Le présent Accord de traitement des données (« DPA ») encadre le traitement des données à caractère personnel effectué par l'Éditeur pour le compte du Client dans le cadre de l'utilisation de la Plateforme Tape2Enter. Il complète et fait partie intégrante des Conditions Générales de Vente (article 20) et s'impose dès la souscription d'un Abonnement.
Note. Ce document est rédigé conformément à l'article 28 du Règlement (UE) 2016/679 (RGPD). Il doit être relu et validé par un conseil juridique avant publication et première signature, et complété aux endroits signalés.
Le présent DPA a pour objet de définir les conditions dans lesquelles l'Éditeur (« le Sous-traitant ») traite, pour le compte du Client (« le Responsable de traitement »), les données à caractère personnel nécessaires à la fourniture des Services décrits aux CGV.
Il est conclu conformément à l'article 28 du RGPD, qui impose qu'un traitement réalisé par un sous-traitant soit régi par un contrat définissant l'objet, la durée, la nature et la finalité du traitement, ainsi que les obligations et droits de chaque partie.
En cas de contradiction entre le présent DPA et les CGV sur une question relative à la protection des données personnelles, le présent DPA prévaut.
Les termes « données à caractère personnel », « traitement », « responsable du traitement », « sous-traitant », « personne concernée », « violation de données » et « autorité de contrôle » ont le sens que leur donne l'article 4 du RGPD. Les termes définis dans les CGV (Éditeur, Client, Plateforme, Services, Borne, Utilisateur, etc.) conservent leur signification.
Dans le cadre de l'utilisation de la Plateforme, deux situations doivent être distinguées :
Le présent DPA ne couvre que cette relation de sous-traitance. Le traitement par l'Éditeur des données propres du Client (compte gérant, facturation, prospection) relève d'un traitement distinct pour lequel l'Éditeur agit comme responsable de traitement, décrit dans sa Politique de confidentialité.
| Nature du traitement | Collecte, enregistrement, structuration, conservation, consultation, transmission aux sous-traitants ultérieurs nécessaires, et effacement des données, par des moyens automatisés via la Plateforme et les Bornes. |
|---|---|
| Finalités | Permettre au Client d'exploiter son établissement via la Plateforme : gestion des entrées et de la capacité, vente de produits et de vestiaire, encaissement des Transactions sur Borne, réservations en ligne, émission de tickets conformes (NF525), et fonctionnalités associées de l'Abonnement souscrit. |
| Catégories de personnes concernées | Les clients finaux de l'établissement (personnes effectuant une entrée, un achat, un dépôt vestiaire ou une réservation en ligne). |
| Catégories de données |
Données d'identification et de contact des clients finaux dans le cadre des réservations en ligne (nom, email, téléphone) ; données de réservation (date, soirée, nombre de places) ; données de transaction (montant, horodatage, type d'opération) ; données figurant sur les tickets émis. Les données de paiement (numéros de carte) ne sont pas traitées ni conservées par l'Éditeur : elles sont traitées directement par les prestataires de paiement habilités (Worldline, Stripe). |
| Données sensibles | Aucune donnée sensible au sens de l'article 9 du RGPD n'est traitée dans le cadre des Services. Le Client s'engage à ne pas introduire de telles données dans la Plateforme. |
| Durée du traitement | Pour la durée de l'Abonnement, augmentée des durées de conservation légales applicables (notamment fiscales pour les données de caisse), puis effacement ou restitution selon l'article 13. |
L'Éditeur traite les Données concernées uniquement sur instruction documentée du Client. Les CGV, le présent DPA et l'utilisation des fonctionnalités de la Plateforme par le Client constituent ces instructions documentées.
L'Éditeur informe le Client si, à son avis, une instruction constitue une violation du RGPD ou d'une autre disposition applicable en matière de protection des données. L'Éditeur ne traite les Données concernées pour aucune autre finalité que celles définies à l'article 4, sauf obligation légale, auquel cas il en informe le Client préalablement (sauf interdiction légale).
L'Éditeur s'engage à :
L'Éditeur veille à ce que toute personne agissant sous son autorité et ayant accès aux Données concernées ne les traite que sur instruction du Client, et soit tenue à une obligation de confidentialité (contractuelle ou légale). Cette obligation perdure après la fin de la relation.
Conformément à l'article 32 du RGPD, l'Éditeur met en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, notamment :
Ces mesures sont susceptibles d'évoluer pour tenir compte de l'état de l'art, sans diminuer le niveau de sécurité. [Détailler/annexer la liste complète des mesures techniques si un Client le demande.]
Le Client autorise l'Éditeur à faire appel aux sous-traitants ultérieurs listés ci-dessous pour la réalisation d'activités de traitement spécifiques nécessaires à la fourniture des Services. Chacun est soumis à des obligations de protection des données équivalentes à celles du présent DPA.
| Sous-traitant ultérieur | Activité de traitement | Localisation des données |
|---|---|---|
| Scaleway SAS | Hébergement de l'infrastructure et de la base de données | France (UE) |
| Worldline | Encaissement des Transactions sur les Bornes (TPE physique) | Union européenne |
| Stripe | Paiements en ligne (réservations) et facturation des Abonnements et commissions | UE / États-Unis (garanties RGPD — article 10) |
| Brevo (Sendinblue SAS) | Envoi des emails transactionnels (confirmations, notifications) | Union européenne (France) |
L'Éditeur informe le Client de tout projet d'ajout ou de remplacement d'un sous-traitant ultérieur, par écrit (email ou via la Plateforme), au moins [trente (30) jours] à l'avance. Le Client peut, pour un motif légitime tenant à la protection des données, s'opposer à ce changement ; à défaut de solution, le Client pourra résilier l'Abonnement dans les conditions des CGV.
Important. Le partenaire matériel (distribution et fabrication des Bornes) n'est pas un sous-traitant de données : il fournit du matériel et n'accède pas aux données personnelles traitées via la Plateforme. Il ne figure donc pas dans cette liste.
L'hébergement principal et le traitement des Données concernées sont situés en France. Lorsqu'un sous-traitant ultérieur est susceptible de traiter des données hors de l'Union européenne — notamment Stripe, opérateur de droit américain — ces transferts sont encadrés par les garanties appropriées prévues au chapitre V du RGPD, en particulier les clauses contractuelles types de la Commission européenne, complétées le cas échéant de mesures supplémentaires. [Vérifier et conserver une copie des garanties contractuelles de chaque sous-traitant concerné.]
L'Éditeur aide le Client, par des mesures techniques et organisationnelles appropriées et dans la mesure du possible, à répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, limitation, opposition, portabilité). Si une personne concernée adresse directement une telle demande à l'Éditeur, celui-ci la transmet au Client sans délai et ne répond pas de sa propre initiative, sauf instruction du Client.
Compte tenu de la nature du traitement et des informations à sa disposition, l'Éditeur aide le Client à respecter ses obligations relatives à la sécurité (article 32 du RGPD), à la notification des violations (articles 33 et 34) et, le cas échéant, à la réalisation d'une analyse d'impact relative à la protection des données (article 35) et à la consultation préalable de l'autorité de contrôle (article 36).
L'Éditeur notifie au Client toute violation de données à caractère personnel concernant les Données concernées dans les meilleurs délais après en avoir pris connaissance, et au plus tard dans un délai permettant au Client de respecter ses propres obligations de notification (l'article 33 du RGPD prévoit un délai de 72 heures pour le responsable de traitement).
La notification décrit, dans la mesure des informations disponibles : la nature de la violation, les catégories et le nombre approximatif de personnes et d'enregistrements concernés, les conséquences probables, et les mesures prises ou proposées pour y remédier. Le Client demeure seul responsable de la notification à l'autorité de contrôle et, le cas échéant, aux personnes concernées.
Au terme de la fourniture des Services, l'Éditeur, selon le choix du Client :
Par exception, l'Éditeur conserve les données dont la conservation est imposée par une obligation légale (notamment les données de caisse NF525 et les pièces comptables, soumises à des durées de conservation fiscales), pour la seule durée requise et sans autre traitement. À l'issue de cette durée, ces données sont supprimées. [Préciser le délai de restitution/suppression, ex. 30 jours après la fin du contrat.]
L'Éditeur met à la disposition du Client les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28 du RGPD. Le Client peut, à ses frais et après un préavis raisonnable, réaliser ou faire réaliser un audit, limité au périmètre de la sous-traitance, sans perturber de manière disproportionnée l'activité de l'Éditeur ni compromettre la confidentialité des données d'autres clients. [Encadrer les modalités d'audit : fréquence, préavis, confidentialité de l'auditeur.]
Chaque partie répond des dommages causés par le traitement dans les conditions prévues à l'article 82 du RGPD. La répartition de responsabilité entre les parties s'apprécie au regard de leurs rôles respectifs et des manquements imputables à chacune. Les limitations de responsabilité prévues aux CGV (article 18) s'appliquent, sauf disposition impérative contraire du RGPD.
Le présent DPA entre en vigueur à la souscription de l'Abonnement et demeure applicable pendant toute la durée du traitement des Données concernées par l'Éditeur pour le compte du Client. Les obligations qui, par leur nature, doivent survivre à la fin du contrat (confidentialité, sort des données, conservation légale) perdurent au-delà de son terme.
Le présent DPA constitue une annexe aux CGV (article 20). En cas de modification, la version applicable est celle en vigueur au jour de la Commande, les modifications étant notifiées dans les conditions prévues aux CGV.