Accord de Traitement des Données (DPA)

Les Parties

Entre :

Le Commerçant (ci-après le "Responsable de Traitement"), tel qu'identifié lors de la création de son Compte sur le Service Fidelis,

Et :

Miderva SAS (ci-après le "Sous-traitant"), société par actions simplifiée dont le siège social est situé au 124 Rue du Renard, 76000 Rouen, immatriculée au RCS de Rouen sous le numéro SIREN 983 000 407.

Le présent Accord de Traitement des Données (ci-après "l'Accord") est annexé aux Conditions Générales d'Utilisation du service Fidelis (ci-après les "CGU") et en fait partie intégrante.

Article 1 : Objet de l'Accord

Le présent Accord a pour objet de définir les conditions dans lesquelles le Sous-traitant s'engage à effectuer pour le compte du Responsable de Traitement les opérations de traitement de données à caractère personnel définies ci-après.

Article 2 : Obligations du Sous-traitant

Le Sous-traitant s'engage à :

1. Traiter les données uniquement sur instruction documentée

Traiter les données uniquement sur instruction documentée du Responsable de Traitement. L'utilisation du Service Fidelis par le Commerçant conformément aux CGU constitue l'instruction de traitement.

2. Assurer la confidentialité

Veiller à ce que les personnes autorisées à traiter les données (ses salariés) s'engagent à respecter la confidentialité.

3. Assurer la sécurité

Mettre en œuvre toutes les mesures techniques et organisationnelles requises en vertu de l'article 32 du RGPD pour garantir la sécurité des données.

4. Sous-traitance ultérieure

Ne pas recruter un autre sous-traitant sans l'information préalable du Responsable de Traitement. La liste des sous-traitants ultérieurs est tenue à disposition du Responsable de Traitement.

5. Aide et assistance

Aider le Responsable de Traitement, dans la mesure du possible, à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées (droit d'accès, de rectification, etc.).

6. Notification des violations de données

Notifier au Responsable de Traitement toute violation de données à caractère personnel dans les meilleurs délais (et au maximum 48 heures) après en avoir pris connaissance.

7. Sort des données

À la fin du contrat, s'engage à conserver ses données pour une période de 90 jours à des fins de réversibilité, avant d'être supprimées ou renvoyées au Responsable de Traitement, sauf mention contraire de la part de ce dernier.

8. Audit

Mettre à la disposition du Responsable de Traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent Accord et pour permettre la réalisation d'audits.

Article 3 : Obligations du Responsable de Traitement

Le Responsable de Traitement s'engage à :

Fournir au Sous-traitant les données nécessaires à l'exécution du Service.
Documenter par écrit toute instruction concernant le traitement des données par le Sous-traitant.
Respecter l'ensemble de ses propres obligations en vertu du RGPD, notamment en ce qui concerne la licéité de la collecte des données et l'information due aux personnes concernées (ses Clients Finaux, son personnel, etc.).

Annexe : Description du Traitement

Cette annexe fait partie intégrante de l'Accord et détaille les traitements de données à caractère personnel effectués par le Sous-traitant (Miderva SAS) pour le compte du Responsable de Traitement (le Commerçant).

1. Nature et Finalité du Traitement

Fourniture d'un service SaaS de gestion de programme de fidélité et de gestion d'entreprise. Les finalités sont :

Permettre au Commerçant de créer et gérer son programme de fidélité.
Enregistrer les transactions de fidélité des Clients Finaux.
Calculer et gérer les soldes de points/avantages des Clients Finaux.
Permettre aux Clients Finaux de consulter et d'utiliser leurs récompenses.
Permettre au Commerçant de communiquer avec ses Clients Finaux dans le cadre du programme de fidélité (sous réserve de leur consentement).
Fournir au Commerçant des outils de gestion d'entreprise, notamment :
- La gestion des produits et des stocks (Module Stock).
- La gestion du personnel et des accès (Module Employés).
- La gestion des finances, incluant le suivi des charges et des salaires (Module Finance).
Assurer la sécurité et le fonctionnement technique du service.
Proposer des fonctionnalités basées sur la géolocalisation : Permettre aux Clients Finaux, sous réserve de leur consentement explicite, de trouver les établissements du Commerçant à proximité de leur position actuelle.
Permettre au Commerçant d'accepter et de traiter les paiements par carte bancaire de ses Clients Finaux via la fonctionnalité "Tap to Pay" sur l'Application Mobile (Mode Employé), en s'appuyant sur notre sous-traitant de paiement (Stripe).

2. Durée du Traitement

La durée du traitement des données pour un Commerçant donné correspond à la durée de son Abonnement au Service Fidelis.

3. Catégories de Personnes Concernées

Les Clients Finaux du Commerçant, qui sont des utilisateurs de l'application mobile Fidelis et membres du programme de fidélité du Commerçant.
Le Personnel du Commerçant, incluant le Commerçant lui-même (en tant qu'utilisateur administrateur), ainsi que ses employés autorisés à opérer le service via le "Mode Employé" ou dont les informations sont saisies dans les modules de gestion.
Les Tiers dont les données sont saisies par le Commerçant dans les modules de gestion (ex: contacts des fournisseurs).

4. Types de Données à Caractère Personnel Traitées

Données d'Identification et de Compte Utilisateur (Clients Finaux et Personnel)

Nom et prénom
Adresse e-mail
Données démographiques optionnelles (pour les Clients Finaux) : date de naissance, genre
Coordonnées géographiques (latitude, longitude) (pour les Clients Finaux, avec consentement)
Identifiants techniques uniques de l'utilisateur
Identifiants liés aux services de paiement tiers (Stripe) (pour le Commerçant)

Données Relatives au Programme de Fidélité (Clients Finaux)

Association d'un utilisateur à un établissement en tant que client
Niveau de fidélité du client au sein du programme
Solde de fidélité (en points, tampons ou valeur monétaire)
Historique détaillé des transactions de fidélité, incluant :
- Le type de mouvement (gain, dépense, ajustement)
- La variation du solde
- L'identifiant de l'employé ayant validé la transaction
- Les produits ou services concernés par la transaction
- La date et l'heure de la transaction

Données relatives aux Paiements (Clients Finaux)

Dans le cadre de l'utilisation de la fonctionnalité "Tap to Pay", le Sous-traitant (via son partenaire de paiement Stripe) traite les données nécessaires à la transaction de paiement :

Données de la carte bancaire (numéro, date d'expiration, CVC) - Note : Ces données sont traitées directement par notre sous-traitant de paiement certifié PCI-DSS (Stripe) et ne sont ni stockées ni accessibles par Miderva SAS.
Montant et détails de la transaction.
Statut de la transaction (acceptée, refusée).
Informations partielles sur la carte (ex: 4 derniers chiffres, type de carte) pour l'affichage sur les reçus et dans l'historique des transactions du Commerçant.

Données relatives aux Offres et Promotions (Clients Finaux)

Historique des offres réclamées par un client
Statut des offres réclamées (émise, utilisée, expirée, etc.)
Informations sur le transfert d'offres entre clients, incluant l'expéditeur, le destinataire, et le message personnalisé éventuel

Données relatives à la Gestion d'Entreprise (saisies par le Commerçant)

Données du Personnel : Nom, prénom, coordonnées, rôle, permissions d'accès, et toute information saisie par le Commerçant dans les modules Finance ou Employés (ex: informations contractuelles, de paie).
Données des Tiers : Informations saisies relatives aux fournisseurs ou autres partenaires (ex: nom du contact, email, téléphone).
Données Financières : Informations détaillées sur les charges, dépenses, factures, qui peuvent être liées à des personnes physiques (personnel ou tiers).

Données de Communication et de Consentement

Statut du consentement aux notifications marketing (pour les Clients Finaux)
Informations techniques sur les appareils des utilisateurs pour l'envoi de notifications push : jeton d'identification, version de l'application

Données Techniques de Sécurité et de Connexion

Informations de session : adresse IP
Jetons de scan à usage unique et à durée de vie limitée pour l'identification sécurisée

5. Mesures de Sécurité Mises en Œuvre

Le Sous-traitant confirme mettre en œuvre des mesures de sécurité techniques et organisationnelles robustes, incluant notamment :

Le chiffrement au repos des données d'identification personnelles les plus sensibles
L'utilisation de techniques de pseudonymisation, comme les index non-réversibles, pour permettre les recherches techniques sans stocker ni exposer les données en clair
La gestion de jetons d'authentification et de scan à courte durée de vie pour limiter les risques en cas de compromission
La mise en place de contrôles d'accès stricts et d'un cloisonnement logique des données pour s'assurer que les employés d'un établissement ne puissent accéder qu'aux informations qui les concernent
La conformité aux standards de sécurité de l'industrie des paiements (PCI-DSS) pour le traitement des données de carte bancaire, assurée par notre sous-traitant de paiement (Stripe).