Les Parties
Entre :
Le Commerçant (ci-après le "Responsable de Traitement"), tel qu'identifié lors de la création de son Compte sur le Service Fidelis,
Et :
Miderva SAS (ci-après le "Sous-traitant"), société par actions simplifiée dont le siège social est situé au 124 Rue du Renard, 76000 Rouen, immatriculée au RCS de Rouen sous le numéro SIREN 983 000 407.
Le présent Accord de Traitement des Données (ci-après "l'Accord") est annexé aux Conditions Générales d'Utilisation du service Fidelis (ci-après les "CGU") et en fait partie intégrante.
Article 1 : Objet de l'Accord
Le présent Accord a pour objet de définir les conditions dans lesquelles le Sous-traitant s'engage à effectuer pour le compte du Responsable de Traitement les opérations de traitement de données à caractère personnel définies ci-après.
Article 2 : Obligations du Sous-traitant
Le Sous-traitant s'engage à :
1. Traiter les données uniquement sur instruction documentée
Traiter les données uniquement sur instruction documentée du Responsable de Traitement. L'utilisation du Service Fidelis par le Commerçant conformément aux CGU constitue l'instruction de traitement.
2. Assurer la confidentialité
Veiller à ce que les personnes autorisées à traiter les données (ses salariés) s'engagent à respecter la confidentialité.
3. Assurer la sécurité
Mettre en œuvre toutes les mesures techniques et organisationnelles requises en vertu de l'article 32 du RGPD pour garantir la sécurité des données.
4. Sous-traitance ultérieure
Ne pas recruter un autre sous-traitant sans l'information préalable du Responsable de Traitement. La liste des sous-traitants ultérieurs est tenue à disposition du Responsable de Traitement.
5. Aide et assistance
Aider le Responsable de Traitement, dans la mesure du possible, à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées (droit d'accès, de rectification, etc.).
6. Notification des violations de données
Notifier au Responsable de Traitement toute violation de données à caractère personnel dans les meilleurs délais (et au maximum 48 heures) après en avoir pris connaissance.
7. Sort des données
À la fin du contrat, s'engage à supprimer toutes les données à caractère personnel ou à les renvoyer au Responsable de Traitement, à son choix.
8. Audit
Mettre à la disposition du Responsable de Traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent Accord et pour permettre la réalisation d'audits.
Article 3 : Obligations du Responsable de Traitement
Le Responsable de Traitement s'engage à :
- Fournir au Sous-traitant les données nécessaires à l'exécution du Service.
- Documenter par écrit toute instruction concernant le traitement des données par le Sous-traitant.
- Respecter l'ensemble de ses propres obligations en vertu du RGPD, notamment en ce qui concerne la licéité de la collecte des données et l'information due aux personnes concernées (ses Clients Finaux).
Annexe : Description du Traitement
Cette annexe fait partie intégrante de l'Accord et détaille les traitements de données à caractère personnel effectués par le Sous-traitant (Miderva SAS) pour le compte du Responsable de Traitement (le Commerçant).
1. Nature et Finalité du Traitement
Fourniture d'un service SaaS de gestion de programme de fidélité dématérialisé. Les finalités sont :
- Permettre au Commerçant de créer et gérer son programme de fidélité
- Enregistrer les transactions de fidélité des Clients Finaux
- Calculer et gérer les soldes de points/avantages des Clients Finaux
- Permettre aux Clients Finaux de consulter et d'utiliser leurs récompenses
- Permettre au Commerçant de communiquer avec ses Clients Finaux dans le cadre du programme de fidélité (sous réserve de leur consentement)
- Assurer la sécurité et le fonctionnement technique du service
- Proposer des fonctionnalités basées sur la géolocalisation : Permettre aux Clients Finaux, sous réserve de leur consentement explicite, de trouver les établissements du Commerçant à proximité de leur position actuelle
2. Durée du Traitement
La durée du traitement des données pour un Commerçant donné correspond à la durée de son Abonnement au Service Fidelis.
3. Catégories de Personnes Concernées
- Les Clients Finaux du Commerçant, qui sont des utilisateurs de l'application mobile Fidelis et membres du programme de fidélité du Commerçant
- Le personnel du Commerçant, incluant le Commerçant lui-même (en tant qu'utilisateur administrateur), ainsi que ses employés autorisés à opérer le service via le "Mode Employé"
4. Types de Données à Caractère Personnel Traitées
Données d'Identification et de Compte Utilisateur
- Nom et prénom
- Adresse e-mail
- Données démographiques optionnelles : date de naissance, genre
- Coordonnées géographiques (latitude, longitude)
- Identifiants techniques uniques de l'utilisateur
- Identifiants liés aux services de paiement tiers (Stripe)
Données Relatives au Programme de Fidélité
- Association d'un utilisateur à un établissement en tant que client
- Niveau de fidélité du client au sein du programme
- Solde de fidélité (en points, tampons ou valeur monétaire)
- Historique détaillé des transactions de fidélité, incluant :
- Le type de mouvement (gain, dépense, ajustement)
- La variation du solde
- L'identifiant de l'employé ayant validé la transaction
- Les produits ou services concernés par la transaction
- La date et l'heure de la transaction
Données relatives aux Offres et Promotions
- Historique des offres réclamées par un client
- Statut des offres réclamées (émise, utilisée, expirée, etc.)
- Informations sur le transfert d'offres entre clients, incluant l'expéditeur, le destinataire, et le message personnalisé éventuel
Données de Communication et de Consentement
- Statut du consentement aux notifications marketing pour un établissement donné
- Informations techniques sur les appareils des utilisateurs pour l'envoi de notifications push : jeton d'identification, version de l'application
Données Techniques de Sécurité et de Connexion
- Informations de session : adresse IP
- Jetons de scan à usage unique et à durée de vie limitée pour l'identification sécurisée
5. Mesures de Sécurité Mises en Œuvre
Le Sous-traitant confirme mettre en œuvre des mesures de sécurité techniques et organisationnelles robustes, incluant notamment :
- Le chiffrement au repos des données d'identification personnelles les plus sensibles
- L'utilisation de techniques de pseudonymisation, comme les index non-réversibles, pour permettre les recherches techniques sans stocker ni exposer les données en clair
- La gestion de jetons d'authentification et de scan à courte durée de vie pour limiter les risques en cas de compromission
- La mise en place de contrôles d'accès stricts et d'un cloisonnement logique des données pour s'assurer que les employés d'un établissement ne puissent accéder qu'aux informations qui les concernent