Dernière mise à jour : 23/02/2026

Accord de traitement des données

Cet accord de traitement des données (« DPA ») fait partie du contrat d'abonnement entre Perkstar Ltd (« Sous-traitant ») et l'organisation client (« Contrôleur ») pour la fourniture de services de plateforme de fidélisation numérique. En acceptant le contrat d'abonnement, le contrôleur accepte les termes du présent DPA.

1. Définitions et interprétation

Dans ce DPA :

"Lois sur la protection des données" désigne toutes les lois applicables relatives au traitement des données personnelles, y compris le RGPD UK, le RGPD de l'UE, la loi sur la protection des données de 2018 et le règlement sur la confidentialité et les communications électroniques de 2003.

"UK RGPD" désigne le Règlement général sur la protection des données ((UE) 2016/679) tel qu'il fait partie du droit de l'Angleterre, du Pays de Galles, de l'Écosse et de l'Irlande du Nord en vertu de l'article 3 de la loi de 2018 sur l'Union européenne (retrait).

"RGPD UE" désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel.

"Données personnelles", "Traitement", « Personne concernée », "Contrôleur", "Processeur", et « Violation de données personnelles » ont la signification indiquée dans le RGPD UK.

"Services" désigne les services de plateforme de fidélisation numérique fournis par Perkstar tels que décrits dans le Contrat d'abonnement.

"Sous-traitant" désigne tout tiers engagé par Perkstar pour traiter les données personnelles au nom du contrôleur.

2. Portée et finalité du traitement

2.1 Le processeur traitera les données personnelles au nom du contrôleur uniquement dans le but de fournir les services décrits à l'annexe 1.

2.2 Le processeur ne traitera les données personnelles que conformément aux instructions documentées du contrôleur, sauf si la loi applicable l'exige. Lorsque le sous-traitant est tenu par la loi de traiter des données personnelles, il informera le responsable du traitement de cette exigence avant le traitement, à moins que la loi n'interdise une telle notification.

2.3 Le sous-traitant informera immédiatement le responsable du traitement si, à son avis, une instruction enfreint les lois sur la protection des données.

3. Obligations du sous-traitant

3.1 Le processeur doit :

(a) Traiter les données personnelles uniquement conformément aux instructions documentées du contrôleur et aux termes du présent DPA.

(b) Veiller à ce que toutes les personnes autorisées à traiter les données personnelles soient soumises à des obligations contraignantes de confidentialité.

(c) Mettre en œuvre et maintenir des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, y compris le cryptage, les contrôles d'accès, les tests de sécurité réguliers et les procédures de sauvegarde telles que décrites à l'article 5.

(d) Respecter les conditions d'engagement des sous-traitants ultérieurs telles qu'énoncées à la clause 4.

(e) Compte tenu de la nature du traitement, assister le responsable du traitement par des mesures techniques et organisationnelles appropriées pour répondre aux demandes des personnes concernées exerçant leurs droits en vertu des lois sur la protection des données.

(f) Aider le responsable du traitement à assurer le respect des obligations en vertu des articles 32 à 36 du RGPD UK, y compris la sécurité du traitement, la notification des violations de données, les évaluations d'impact sur la protection des données et la consultation préalable des autorités de contrôle.

(g) Au choix du responsable du traitement, supprimer ou restituer toutes les données personnelles après la fin de la fourniture des services, et supprimer les copies existantes, sauf si la conservation est requise par la loi applicable.

(h) Mettre à la disposition du Contrôleur toutes les informations nécessaires pour démontrer la conformité au présent DPA et permettre et contribuer aux audits, y compris les inspections, comme indiqué à l'article 9.

4. Sous-traitants

4.1 Le contrôleur donne l'autorisation générale au sous-traitant d'engager des sous-traitants ultérieurs dans le but de fournir les services.

4.2 Les sous-traitants actuels sont répertoriés dans l'annexe 2 et gérés sur perkstar.co.uk/sub-processors.

4.3 Le Sous-traitant doit informer le Contrôleur de toute modification envisagée concernant l'ajout ou le remplacement de Sous-traitants ultérieurs au moins 14 jours avant que le changement ne prenne effet, donnant au Contrôleur la possibilité de s'y opposer.

4.4 Si le responsable du traitement s'oppose à l'embauche d'un nouveau sous-traitant pour des raisons raisonnables de protection des données, les parties discuteront de la préoccupation de bonne foi. Si aucune résolution ne peut être trouvée dans un délai de 30 jours, le contrôleur peut mettre fin aux services concernés sans pénalité.

4.5 Le sous-traitant doit veiller à ce que chaque sous-traitant ultérieur soit lié par des obligations de protection des données non moins protectrices que celles énoncées dans le présent DPA.

5. Sécurité des données

5.1 Le Sous-traitant met en œuvre et maintient des mesures techniques et organisationnelles appropriées, notamment :

(a) Cryptage des données personnelles en transit (TLS 1.3) et au repos (AES-256).

(b) Des mesures visant à garantir la confidentialité, l'intégrité, la disponibilité et la résilience continues des systèmes et services de traitement.

(c) Contrôles d'accès basés sur les rôles et authentification multifacteur pour l'accès administratif.

d) Tests et évaluations réguliers de l'efficacité des mesures de sécurité, y compris des évaluations de vulnérabilité.

(e) Sauvegardes quotidiennes automatisées cryptées au repos, stockées dans la même juridiction géographique que les données primaires, avec une période de conservation de 30 jours.

(f) Procédures permettant de restaurer la disponibilité et l'accès aux données personnelles en temps opportun après un incident.

5.2 Le Sous-traitant doit régulièrement examiner et mettre à jour ces mesures pour maintenir un niveau de sécurité approprié, en tenant compte de l'état de l'art, des coûts de mise en œuvre, ainsi que de la nature, de la portée, du contexte et des finalités du traitement.

6. Notification de violation de données

6.1 Le sous-traitant doit informer le responsable du traitement sans retard injustifié, et en tout état de cause dans les 24 heures, dès qu'il a connaissance d'une violation de données personnelles.

6.2 La notification doit inclure :

(a) La nature de la violation des données personnelles, y compris, si possible, les catégories et le nombre approximatif de personnes concernées et d'enregistrements concernés.

(b) Les conséquences probables de la violation.

(c) Les mesures prises ou proposées pour remédier à la violation, y compris les mesures visant à atténuer ses éventuels effets négatifs.

6.3 Le processeur doit coopérer avec le contrôleur et prendre des mesures raisonnables pour aider à l'enquête, à l'atténuation et à la correction de la violation.

6.4 Le processeur doit documenter toutes les violations de données personnelles, y compris les faits relatifs à la violation, ses effets et les mesures correctives prises.

7. Droits des personnes concernées

7.1 Le sous-traitant doit, dans les 48 heures suivant sa réception, transmettre au contrôleur toute demande reçue directement d'une personne concernée exerçant ses droits en vertu des lois sur la protection des données.

7.2 Le sous-traitant doit aider le responsable du traitement à répondre à ces demandes par des mesures techniques et organisationnelles appropriées, y compris en fournissant des outils d'exportation et de suppression des données lorsqu'ils sont disponibles via les services.

7.3 Le Sous-traitant ne répondra pas directement à une demande de la Personne concernée, à moins que le Responsable du traitement ne lui demande de le faire ou que la loi applicable ne l'exige.

8. Transferts de données

8.1 Le processeur ne transférera pas de données personnelles en dehors de la région géographique attribuée au contrôleur sans le consentement écrit préalable du contrôleur.

8.2 Les données personnelles seront traitées et stockées dans le(s) centre(s) de données approprié(s) au siège social enregistré du contrôleur, comme spécifié à l'annexe 3.

8.3 Lorsque les données personnelles sont transférées en dehors du Royaume-Uni ou de l'Espace économique européen, le sous-traitant doit s'assurer que des garanties appropriées sont en place, y compris des clauses contractuelles types ou d'autres mécanismes de transfert légalement approuvés.

8.4 Les données des clients UK et de l'UE resteront à tout moment dans les juridictions UK/UE, à moins que le contrôleur ne fournisse un consentement écrit explicite à un arrangement alternatif.

9. Audits et conformité

9.1 Le sous-traitant doit mettre à la disposition du contrôleur toutes les informations raisonnablement nécessaires pour démontrer le respect du présent DPA et des obligations du sous-traitant en vertu des lois sur la protection des données.

9.2 Le contrôleur peut, sur préavis écrit d'au moins 30 jours et pendant les heures normales de bureau, vérifier la conformité du sous-traitant au présent DPA. Les audits ne doivent pas être effectués plus d’une fois par an, à moins qu’une violation de données personnelles ou une enquête réglementaire ne nécessite un audit supplémentaire.

9.3 Le contrôleur doit garantir que tout audit est mené de manière à minimiser les perturbations des opérations commerciales du sous-traitant et que tout auditeur est lié par des obligations de confidentialité appropriées.

9.4 Le sous-traitant doit coopérer à tout audit ou inspection effectué par le contrôleur ou par une autorité de contrôle.

10. Évaluations d'impact sur la protection des données

10.1 Le Sous-traitant fournira une assistance raisonnable au Responsable du traitement pour effectuer des analyses d'impact sur la protection des données et des consultations préalables avec les autorités de contrôle, lorsque les lois sur la protection des données l'exigent, en tenant compte de la nature du traitement et des informations dont dispose le Sous-traitant.

11. Durée et résiliation

11.1 Le présent DPA restera en vigueur pendant toute la durée du Contrat d'abonnement et aussi longtemps que le Sous-traitant traite les Données personnelles pour le compte du Contrôleur.

11.2 À la résiliation du Contrat d'abonnement, le Sous-traitant doit, au choix du Contrôleur, supprimer ou restituer toutes les Données personnelles dans les 30 jours et supprimer les copies existantes, à moins que la conservation ne soit requise par la loi applicable.

11.3 Le Sous-traitant doit certifier par écrit au Contrôleur qu'il s'est conformé aux exigences de la Clause 11.2 sur demande.

12. Responsabilité

12.1 La responsabilité de chaque partie en vertu du présent DPA sera soumise aux limitations et exclusions de responsabilité énoncées dans le Contrat d'abonnement.

12.2 Rien dans le présent DPA ne limite ou n'exclut la responsabilité de l'une ou l'autre partie en cas de violation des lois sur la protection des données dans la mesure où cette responsabilité ne peut être limitée en vertu de la loi applicable.

13. Général

13.1 Le présent DPA sera régi par les lois d'Angleterre et du Pays de Galles.

13.2 Tout litige découlant du présent DPA sera soumis au processus de résolution des litiges décrit dans le Contrat d'abonnement.

13.3 En cas de conflit entre le présent DPA et le contrat d'abonnement, les termes du présent DPA prévaudront en ce qui concerne les questions de protection des données.

13.4 Si une disposition du présent DPA s'avère invalide ou inapplicable, les dispositions restantes resteront pleinement en vigueur et de plein effet.

Annexe 1 : Détails du traitement

Nature et objectif : Fourniture de services de plateforme de fidélité numérique, y compris la création, la gestion, la distribution et l'analyse de cartes de fidélisation numériques via Apple Wallet et Google Wallet.

Types de données personnelles :

  • Noms des clients, adresses courriel et numéros de téléphone

  • Données de carte de fidélisation (points, tampons, récompenses et historique des transactions)

  • Identifiants d'appareil et informations d'identification du portefeuille numérique

  • Données du compte utilisateur administratif

  • Adresses IP et données d'utilisation

Catégories de personnes concernées :

  • Clients finaux du programme de fidélisation du Contrôleur

  • Utilisateurs administratifs du compte du contrôleur

Durée du traitement : Pendant la durée du Contrat d'abonnement, plus toute période de conservation post-résiliation requise par la loi applicable ou telle que définie à la Clause 11.2.

Annexe 2 : Sous-traitants

Sauvegardes de l'emplacement du service du sous-traitant DigitalOcean LLC Infrastructure d'hébergement cloud UK, UE et États-Unis (London, Amsterdam, Francfort, New York, San Francisco, Atlanta) Données stockées dans un centre de données approprié à l'emplacement du client Cachet de la poste (Wildbit LLC) Envoi de courriels transactionnels Clauses contractuelles types des États-Unis Stripe Inc. Traitement des paiements Clauses contractuelles types des États-Unis/UE

Une liste à jour des sous-traitants est conservée sur perkstar.co.uk/sub-processors.

Annexe 3 : Hébergement des données

Emplacements des centres de données : Perkstar stocke les données clients exclusivement au Royaume-Uni, dans l'Union européenne et aux États-Unis :

  • UK : London (DigitalOcean LON1)

  • UE: Amsterdam, Pays-Bas (DigitalOcean AMS3) ; Francfort, Allemagne (DigitalOcean FRA1)

  • NOUS: La ville de New York (DigitalOcean NYC1/NYC2/NYC3) ; San Francisco (DigitalOcean SFO2/SFO3) ; Atlanta (DigitalOcean ATL1)

Affectation du centre de données : Les clients sont automatiquement attribués au centre de données le plus approprié en fonction de l'emplacement de leur entreprise enregistrée, garantissant ainsi le respect des réglementations en matière de protection des données et des performances optimales.

Garanties de souveraineté des données :

  • Clients UK/EU : les données restent toujours dans les juridictions UK/EU.

  • Clients américains : les données restent aux États-Unis.

  • Clients internationaux : attribué au centre de données le plus proche doté de lois strictes sur la protection des données.

Sauvegardes : Les sauvegardes quotidiennes automatisées sont cryptées au repos (AES-256), stockées dans la même juridiction géographique que les données primaires et conservées pendant 30 jours.

Contact

Pour toute question concernant ce DPA, veuillez contacter :

Perkstar Ltd Numéro d'entreprise 16256732 86-90 Paul Street, 3rd Floor London, EC2A 4NE Royaume-Uni

courriel: légal@perkstar.co.uk