Addenda PayPal sur la protection des données pour les produits de traitement de cartes

Le présent addenda sur la protection des données de PayPal pour les produits de traitement des cartes (cet « Addenda ») s’applique à tous les produits, service ou autre offre pour lesquels un membre du groupe PayPal (« PayPal ») vous fournit des services de traitement de carte, de passerelle et/ou de protection contre la fraude (les « Services de paiement »). Le présent addenda ne s’applique pas aux services de portefeuille PayPal tels que Payer avec PayPal Venmo, ou les offres de Payer plus tard de PayPal. Le présent addenda fait partie de l'entente applicable entre vous (« vous » ou le « Marchand ») et PayPal qui régit la fourniture par PayPal des Services de paiement à votre égard (l’« Entente ») et est intégré par référence dans celui-ci. En cas de conflit entre les clauses de cet addenda et l'entente, les clauses de l’addenda prévaudront. Les termes en majuscules utilisés, mais non définis dans le présent addenda, ont la signification qui leur est conféré dans l'entente.

Le présent addenda entrera en vigueur à la fin de (i) la date d’entrée en vigueur indiquée dans l'entente ou (ii) la date d’entrée en vigueur indiquée dans l’avis affiché ou qui vous est fourni dans le cadre du présent addenda. Nous pouvons modifier cet addenda de temps à autre. La version révisée entrera en vigueur à la date de sa publication sur notre site Web, sauf en cas d’indication contraire. Si nos modifications réduisent vos droits ou accroissent vos responsabilités, nous publierons un avis sur la page « Mises à jour du règlement » de notre site Web dans les délais requis par l'entente. Si vous n’acceptez pas les modifications apportées à cet addenda, vous pouvez cesser d’utiliser les services de paiement.

Les termes suivants ont les significations suivantes lorsqu’ils sont utilisés dans la Partie A du présent addenda :

« Responsable du traitement des données » désigne une entité qui détermine les finalités et les moyens du traitement des données à caractère personnel, ou, si ce terme (ou des termes traitant de rôles similaires en matière de protection des données et de confidentialité) est défini dans la Loi sur la protection des données, « Responsable du traitement des données » a la signification définie dans la Loi applicable sur la protection des données, notamment une « Entreprise » telle que définie dans la CCPA.

« Client » désigne vos clients qui utilisent les Services de paiement et qui, aux fins de la Partie A du présent addenda, sont des personnes concernées.

« Données clients » désigne les données personnelles que (i) le Client vous fournit et que vous transmettez à PayPal lorsque vous utilisez les services de paiement et (ii) que PayPal peut collecter à partir de l’appareil et du navigateur du Client lorsque vous utilisez les services de paiement.

« Lois sur la protection des données » désigne toutes les lois, réglementations, directives et exigences réglementaires en vigueur en matière de protection des données et applicables à la fourniture des Services de paiement par PayPal, y compris toute modification y afférente et tout règlement ou instrument associé (par exemple, la California Consumer Privacy Act 2018, Cal. Civ. Code § 1798.100 et seq (« CCPA »), le Règlement général sur la protection des données (UE) 2016/679 (RGPD), le Règlement australien sur la protection des données personnelles de 1988 (Cth), la Protection des renseignements personnels et Loi sur les documents électroniques (Canada), l’Ordonnance sur les données personnelles (confidentialité) (Cap.486) (Hong Kong), la Loi générale brésilienne sur la protection des données, la Loi fédérale n° 13,709/2018 et la Loi sur la protection des données personnelles de 2012 (Singapour)).

« Groupe PayPal » désigne PayPal, Inc. et toutes les entités de la société que PayPal, ou ses successeurs, possèdent ou contrôlent directement ou indirectement de temps à autre.

« Données personnelles » désigne toute information relative à une personne physique identifiée ou identifiable (« personne concernée »); une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, en particulier par référence à un identificateur, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou un ou plusieurs facteurs propres à l’identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique.

« Traiter », « Traité » ou « Traitement » designe toute opération ou l’ensemble d’opérations effectuées sur les données personnelles, y compris la collecte, l’enregistrement, la conservation, le partage, l’organisation, le stockage, l’accès, l’adaptation, la modification, la récupération, la consultation, l’utilisation, la divulgation, la diffusion, la mise à disposition, le rapprochement, la combinaison, le blocage, la suppression, l’effacement ou la destruction.

Les parties reconnaissent et conviennent que le marchand et PayPal sont tous des responsables du traitement des données à titre indépendant en ce qui concerne toutes les données clients traitées dans le cadre des services de paiement. En tant que tel, PayPal détermine indépendamment le motif et les moyens du traitement de ces données clients et n’intervient pas conjointement avec le marchand en ce concerne ces données clients. Les parties reconnaissent et acceptent que PayPal est autorisé à utiliser, à reproduire et à traiter les données clients et les données des transactions de paiement aux fins restreintes suivantes :

• selon les exigences raisonnablement requises pour fournir et améliorer les services de paiement au marchand et à ses clients, y compris les outils de protection contre la fraude;
• afin de surveiller, de prévenir et de détecter les transactions de paiement frauduleuses et de mettre le marchand et des tiers à l’abri des préjudices,
• pour se conformer aux obligations légales ou réglementaires auxquelles Paypal est astreint et qui sont applicables au traitement et à la conservation des données de paiement, y compris les obligations en matière de lutte contre le blanchiment d’argent et la vérification de l’identité;
• pour analyser, développer et améliorer les produits et les services de PayPal;
• pour utilisation interne, y compris, mais sans s’y limiter, l’analytique et les métriques des données;
• pour compiler et divulguer les données clients et les données de la transaction de paiement dans l’agrégat où les données individuelles du marchand ou les données clients ne sont pas identifiables, y compris le calcul de vos moyennes par région ou par secteur d’activité;
• pour se conformer aux exigences légales en vigueur et pour aider les organismes d’application de la loi en répondant aux demandes de divulgation de renseignements conformément aux lois; et
• à toute autre fin dont avis est donné au marchand, pourvu que cette fin soit conforme aux lois sur la protection des données.

Le Marchand doit (i) informer les Clients dans sa politique de confidentialité que PayPal est un responsable du traitement indépendant aux fins du Traitement des données des Client et (ii) inclure un lien vers la PayPal déclaration de confidentialité dans la politique de confidentialité du Marchand.

Les parties acceptent de collaborer dans la mesure raisonnablement nécessaire afin de permettre à l’autre partie de s’acquitter convenablement de ses obligations en tant que responsable du traitement des données à titre indépendant en vertu des lois sur la protection des données. Les parties conviennent que, dans la mesure où le marchand reçoit une demande d’accès d’une personne concernée ou si un Client fait valoir ses droits en vertu des lois sur la protection des données, le marchand doit répondre directement à la demande d’accès du Client. Le marchand doit également informer le Client qu’il peut exercer ses droits de personne concernée dans le cadre des Services de paiement avec PayPal conformément aux instructions décrites dans la déclaration de confidentialité de PayPal. De plus, en cas d’incident de sécurité, si PayPal estime à son entière discrétion qu’il doit aviser les Clients concernés et que PayPal ne dispose pas de coordonnées nécessaires pour communiquer avec ce Client, alors le Marchand doit déployer les efforts commercialement raisonnables pour fournir à PayPal les coordonnées qu’il possède sur le Client aux fins restreintes de permettre à PayPal de s’acquitter de ses obligations légales à l’égard du Client concerné en vertu des lois sur la protection des données.

Les parties acceptent que PayPal puisse transférer les données clients traitées en vertu de l’addenda à l’extérieur du pays où elles ont été collectées, au besoin, pour fournir les services de paiement. Si PayPal transfère des données clients protégées en vertu du présent Addenda vers une juridiction pour laquelle l’autorité réglementaire applicable du pays dans lequel les données ont été collectées n’a pas rendu de décision d’adéquation (« décision d’adéquation »), PayPal s’assurera que des garanties appropriées ont été mises en œuvre pour le transfert des données clients conformément aux lois applicables en matière de protection des données. Par exemple, et à des fins de conformité avec le RGPD, PayPal s’appuie sur des règles d’entreprise contraignantes approuvées par les autorités de surveillance compétentes et d’autres mécanismes de transfert de données pour les transferts des données clients à l’échelle du groupe PayPal.

En ce qui concerne vos transferts de données à un membre du groupe PayPal situé dans un pays qui n’a pas reçu de décisions d’adéquation de vos clients situés dans l’Union européenne, en Suisse, dans l’Espace économique européen et/ou dans leurs États membres ou au Royaume-Uni, les parties conviennent chacune que (i) dans la mesure applicable, votre signature de l’entente sera considérée comme la signature et l’acceptation de la décision d’exécution (UE) 2021/914 de la Commission européenne du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers conformément au RGPD (« Clauses de transfert de l’UE ») par le Marchand, en tant qu’exportateur de données et en qualité de responsable du traitement des données, et sera considérée comme la signature et l’acceptation des clauses types de protection des données spécifiées dans les règlements édictés par le Secrétaire d’État en vertu de l’article 17C(b) de la loi de 2018 sur la protection des données et pour le moment, en vigueur au Royaume-Uni (« Clauses de transfert du Royaume-Uni »), en tant qu’exportateur de données (ii) dans la mesure applicable, la signature de l’entente par le membre du groupe PayPal sera considérée comme la signature et l’acceptation des Clauses de transfert de l’UE par ce membre du groupe PayPal, en tant qu’importateur de données et en tant que responsable du traitement des données, et sera considérée comme la signature et l’acceptation des Clauses de transfert du Royaume-Uni, en tant qu’importateur de données ; et (iii) les parties seront soumises aux dispositions du Module 1 des Clauses de transfert de l’UE. Dans le cas où la Commission européenne ou le Secrétaire d’État du Royaume-Uni (ou tout autre organisme autorisé du Royaume-Uni concerné) révise et publie par la suite de nouvelles Clauses de transfert de l’UE ou Clauses de transfert du Royaume-Uni, respectivement (ou tel que requis ou mis en œuvre par la Commission européenne ou le Secrétaire d’État du Royaume-Uni (ou tout autre organisme compétent du Royaume-Uni)), les parties conviennent que ces nouvelles Clauses de transfert de l’UE ou Clauses de transfert du Royaume-Uni, le cas échéant, remplaceront les présentes Clauses de transfert de l’UE ou les Clauses de transfert du Royaume-Uni, selon le cas. Les Clauses de transfert de l’UE (Module 1) et les Clauses de transfert du Royaume-Uni seront incorporées dans l’entente par référence et considérées comme dûment exécutées entre les parties après l’entrée en vigueur de la présente entente sous réserve des détails suivants :

A) Clauses de transfert de l’UE

1. L’option 1 de la clause 17 (loi applicable) s’applique et les lois luxembourgeoise régissent les clauses de l’UE;

2. conformément à la clause 18 (Choix du forum et de la juridiction), les tribunaux luxembourgeois résoudront tout litige découlant des clauses de l’UE; et

3. Les parties conviennent que les détails exigés en vertu de l’annexe sur les Clauses de transfert de l’UE sont indiqués dans l’Annexe 1.

B) Clauses de transfert du Royaume-Uni

1. La clause II(h)(iii) est incorporée et la signature de l’entente par PayPal sera considérée comme le paraphe requis de PayPal en tant qu’importateur de données;

2. Les parties conviennent que les détails requis en vertu de l’annexe B des Clauses de transfert du Royaume-Uni sont indiqués dans l’Annexe 1 (dans la mesure du possible).

Annexe aux Clauses de transfert de l’UE et annexe B des Clauses de transfert du Royaume-Uni

A) Les dispositions suivants sont applicables, dans la mesure requise, en vertu des Clauses de transfert de l’UE et des Clauses de transfert du Royaume-Uni

Annexe 1.A. Liste des Parties

Exportateur de données

• Nom et adresse : l’exportateur de données est le marchand et l’adresse est celle indiquée dans l’entente
• Nom, fonction et coordonnées de la personne-ressource : comme prévu dans l’entente
• Activités pertinentes pour les données transférées en vertu de la clause contractuelle type : comme prévu dans l’entente
• Signature et date : veuillez consulter la section « Transferts transfrontaliers » du présent Addenda.
• Rôle (responsable du traitement des données/société de traitement de paiements) : responsable du traitement des données

Importateur de données

• Nom et adresse : l’importateur de données est le membre du groupe PayPal qui fournit les services conformément à l’entente et l’adresse est celle indiquée dans cette dernière.
• Nom, fonction et coordonnées de la personne-ressource : comme prévu dans l’entente
• Activités pertinentes pour les données transférées en vertu de la clause contractuelle type : comme prévu dans la signature de l’entente et date : veuillez consulter la section « Transferts transfrontaliers » du présent Addendum
• Rôle (responsable du traitement des données/société de traitement de paiements) : responsable du traitement des données

Annexe 1.B. Description du transfert

Personnes concernées dont les données personnelles sont transférées

Les données personnelles transférées incluent les catégories de personnes concernées suivantes :

• Les clients, les employés et les autres contacts professionnels de l’exportateur de données.

Catégories de données

Les données à caractère personnel transférées peuvent inclure les catégories de données suivantes :

• Le nom du client, le montant à payer, la date et l’heure, les détails du compte bancaire, les détails de la carte de paiement, le code CVC, le code postal, le code de pays, l’adresse, l’adresse de courriel, le télécopieur, le numéro de téléphone, le site Web, les données d’expiration, les détails d’expédition, le statut fiscal, l’identifiant unique du client, l’adresse IP, la localisation et toute autre donnée reçue par PayPal en vertu de l’entente.

Données sensibles (le cas échéant) et restrictions ou mesures de protection appliquées

Les données personnelles transférées concernent les catégories de données sensibles suivantes :

• Non applicable, sauf si le marchand configure le service pour collecter ces données. Applique des restrictions et des mesures de protection :
• Non applicable, sauf si le marchand configure le service pour collecter ces données.

Nature du traitement

Selon les stipulations de l’entente

Objectifs du ou des transferts)

Le transfert est effectué aux fins suivantes :

• Fourniture des services par l’importateur de données à l’exportateur de données conformément à l’entente.
• Identification des activités frauduleuses et des risques qui affectent ou pourraient affecter l’importateur de données, l’exportateur de données ou d’autres clients de l’importateur de données;
• Conformité aux lois applicables à l’importateur de données;
• Selon les stipulations de l’Addenda sur la protection des données.

La période pendant laquelle les données personnelles seront conservées ou, si cela n’est pas possible, les critères utilisés pour déterminer cette période

L’importateur de données ne conserve les données à caractère personnel que pendant la durée nécessaire à la réalisation des objectifs pour lesquels elles ont été collectées (voir les objectifs ci-dessus). Pour déterminer la période de conservation appropriée pour les données personnelles, l’importateur de données tient compte de la quantité, de la nature et du caractère sensible des données personnelles, du risque potentiel de préjudice résultant d’une utilisation ou d’une divulgation non autorisée des données personnelles, des objectifs pour lesquels les données personnelles sont traitées et de la possibilité d’atteindre ces objectifs par d’autres moyens, ainsi que des exigences légales, réglementaires, fiscales, comptables ou d’autres exigences applicables.

Pour les transferts vers des (sous-traitants) sociétés de traitement de paiements, précisez également l’objet, la nature et la durée du traitement

L’importateur de données peut partager des données personnelles avec des fournisseurs de services tiers qui offrent des services et des fonctions selon les instructions de l’importateur de données et en son nom. Ces fournisseurs de services tiers peuvent, par exemple, fournir un élément des services offerts en vertu de l’entente, comme la vérification du client, le traitement des transactions ou le service clientèle, ou fournir un service à l’importateur de données qui prend en charge les services fournis dans le cadre de l’entente, comme le stockage. Lorsqu’il détermine la durée du traitement effectué par les fournisseurs de services tiers, l’importateur de données applique les critères définis ci-dessus dans la présente annexe 1.B.

Annexe 1.C. Autorité de surveillance

Conformément à la Clause 13(a) des Clauses de transfert de l’UE, l’autorité de surveillance responsable de la conformité de l’exportateur de données avec le règlement (UE) 2016/679 en ce qui concerne le transfert de données, comme indiqué, agit en tant qu’autorité de surveillance compétente.

Annexe II. Mesures techniques et organisationnelles, y compris les mesures techniques et organisationnelles pour assurer la sécurité des données

1. Pseudonymisation, chiffrement et protection des données lors de leur transmission.

Les politiques de PayPal garantissent le respect de ce principe et exigent l’utilisation de contrôles techniques pour prévenir le risque de divulgation des données personnelles. PayPal utilise le chiffrement en transit et au repos pour toutes les données personnelles. Nous utilisons également des techniques de pseudonymisation standard du secteur, telles que la segmentation en unités, pour protéger les données personnelles, le cas échéant. PayPal applique des politiques complètes qui prévoient des obligations et des processus clés pour protéger les données lorsqu’elles sont transférées à l’échelle de l’entreprise l’entreprise et en dehors avec des tiers.

2. Gestion des modifications et continuité des activités.

Le processus rigoureux de gestion des changements de PayPal protège la disponibilité continue et la résilience des données et des systèmes tout au long de leur cycle de vie en s’assurant que les modifications sont planifiées, approuvées, exécutées et vérifiées de manière appropriée. Le processus de gestion de la continuité des activités de la Société fournit un cadre pour renforcer la résilience organisationnelle avec la capacité d’une réponse efficace qui protège les intérêts de ses principales parties prenantes.

3. Reprise après sinistre.

Le solide programme de reprise après sinistre de PayPal dispose de processus pour récupérer les informations ou les systèmes technologiques en cas de perturbation importante, en se concentrant sur les systèmes informatiques qui soutiennent les processus commerciaux essentiels et les activités des clients. Les infrastructures technologiques de PayPal sont hébergées dans plusieurs centres de données sécurisés, avec des fonctionnalités principales et secondaires, chacun étant équipé d’infrastructures de réseau et de sécurité, de serveurs d’applications et de bases de données dédiés et d’un espace de stockage.

4. Test et évaluation réguliers de l’efficacité des mesures techniques et organisationnelles.

PayPal planifie, exécute et rend compte régulièrement des résultats du programme de tests de la société afin d’évaluer l’efficacité de ses mesures technologiques et organisationnelles. Le programme est géré par notre équipe chargée des risques d’entreprise et de la conformité, qui collabore avec les parties prenantes concernées pour obtenir et évaluer les informations requises pour les tests, les rapports et les mesures correctives nécessaires.

5. Identification et autorisation de l’utilisateur.

Les processus de gestion des accès de PayPal exigent que les utilisateurs se connectent au réseau de l’entreprise en utilisant un identifiant de compte et un mot de passe uniques pour l’identification et l’authentification de l’utilisateur avant d’accéder à toute autre application proposée. Des politiques automatisées concernant la composition, la longueur, la modification, la réutilisation et le verrouillage des mots de passe sont appliquées. L’accès et les approbations basés sur les rôles qui sont certifiés tous les trimestres, sont mis en œuvre dans tous les systèmes concernés afin d’appliquer le principe de moindre privilège.

6. Sécurité physique des lieux où les données personnelles sont traitées.

Les politiques et processus mises en œuvre par PayPal à l’échelle mondiale en matière de sûreté et de sécurité définissent les exigences nécessaires pour faciliter les processus de gestion rigoureuse de la sûreté et de la sécurité solides, y compris la sécurité physique, conformément aux lois et règlements applicables et aux exigences des partenaires. L’accent est mis sur les systèmes de sécurité et les mesures de protection lors de la construction de zones spéciales ou sensibles telles que les salles de courrier, d’entreposage du matériel, les zones d’expédition et de réception, les salles informatiques/serveurs, les chambres fortes de communication ou les zones de stockage de documents classifiés ou d’informations conformément aux règles de sécurité de l’information de la Société.

7. Enregistrement et configuration des événements.

PayPal décrit et définit les types et les attributs d’enregistrement et de surveillance des événements. L’entreprise collecte et regroupe plusieurs types de rapports acheminés vers le système centralisé de surveillance de la sécurité. Un contrôle de gestion de la configuration standard est en place pour garantir que les rapports sont collectés à partir des systèmes, puis transmis à notre système centralisé de surveillance de la sécurité. Les politiques de PayPal et les processus de soutien stipulent que la configuration du système et des référentiels solides doivent être mis en œuvre dans tous les systèmes.

8. Gouvernance et gestion informatique; certification et assurance des processus et des produits.

PayPal promeut une philosophie de sécurité rigoureuse à l’échelle de l’entreprise. Notre responsable de la sécurité des informations supervise la sécurité des informations au niveau de l’entreprise. Dans le cadre de notre programme de gestion des risques et de la conformité de l’entreprise, notre programme de surveillance technologique et de sécurité de l’information est conçu pour aider l’entreprise à gérer les risques liés à la technologie et à la sécurité de l’information et à identifier, protéger, détecter et résorber les menaces à la sécurité de l’information. PayPal certifie et assure ses processus et ses produits par le biais de divers programmes d’entreprise, y compris (i) des audits et des évaluations des obligations techniques standard de PayPal, y compris, mais sans s’y limiter, la norme ISO 27001, les normes applicables de l’industrie des cartes de paiement (DSS, NIP, P2PE, etc.) et les normes SOC-1 et SOC-2 de l’American Institute of Certified Public Accountants (AICPA), (ii) le processus d’identification du contrôle des risques (RCIP) qui garantit une intervention rapide et une approche standard pour la mesure, la gestion et la surveillance des risques associés au développement et à la publication des solutions de produits, (iii) des évaluations d’impact sur la vie privée qui sont intégrées aux premières étapes des processus de développement de produits et de logiciels, et (iv) un programme complet de gestion des tiers, qui fournit une assurance par la gestion continue des risques dans le cadre d’un engagement avec un tiers.

9. Minimisation des données.

Nos politiques exigent, par le biais de contrôles techniques, que les éléments de données recueillis et générés soient adéquats, pertinents et limités à ce qui est nécessaire par rapport aux fins pour lesquelles ils sont traités. Les processus d’évaluation des incidences sur la confidentialité de PayPal garantissent le respect de ces politiques.

10. Qualité et conservation des données.

La politique de gestion de l’accès et de la qualité mise en œuvre par PayPal garantit que toutes les données personnelles sont correctes, complètes et à jour, permettant aux utilisateurs individuels d’accéder au système pour corriger et modifier leurs données personnelles (par exemple, leur adresse, leurs coordonnées, etc.) et, lorsqu’une demande de correction est reçue de la part d’une personne concernée, de fournir un service qui lui permet d’exercer son droit à la correction. Notre programme de gouvernance des données surveille la qualité des données, les problèmes et les mesures correctives, le cas échéant. Nous exigeons que toutes les données soient classées en fonction de leur valeur commerciale et que des périodes de conservation leur soient attribuées, en fonction des exigences légales, réglementaires et commerciales de PayPal en matière d’archivage. À l’expiration de la période de conservation, les données et les informations sont éliminées, supprimées ou détruites.

11. Responsabilité.

PayPal a mis au point un ensemble de politiques et de principes en matière de sécurité de l’information, de technologie, de gouvernance des données, de gestion des tiers et de confidentialité qui sont alignés sur les normes de l’industrie et conçus pour susciter la collaboration des parties prenantes en matière de sensibilisation et de conformité à ces politiques et contrôles à l’échelle de l’organisation, afin de garantir la participation et la responsabilité partant de la haute direction vers le bas de l’organisation. Chaque programme définit les responsabilités pour les décisions, les processus et les contrôles pluridisciplinaires liés aux données. En tant que responsable du traitement des données, PayPal est responsable et démontre sa conformité aux articles pertinents portant une obligation de responsabilité dans le RGPD et d’autres lois de protection des données applicables par la mise en œuvre d’une politique de confidentialité et d’une structure de contrôle organisationnel et technique stratifiée sous-jacente pour assurer la conformité à l’échelle de l’entreprise avec la loi, la réglementation, la politique et les procédures associées à la confidentialité. Il s’agit notamment de démontrer la conformité aux lois sur la protection des données par 1) une solide culture de conformité, 2) une structure de gouvernance des risques et de la conformité de l’entreprise qui comprend des comités de gestion, des rôles de surveillance, des rapports sur la confidentialité, 3) la responsabilité des fonctions commerciales en matière de conformité avec le programme de confidentialité, y compris l’établissement, la documentation et la maintenance des processus et des contrôles commerciaux, 4) un service mondial de confidentialité au sein de l’organisation de la conformité de l’entreprise pour superviser la conformité de l’entreprise avec le programme de confidentialité et définir des politiques, des normes, des procédures et des outils qui sont opérationnalisés par les fonctions commerciales, 5) les communications avec l’entreprise par la fonction de confidentialité mondiale pour promouvoir la sensibilisation et la compréhension de la confidentialité, 6) le cadre de gestion des risques et de la conformité de l’entreprise pour garantir l’utilisation de processus cohérents, notamment les évaluations des incidences sur la confidentialité, la surveillance et les tests de la confidentialité, la gestion des problèmes liés à la confidentialité, la formation à la confidentialité, le plan annuel de protection de la confidentialité, et 7) les rapports et analyses destinés aux comités de gestion qui supervisent le programme de protection de la confidentialité.

12  Droits de la personne concernée.

PayPal a mis en place un programme pour s’assurer que les droits des personnes concernées sont respectés, notamment le droit d’accès, de correction et d’effacement des données. Les demandes d’effacement de données sont traitées, sauf si PayPal a une obligation légale ou réglementaire ou un autre motif commercial légitime de les conserver. Les politiques de PayPal garantissent que l’effacement a lieu tout au long du cycle de vie du client.

13. Sociétés de traitement de paiements

PayPal dispose d’un programme complet de gestion des tiers, qui fournit une assurance par le biais d’une gestion continue des risques dans le cadre d’un engagement avec un tiers. Nous avons mis en place des contrôles contractuels pour exiger de nos sociétés de traitement de paiements et de leurs sous-traitants qu’ils mettent en place des normes complètes de sécurité et de confidentialité des données tout au long de la chaîne de traitement. Tous les sous-traitants des sociétés de traitement des paiements doivent obtenir notre approbation préalable avant d’être engagés.

A) Ce qui suit s’applique uniquement aux Clauses de transfert du Royaume-Uni

Destinataires

Les données personnelles transférées peuvent être divulguées uniquement aux destinataires suivants :

• Les fournisseurs de services de l’importateur (comme indiqué ci-dessus), les sociétés affiliées et le personnel fournissant des services conformément à l’entente.

Informations d’enregistrement de la protection des données de l’exportateur de données (le cas échéant)

Sans objet

Informations complémentaires utiles (limites de stockage et autres informations pertinentes)

Tels qu’ils sont énoncés dans l’entente et ci-dessus dans la présente Annexe 1.