliation.

    3. Vous déclarez et garantissez que vous :

      1. avez obtenu les consentements, les droits et les autorisations nécessaires et que vous avez notifié, lorsque cela était nécessaire, les personnes concernant la divulgation des Données personnelles à Shopify afin d’autoriser Shopify à traiter les Données personnelles dans le cadre de la prestation de Services, comme cela est requis par la loi ;

      2. ne communiquerez à Shopify aucune Donnée personnelle d’une personne soumise à la Législation américaine sur la protection des données personnelles qui a refusé le traitement de ses Données personnelles et pour laquelle vous avez pris un engagement de respecter ce refus ;

      3. ne communiquerez à Shopify aucune donnée sensible appartenant à un Consommateur des États-Unis qui n’a pas consenti au traitement de ses données sensibles ;

      4. informerez Shopify de toute demande en matière de droits qui vous sera adressée en vertu de la Législation américaine sur la protection des données personnelles que Shopify doit respecter et fournirez les informations nécessaires pour que Shopify puisse accéder à ces demandes ; et

      5. serez entièrement responsable de la conformité de vos actes à ces lois.

    4. Vous et Shopify convenez que l’existence de cet Addenda ne constitue pas une admission que le partage des Données personnelles constitue une Vente ou un Partage.

  5. Généralités

    1. En cas de conflit ou d’incohérence entre les dispositions de l’Accord et le présent Addenda, les dispositions du présent Addenda prévaudront, à moins que ces dispositions contredisent une exigence d’une loi applicable, auquel cas c’est cette exigence qui s’applique. Pour éviter tout doute et dans la mesure permise par la loi en vigueur, toutes les responsabilités en vertu du présent Addenda, y compris les limitations, seront régies par les dispositions pertinentes de l’Accord. Vous reconnaissez et acceptez que Shopify puisse modifier le présent Addenda à tout moment en affichant cet Addenda modifié et reformulé sur le site web de Shopify, disponible à l’adresse Addenda sur le traitement des données par Shopify. Ces modifications entrent en vigueur à compter de la date de publication. Votre utilisation continue des Services après la publication de l’Addenda modifié sur le site web de Shopify constitue votre acceptation de l’Addenda modifié. Si vous n’acceptez pas une quelconque modification de l’Addenda, cessez d’utiliser le Service.

    2. Sauf modifications spécifiques apportées au présent Addenda, toutes les conditions, dispositions et exigences contenues dans l'Accord resteront pleinement en vigueur et régiront le présent Addenda. Si une disposition de l'Addenda est jugée illégale ou inapplicable au cours d'une procédure judiciaire, elle sera dissociée et sans effet, et le reste du présent Addenda restera applicable et liera les parties.

    3. Les conditions du présent Addenda doivent être régies et interprétées conformément aux lois de la province de l'Ontario et aux lois du Canada qui s'y appliquent, sans égard pour les conflits de lois. Les parties se soumettent de manière irrévocable et inconditionnelle à la juridiction exclusive des tribunaux de la province de l'Ontario en ce qui concerne tout litige ou toute réclamation découlant du présent Addenda.

    6. Annexe 1 : détails du traitement

    Nature et finalité du traitement : fournir et améliorer les Services en vertu des Conditions de service de Shopify et de toute autre condition que cet Addenda incorpore, fournir toute assistance au Client ou dans la mesure permise par la Législation européenne sur la protection des données ou par la Législation américaine sur la protection des données personnelles, le cas échéant, ou à votre initiative à tout moment.

    Objet, Types de Données personnelles et Catégories de Personnes concernées : données personnelles concernant des Clients.

    Durée du traitement : la durée de cet Addenda, plus la période à partir de la fin de cette durée jusqu’à la suppression de l’ensemble des Données personnelles des Clients par Shopify conformément à ses obligations en vertu de cet addenda.