Addenda relatif au traitement des données d’Affirm
MIS À JOUR : le 14 avril 2025
Le présent Addenda relatif au traitement des données (l’ "ATD") est intégré dans le Contrat du Marchand ou le Contrat de partenariat (le "Contrat") entre l’entité d’Affirm ("Affirm") et le Marchand ou le Partenaire qui sont Parties à ce Contrat (le "Marchand"). Le présent ATD prend effet à la Date d’entrée en vigueur du Contrat, à moins que le présent ATD ne soit signé séparément, auquel cas il prend effet à la date de la dernière signature ci-après. En cas d’incompatibilité entre le présent ATD et le Contrat, les dispositions du présent ATD prévaudront.
1. Définitions. Les termes "Données à caractère personnel", "Personne concernée", "Traiter "et" Responsable du traitement "tels qu’ils sont utilisés dans le présent ATD ont le sens qui leur est donné par la Loi applicable sur la protection des renseignements personnels ou, en l’absence d’un tel sens, le sens qui leur est donné par le RGPD. Tel qu’il est utilisé dans le présent ATD, le terme "Données à caractère personnel "aura le sens de " Renseignements personnels "ou de "Renseignements personnels non publics", tel que chacun de ces termes est utilisé dans la Loi applicable sur la protection des renseignements personnels. Tout terme portant la majuscule qui n’est pas défini dans le présent ATD a le sens qui lui est donné dans le Contrat.
(a) "Loi applicable sur la protection des renseignements personnels" désigne les ordonnances judiciaires, les lois, les règlements, les codes, les décrets, les règles et les directives imposées par la loi ou par une autorité gouvernementale compétente, un organe directeur ou un organisme de réglementation dans chaque pays et territoire régissant la protection des données, la sécurité de l’information et la protection des renseignements personnels applicables au Traitement de Données à caractère personnel. Pour dissiper tout doute, la Loi applicable sur la protection des renseignements personnels comprend les restrictions applicables en vertu de la GLBA et de la législation canadienne en matière de réutilisation et de redivulgation.
(b) "GLBA" désigne le titre V de la Gramm-Leach-Bliley Act (15 U.S.C. 6801 et suiv.) et les règlements de mise en œuvre en matière de protection des renseignements personnels et de sécurité émis en vertu de la Gramm-Leach-Bliley Act.
(c) "RGPD" désigne le Règlement général sur la protection des données ((UE) 2016/679) et l’ensemble des lois, des règlements et de la législation secondaire de mise en œuvre à l’échelle nationale, en leur version modifiée de temps à autre, dans l’Espace économique européen ("EEE").
(d) "Pratiques de sécurité reconnues du secteur" désigne les pratiques sectorielles généralement reconnues, qui peuvent comprendre, sans s’y limiter, les normes de l’Organisation internationale de normalisation ISO/IEC 27001:2013 – Systèmes de management de la sécurité de l’information – Exigences et ISO/IEC 27002:2013 – Code de bonne pratique pour le management de la sécurité de l’information; le Cybersecurity Framework du National Institute of Standards and Technology (NIST); les normes Control Objectives for Information and related Technology (COBIT); les normes System and Organization Controls 2 (SOC 2) de l’Association of International Certified Professional Accountants (AICPA); ou d’autres normes sectorielles applicables à l’égard de la sécurité de l’information.
(e) "Pays visé par des restrictions" désigne, i) lorsque le RGPD s’applique, un pays à l’extérieur de l’EEE non assujetti à une décision d’adéquation par la Commission européenne; et ii) lorsque le RGPD du Royaume-Uni (au sens défini ci-après) et la Data Protection Act 2018 (" DPA 2018 ") s’appliquent, les pays qui n’ont pas été précisés par le secrétaire d’État comme assurant un degré adéquat de protection des Données à caractère personnel en vertu de l’article 17A de la DPA 2018.
(f) "Incident de sécurité" désigne une perte réelle, un accès non autorisé ou le Traitement non autorisé touchant les Renseignements confidentiels d’une Partie dans des systèmes informatiques appartenant à l’autre Partie, sous son contrôle ou accordés en sous-traitance par celle-ci, ou tout autre incident de confidentialité qui exige la divulgation conformément à la Loi applicable sur la protection des renseignements personnels.
(g) "Clauses contractuelles types" ou " CCT "désigne, i) lorsque le RGPD s’applique, les clauses annexées à la Décision d’exécution de la Commission européenne 2021/914 du 4 juin 2021 pour le transfert de Données à caractère personnel vers des pays tiers; et ii) lorsque le RGPD du Royaume-Uni s’applique, l’International Data Transfer Addendum to the EU Commission Standard Contractual Clauses émis par le commissaire à l’information du Royaume-Uni en vertu du paragraphe 119A(1) de la DPA 2018 (l’" Addenda du Royaume-Uni"), dans chaque cas, en leur version modifiée ou remplacée de temps à autre.
(h) "RGPD du Royaume-Uni" a le sens donné au terme "UK GDPR" au paragraphe 3(10) de la DPA 2018, tel qu’il est complété par le paragraphe 205(4), en leur version modifiée de temps à autre.
2. Rôle des Parties. Sous réserve de la Loi applicable sur la protection des renseignements personnels (y compris, sans s’y limiter, toute exigence en matière de consentement ou d’avis), chaque Partie est un Responsable du traitement distinct et indépendant des Données à caractère personnel qui lui sont divulguées ou qui sont mises à sa disposition dans le cadre du Contrat.
3. Obligations d’ordre général.
(a) Chaque Partie se conformera à la Loi applicable sur la protection des renseignements personnels et accomplira toutes les actions et mettra en œuvre toutes les mesures nécessaires pour soutenir le Traitement de Données à caractère personnel en tant que Responsable du traitement distinct et indépendant aux termes du présent Contrat. De manière raisonnable, chaque Partie collaborera avec l’autre Partie et l’aidera afin de respecter les obligations de l’autre Partie en vertu de la Loi applicable sur la protection des renseignements personnels et avisera sans délai l’autre Partie si elle reçoit une plainte, un avis ou une communication se rapportant à la conformité de l’autre Partie avec la Loi applicable sur la protection des renseignements personnels.
(b) Malgré toute disposition contraire dans le présent ATD, aucune Partie ne vendra ou ne mettra à la disposition de l’autre Partie des Données à caractère personnel en échange d’une valeur monétaire ou d’une autre contrepartie, et le Marchand ne Traitera pas de Données à caractère personnel d’une manière qui établit l’admissibilité au crédit ou qui empêche, oriente ou décourage l’utilisation de certains produits de paiement par les clients.
4. Sécurité des données.
(a) Chaque Partie établira, maintiendra et respectera des contrôles physiques, techniques et administratifs et un programme de sécurité des données, des politiques et des mesures de sécurité des données précis, exhaustifs et à jour conformes à la Loi applicable sur la protection des renseignements personnels et aux Pratiques de sécurité reconnues du secteur (et inclura au minimum les mesures énoncées à l’annexe A) afin de se prémunir contre les Incidents de sécurité.
(b) Au cas où l'une ou l’autre des Parties subit un Incident de sécurité ou en prend connaissance, la Partie dans les systèmes de laquelle l’incident a eu lieu (la "Partie touchée") : i) avisera sans délai (mais dans tous les cas au plus tard 48 heures suivant la confirmation de l’Incident de sécurité) l’autre Partie par écrit de cet Incident de sécurité et fournira à l’autre Partie les détails de cet Incident de sécurité; ii) collaborera à tout effort, toute action ou toute procédure raisonnable en vue de protéger tous les Renseignements confidentiels visés par cet Incident de sécurité et d’atténuer raisonnablement et/ou de remédier à l’incidence de l’Incident de sécurité; iii) déploiera sans délai des efforts raisonnables sur le plan commercial pour prévenir la récurrence d’un Incident de sécurité futur; et iv) le cas échéant, se conformera à la Loi applicable sur la protection des renseignements personnels. En cas d’Incident de sécurité, les Parties collaboreront à l’égard des avis qui sont exigés par la Loi applicable sur la protection des renseignements personnels et l’autre Partie aura le droit d’effectuer (ou de faire en sorte qu’un tiers compétent indépendant effectue) un audit ou une évaluation de la sécurité afin de vérifier les obligations en matière de sécurité des données de la Partie touchée telles qu’elles sont énoncées dans le présent ATD. Une telle évaluation de la sécurité sera effectuée uniquement aux frais et au choix de l’autre Partie. Tous les avis à l’intention d’Affirm aux termes du présent article 4 seront envoyés à infosec@affirm.com.
(c) Le Marchand s’assurera que: i) sa connectivité aux systèmes informatiques d’Affirm et toutes les tentatives de connexion à ces systèmes s’effectueront exclusivement selon les procédures d’Affirm, que l’on peut obtenir à https://docs.affirm.com/developers/docs; ii) il n’accédera pas, et ne permettra pas à des personnes ou entités non autorisées d’accéder, aux systèmes informatiques d’Affirm sans l’autorisation écrite expresse de cette dernière, et tout accès réel ou toute tentative d’accès sera conforme à l’autorisation accordée par Affirm; et iii) le Marchand prendra toutes les mesures appropriées pour veiller à ce que ses systèmes informatiques qui se connectent aux systèmes informatiques d’Affirm, et à ce que tout élément fourni à Affirm, ne renferment pas de code informatique, de programme, de mécanisme ou de dispositif de programmation conçu pour permettre ou qui pourrait permettre la perturbation, la modification, la suppression, l’endommagement, la désactivation, la mise hors d’usage, le préjudice ou l’entrave, de quelque manière que ce soit, touchant l’exploitation des services ou des systèmes informatiques d’Affirm, et le Marchand avisera immédiatement Affirm au moment de la détection de vulnérabilités dans ceux-ci.
(d) Dans la mesure où une Partie Traite des Données des Titulaires de Cartes (au sens défini par le PCI Security Standards Council), elle respectera les exigences du Standard de Sécurité des Données Payment Card Industry ("PCI DSS").
5. Transferts internationaux de données. Chaque Partie transférera seulement des Données à caractère personnel au-delà des frontières internationales et entre des territoires dans la mesure permise par le Contrat et en conformité avec la Loi applicable sur la protection des renseignements personnels. En cas d’incompatibilité entre le présent ATD et les CCT, les dispositions des CCT, dans la mesure applicable, prévaudront.
(a) Transfert de Données à caractère personnel de l’EEE. Les transferts de Données à caractère personnel de l’EEE vers un Pays visé par des restrictions seront effectués en conformité avec le présent ATD et les CCT, y compris, s’il y a lieu, les CCT de Responsable du traitement à Responsable du traitement (qui se trouvent à https://www.affirm.com/terms/controller-to-controller), lesquelles CCT sont intégrées par renvoi dans les présentes. L’annexe A des présentes fournit des détails supplémentaires comme l’exigent les annexes I et II des CCT.
(b) Transfert de Données à caractère personnel du Royaume-Uni. Les Transferts par l’une ou l’autre des Parties de Données à caractère personnel touchant le Royaume-Uni, soit en plus de l’EEE ou séparément, vers un Pays visé par des restrictions seront effectués en conformité avec le présent ATD et les CCT, y compris, s’il y a lieu, l’Addenda du Royaume-Uni (qui se trouve à international-data-transfer-addendum.pdf), dont les modalités sont intégrées par renvoi dans les présentes. Aux fins de l’Addenda du Royaume-Uni, les champs requis aux fins de la partie 1 (Tableaux) de l’Addenda du Royaume-Uni seront remplis selon les renseignements pertinents énoncés dans le présent ATD (voir l’annexe B).
6. Personne-ressource/représentant d’Affirm. Veuillez communiquer avec privacylegal@affirm.com au sujet de toute question ou de tout problème concernant le présent ATD.
ANNEXE A
Le tableau suivant renferme les renseignements requis par l’annexe I des CCT.
Exportateur(s) de données | Nom : Marchand Adresse : Telle qu’elle est indiquée dans le Formulaire de commande ou telle qu’elle est indiquée par le Marchand Nom, fonction et coordonnées de la personne-ressource : Tels qu’ils sont indiqués par le Marchand Activités en rapport avec les données transférées au titre des présentes CCT : Fourniture de produits et de services sur demande aux clients Rôle (responsable du traitement/sous-traitant) : Responsable du traitement Nom : Affirm Adresse : Telle qu’elle est indiquée dans le Formulaire de commande ou telle qu’elle est indiquée par Affirm Nom, fonction et coordonnées de la personne-ressource : Privacy@affirm.com Activités en rapport avec les données transférées au titre des présentes CCT : Fourniture de services sur demande aux clients Rôle (responsable du traitement/sous-traitant) : Responsable du traitement Importateur(s) de données |
Importateur(s) de données | Nom : Affirm Adresse : Telle qu’elle est indiquée dans le Formulaire de commande ou telle qu’elle est indiquée par Affirm Nom, fonction et coordonnées de la personne-ressource : Privacy@affirm.com Activités en rapport avec les données transférées au titre des présentes CCT : Fourniture de services sur demande aux clients Rôle (responsable du traitement/sous-traitant) : Responsable du traitement Nom : Marchand Adresse : Telle qu’elle est indiquée dans le Formulaire de commande ou telle qu’elle est indiquée par le Marchand Nom, fonction et coordonnées de la personne-ressource : Tels qu’ils sont indiqués par le Marchand Activités en rapport avec les données transférées au titre des présentes CCT : Fourniture de produits et de services sur demande aux clients Rôle (responsable du traitement/sous-traitant) : Responsable du traitement |
Catégories de personnes concernées | Clients (particuliers agissant à titre personnel ou au nom d’un foyer); représentants |
Catégorie de Données à caractère personnel | Données d’identification personnelle; renseignements sur les transactions |
Données à caractère personnel de catégorie spéciale (le cas échéant) | Aucune |
Fréquence du transfert | Sur une base continue |
Nature du Traitement | L’Importateur de données traitera les Données à caractère personnel comme il est décrit dans le Contrat pendant la durée et selon la portée énoncées dans le Contrat. |
Finalité du Transfert et du Traitement ultérieur des données | La finalité du Traitement de l’Importateur de données consiste à faciliter sa fourniture de produits ou de services à des clients conjoints de l’Exportateur de données et de l’Importateur de données et comme il est indiqué par ailleurs dans le Contrat. |
Durée de conservation des données à caractère personnel | Sous réserve de la Loi applicable sur la protection des renseignements personnels, les Données à caractère personnel seront conservées en conformité avec le Contrat. |
Pour les transferts à des sous-traitants (ultérieurs), objet, nature et durée du Traitement | L’objet et la nature du Traitement sont décrits dans le Contrat. Sous réserve de la Loi applicable sur la protection des renseignements personnels et des dispositions en matière de conservation et de suppression des données du Contrat, la durée du Traitement est la durée du Contrat (y compris toute période de maintien en vigueur de dispositions). |
Autorité(s) de contrôle compétente(s) conformément à la clause 13 | Pour les transferts à partir de l’EEE, la Pologne au Urząd Ochrony Danych Osobowych (Bureau de la protection des données à caractère personnel); et Pour les transferts à partir du Royaume-Uni, le bureau du commissaire à l’information. |
2. Le tableau suivant renferme les renseignements requis par l’annexe II des CCT.
Cadre contractuel | L’Importateur de données signera les ententes de transfert des données appropriées conformément à la Loi applicable sur la protection des données. |
Sécurité de la transmission | Les Données à caractère personnel sont uniquement transférées en format crypté au moyen d’algorithmes et de protocoles non obsolètes répondant aux normes sectorielles. |
Garanties organisationnelles | - Des politiques et procédures de sécurité documentées sont en place et sont mises à la disposition de tous les employés. - Les employés sont tenus de suivre une formation en sécurité annuelle. - Des audits périodiques des mesures de protection organisationnelles et techniques sont effectués. - Des procédures et des membres du personnel sont en place pour repérer les risques et les incidents liés à la sécurité, pour y répondre et pour en atténuer les incidences. - Des rôles et des responsabilités sont définis en ce qui a trait à l’accès aux données, aux réseaux et aux systèmes. |
Garanties techniques | - Des logiciels de cryptage des disques et de lutte contre les logiciels malveillants sont requis dans tout l’équipement émis par l’entreprise. - Des contrôles sont en place pour surveiller activement le système et ses systèmes périphériques en ce qui concerne les intrusions et les vulnérabilités. - Un registre centralisé est tenu aux fins des événements pertinents pour la sécurité survenant dans les systèmes. - Les données stockées dans un sous-réseau sécurisé faisant partie du réseau ne sont pas accessibles à partir du réseau extérieur sans gestion appropriée de l’identité et de l’accès, dont une authentification multifactorielle. - Les Données à caractère personnel sont cryptées au repos et en transit au moyen d’algorithmes et de protocoles non obsolètes répondant aux normes sectorielles. - Les rôles et les permissions d’accès des utilisateurs sont établis selon les fonctions liées à l’emploi, et la fourniture et la suppression des accès se déroulent de manière automatisée. - Les modifications des systèmes sont instaurées et les approbations de modifications sont appliquées automatiquement selon des procédures définies. |
ANNEXE B
1. Le tableau suivant renferme les renseignements requis par la partie 1 : Tableaux de l’Addenda du Royaume-Uni.
Tableau 1 : Parties | |
Coordonnées des parties | Telles qu’elles figurent à l’ANNEXE A |
Principales personnes-ressources | Telles qu’elles figurent à l’ANNEXE A |
Tableau 2 : CCT choisies, modules et clauses sélectionnées | |
Addenda relatif aux CCT de l’UE | La version des CCT de l’UE qui sont intégrées par renvoi dans le présent ATD (conformément à la clause 5a)i)) est la version à laquelle le présent Addenda du Royaume-Uni est annexé. |
Tableau 3 : Renseignements de l’annexe " Renseignements de l’annexe "désigne les renseignements qui doivent être fournis pour les modules sélectionnés tels qu’ils sont énoncés dans l’annexe des CCT de l’UE approuvées (autre que les Parties), et qui, aux fins du présent addenda, sont énoncés aux endroits suivants : | |
Annexe 1A : Liste des parties : | Comme il est énoncé à l’annexe I de l’annexe 1. |
Annexe 1B : Description du transfert : | Comme il est énoncé à l’annexe I de l’annexe 1. |
Annexe II : Mesures techniques et organisationnelles, y compris les mesures techniques et organisationnelles visant à garantir la sécurité des données : | Comme il est énoncé à l’annexe I de l’annexe 1. |
Annexe III : Liste des sous-traitants ultérieurs (module 2 et 3 seulement) : | s.o. |
Tableau 4 : Résiliation du présent addenda lorsque l’addenda approuvé change | Aucune Partie ne peut résilier l’Addenda du Royaume-Uni, conformément à l’article 19 de l’Addenda du Royaume-Uni. |
