v2026.02.28 Le présent Addendum de Traitement des Données ("DPA") fait partie de l’accord entre Giftpack, Inc. ("Giftpack") et le client, utilisateur, partenaire ou organisme qui soumet des données personnelles à Giftpack ou utilise les services Giftpack ("Client"). Il s’applique lorsque Giftpack traite des données personnelles pour le compte du Client en qualité de sous-traitant, prestataire de services, contractant ou rôle similaire au titre des Lois sur la Protection des Données applicables. Il peut être accepté par la signature d’un bon de commande, l’acceptation des Conditions de Service, un clic d’acceptation dans la plateforme, la soumission de données de destinataires, l’approbation d’une campagne ou l’utilisation de services impliquant un traitement pour le compte du Client. Un accord de traitement des données signé séparément prévaudra en cas de conflit.
“Lois sur la Protection des Données” désigne les lois relatives à la confidentialité, à la protection des données et à la sécurité applicables au traitement des Données Personnelles du Client, pouvant inclure le GDPR, le UK GDPR, la loi fédérale suisse sur la protection des données, le CCPA/CPRA et toute autre loi applicable. “Données Personnelles du Client” désigne les données personnelles, informations personnelles ou données réglementées similaires que le Client fournit à Giftpack ou met à sa disposition pour un traitement pour le compte du Client. “GDPR” désigne le Règlement (UE) 2016/679. “CCPA” désigne le California Consumer Privacy Act, tel que modifié par le California Privacy Rights Act et ses règlements d’application. Les termes responsable du traitement, sous-traitant, entreprise, prestataire de services, contractant, données personnelles, informations personnelles, traiter et personne concernée ont le sens prévu par les Lois sur la Protection des Données applicables.
Pour les Données Personnelles du Client traitées dans le cadre de campagnes gérées par le Client, de flux destinataires, de l’exécution de commandes, de l’administration de la plateforme, de rapports et de services connexes, le Client est le responsable du traitement ou l’entreprise et Giftpack est le sous-traitant, prestataire de services, contractant ou rôle similaire. Giftpack peut traiter certaines données comme responsable du traitement ou entreprise indépendant pour l’administration des comptes, la sécurité, la prévention de la fraude, l’analyse, la conformité légale, l’amélioration du service, la facturation et les opérations internes, comme décrit dans la Politique de Confidentialité.
Giftpack traitera les Données Personnelles du Client uniquement sur instructions documentées du Client, y compris le présent DPA, les Conditions de Service, le bon de commande applicable, la Commande de Campagne, la configuration de la plateforme, les instructions soumises par le Client via les services et les autres instructions écrites convenues par les parties, sauf exigence légale contraire. Giftpack informera le Client si Giftpack estime qu’une instruction viole les Lois sur la Protection des Données, sauf interdiction légale.
L’objet, la durée, la nature, la finalité, les catégories de données personnelles et les catégories de personnes concernées sont décrits à l’Annexe A. Le Client est responsable de s’assurer que ses instructions sont licites et qu’il a fourni les avis requis et obtenu les droits, autorisations, consentements et bases juridiques nécessaires pour que Giftpack traite les Données Personnelles du Client.
Giftpack veillera à ce que les personnes autorisées à traiter les Données Personnelles du Client soient soumises à des obligations de confidentialité ou à des devoirs professionnels de confidentialité et reçoivent des instructions appropriées concernant le traitement des données.
Giftpack mettra en œuvre et maintiendra des mesures techniques et organisationnelles appropriées conçues pour protéger les Données Personnelles du Client contre le traitement non autorisé ou illicite, ainsi que la perte, la destruction, l’altération, la divulgation ou l’accès accidentels. Les mesures actuelles sont décrites à l’Annexe B et sur la page Sécurité de Giftpack. Giftpack peut les mettre à jour périodiquement, à condition que ces mises à jour ne réduisent pas substantiellement la protection globale des Données Personnelles du Client.
Le Client autorise Giftpack à utiliser des sous-traitants ultérieurs pour fournir et soutenir les services. Giftpack imposera à ces sous-traitants des obligations écrites de protection des données substantiellement similaires à celles du présent DPA, dans la mesure applicable à leurs services. Giftpack demeure responsable du traitement par les sous-traitants ultérieurs dans la mesure exigée par les Lois sur la Protection des Données. Giftpack mettra les informations relatives aux sous-traitants ultérieurs à disposition sur demande ou par un canal de confiance, sécurité ou confidentialité. Le Client peut s’opposer à un nouveau sous-traitant ultérieur pour des motifs raisonnables de protection des données dans un délai raisonnable après notification, lorsque notification est fournie.
Giftpack notifiera le Client sans retard injustifié après avoir pris connaissance d’un incident de sécurité confirmé entraînant la destruction, perte, altération, divulgation non autorisée ou accès accidentel ou illicite aux Données Personnelles du Client traitées pour le compte du Client. Giftpack fournira les informations raisonnablement disponibles pour aider le Client à respecter ses obligations de notification de violation. La notification ne constitue pas une reconnaissance de faute ou de responsabilité.
Compte tenu de la nature du traitement, Giftpack fournira une assistance raisonnable au Client, au moyen de mesures techniques et organisationnelles appropriées lorsque cela est possible, pour aider le Client à répondre aux demandes de personnes concernées, consommateurs ou droits de confidentialité en vertu des Lois sur la Protection des Données applicables. Si Giftpack reçoit directement une demande d’une personne concernant les Données Personnelles du Client, Giftpack peut renvoyer cette personne vers le Client, sauf obligation légale de répondre autrement.
Giftpack fournira une assistance raisonnable au Client pour les analyses d’impact relatives à la protection des données, consultations préalables, évaluations de cybersécurité et autres obligations de conformité lorsque les Lois sur la Protection des Données l’exigent et que l’assistance demandée concerne le traitement des Données Personnelles du Client par Giftpack. Giftpack peut facturer des frais raisonnables pour l’assistance dépassant le support standard, sauf interdiction légale ou accord contraire.
À la résiliation des services ou sur demande écrite du Client, Giftpack supprimera ou restituera les Données Personnelles du Client conformément à l’accord, aux fonctionnalités de la plateforme et à la loi applicable. Giftpack peut conserver les Données Personnelles du Client lorsque la loi l’exige ou à des fins de registres commerciaux légitimes, prévention de la fraude, sécurité, résolution de litiges, fiscalité, comptabilité, conformité ou sauvegarde, à condition que les données conservées demeurent protégées par le présent DPA jusqu’à leur suppression.
Giftpack mettra à disposition les informations raisonnablement nécessaires pour démontrer le respect du présent DPA. Lorsque les Lois sur la Protection des Données l’exigent, le Client peut demander un audit ou une évaluation des contrôles pertinents de Giftpack. Les audits doivent être raisonnables quant à leur portée, fréquence, calendrier et confidentialité, et peuvent être satisfaits par des rapports SOC 2, questionnaires de sécurité, certifications, résumés ou autres documents appropriés. Les audits sur site nécessitent un préavis écrit, une portée raisonnable et l’approbation de Giftpack en matière de sécurité et de confidentialité.
Le Client autorise Giftpack et ses sous-traitants ultérieurs à traiter les Données Personnelles du Client aux États-Unis et dans les autres juridictions où Giftpack ou ses sous-traitants opèrent. Lorsque des Données Personnelles du Client sont transférées depuis l’Espace économique européen, le Royaume-Uni ou la Suisse vers un pays n’offrant pas un niveau de protection adéquat, les parties utiliseront des mécanismes de transfert appropriés, pouvant inclure les Clauses Contractuelles Types, l’Addendum britannique ou d’autres mécanismes licites applicables. Les parties conviennent que les SCC applicables sont incorporées par référence lorsque requis, avec Giftpack comme importateur de données et le Client comme exportateur de données, sauf si les faits exigent une configuration différente.
Lorsque le CCPA s’applique, Giftpack traitera les Données Personnelles du Client en qualité de prestataire de services ou contractant pour les finalités commerciales décrites à l’Annexe A. Giftpack ne vendra ni ne partagera les Données Personnelles du Client, ne les conservera, utilisera ou divulguera pas à des fins autres que les finalités commerciales précisées dans l’accord ou autrement permises par le CCPA, ne les conservera, utilisera ou divulguera pas en dehors de la relation commerciale directe avec le Client sauf autorisation du CCPA, et ne les combinera pas avec des informations personnelles reçues d’autres sources sauf autorisation du CCPA. Giftpack respectera les obligations CCPA applicables aux prestataires de services et contractants et notifiera le Client si Giftpack détermine ne plus pouvoir les respecter.
Giftpack peut traiter des données dé-identifiées, agrégées ou anonymisées à des fins d’analyse, de comparaison, d’amélioration produit, de fiabilité du service et d’opérations commerciales, à condition que ces données n’identifient pas le Client ni une personne et soient traitées conformément à la loi applicable.
En cas de conflit entre le présent DPA et l’accord, le présent DPA prévaut pour le traitement des Données Personnelles du Client. Si des SCC sont requises et entrent en conflit avec le présent DPA, les SCC prévalent dans la mesure exigée par la loi.
| Champ | Détails |
|---|---|
| Objet | Fourniture par Giftpack de la plateforme, cadeaux, récompenses, sourcing, gestion de campagnes, engagement des destinataires, coordination de l’exécution, allocation de dons/impact, rapports, support et services connexes. |
| Durée | Pendant la durée de l’accord et selon ce qui est autrement nécessaire pour la conservation, suppression, conformité légale, résolution de litiges et sauvegarde. |
| Nature et Finalité | Héberger, stocker, organiser, transmettre, afficher, analyser, sécuriser, soutenir, exécuter, expédier, communiquer, rapporter, dépanner et traiter autrement les Données Personnelles du Client pour fournir les services. |
| Personnes Concernées | Administrateurs du Client, utilisateurs autorisés, employés, destinataires, utilisateurs finaux, acheteurs, donateurs, contacts fournisseurs, contacts bénéficiaires et autres personnes dont les données sont soumises à Giftpack. |
| Catégories de Données | Nom, coordonnées professionnelles, coordonnées personnelles lorsque fournies, adresse de livraison, e-mail, téléphone, société, fonction, identifiants de compte, informations de campagne, préférences cadeaux, messages, activité d’échange, détails de commande, métadonnées de paiement, statut de livraison, communications de support, données appareil/journal et autres données soumises via les services. |
| Données Sensibles | Giftpack n’exige pas que le Client soumette des données personnelles sensibles sauf prise en charge et approbation écrite expresse. Le Client ne doit pas soumettre de données sensibles sauf autorisation par l’accord et la loi applicable. |
| Obligations du Client | Le Client est responsable de la base légale, des avis, autorisations, exactitude des données, éligibilité des campagnes et instructions. |
Giftpack maintient des mesures conçues pour protéger les Données Personnelles du Client, notamment des contrôles d’infrastructure cloud, le chiffrement en transit et au repos, les contrôles d’accès fondés sur les rôles, les pratiques de moindre privilège, les obligations internes de confidentialité, la sensibilisation à la sécurité, la journalisation et la surveillance, l’analyse des vulnérabilités et les tests périodiques, les processus de réponse aux incidents, les pratiques de sauvegarde et reprise après sinistre, la gestion des changements, l’examen des fournisseurs et sous-traitants ultérieurs, ainsi que des garanties physiques, administratives et techniques appropriées à la nature des services. La page publique Sécurité de Giftpack fournit un aperçu général et peut être mise à jour périodiquement.