Accord de Traitement des Données
30 juin 2025
Accord de Traitement des Données (DPA)
Date d’entrée en vigueur : 30 juin 2025
Parties
Responsable du Traitement : Le Client (restaurant, café ou entité commerciale utilisant MenuMix)
Sous-Traitant : Truezone Inc.
Adresse : 1111B S Governors Ave STE 20696, Dover, DE, 19904, États-Unis
E-mail : help@menumix.app
1. Objet
Le présent Accord régit le traitement des données personnelles par Truezone Inc. (« Sous-Traitant ») pour le compte du Client (« Responsable du Traitement ») en relation avec l’utilisation de la plateforme MenuMix par le Client.
2. Durée
Le présent DPA reste en vigueur tant que le Sous-Traitant traite des données personnelles pour le compte du Responsable du Traitement et que les Conditions de Service sous-jacentes sont valides.
3. Nature et Objet du Traitement
Le Sous-Traitant fournit un système de Menu QR et de Gestion des Commandes. Les activités de traitement comprennent :
- Création de compte et contrôle d’accès
- Suivi et gestion des commandes
- Interaction avec les tables et codes QR
- Rapports et analyses
- Facturation d’abonnement pour le Plan Professionnel
- Communications de support
4. Catégories de Sujets de Données
- Utilisateurs commerciaux (par exemple, personnel du restaurant, administrateurs, serveurs)
- Clients du restaurant (si des données personnelles optionnelles telles que le nom ou les commentaires sont saisies)
5. Catégories de Données Personnelles
- Identifiants utilisateur (nom, e-mail, rôle)
- Données de commande et de table
- Informations sur l’appareil, adresse IP, type de navigateur
- Préférences de langue et de région
- Métadonnées d’abonnement (par exemple, plan, événements de facturation via Stripe)
Note : Aucun numéro de carte de paiement ni données de catégorie spéciale ne sont stockés ou traités.
6. Obligations du Responsable du Traitement
Le Responsable du Traitement doit :
- Assurer une base légale pour toutes les données personnelles traitées
- Fournir des avis de confidentialité clairs et légaux aux sujets de données
- Se conformer aux lois applicables sur la protection des données
- Répondre aux demandes de droits des sujets de données en vertu du RGPD, CCPA, KVKK, etc.
7. Obligations du Sous-Traitant
Le Sous-Traitant s’engage à :
- Traiter les données uniquement sur instructions documentées du Responsable du Traitement
- Maintenir la confidentialité et restreindre l’accès interne
- Implémenter des mesures de sécurité techniques et organisationnelles appropriées
- Notifier le Responsable du Traitement sans retard injustifié en cas de violation de données
- Assister le Responsable du Traitement dans les demandes de droits des sujets de données
- Supprimer ou retourner toutes les données personnelles à la résiliation du contrat, sauf si la rétention est légalement requise
- Mettre à disposition la documentation nécessaire pour démontrer la conformité
8. Sous-Traitants
Le Responsable du Traitement autorise l’utilisation des sous-traitants suivants :
| Objectif | Sous-Traitant |
|---|---|
| Hébergement & Backend | Google Firebase (Firestore, Auth, Functions) |
| Analyses | Google Analytics |
| Gestion des Tags | Google Tag Manager |
| Services de Traduction | Google Cloud Translation API |
| Messagerie/OTP/Appels | Twilio Inc. |
| Paiements d’Abonnement | Stripe, Inc. |
Tous les sous-traitants sont liés par des accords écrits de protection des données.
MenuMix notifiera le Responsable du Traitement des changements importants de sous-traitants et permettra les objections dans les 10 jours ouvrables.
9. Transferts Internationaux de Données
Lorsque des données sont transférées en dehors de l’UE/EEE ou du Royaume-Uni, le Sous-Traitant doit mettre en œuvre des garanties adéquates, y compris :
- Clauses Contractuelles Types de l’UE (CCT)
- Addendum de Transfert International de Données du Royaume-Uni
- Décisions d’adéquation ou mécanismes équivalents
10. Mesures de Sécurité
Le Sous-Traitant implémente des mesures de niveau industrie, y compris :
- Chiffrement HTTPS pour toutes les données en transit
- Stockage de base de données chiffré
- Contrôle d’accès basé sur les rôles et conception à privilège minimal
- Authentification utilisateur sécurisée (par exemple, Firebase Auth)
- Surveillance régulière et atténuation des vulnérabilités
11. Demandes des Sujets de Données
Le Sous-Traitant assistera le Responsable du Traitement pour répondre aux :
- Demandes d’accès, de rectification, de suppression et de portabilité
- Objections ou retrait de consentement
12. Audit et Documentation
Le Sous-Traitant doit mettre à disposition, sur demande écrite, toutes les informations raisonnablement nécessaires pour démontrer la conformité au présent DPA.
Les audits peuvent être effectués avec un préavis d’au moins 30 jours sous des termes de confidentialité appropriés.
13. Résiliation
Lors de la résiliation du Service :
- Toutes les données personnelles doivent être supprimées ou retournées, comme demandé par le Responsable du Traitement, dans les 30 jours
- Sauf si la rétention est requise par la loi ou la conformité réglementaire
14. Loi Applicable
Le présent DPA est régi par les lois de l’État du Delaware, États-Unis, sauf si requis autrement par les règlements applicables sur la protection des données.
15. Dispositions Diverses
Le présent DPA fait partie des Conditions de Service de MenuMix. En cas de conflit entre les Conditions de Service et le présent DPA concernant les données personnelles, le présent DPA prévaudra.
Accord Contraignant
Le présent DPA est contraignant pour les parties par l’acceptation des Conditions de Service de MenuMix par le Responsable du Traitement et l’utilisation continue de la plateforme.
