Traduction fournie à titre informatif. En cas de divergence, la version anglaise fait foi.
ADDENDUM SUR LA PROTECTION DES DONNÉES SELLERBASE
Version : 1.0 Date d'entrée en vigueur : 12 janvier 2026
1. INTRODUCTION ET CHAMP D'APPLICATION
1.1 Objet
Le présent Addendum sur la Protection des Données (« DPA ») fait partie de l'Accord conclu entre Sellerbase Ltd (« Sellerbase ») et le client identifié dans le Bon de Commande (« Client ») et définit les obligations des parties concernant le traitement des données à caractère personnel dans le cadre des services de Sellerbase.
1.2 Incorporation
Le présent DPA est incorporé aux Conditions Générales de Service de Sellerbase et en fait partie intégrante. En cas de conflit entre le présent DPA et d'autres dispositions de l'Accord relatives à la protection des données, à la sécurité des données ou aux obligations en matière de transfert international de données, le présent DPA prévaut.
1.3 Définitions
Outre les termes définis dans les Conditions Générales de Service, les définitions suivantes s'appliquent :
« Lois Applicables en matière de Protection des Données » a le sens qui lui est donné à la Section 1 des Conditions Générales de Service, et inclut en outre la Loi fédérale suisse sur la protection des données.
« Responsable du traitement » désigne la personne physique ou morale qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données à caractère personnel.
« Personne concernée » désigne une personne physique identifiée ou identifiable à laquelle se rapportent des données à caractère personnel.
« Données à caractère personnel » désigne toute information se rapportant à une personne physique identifiée ou identifiable.
« Traitement » désigne toute opération effectuée sur des données à caractère personnel, qu'elle soit ou non réalisée à l'aide de procédés automatisés, y compris la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation, l'extraction, la consultation, l'utilisation, la communication, la diffusion, l'effacement ou la destruction.
« Sous-traitant » désigne une personne physique ou morale qui traite des données à caractère personnel pour le compte du Responsable du traitement.
« Clauses Contractuelles Types » ou « CCT » désigne les clauses contractuelles types approuvées par la Commission européenne dans la Implementing Decision (EU) 2021/914.
« Sous-traitant ultérieur » désigne tout tiers mandaté par Sellerbase pour traiter des données à caractère personnel pour son compte.
2. STRUCTURE DE LA RELATION
2.1 Relation de responsable du traitement à responsable du traitement (Principale)
Pour la fourniture par Sellerbase de sa base de données au Client :
| Partie | Rôle |
|---|---|
| Sellerbase | Responsable du traitement indépendant pour sa base de données |
| Client | Responsable du traitement indépendant lors de l'utilisation des Données |
Il s'agit d'une relation de partage de données de responsable du traitement à responsable du traitement. Sellerbase ne traite pas les Données « pour le compte » du Client ; Sellerbase fournit plutôt sa base de données compilée de manière indépendante, que le Client utilise ensuite pour ses propres finalités et sous sa propre responsabilité de traitement.
2.2 Relation de sous-traitant (Modules complémentaires uniquement)
Les modules complémentaires suivants créent une relation de sous-traitance dans laquelle Sellerbase traite les données à caractère personnel du Client pour le compte du Client et selon ses instructions :
| Module complémentaire | Rôle de Sellerbase | Rôle du Client |
|---|---|---|
| Synchronisation CRM | Sous-traitant | Responsable du traitement |
| Enrichissement de la liste de clients | Sous-traitant | Responsable du traitement |
| Traitement de données personnalisé | Selon les spécifications du Bon de Commande | Selon les spécifications du Bon de Commande |
Lorsque ces modules complémentaires sont activés (comme indiqué dans le Bon de Commande), la Section 8 (Conditions applicables au sous-traitant) du présent DPA s'applique à ce traitement.
3. BASE JURIDIQUE (DE RESPONSABLE DU TRAITEMENT À RESPONSABLE DU TRAITEMENT)
3.1 Base juridique de Sellerbase
Sellerbase collecte et fournit des données de contact B2B sur la base juridique de l'intérêt légitime conformément à l'Article 6(1)(f) du RGPD, ayant procédé à une mise en balance prenant en compte :
- Le contexte professionnel (informations de contact B2B relatives aux fonctions professionnelles des individus) ;
- La disponibilité publique des données sources ;
- Les attentes raisonnables des personnes concernées dans un contexte professionnel ;
- La mise en œuvre de mécanismes d'opposition ;
- Les pratiques de minimisation des données et d'exactitude ; et
- Des garanties appropriées, y compris la gestion d'une liste de suppression.
Un résumé de l'évaluation de l'intérêt légitime de Sellerbase est disponible sur demande.
3.2 Base juridique du Client
Le Client est seul responsable de la détermination et du maintien de sa propre base juridique pour le traitement des Données, laquelle peut inclure :
- L'intérêt légitime (sous réserve de la mise en balance effectuée par le Client) ;
- Le consentement ; ou
- D'autres bases juridiques applicables selon le cas d'usage spécifique du Client et les lois applicables.
3.3 Absence de garanties
Sellerbase ne garantit pas que :
- L'intérêt légitime est suffisant pour tous les cas d'usage du Client ;
- Les Données incluent un consentement ou une adhésion pour une finalité particulière ; ou
- Le traitement envisagé par le Client est licite au regard des Lois Applicables en matière de Protection des Données.
Le Client reconnaît que les activités de marketing direct peuvent être soumises à des exigences supplémentaires au titre de la directive ePrivacy et des lois nationales anti-spam, et que le Client est seul responsable de la détermination de la conformité à ces exigences.
4. OBLIGATIONS DU CLIENT (DE RESPONSABLE DU TRAITEMENT À RESPONSABLE DU TRAITEMENT)
Le Client s'engage à :
4.1 Traitement licite
N'utiliser les données à caractère personnel qu'à des fins licites et conformément aux Lois Applicables en matière de Protection des Données.
4.2 Base juridique
Maintenir une base juridique appropriée pour toutes les activités de traitement impliquant les Données.
4.3 Droits des personnes concernées
Répondre promptement aux demandes des personnes concernées (accès, rectification, effacement, limitation, portabilité, opposition) concernant les données à caractère personnel présentes dans les systèmes du Client.
4.4 Mesures de sécurité
Mettre en œuvre des mesures de sécurité techniques et organisationnelles appropriées pour protéger les données à caractère personnel traitées par le Client.
4.5 Utilisation licite
Ne pas utiliser les données à caractère personnel d'une manière qui porterait atteinte aux droits des personnes concernées ou aux Lois Applicables en matière de Protection des Données.
4.6 Respect des suppressions
Respecter les notifications de suppression/opposition de Sellerbase conformément à la Section 6 du présent DPA.
4.7 Registres de conformité
Tenir des registres démontrant la conformité aux Lois Applicables en matière de Protection des Données et fournir ces registres à Sellerbase sur demande raisonnable dans le cadre d'une enquête réglementaire ou d'une plainte.
4.8 Conformité en matière de marketing
Lors de l'utilisation des Données à des fins de génération de prospects ou de marketing :
- Mettre en œuvre des mécanismes fonctionnels de désinscription/opposition ;
- Tenir des listes de suppression ;
- Respecter les demandes de non-sollicitation ; et
- Se conformer à toutes les lois applicables en matière d'ePrivacy, d'anti-spam et de marketing direct.
5. OBLIGATIONS DE SELLERBASE (DE RESPONSABLE DU TRAITEMENT À RESPONSABLE DU TRAITEMENT)
Sellerbase s'engage à :
5.1 Mesures de sécurité
Maintenir des mesures de sécurité techniques et organisationnelles appropriées pour protéger sa base de données.
5.2 Demandes des personnes concernées
Traiter les demandes des personnes concernées adressées à Sellerbase au sujet de sa base de données conformément aux Lois Applicables en matière de Protection des Données.
5.3 Notification des violations
Notifier le Client sans retard injustifié (et en tout état de cause dans un délai de 72 heures) après avoir pris connaissance de toute violation de données à caractère personnel affectant les données du compte du Client.
5.4 Registres
Tenir des registres des activités de traitement comme l'exigent les Lois Applicables en matière de Protection des Données.
5.5 Informations sur les sous-traitants ultérieurs
Fournir des informations sur les sous-traitants ultérieurs et les prestataires de services sur demande raisonnable.
5.6 Gestion des suppressions
Tenir et communiquer des listes de suppression/opposition conformément à la Section 6 du présent DPA.
5.7 Avis de confidentialité
Tenir un avis de confidentialité accessible au public répondant aux exigences de l'Article 14 RGPD concernant les informations fournies aux personnes concernées.
5.8 Informations sur les transferts
Sur demande, fournir les informations nécessaires au Client pour réaliser des évaluations de l'impact du transfert, y compris une description des mesures de sécurité techniques et organisationnelles applicables.
6. PROPAGATION DES SUPPRESSIONS/OPPOSITIONS
6.1 Obligations de Sellerbase en matière de suppression
Sellerbase doit :
- (a) Tenir une liste de suppression des individus ayant exercé leurs droits d'opposition ou d'effacement auprès de Sellerbase ;
- (b) Appliquer les suppressions à sa base de données dans un délai raisonnable ;
- (c) Fournir au Client des mises à jour des suppressions au moyen de l'une des méthodes suivantes (selon disponibilité) :
- Mises à jour mensuelles de la liste de suppression ;
- Accès API aux données de suppression ; ou
- Sur demande écrite du Client.
6.2 Obligations du Client en matière de suppression
Le Client doit :
- (a) Appliquer les mises à jour de suppression reçues de Sellerbase à ses systèmes dans un délai de 14 jours suivant leur réception ;
- (b) Ne pas recontacter les individus supprimés en utilisant les Données ;
- (c) Maintenir ses propres mécanismes de suppression pour ses activités de prospection ; et
- (d) Respecter les demandes d'opposition directes reçues par le Client et ne pas se fier uniquement aux suppressions de Sellerbase.
6.3 Survie de l'obligation de suppression
L'obligation du Client de respecter les suppressions survit à la résiliation de l'Accord.
7. TRANSFERTS INTERNATIONAUX
7.1 Localisation de Sellerbase
Sellerbase est établie à Maurice, qui ne bénéficie pas d'une décision d'adéquation de la Commission européenne au titre de l'Article 45 du RGPD.
7.2 Mécanismes de transfert
Lorsque des données à caractère personnel soumises au RGPD, au RGPD britannique ou à des lois similaires sont transférées vers ou depuis Sellerbase, les parties mettent en œuvre des mécanismes de transfert appropriés tels que prévus à la présente Section 7.
7.3 Transferts applicables
| Scénario | Mécanisme applicable |
|---|---|
| Client de l'UE/EEE recevant des Données de Sellerbase | CCT de responsable du traitement à responsable du traitement (Module One) |
| Client du Royaume-Uni recevant des Données de Sellerbase | Addendum britannique aux CCT (Module One) |
| Client de l'UE/EEE envoyant des données à caractère personnel à Sellerbase (par exemple, contacts administratifs, données de support) | CCT de responsable du traitement à responsable du traitement (Module One) |
| Modules complémentaires impliquant des données à caractère personnel du Client | CCT de responsable du traitement à sous-traitant (Module Two) |
7.4 Incorporation des CCT
Lorsque le Client est établi dans l'UE/EEE ou au Royaume-Uni (comme indiqué dans le Bon de Commande), les modules de CCT applicables sont incorporés par référence au présent DPA. Les parties conviennent que :
Pour les transferts au titre du Module One (de responsable du traitement à responsable du traitement) :
- Exportateur de données : le Client (lors de la réception de Données) ou Sellerbase (lors de la réception de données de contact/support du Client), selon le cas
- Importateur de données : Sellerbase (lors de la fourniture de Données) ou le Client (lors de la fourniture de données de contact/support), selon le cas
- Annexe I : telle qu'énoncée à l'Annexe I du présent DPA
- Annexe II : telle qu'énoncée à l'Annexe II du présent DPA
Pour les transferts au titre du Module Two (de responsable du traitement à sous-traitant) (Modules complémentaires uniquement) :
- Exportateur de données : le Client
- Importateur de données : Sellerbase
- Annexe I : telle qu'énoncée à l'Annexe I du présent DPA
- Annexe II : telle qu'énoncée à l'Annexe II du présent DPA
7.5 Transferts vers le Royaume-Uni
Pour les transferts soumis au RGPD britannique, l'International Data Transfer Addendum to the EU Commission Standard Contractual Clauses (l'« Addendum britannique ») émis par le UK Information Commissioner au titre de la S119A(1) du Data Protection Act 2018 s'applique à ces transferts.
7.6 Transferts vers la Suisse
Pour les transferts soumis à la Loi fédérale suisse sur la protection des données, les CCT s'appliquent avec les modifications nécessaires pour se conformer au droit suisse.
7.7 Mesures supplémentaires
Sellerbase applique des mesures techniques et organisationnelles supplémentaires adaptées au risque afin de protéger les données à caractère personnel transférées, telles que décrites plus en détail à l'Annexe II.
7.8 Évaluation de l'impact du transfert
Sur demande, Sellerbase fournira au Client les informations raisonnablement nécessaires pour réaliser des évaluations de l'impact du transfert, y compris :
- Une description des mesures de sécurité techniques et organisationnelles ;
- Des informations sur les lois pertinentes à Maurice affectant la protection des données ; et
- Le détail de toute demande d'accès gouvernementale reçue (dans la mesure permise par la loi).
8. CONDITIONS APPLICABLES AU SOUS-TRAITANT (MODULES COMPLÉMENTAIRES UNIQUEMENT)
La présente Section 8 s'applique lorsque Sellerbase agit en qualité de Sous-traitant au titre de la Section 2.2 du présent DPA. Ces conditions sont fournies afin de satisfaire aux exigences de l'Article 28 du RGPD.
8.1 Instructions de traitement
Sellerbase doit :
- (a) Traiter les données à caractère personnel du Client uniquement sur la base des instructions documentées du Client, y compris en ce qui concerne les transferts vers des pays tiers, à moins d'y être tenue par le droit applicable (auquel cas Sellerbase informe le Client de cette obligation légale avant le traitement, sauf si la loi l'interdit) ;
- (b) Traiter les données à caractère personnel du Client uniquement aux finalités spécifiées dans le Bon de Commande et le présent DPA.
8.2 Confidentialité
Sellerbase veille à ce que les personnes autorisées à traiter les données à caractère personnel du Client :
- (a) Se soient engagées à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ; et
- (b) Ne traitent les données à caractère personnel du Client que sur instructions de Sellerbase.
8.3 Sécurité
Sellerbase met en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris, le cas échéant :
- (a) La pseudonymisation et le chiffrement des données à caractère personnel ;
- (b) Des mesures visant à garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes de traitement ;
- (c) Des mesures permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés à la suite d'un incident ; et
- (d) Un test et une évaluation réguliers des mesures de sécurité.
Les mesures de sécurité sont décrites à l'Annexe II du présent DPA.
8.4 Sous-traitants ultérieurs
8.4.1 Autorisation. Le Client donne une autorisation générale à Sellerbase pour mandater des Sous-traitants ultérieurs aux fins du traitement des données à caractère personnel du Client.
8.4.2 Liste des sous-traitants ultérieurs. Une liste à jour des Sous-traitants ultérieurs est disponible sur demande.
8.4.3 Modifications. Sellerbase notifie au Client tout changement prévu concernant les Sous-traitants ultérieurs au moins 30 jours avant la prise d'effet du changement, par courriel adressé au contact de facturation du Client ou par publication sur le site web de Sellerbase.
8.4.4 Objections. Le Client peut s'opposer à un nouveau Sous-traitant ultérieur pour des motifs raisonnables en notifiant Sellerbase par écrit dans les 30 jours suivant la réception de la notification. Les parties s'efforcent de bonne foi de résoudre l'objection. Si les parties ne peuvent résoudre l'objection dans un délai de 30 jours, le Client peut résilier les services de module complémentaire concernés.
8.4.5 Contrats avec les sous-traitants ultérieurs. Sellerbase veille à ce que chaque Sous-traitant ultérieur soit lié par des obligations de protection des données au moins aussi protectrices que celles du présent DPA.
8.5 Assistance pour les droits des personnes concernées
Sellerbase, compte tenu de la nature du traitement, assiste le Client par des mesures techniques et organisationnelles appropriées pour s'acquitter de son obligation de répondre aux demandes des personnes concernées.
8.6 Assistance à la conformité
Sellerbase assiste le Client pour garantir le respect de ses obligations au titre des Articles 32 à 36 du RGPD, compte tenu de la nature du traitement et des informations à la disposition de Sellerbase.
8.7 Droits d'audit
8.7.1 Informations. Sellerbase met à la disposition du Client toutes les informations nécessaires pour démontrer le respect de la présente Section 8.
8.7.2 Audits. Sellerbase autorise les audits, y compris les inspections, réalisés par le Client ou un auditeur mandaté par le Client, et y contribue, sous réserve :
- (a) D'un préavis raisonnable d'au moins 30 jours ;
- (b) D'obligations de confidentialité liant l'auditeur ;
- (c) D'un déroulement pendant les heures ouvrables normales avec une perturbation minimale ; et
- (d) De la prise en charge par le Client des coûts de l'audit.
8.7.3 Rapports de tiers. Sellerbase peut satisfaire aux demandes d'audit en fournissant :
- (a) Des certifications de tiers pertinentes (par exemple, ISO 27001) ; ou
- (b) Des rapports d'auditeurs tiers.
8.8 Restitution et suppression
À la cessation de la relation de sous-traitance :
- (a) Sellerbase doit, au choix du Client, restituer ou supprimer les données à caractère personnel du Client dans un délai de 30 jours suivant la cessation ; et
- (b) Sellerbase supprime les copies existantes, sauf si le droit applicable exige leur conservation.
8.9 Notification des violations
Sellerbase notifie au Client sans retard injustifié (et en tout état de cause dans un délai de 72 heures) après avoir pris connaissance d'une violation de données à caractère personnel affectant les données à caractère personnel du Client traitées au titre de la présente Section 8.
9. SOUS-TRAITANTS ULTÉRIEURS ET PRESTATAIRES DE SERVICES
9.1 Catégories
Sellerbase a recours aux catégories suivantes de prestataires de services :
| Catégorie | Finalité |
|---|---|
| Fournisseurs d'hébergement cloud | Infrastructure et stockage des données |
| Fournisseurs d'analyse | Surveillance des performances de la Plateforme |
| Fournisseurs d'outils de support | Fourniture du support client |
| Prestataires de paiement | Traitement des paiements |
| Fournisseurs de services de messagerie électronique | Communications |
9.2 Liste des sous-traitants ultérieurs
Une liste à jour des Sous-traitants ultérieurs spécifiques est disponible sur demande à contact@sellerbase.net.
10. DROITS DES PERSONNES CONCERNÉES
10.1 Répartition des responsabilités
| Type de demande | Partie responsable |
|---|---|
| Demandes concernant la base de données de Sellerbase | Sellerbase |
| Demandes concernant les données présentes dans les systèmes du Client | Client |
| Propagation des suppressions | Sellerbase notifie ; le Client met en œuvre |
10.2 Coopération
Chaque partie coopère raisonnablement avec l'autre partie pour répondre aux demandes des personnes concernées qui se rapportent aux activités de traitement de l'autre partie.
10.3 Réorientations
Si une partie reçoit une demande d'une personne concernée qui se rapporte aux activités de traitement de l'autre partie, elle réoriente promptement la personne concernée vers la partie appropriée.
11. COORDONNÉES
11.1 Contact Sellerbase
Pour les demandes relatives à la protection des données :
Sellerbase Ltd 20 Foot Road, Grand Baie, Mauritius Courriel : contact@sellerbase.net
ANNEX I - DÉTAILS DU TRANSFERT
A. LISTE DES PARTIES
Exportateur(s) de données :
- Nom : tel que spécifié dans le Bon de Commande
- Adresse : telle que spécifiée dans le Bon de Commande
- Contact : tel que spécifié dans le Bon de Commande
- Rôle : Responsable du traitement
Importateur(s) de données :
- Nom : Sellerbase Ltd
- Adresse : 20 Foot Road, Grand Baie, Mauritius
- Contact : contact@sellerbase.net
- Rôle : Responsable du traitement (pour la fourniture de la base de données) / Sous-traitant (pour les modules complémentaires, le cas échéant)
B. DESCRIPTION DU TRANSFERT
Module One (de responsable du traitement à responsable du traitement) :
| Élément | Description |
|---|---|
| Catégories de personnes concernées | Individus dont les coordonnées professionnelles ont été publiées dans un contexte de contact professionnel (par exemple, sur une page « contactez-nous » d'une entreprise), tels que des représentants d'entreprise. La base de données est axée sur les entreprises et les sociétés ; la plupart des enregistrements n'identifient pas un individu. |
| Catégories de données à caractère personnel | Coordonnées professionnelles limitées, pouvant inclure un nom, une adresse électronique professionnelle et un numéro de téléphone professionnel. La plupart des coordonnées sont des coordonnées d'entreprise génériques, fondées sur une fonction (par exemple, info@ ou contact@ un domaine d'entreprise), et des informations au niveau de l'organisation qui n'identifient pas un individu. |
| Données sensibles | Aucune |
| Fréquence du transfert | Continue (accès à la demande) |
| Nature du traitement | Mise à disposition, conservation, transmission |
| Finalité | Fourniture de services de données B2B pour l'analyse commerciale, l'étude de marché et la génération de prospects du Client |
| Durée de conservation | Durée de l'Accord ; après résiliation, conformément à la Section 14 des Conditions Générales de Service |
Module Two (de responsable du traitement à sous-traitant) - Modules complémentaires uniquement :
| Élément | Description |
|---|---|
| Catégories de personnes concernées | Telles que spécifiées par le Client dans le cadre des services de module complémentaire |
| Catégories de données à caractère personnel | Telles que spécifiées par le Client dans le cadre des services de module complémentaire |
| Données sensibles | Aucune (sauf indication contraire du Client) |
| Fréquence du transfert | Selon les besoins des services de module complémentaire |
| Nature du traitement | Telle que spécifiée dans le Bon de Commande |
| Finalité | Fourniture des services de module complémentaire (synchronisation CRM, enrichissement, etc.) |
| Durée de conservation | Durée des services de module complémentaire |
C. AUTORITÉ DE CONTRÔLE COMPÉTENTE
Pour les exportateurs de données de l'UE : l'autorité de contrôle de l'État membre de l'UE dans lequel l'exportateur de données est établi.
Pour les exportateurs de données du Royaume-Uni : l'Information Commissioner's Office (ICO).
ANNEX II - MESURES TECHNIQUES ET ORGANISATIONNELLES
Sellerbase maintient des mesures techniques et organisationnelles adaptées à la nature des données et aux risques encourus, et les soumet à un réexamen régulier. Ces mesures portent sur les domaines suivants :
- Contrôle d'accès — authentification et accès basé sur les rôles aux systèmes contenant des données à caractère personnel, l'accès étant limité aux personnes qui en ont besoin.
- Protection des données — chiffrement des données à caractère personnel en transit sur les réseaux publics, et minimisation des données.
- Sécurité de l'infrastructure — protections du réseau, y compris la ségrégation des systèmes contenant des données à caractère personnel par rapport aux réseaux publics.
- Sécurité opérationnelle — procédures de réponse aux incidents et de continuité d'activité, et sensibilisation du personnel aux responsabilités en matière de protection des données.
- Gestion des sous-traitants ultérieurs — diligence raisonnable à l'égard des sous-traitants ultérieurs et des prestataires de services.
- Droits des personnes concernées — procédures de traitement des demandes des personnes concernées.
De plus amples détails sur les mesures applicables à une activité de traitement particulière sont disponibles pour le Client sur demande.
Fin de l'Addendum sur la Protection des Données Version 1.0