Addenda sur le traitement des données par Shopify

Nous mettons à jour notre Addenda sur le traitement des données à compter du 25 juillet 2025. Cliquez ici pour en savoir plus sur ces changements.
Entrée en vigueur : 25 juillet 2025

Addenda sur le traitement des données par Shopify

I. OBJECTIF

Le présent Addenda sur le Traitement des Données par Shopify (« ATD ») complète et est incorporé par renvoi aux Conditions de service de Shopify, ainsi qu’à toute condition applicable aux services supplémentaires de Shopify que vous choisissez d’utiliser (les « Conditions ») entre Vous (ou « Marchand ») et l’entité contractante de Shopify telle que définie dans les Conditions (« Shopify »), qui décrivent les objectifs commerciaux spécifiques et les services liés au présent ATD. En cas de conflit entre ces Conditions et l’ATD, ce dernier prévaudra en ce qui concerne le traitement des Données personnelles de Vos Clients, tel que défini ci-dessous.

Vous et Shopify (chacun étant une « Partie », ensemble les « Parties ») convenez que le présent ATD définit les obligations des Parties régissant le traitement des Données personnelles de Vos Clients. Vous agirez en tant que Responsable du traitement des données et Shopify agira en tant que Sous-traitant des données à l’égard des Données personnelles de Vos Clients, dans le cadre de Votre utilisation de nos Services qui font appel à notre traitement des Données personnelles de Vos Clients, à l’exception des services décrits dans l’Annexe E.

Lorsque le traitement des Données personnelles en vertu du présent ATD est soumis aux exigences en matière de protection des données dans l’Espace économique européen (l’« EEE »), au Royaume-Uni (le « Royaume-Uni ») ou en Suisse, et que Shopify agit en tant que Sous-traitant des données, l’Annexe C complète le présent ATD. En cas de conflit entre l’Annexe C et d’autres sections du présent ATD, l’Annexe C prévaudra en ce qui concerne le traitement des Données personnelles de Vos Clients soumises aux exigences de protection des données de l’EEE, du Royaume-Uni et de la Suisse. Afin de lever toute ambiguïté, l’Annexe C ne s’applique pas aux activités de traitement décrites dans l’Annexe E.

Lorsque le traitement des Données personnelles en vertu du présent ATD est soumis aux Lois des États-Unis sur la protection des données, et que Shopify agit en tant que Sous-traitant des données ou Fournisseur de service, l’Annexe D complète le présent ATD. En cas de conflit entre l’Annexe D et d’autres sections du présent ATD, l’Annexe D prévaudra en ce qui concerne le traitement des Données personnelles de Vos Clients soumises aux Lois des États-Unis sur la protection des données. Afin de lever toute ambiguïté, l’Annexe D ne s’applique pas aux activités de traitement décrites dans l’Annexe E.

Si vous recevez des Services améliorés de la part de Shopify (tels que définis dans la Section 9.2 des Conditions de service) Shopify traitera les Données personnelles de Vos Clients en tant que Responsable du traitement des données ou Entreprise, comme indiqué dans l’Annexe E. En cas de conflit entre l’Annexe E et d’autres sections du présent ATD, l’Annexe E prévaudra en ce qui concerne le traitement par Shopify des Données personnelles de Vos Clients en tant que Responsable du traitement des données ou Entreprise.

Afin de lever toute ambiguïté, le présent ATD ne s’applique pas au traitement par Shopify des Données personnelles concernant des Clients qu’elle reçoit suite à la relation des Clients avec Shopify par l’intermédiaire de services tels que Shop et Shop Pay.

II. DÉFINITIONS

Les termes en majuscules utilisés mais non définis dans le présent ATD auront la même signification que celle qui leur est attribuée dans les Conditions :

A. Loi(s) applicable(s) sur la protection des données : toute législation sur la protection des données ou la confidentialité applicable au traitement par Shopify des Données personnelles en vertu des Conditions, ainsi que leurs règlements d’application et législations secondaires, chacun pouvant être modifié, mis à jour ou remplacé ponctuellement, y compris les lois applicables en fonction de l’emplacement ou du lieu de résidence du Marchand et/ou de Votre/Vos Client(s).

B. Client : une personne ou une entité qui visite Votre (Vos) Boutique(s), interagit avec elle(s) et/ou y achète un produit, un bien ou un service.

C. Demande de droits sur les données : une demande valide et légale d’une personne pour exercer les droits disponibles relatifs aux Données personnelles en vertu d’une Loi applicable sur la protection des données.

D. Responsable du traitement des données ou Entreprise : la Partie qui détermine les objectifs et les moyens du traitement des Données personnelles, ou telle que définie autrement par toute Loi applicable sur la protection des données.

E. Sous-traitant des données ou Fournisseur de service : la Partie ou toute autre entité ou entreprise qui fournit des services pour le compte du Responsable du traitement des données et traite des Données personnelles selon les instructions et pour le compte du Responsable du traitement des données, ou telle que définie par toute Loi applicable sur la protection des données.

F. Données personnelles : informations ou données définies comme des « données personnelles », des « informations personnelles » ou des « données à caractère personnel » (ou un terme analogue) en vertu des Lois applicables sur la protection des données.

G. Violation de données personnelles : en relation avec les Données personnelles de Vos Clients, la Violation de données personnelles sera interprétée conformément aux Lois applicables sur la protection des données.

H. « Traiter », « processus » ou « traitement » : (a) toute opération ou tout ensemble d’opérations effectuées sur des Données personnelles ou sur des ensembles de Données personnelles, que ce soit par des moyens automatisés ou non, tels que la collecte, l’enregistrement, l’organisation, la structuration, le stockage, l’adaptation ou la modification, la récupération, la consultation, l’utilisation, la divulgation par transmission, la diffusion ou la mise à disposition d’une autre manière, l’alignement ou la combinaison, la restriction, l’effacement ou la destruction ; ou (b) la définition donnée à ce(s) terme(s) en vertu de la/des Loi(s) applicable(s) sur la protection des données.

I. « Sous-traitant(s) ultérieur(s) »: sociétés affiliées ou Fournisseurs de services ou Sous-traitants des données tiers qui peuvent traiter des Données personnelles sous la direction de Shopify dans le but de fournir les Services.

J. « Vous », « Votre », « Vos » ou « Commerçant » : désigne chaque entreprise que Vous exploitez et qui utilise ou bénéficie des Services, des Services améliorés ou d’autres Services supplémentaires et qui est partie aux Conditions avec Shopify.

K. « Données personnelles de Vos Clients » : Données personnelles provenant de ou concernant Vos Clients, à l’exclusion des Données personnelles concernant les Clients que Shopify reçoit suite à la relation des Clients avec Shopify, qui est régie par la Politique de confidentialité des consommateurs de Shopify et non par le présent ATD.

III. NATURE DU TRAITEMENT ET RÔLES DES PARTIES

Shopify en tant que Sous-traitant des données ou Fournisseur de service. Shopify reçoit et traite les Données personnelles de Vos Clients afin de Vous fournir les Services et comme décrit ci-dessous. Selon les Services que Vous demandez ou utilisez, Shopify traitera les catégories de Données personnelles spécifiées dans l’Annexe A, de la manière et selon les bases y figurant.

Shopify traitera les Données personnelles de Vos Clients en tant que Sous-traitant des données ou Fournisseur de service uniquement pour fournir les Services indiqués dans les Conditions et les éventuelles Conditions supplémentaires et si nécessaire pour fournir, développer et améliorer ses Services et poursuivre toute autre fin autorisée par les Lois applicables sur la protection des données.

Shopify en tant que Responsable du traitement des données ou Entreprise. Shopify traitera les Données personnelles de Vos Clients en tant que Responsable du traitement des données ou Entreprise (a) dans les circonstances et de la manière décrites dans l’Annexe E, et (b) à toute autre fin compatible avec les instructions du Client et la Loi applicable sur la protection des données.

IV. OBLIGATIONS DES PARTIES

La section suivante décrit les obligations respectives des Parties en ce qui concerne le traitement des Données personnelles couvertes par le présent ATD.

A. Conformité Générale

  1. Les Parties respecteront leurs obligations respectives en vertu des Lois applicables sur la protection des données.

  2. Shopify n’aura aucune obligation d’interpréter ou de Vous conseiller sur Vos obligations en vertu des Lois applicables sur la protection des données, y compris concernant le traitement des Données personnelles couvertes par le présent ATD. Il revient à Vous seul de déterminer Vos obligations légales et réglementaires, y compris d’évaluer si les mesures techniques et organisationnelles des Services sont conformes avec Vos obligations légales et réglementaires indépendantes.

B. Obligations de Shopify

1. Sécurité des Données
Shopify mettra en œuvre et maintiendra des mesures techniques et organisationnelles appropriées visant à protéger les Données personnelles de Vos Clients contre un traitement non autorisé ou illégal et contre une perte, une destruction, des dommages, un vol, une modification ou une divulgation accidentels, comme décrit dans l’Annexe B.

2. Notification et enquête sur les Violations de données personnelles

a) Conformément aux Lois applicables sur la protection des données, Shopify Vous informera dès qu’elle aura confirmé toute Violation de données personnelles.

b) Une telle notification comprendra les informations requises par les Lois applicables sur la protection des données, dans la mesure où Shopify dispose raisonnablement de ces informations. La réponse de Shopify à une Violation de données personnelles, ou la notification d’une telle violation, ne constituent pas une reconnaissance de faute ou de responsabilité de la part de Shopify.

c) Shopify s’engage à enquêter sur toute Violation de données personnelles et à déployer les efforts commercialement raisonnables pour identifier, prévenir, atténuer et remédier aux effets d’une telle violation.

C. Vos obligations en ce qui concerne les données personnelles

1. Avis de confidentialité et transparence : Vous déclarez et garantissez que Vous respectez toutes les obligations prévues par les Lois applicables sur la protection des données concernant la fourniture d’avis et de transparence concernant Votre traitement des Données personnelles de Vos Clients en vertu des Conditions et en lien avec Votre utilisation des Services. Conformément aux Lois applicables sur la protection des données, Vous devez communiquer aux personnes concernées toutes les divulgations nécessaires pour que Shopify puisse traiter les Données personnelles de Vos Clients de manière légale et équitable dans le cadre du présent ATD, y compris lorsque vous recevez des Services améliorés ou d’autres Services supplémentaires, en fournissant un lien vers la Politique de confidentialité des consommateurs de Shopify et vers Votre Politique de confidentialité, et en fournissant d’autres divulgations comme indiqué dans la Section 9.2.5 des Conditions.

2. Droits et Autorisations du Client : Vous déclarez et garantissez que Vous disposez de l’ensemble des droits, autorisations et consentements nécessaires pour mettre les Données personnelles de Vos Clients à la disposition de Shopify, et pour que Shopify traite les Données personnelles de Vos Clients afin de Vous permettre de recevoir les Services, notamment les Services améliorés ou d’autres Services supplémentaires que vous recevez, conformément aux Conditions, au présent ATD et aux Lois applicables sur la protection des données.

3. Demandes de droits sur les données : Vous déclarez et garantissez que Vous permettez à Vos Clients d’exercer leurs Demandes de droits sur les données, comme requis par les Lois applicables sur la protection des données, en ce qui concerne le traitement des Données personnelles de Vos Clients par Shopify pour lesquelles Vous êtes le Responsable du traitement des données.

4. Demandes Réglementaires : sauf interdiction légale, Vous nous informerez rapidement, conformément à la disposition relative à l’Avis dans les Conditions, de toute demande ou plainte émanant d’un gouvernement, d’un organisme réglementaire ou d’un tiers concernant Votre utilisation des Services.

V. DIVERS

A. Transferts de données internationaux
Vous reconnaissez que les Données personnelles de Vos Clients peuvent être transférées et traitées dans tout pays où Shopify, ses sociétés affiliées ou des fournisseurs de services tiers sont situés (y compris à Singapour et au Canada). Tout transfert de Données personnelles de Vos Clients vers ces destinataires sera effectué en conformité avec les Lois applicables sur la protection des données. Pour plus d’informations sur les transferts de données internationaux, lorsque Shopify est soumise aux exigences de protection des données au sein de l’EEE, du Royaume-Uni ou de la Suisse, voir la Section II(B)(8) de l’Annexe C.

B. Réponse aux demandes légales

  1. Vous reconnaissez que, dans le cadre de la fourniture des Services qui Vous sont destinés, Shopify peut partager les Données personnelles de Vos Clients (i) pour se conformer aux exigences légales ou pour répondre à des ordonnances judiciaires ou à d’autres demandes similaires émanant des autorités gouvernementales ou réglementaires ; ou (ii) pour prévenir ou enquêter sur des fraudes suspectées, des menaces pour la sécurité physique, des activités illégales, ou des violations d’un contrat (tel que les Conditions de service) ou de nos politiques (telles que notre Politique d’utilisation acceptable).

  2. Shopify mettra en œuvre des efforts raisonnables avant de produire les Données personnelles de Vos Clients pour s’assurer que cette divulgation est autorisée par les Lois applicables sur la protection des données, et ces données seront traitées comme des informations confidentielles dans le cadre juridique applicable.

C. Divulgation lors de transactions d’entreprise
Vous reconnaissez que, dans le cadre de la fourniture des Services, Shopify peut être amenée à partager les Données personnelles de Vos Clients avec des parties potentielles dans le cadre de toute opération d’entreprise ou restructuration.

D. Utilisation de Fournisseurs de services par Shopify

  1. Vous reconnaissez et acceptez que, dans le cadre de la fourniture des Services à Vous, Shopify peut utiliser des fournisseurs de services pour traiter les Données personnelles de Vos Clients. Shopify tient à jour une liste de tous les fournisseurs de services utilisés. Si les Lois applicables sur la protection des données Vous octroient de tels droits, Vous pouvez vous opposer à l’utilisation d’un fournisseur de service par Shopify. Si Shopify est incapable ou refuse de satisfaire à de telles demandes, Vous pouvez, conformément à ces lois, résilier Votre utilisation des Services concernés dans les 30 jours suivant un tel avis, conformément aux Conditions.

  2. L’utilisation de fournisseurs de services par Shopify pour traiter les Données personnelles de Vos Clients que Vous fournissez sera conforme aux Lois applicables sur la protection des données. Lorsque Shopify fait appel à un fournisseur de service, Shopify conclura un accord écrit avec le fournisseur de service, qui impose des obligations contractuelles substantiellement équivalentes à celles décrites dans le présent ATD.

E. Modification de l’ATD Vous reconnaissez et acceptez que Shopify puisse modifier le présent ATD à tout moment en publiant l’ATD modifié et mis à jour pertinent sur le site web de Shopify, disponible à l’adresse https://shopify.com/legal/dpa et que ces modifications de l’ATD entrent en vigueur à la date de publication. Votre utilisation continue des Services après la publication de l’ATD modifié sur le site web de Shopify constitue Votre accord et Votre acceptation de l’ATD modifié. Si Vous n’acceptez pas l’une des modifications de l’ATD, ne continuez pas à utiliser les Services.

VI ANNEXES

  1. Annexe A - Catégories de données personnelles

  2. Annexe B - Sécurité des données

  3. Annexe C - Annexe relative au RGPD, au RGPD du Royaume-Uni et aux lois suisses sur le traitement des données

  4. Annexe D - Lois des États-Unis sur la protection des données

  5. Annexe E - Shopify en tant que Responsable du traitement des données ou Entreprise pour les Services améliorés

ANNEXE A : CATÉGORIES DE DONNÉES PERSONNELLES

Dans le cadre de Votre utilisation des Services, et selon les Services que Vous utilisez, nous pouvons recevoir et traiter les catégories suivantes de Données personnelles pour fournir ces Services :

● Nom, adresse e-mail, coordonnées, informations de facturation et de livraison du/​de la client(e).

● Informations sur les achats et autres transactions provenant de Votre(Vos) Boutique(s).

● Mise(s) à jour sur le statut des transactions avec Vous ou Votre(Vos) Boutique(s).

● Activité des clients dans Votre(Vos) Boutique(s), y compris les produits consultés et/ou ajoutés aux paniers.

● Signaux de préférences des clients, y compris le Contrôle global de la confidentialité (« CGC »), les signaux d’opposition ou d’acceptation.

● Informations relatives aux appareils des clients concernant les appareils utilisés lors de la visite de Votre(Vos) Boutique(s), y compris l’adresse IP, le navigateur et l’activité réseau.

● Autres informations concernant les interactions des Clients avec Vous.

● Toute autre Donnée personnelle que vous ou Vos Clients choisissez de mettre à la disposition de Shopify.

ANNEXE B : SÉCURITÉ DES DONNÉES

Shopify maintiendra un programme de sécurité de l’information conçu pour (a) Vous permettre de sécuriser les Données personnelles de Vos Clients contre un traitement non autorisé ou illégal et contre une perte, une destruction, des dommages, un vol, une modification ou une divulgation accidentels ; (b) identifier les risques raisonnablement prévisibles en matière de sécurité et de disponibilité des Services que Vous recevez ; et (c) minimiser les risques de sécurité pour les Services.

I. Le programme de sécurité de l’information de Shopify inclura les mesures de protection suivantes :

A. Sécurité logique

  1. Contrôles d’accès : Shopify rendra ses systèmes accessibles uniquement au personnel autorisé, et seulement dans la mesure nécessaire pour maintenir et fournir les Services. Shopify mettra en place des contrôles d’accès et des politiques conçus pour gérer les autorisations d’accès à ses systèmes, y compris par l’utilisation de pare-feu et/ou d’autres technologies et contrôles d’authentification.

  2. Accès utilisateur restreint : Shopify (i) provisionnera et restreindra l’accès à ses systèmes conformément aux principes du moindre privilège selon les fonctions professionnelles du personnel, et (ii) exigera une authentification à deux facteurs (2FA) pour accéder à ses systèmes.

  3. Évaluations des vulnérabilités : Shopify maintiendra un programme d’évaluation des vulnérabilités et de tests de pénétration, chargé d’enquêter sur les problèmes identifiés avec les Services et d’en assurer le suivi jusqu’à leur résolution si nécessaire.

  4. Sécurité des applications : Shopify maintient un programme de sécurité des applications chargé de protéger les Services contre des menaces liées à la sécurité des applications.

  5. Gestion des modifications : Shopify maintiendra des contrôles conçus pour enregistrer, autoriser, tester, approuver et documenter les modifications apportées aux ressources des Services existantes, et documentera les détails des modifications dans ses outils de gestion des modifications ou de déploiement. Shopify testera les modifications selon ses normes de gestion des modifications avant leur migration vers la production.

  6. Intégrité des Données : le cas échéant, Shopify mettra en place des contrôles conçus pour garantir l’intégrité des données pendant leur transmission, stockage et traitement au sein des Services.

  7. Disponibilité : Shopify (i) mettra en œuvre une redondance, le cas échéant, pour les Services afin de minimiser l’impact d’un dysfonctionnement sur les Services, (ii) concevra les Services afin d’anticiper et de tolérer les pannes, et (iii) mettra en œuvre des processus appropriés pour détourner le trafic de Données personnelles des zones affectées, si nécessaire, afin de surmonter d’éventuelles pannes.

  8. Continuité des activités et reprise après sinistre : Shopify maintiendra un programme de gestion des risques conçu pour assurer la continuité de ses fonctions opérationnelles essentielles, y compris des processus et procédures pour l’identification, la réponse et la récupération après des événements pouvant empêcher ou compromettre matériellement la fourniture des Services que Vous recevez.

  9. Gestion des incidents : Shopify fournit une documentation Vous permettant de signaler des incidents de sécurité ou de disponibilité, de poser des questions sur la sécurité ou la disponibilité, et de soumettre des informations sur des problèmes potentiels de sécurité ou de disponibilité. Shopify maintiendra des plans d’action corrective et des plans de réponse aux incidents conçus pour détecter les menaces potentielles à la sécurité des Services, les atténuer, enquêter sur celles-ci et y répondre.

B. Sécurité physique : lorsque cela est nécessaire pour protéger les Services, Shopify (i) mettra en œuvre des mesures raisonnables visant à prévenir l’accès physique non autorisé, les dommages ou les interférences avec les Services, (ii) utilisera des dispositifs de contrôle appropriés pour limiter l’accès physique aux Services au personnel autorisé ayant un besoin commercial légitime pour un tel accès, et (iii) effectuera des examens réguliers pour vérifier le respect de ces normes.

C. Employés de Shopify Les employés de Shopify autorisés à accéder aux Données personnelles de Vos Clients sont soumis à des obligations de confidentialité dans le cadre de leurs conditions d’emploi. Shopify mettra en place et maintiendra des programmes de formation en sécurité pour les employés concernant les exigences de sécurité des informations de Shopify. Ces programmes de sensibilisation à la sécurité seront examinés et mis à jour régulièrement.

II. Modifications de la présente Annexe

Shopify examine ses mesures de sécurité de temps à autre et peut mettre à jour la présente Annexe à sa seule discrétion. Toute mise à jour remplacera les versions antérieures de la présente Annexe à partir de la date à laquelle Shopify publie la version mise à jour.

ANNEXE C : ANNEXE RELATIVE AU RGDP, AU RGDP DU ROYAUME-UNI ET AUX LOIS SUISSES SUR LE TRAITEMENT DES DONNÉES

Lorsque le traitement des Données personnelles de Vos Clients en vertu de l’ATD est soumis aux exigences en matière de protection des données dans l’Espace économique européen (l’« EEE »), au Royaume-Uni (le « RU ») ou en Suisse (collectivement, les « Lois européennes sur la protection des données »), et Shopify agit en tant que Sous-traitant des données, l’Annexe C complète le présent ATD.

I. Nature du traitement et rôle des Parties

A. Données personnelles

En vertu de la présente Annexe, Vous agirez en tant que Responsable du traitement des données et Shopify agira en tant que Sous-traitant des données pour le traitement des Données personnelles de Vos Clients telles que décrites dans l’Annexe 1, dans la mesure nécessaire pour remplir les objectifs commerciaux décrits dans les Conditions et pour Vous fournir les Services que Vous choisissez d’utiliser.

II. Obligations des Parties

A. Vos obligations

Vous devez respecter :

● Lois européennes sur la protection des données qui vous lient en ce qui concerne Votre utilisation des Services ; et

● Vos obligations énoncées dans l’ATD, y compris Vos obligations définies dans la présente Annexe.

Vous déclarez et garantissez que Vous disposez d’une base légale valable pour le traitement des Données personnelles de Vos Clients (y compris pour mettre ces données à disposition de Shopify) et que Vous avez obtenu tous les consentements, droits et autorisations nécessaires, ainsi que fourni les avis nécessaires aux personnes concernées afin de permettre à Shopify de traiter les Données personnelles de Vos Clients pour fournir les Services, comme l’exigent les Lois européennes sur la protection des données.

B. Obligations de Shopify

1. Instructions du Responsable du traitement des données et violation des Lois européennes sur la protection des données

a) Les Parties conviennent que les Conditions, conjointement au présent ATD, constituent Vos instructions documentées concernant le traitement des Données personnelles de Vos Clients par Shopify (les « Instructions documentées »).

b) Shopify traitera les Données personnelles de Vos Clients en tant que Sous-traitant des données : (i) conformément à Vos Instructions documentées, ou (ii) pour se conformer aux obligations de Shopify en vertu des lois applicables, sous réserve des exigences de notification prévues par le droit de l’EEE, d’un État membre de l’EEE, du Royaume-Uni ou de la Suisse auquel Shopify est soumis.

c) Shopify Vous informera si elle reçoit une instruction qu’elle détermine raisonnablement comme enfreignant les Lois européennes sur la protection des données (mais Shopify n’a aucune obligation de surveiller activement Votre conformité avec les Lois européennes sur la protection des données).

2. Obligation de confidentialité

Shopify veillera à ce que les personnes autorisées à traiter les Données personnelles de Vos Clients signent des accords de confidentialité ou soient soumises à des obligations légales de confidentialité.

3. Mesures de sécurité

a) Shopify mettra en œuvre et maintiendra des mesures techniques et organisationnelles appropriées visant à protéger les Données personnelles de Vos Clients contre un traitement non autorisé ou illégal et contre une perte, une destruction, des dommages, un vol, un accès non autorisé, une modification ou une divulgation accidentels, comme décrit dans l’Annexe 2.

b) Compte tenu de la nature des Données personnelles de Vos Clients et du traitement associé, Shopify fournira l’assistance raisonnable que Vous pouvez demander à juste titre pour Vous aider à remplir Vos obligations de sécurité en vertu des Lois européennes sur la protection des données.

c) Shopify Vous informera, sans retard injustifié, dès qu’elle prendra connaissance d’une violation de la sécurité entraînant la destruction, la perte, l’altération, la divulgation non autorisée des Données personnelles de Vos Clients transmises, stockées ou autrement traitées, ou l’accès à ces données, de manière accidentelle ou illégale.

d) Shopify s’engage à enquêter sur toute atteinte à la sécurité et à déployer les efforts commercialement raisonnables pour en atténuer les effets.

4. Sous-traitants ultérieurs

a) Vous autorisez généralement Shopify à faire appel à des Sous-traitants ultérieurs pour le traitement des Données personnelles de Vos Clients. Vous acceptez également que Shopify puisse engager ses affiliés en tant que Sous-traitants ultérieurs.

b) L’utilisation par Shopify de Sous-traitants ultérieurs pour traiter les Données personnelles de Vos Clients sera conforme aux Lois européennes sur la protection des données.

c) Shopify maintient une liste de tous les Sous-traitants ultérieurs actualisée, comme indiqué dans l’Annexe 3. Shopify mettra à jour cette liste des Sous-traitants ultérieurs si nécessaire et Vous fournira un dispositif pour être informé de l’ajout ou du remplacement d’un Sous-traitant ultérieur. Vous pouvez émettre des objections à l’utilisation par Shopify d’un nouveau Sous-traitant ultérieur.

d) Dans la mesure où Vous vous opposez à l’utilisation par Shopify d’un Sous-traitant ultérieur, et si Shopify est incapable ou refuse de satisfaire à de telles demandes, Vous pouvez arrêter d’utiliser les Services concernés dans les 30 jours suivant un tel avis, conformément aux Conditions.

e) Lorsque Shopify fait appel à un nouveau Sous-traitant ultérieur, elle conclura un accord écrit avec celui-ci et lui imposera des obligations contractuelles substantiellement équivalentes à celles énoncées dans le présent ATD. Shopify sera entièrement responsable des actes et omissions de ses Sous-traitants ultérieurs dans la même mesure que si elle exécutait directement les services de chacun d’entre eux conformément aux termes du présent ATD. La responsabilité de Shopify restera toutefois soumise aux conditions et limitations de responsabilité définies dans les Conditions.

5. Assistance au Responsable du traitement des données
Compte tenu de la nature des Données personnelles de Vos Clients et du traitement associé, Shopify fournira l’assistance raisonnable que Vous pouvez demander à juste titre pour Vous aider à Vous conformer à Vos obligations :

● pour répondre aux Demandes de droits sur les données en vertu des Lois européennes sur la protection des données, en ce qui concerne tous les traitements des Données personnelles de Vos Clients par Shopify ;

● pour informer les autorités compétentes et/ou les personnes concernées en cas de violation de Données personnelles ;

● pour réaliser des évaluations d’impact sur la protection des données et des consultations préalables ;

● pour garantir la sécurité du traitement conformément à la section 3.

6. Évaluation de la conformité

a) Shopify peut satisfaire Votre droit d’audit en vertu des Lois européennes sur la protection des données en ce qui concerne le traitement des Données personnelles de Vos Clients en Vous fournissant, sur demande écrite et sous réserve de confidentialité :

(i) les résultats des derniers audits de Shopify, qu’ils proviennent d’audits internes de Shopify ou d’audits réalisés par un tiers indépendant ;
(ii) des informations supplémentaires sous le contrôle de Shopify, si une autorité de protection des données ou une autorité gouvernementale en fait la demande.

b) Sous réserve et uniquement dans la mesure où les Lois européennes sur la protection des données Vous octoient ce droit, Vous pouvez exercer Votre droit d’audit : (i) dans la mesure où un auditeur indépendant et internationalement reconnu atteste que le rapport d’audit fourni par Shopify ne fournit pas suffisamment d’informations pour Vous permettre de vérifier la conformité de Shopify avec le présent ATD et avec les Lois européennes sur la protection des données, ou (ii) si nécessaire pour répondre à un audit d’une autorité gouvernementale. Chaque audit doit respecter les paramètres suivants : (i) être réalisé par un tiers indépendant qui conclura un accord de confidentialité avec Shopify ; (ii) être limité à des questions raisonnablement requises, et comme convenu mutuellement, pour Vous permettre d’évaluer la conformité de Shopify avec le présent ATD et la conformité des Parties avec les Lois européennes sur la protection des données ; (iii) se dérouler à une date et une heure mutuellement convenues et uniquement pendant les heures d’ouverture habituelles de Shopify ; (iv) se produire uniquement une fois par an (sauf si requis par les Lois européennes sur la protection des données) ; (v) couvrir uniquement les installations contrôlées par Shopify ; (vi) ne présenter que les résultats relatifs aux Données personnelles de Vos Clients ; et (vii) traiter tous les résultats comme des informations confidentielles dans toute la mesure permise par les Lois européennes sur la protection des données. Pour clarifier, Shopify respectera Vos droits en vertu de la présente section 6 conformément à ses obligations de confidentialité vis-à-vis des tiers.

7. Fin du traitement

a) Pendant Votre utilisation des Services, Vous pouvez utiliser les outils de Votre compte pour accéder aux Données personnelles de Vos Clients, Vous les renvoyer ou les supprimer.

b) Suite à la résiliation, Shopify, selon Votre choix, supprimera ou Vous renverra les Données personnelles de Vos Clients. Nonobstant ce qui précède, Shopify peut conserver les Données personnelles de Vos Clients : (i) comme l’exige la loi, y compris les Lois européennes sur la protection des données ; et (ii) conformément à ses politiques standard de sauvegarde ou de conservation des dossiers, à condition que, dans les deux cas, Shopify maintienne la confidentialité des Données personnelles de Vos Clients conservées et respecte les dispositions applicables du présent ATD concernant ces dernières, sans Traiter davantage les Données personnelles de Vos Clients sauf aux fins et pendant la durée autorisées par ces lois applicables.

8. Transferts internationaux

a) Sous réserve du respect des Lois européennes sur la protection des données, Shopify International Ltd peut transférer les Données personnelles de Vos Clients traitées en vertu de la présente Annexe en dehors de l’EEE, du Royaume-Uni et de la Suisse, si nécessaire pour fournir ses Services (les « Transferts internationaux »).

b) De tels transferts consistent principalement à transférer les Données personnelles de Vos Clients à Shopify Inc., basée au Canada, qui bénéficie d’une décision de la Commission européenne 2002/2/CE du 20 décembre 2001 sur la protection adéquate des données personnelles prévue par la Loi sur la protection des renseignements personnels et les documents électroniques du Canada.

c) Tout Transfert international vers des pays qui n’assurent pas un niveau adéquat de protection des données au sens des Lois européennes sur la protection des données sera soumis à des garanties appropriées, y compris les dispositifs de transfert suivants :

● les modules pertinents des Clauses contractuelles types de 2021 approuvées par la Commission européenne dans sa décision 2021/914/CE du 4 juin 2021 ;

● l’Addenda sur les Transferts internationaux de données aux Clauses contractuelles types de la Commission européenne pour les transferts internationaux de données émis par le Bureau du Commissaire à l’Information du Royaume-Uni en vertu de l’article S119A(1) de la Loi sur la protection des données du Royaume-Uni de 2018 ;

● les Clauses contractuelles types de 2021 modifiées pour satisfaire aux exigences de la Loi fédérale sur la protection des données suisse (modifiée de temps à autre) du 19 juin 1992, révisée le 25 septembre 2001 ; et

● toute clause contractuelle type, tout addenda relatif au transfert international de données ou toute autre clause, tout autre addenda ou tout autre dispositif de transfert qui pourrait remplacer les clauses et addendum en vigueur.

d) Shopify peut, à sa seule discrétion, remplacer tout dispositif de transfert pour garantir que les transferts de données sont conformes aux lois applicables. Si un transfert est basé sur des clauses contractuelles types et que ces clauses sont mises à jour par les autorités compétentes, ces clauses mises à jour ou des accords similaires seront intégrés dans le présent ATD comme s’ils y étaient intégralement énoncés.

APPENDICE 1 - DONNÉES PERSONNELLES

DESCRIPTION DU TRAITEMENT DES DONNÉES PERSONNELLES

I. Objet du traitement

Fourniture des Services de Shopify au Marchand.

II. Catégories de personnes concernées

Clients du Marchand.

III. Catégories de Données personnelles traitées

Voir Annexe A ci-dessus.

IV. Fréquence du transfert

Continuel.

V. Nature du traitement

Collecte, enregistrement, hébergement, accès, utilisation, transfert et suppression des Données personnelles comme décrit dans les Conditions.

VI. Objectifs pour lesquels les Données personnelles sont traitées pour le compte du Responsable du traitement des données

Pour l’exécution et l’amélioration des Services tels que décrits dans les Conditions.

VII. Durée du traitement

Durée des Services conformément aux Conditions ou à l’accord applicable, plus la période suivant l’expiration de ceux-ci jusqu’à l’anonymisation, le renvoi ou la suppression des données.

VIII. Autorité de contrôle compétente L’autorité de contrôle compétente est la Commission de protection des données irlandaise.

APPENDICE 2 - MESURES DE SÉCURITÉ

Les informations sur les mesures de sécurité sont fournies dans l’Annexe B de l’ATD.

APPENDICE 3 - LISTE DES SOUS-TRAITANTS ULTÉRIEURS

Les Sous-traitants ultérieurs utilisés par Shopify pour l’exécution des Services conformément aux Conditions sont énumérés ici.

Les Sous-traitants ultérieurs traiteront les catégories de Données personnelles décrites ci-dessus en rapport avec les Services pendant la durée de leur accord avec Shopify.

Annexe D : lois des États-Unis sur la protection des données

Cette section s’applique uniquement dans la mesure où : (i) les Lois des États-Unis sur la protection des données s’appliquent à Vous et/ou aux Données personnelles de Vos Clients dans le cadre de Votre utilisation des Services ; (ii) les dispositions suivantes sont requises par les Lois des États-Unis sur la protection des données ; et (iii) Shopify agit en tant que Sous-traitant des données ou Fournisseur de service. Afin de lever toute ambiguïté, la présente Annexe D ne s’applique pas aux activités de traitement décrites dans l’Annexe E.

  1. Les Parties conviennent que les Conditions, conjointement au présent ATD, constituent Vos instructions documentées concernant le traitement des Données personnelles de Vos Clients par Shopify (les « Instructions documentées »).

  2. À l’exception de ce qui est indiqué dans l’Annexe E si vous recevez certains Services améliorés, Shopify : (i) ne conservera pas, n’utilisera pas ou ne divulguera pas les Données personnelles de Vos Clients en dehors de sa relation commerciale directe avec Vous ou à toute autre fin que les fins limitées et spécifiées identifiées dans le présent ATD et/ou les Conditions, y compris pour fournir, développer et améliorer les Services ou comme autorisé de toute autre manière par les Lois applicables des États-Unis sur la protection des données, ou (ii) ne « vendra » pas ou ne « partagera » pas les Données personnelles de Vos Clients ou ne se livrera à de la « publicité ciblée » avec les Données personnelles de Vos Clients au sens du CCPA ou d’autres Lois des États-Unis sur la protection des données ; ou (iii) ne combinera pas les Données personnelles de Vos Clients avec des Données personnelles qu’elle reçoit d’autres sources, dans chaque cas sauf si cela est autorisé en vertu des Lois des États-Unis sur la protection des données.

  3. Shopify : (i) fournira le même niveau de protection de la confidentialité, tel qu’exigé des Entreprises ou des Responsables du traitement des données par les Lois des États-Unis sur la protection des données, et Vous informera si elle détermine qu’elle ne peut plus respecter ces obligations, auquel cas Vous pourrez prendre des mesures raisonnables et appropriées pour arrêter tout traitement non autorisé des Données personnelles de Vos Clients ou y remédier ; (ii) veillera à ce que le personnel qu’il autorise à traiter les Données personnelles de Vos Clients signe des accords de confidentialité écrits ou soit soumis à des obligations légales de confidentialité ; (iii) sur demande écrite raisonnable, et dans le cadre de la facilitation de Vos efforts pour garantir que Shopify utilise les Données personnelles de Vos Clients d’une manière conforme aux Lois des États-Unis sur la protection des données, fournira le rapport SOC2 montrant une évaluation raisonnable du programme de sécurité de l’information de Shopify ; et (iv) lorsqu’elle aura cessé de Vous fournir ses Services, Shopify initiera son processus de purge pour supprimer, retourner ou désidentifier les Données personnelles de Vos Clients fournies à Shopify pour traitement uniquement en tant que Sous-traitant des données ou Fournisseur de service.

  4. Vous déclarez et garantissez que Vous ne partagerez avec Shopify aucune Donnée personnelle d’une personne ayant exercé un droit d’opposition au partage de données que Vous vous êtes engagé à respecter, ni aucune Donnée personnelle sensible d’une personne n’ayant pas consenti au traitement de telles données sensibles conformément aux exigences des Lois applicables sur la protection des données.

Annexe E : Shopify en tant que Responsable du traitement des données ou Entreprise pour les Services améliorés

Shopify agira en tant que Responsable du traitement des données ou Entreprise lorsque Vous recevrez les Services améliorés tels que définis dans la Section 9.2 des Conditions de service. Shopify peut mettre à jour de temps à autre les services et les produits pour lesquels elle agit en tant que Responsable du traitement des données ou Entreprise.

Dans le cadre de la fourniture des Services améliorés par Shopify, vous acceptez que Shopify traite les Données personnelles de Vos Clients en tant que Responsable du traitement des données ou Entreprise en vertu des Lois applicables sur la protection des données afin de fournir, à vous et à d’autres Marchands, développer et améliorer des analyses de données, la personnalisation des produits, la publicité et d’autres services qui intègrent les interactions et les transactions de Vos Clients avec Votre Boutique, avec d’autres Marchands et avec Shopify. Lorsque Shopify traite les Données personnelles de Vos Clients de cette manière, la Politique de confidentialité des consommateurs de Shopify et la présente Annexe E du présent ATD s’appliquent. Vous pouvez désactiver l’utilisation par Shopify des Données personnelles de Vos Clients de cette manière en désactivant Shopify Network Intelligence ici, même si vous ne pourrez pas utiliser certaines applications ou fonctionnalités, comme indiqué ici.

1. Avis de confidentialité, Transparence et Droits. Conformément aux Lois applicables sur la protection des données, Vous devez communiquer aux personnes concernées toutes les informations nécessaires au traitement légal et équitable des Données personnelles de Vos Clients par Shopify afin de vous fournir des Services améliorés conformément à la présente Annexe E de l’ATD, notamment en fournissant un lien vers la Politique de confidentialité des consommateurs de Shopify et en fournissant les informations décrites dans la Section 9.2.5 des Conditions de service.

2. Exigences européennes. Si vous vous situez dans l’EEE, au Royaume-Uni ou en Suisse, ou si vos Clients se situent dans l’EEE, au Royaume-Uni ou en Suisse, Vous acceptez, déclarez et garantissez avoir obtenu le consentement des Clients et permettez aux Clients d’exercer le droit au retrait du consentement, de s’opposer à certains traitements et de refuser certains traitements, lorsque les Lois applicables sur la protection des données l’exigent. Afin de lever toute ambiguïté, vous devez obtenir le consentement pour la publicité ciblée dans le cadre des Services améliorés, ainsi que pour l’utilisation de cookies ou d’autres technologies de stockage local, dans la mesure requise par les Lois applicables sur la protection des données. Pour plus d’informations sur la mise en œuvre de ces exigences, cliquez ici.

3. Responsabilités du Responsable du traitement des données. Vous êtes un Responsable du traitement des Données personnelles de Vos Clients et devez déterminer individuellement les finalités et les moyens de Votre traitement des Données personnelles de Vos Clients, ainsi que la manière d’utiliser et de traiter les Données personnelles de Vos Clients, y compris en déterminant les bases juridiques de Votre traitement en vertu de la Loi applicable sur la protection des données. Shopify est un Responsable du traitement des Données personnelles de Vos Clients qu’elle traite conformément à la présente Annexe E et doit déterminer individuellement les finalités et les moyens de son traitement de ces Données personnelles, ainsi que la manière d’utiliser et de traiter ces Données personnelles, y compris en déterminant les bases juridiques de son traitement en vertu de la Loi applicable sur la protection des données.

Chaque partie est individuellement responsable de la réponse aux Demandes de droits sur les données qu’elle reçoit concernant son traitement des Données personnelles de Vos Clients en tant que Responsable du traitement des données.

4.Aucun effet sur le reste de l’ATD. La présente Annexe E n’affectera pas de quelque manière que ce soit les Conditions, y compris le reste du présent ATD, reflétant une relation Responsable du traitement des données-Sous-traitant des données entre les Marchands et Shopify.