Accord de Traitement des Données (DPA)

Les Parties

Le présent Accord de Traitement des Données (ci-après "l'Accord") est annexé aux Conditions Générales d'Utilisation du service Agoris (ci-après les "CGU") et en fait partie intégrante.

Article 1 : Objet de l'Accord

Le présent Accord a pour objet de définir les conditions dans lesquelles le Sous-traitant s'engage à effectuer pour le compte du Responsable de Traitement les opérations de traitement de données à caractère personnel définies ci-après.

Cet accord couvre les traitements effectués via la plateforme Agoris (WebApp et Application Mobile) destinée aux Commerçants, ainsi que les données des Clients Finaux qui interagissent avec les établissements du Commerçant via l'application Fidelis.

Article 2 : Obligations du Sous-traitant

Le Sous-traitant s'engage à :

1. Traiter les données uniquement sur instruction documentée

Traiter les données uniquement sur instruction documentée du Responsable de Traitement. L'utilisation du Service Agoris par le Commerçant conformément aux CGU constitue l'instruction de traitement.

2. Assurer la confidentialité

Veiller à ce que les personnes autorisées à traiter les données (ses salariés) s'engagent à respecter la confidentialité.

3. Assurer la sécurité

Mettre en œuvre toutes les mesures techniques et organisationnelles requises en vertu de l'article 32 du RGPD pour garantir la sécurité des données.

4. Sous-traitance ultérieure

Ne pas recruter un autre sous-traitant sans l'information préalable du Responsable de Traitement. La liste des sous-traitants ultérieurs est tenue à disposition du Responsable de Traitement.

5. Aide et assistance

Aider le Responsable de Traitement, dans la mesure du possible, à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées (droit d'accès, de rectification, etc.).

6. Notification des violations de données

Notifier au Responsable de Traitement toute violation de données à caractère personnel dans les meilleurs délais (et au maximum 48 heures) après en avoir pris connaissance.

7. Sort des données

À la fin du contrat, s'engage à conserver les données pour une période de 90 jours à des fins de réversibilité, avant d'être supprimées ou renvoyées au Responsable de Traitement, sauf mention contraire de la part de ce dernier. Les données soumises à des obligations légales de conservation (notamment fiscales) sont conservées conformément à la législation applicable.

8. Audit

Mettre à la disposition du Responsable de Traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent Accord et permettre la réalisation d'audits.

Article 3 : Obligations du Responsable de Traitement

Le Responsable de Traitement (le Commerçant) s'engage à :

• Fournir au Sous-traitant les données nécessaires à l'exécution du présent Accord.
• Garantir la licéité de la collecte des données auprès des Clients Finaux et de son Personnel.
• Informer les personnes concernées (Clients Finaux, Personnel, Tiers) du traitement de leurs données conformément aux articles 13 et 14 du RGPD.
• Documenter par écrit toute instruction concernant le traitement des données par le Sous-traitant.
• S'assurer, préalablement et pendant toute la durée du traitement, du respect des obligations prévues par le RGPD de la part du Sous-traitant.

Annexe : Description du Traitement

1. Nature et Finalité du Traitement

Le Sous-traitant traite les données personnelles dans le cadre de la fourniture du Service Agoris, dont les finalités sont :

• Permettre au Commerçant de gérer son ou ses établissements via la WebApp Agoris et l'Application Mobile Agoris.
• Permettre la gestion d'un programme de fidélité pour les Clients Finaux du Commerçant, incluant l'attribution et l'utilisation de points, tampons ou solde monétaire.
• Permettre la création, la publication et la gestion d'offres promotionnelles à destination des Clients Finaux.
• Permettre aux Clients Finaux (via l'application Fidelis) de consulter les établissements partenaires, leurs offres, et de localiser ceux à proximité de leur position actuelle.
• Permettre au Commerçant d'accepter et de traiter les paiements par carte bancaire de ses Clients Finaux via l'Application Mobile Agoris, en s'appuyant sur notre sous-traitant de paiement (Stripe).
• Permettre la gestion des commandes Click & Collect passées par les Clients Finaux, incluant la communication client-commerçant.
• Permettre la gestion des stocks, des produits et du catalogue du Commerçant.
• Permettre la gestion comptable et financière (dépenses, salaires, clôtures fiscales).
• Permettre la génération de statistiques et indicateurs de performance pour le Commerçant.
• Permettre l'envoi de notifications aux Clients Finaux et au Personnel du Commerçant.
• Permettre l'intégration avec des systèmes de caisse tiers (sur activation volontaire du Commerçant).

2. Durée du Traitement

La durée du traitement des données pour un Commerçant donné correspond à la durée de son Abonnement au Service Agoris.

3. Catégories de Personnes Concernées

• Les Clients Finaux du Commerçant, qui sont des utilisateurs de l'application mobile Fidelis et membres du programme de fidélité du Commerçant, ou qui passent des commandes Click & Collect.
• Le Personnel du Commerçant, incluant le Commerçant lui-même (en tant qu'utilisateur administrateur), ainsi que ses employés autorisés à opérer le service via l'Application Mobile Agoris ou la WebApp, ou dont les informations sont saisies dans les modules de gestion.
• Les Tiers dont les données sont saisies par le Commerçant dans les modules de gestion (ex: contacts des fournisseurs).

4. Types de Données à Caractère Personnel Traitées

Données d'Identification et de Compte Utilisateur (Clients Finaux et Personnel)

• Nom et prénom (chiffrés au repos)
• Adresse e-mail (chiffrée au repos)
• Données démographiques optionnelles (pour les Clients Finaux) : date de naissance, genre
• Coordonnées géographiques (latitude, longitude) (pour les Clients Finaux, avec consentement)
• Identifiants techniques uniques de l'utilisateur
• Identifiants liés aux services de paiement tiers (Stripe) (pour le Commerçant)
• Code de parrainage unique

Données Relatives au Programme de Fidélité (Clients Finaux)

• Association d'un utilisateur à un établissement en tant que client
• Niveau de fidélité du client au sein du programme
• Solde de fidélité (en points, tampons ou valeur monétaire)
• Historique détaillé des transactions de fidélité, incluant :
  • Le type de mouvement (gain, dépense, ajustement, parrainage, remboursement)
  • La variation du solde
  • L'identifiant de l'employé ayant validé la transaction
  • Les produits ou services concernés par la transaction
  • La date et l'heure de la transaction

Données relatives aux Paiements (Clients Finaux)

Dans le cadre de l'utilisation des fonctionnalités de paiement, le Sous-traitant (via son partenaire de paiement Stripe) traite les données nécessaires à la transaction de paiement :

• Données de la carte bancaire (numéro, date d'expiration, CVC) - Note : Ces données sont traitées directement par notre sous-traitant de paiement certifié PCI-DSS (Stripe) et ne sont ni stockées ni accessibles par Miderva SAS.
• Montant et détails de la transaction.
• Statut de la transaction (acceptée, refusée).
• Informations partielles sur la carte (ex: 4 derniers chiffres, type de carte) pour l'affichage sur les reçus et dans l'historique des transactions du Commerçant.
• Données relatives aux acomptes pour les commandes Click & Collect.

Données relatives aux Commandes Click & Collect (Clients Finaux)

• Détails de la commande (produits, quantités, montants)
• Statut de la commande (en attente, confirmée, prête, récupérée, annulée)
• Code de retrait unique
• Horaire de retrait prévu
• Messages échangés entre le client et le commerçant concernant la commande
• Pour les commandes invités : nom, prénom, email, téléphone saisis lors de la commande

Données relatives aux Offres et Promotions (Clients Finaux)

• Historique des offres réclamées par un client
• Statut des offres réclamées (émise, utilisée, expirée, annulée, transférée)
• Informations sur le transfert d'offres entre clients, incluant l'expéditeur, le destinataire, et le message personnalisé éventuel
• Statistiques d'interaction avec les offres (vues, clics)

Données relatives à la Gestion d'Entreprise (saisies par le Commerçant)

• Données du Personnel : Nom, prénom, coordonnées, rôle, permissions d'accès, intitulé de poste, et toute information saisie par le Commerçant dans les modules de gestion (ex: informations contractuelles, de paie incluant salaire brut, charges sociales, prélèvement à la source).
• Données des Tiers : Informations saisies relatives aux fournisseurs ou autres partenaires (ex: nom du contact, email, téléphone, adresse).
• Données Financières : Informations détaillées sur les charges, dépenses, factures, qui peuvent être liées à des personnes physiques (personnel ou tiers).
• Données de Ventes : Journal des ventes incluant détails des transactions, moyens de paiement, ventilation TVA, employé ayant effectué la vente.
• Sessions de Caisse : Montants d'ouverture/fermeture, écarts, notes, employé responsable, informations sur l'appareil utilisé.

Données de Communication et de Consentement

• Statut du consentement aux notifications marketing (pour les Clients Finaux)
• Informations techniques sur les appareils des utilisateurs pour l'envoi de notifications push : jeton d'identification (FCM Token), plateforme (iOS/Android), version de l'application
• Alertes d'offres configurées par les Clients Finaux (critères de recherche, localisation)

Données Techniques de Sécurité et de Connexion

• Informations de session : adresse IP, identifiant d'appareil, User-Agent
• Jetons de scan à usage unique et à durée de vie limitée pour l'identification sécurisée
• Jetons d'authentification et de rafraîchissement
• Historique des sessions actives

Données d'Intégration (si activées par le Commerçant)

• Tokens d'authentification pour les systèmes de caisse tiers
• Identifiants externes des produits et transactions
• Événements synchronisés depuis les systèmes tiers

5. Mesures de Sécurité Mises en Œuvre

Le Sous-traitant confirme mettre en œuvre des mesures de sécurité techniques et organisationnelles robustes, incluant notamment :

• Le chiffrement au repos des données d'identification personnelles les plus sensibles (nom, prénom, email)
• L'utilisation de techniques de pseudonymisation, comme les index non-réversibles (blind index), pour permettre les recherches techniques sans stocker ni exposer les données en clair
• La gestion de jetons d'authentification et de scan à courte durée de vie pour limiter les risques en cas de compromission
• La mise en place de contrôles d'accès stricts et d'un cloisonnement logique des données pour s'assurer que les employés d'un établissement ne puissent accéder qu'aux informations qui les concernent
• La conformité aux standards de sécurité de l'industrie des paiements (PCI-DSS) pour le traitement des données de carte bancaire, assurée par notre sous-traitant de paiement (Stripe)
• L'immuabilité des journaux fiscaux par chaînage cryptographique (HMAC-SHA256) conformément aux obligations fiscales françaises
• La protection des données fiscales contre toute modification ou suppression non autorisée
• La possibilité pour les utilisateurs de déconnecter tous leurs appareils à distance