Aller au contenu
Se connecterDémarrer
03Juridique · DPA

Accord de traitement des données

Les clauses de traitement des données prévues par l'Article 28 GDPR qui s'appliquent lorsque COTRONIKA EOOD traite des données personnelles pour le compte d'un Client via la plateforme UXO.

Dernière mise à jour
21 May 2026
Sections
18
Temps de lecture
~14 min

01Parties et portée

Le présent Accord de traitement des données (le «DPA») fait partie intégrante du contrat conclu entre COTRONIKA EOOD, société bulgare à responsabilité limitée immatriculée sous le UIC 202457989 et dont le siège social est situé à Sofia 1700, Bulgaria (le «Processor»), et le Client (le «Controller») pour l'utilisation de la plateforme UXO au titre des Conditions d'utilisation disponibles à /legal/terms(le «Agreement»).

Le DPA s'applique chaque fois que le Processor traite des données personnelles pour le compte du Controller dans le cadre de la fourniture du Service. Lorsque le Processor traite des données personnelles pour son propre compte (par exemple, les données de facturation du Client et les coordonnées des utilisateurs du personnel autorisés), il le fait en qualité de responsable du traitement conformément à la Politique de confidentialité accessible à /legal/privacy— ce traitement n'entre pas dans le champ d'application du présent DPA.

En cas de conflit entre le présent DPA et l'Agreement, le présent DPA prévaut pour toutes les questions relatives au traitement des données personnelles pour le compte du Controller.

02Définitions

Les termes commençant par une majuscule qui ne sont pas définis ici ont le sens qui leur est donné dans l'Agreement. Les termes «personal data», «processing», « controller», «processor», «data subject », «sub-processor» et «personal data breach » ont le sens qui leur est donné à l'Article 4 of Regulation (EU) 2016/679 (the «GDPR»).

Applicable Data Protection Law
Le GDPR, les lois des États membres de l'UE qui le mettent en œuvre ou le complètent (y compris la loi bulgare sur la protection des données personnelles), ainsi que toute autre législation sur la protection des données ou de la vie privée applicable au traitement des données personnelles par le Processor au titre du présent DPA.
EEA
L'Espace économique européen.
SCCs
Les Standard Contractual Clauses pour le transfert de données personnelles vers des pays tiers adoptées par la Commission européenne dans la Decision (EU) 2021/914 of 4 June 2021.
Données personnelles du Client
Les données personnelles traitées par le Processor pour le compte du Controller au titre du présent DPA.

03Rôles et instructions de traitement

Les parties reconnaissent que, s'agissant des données personnelles du Client, le Controller est le responsable du traitement et le Processor est le sous-traitant. Les instructions documentées du Controller au Processor sont constituées par l'Agreement, le présent DPA et toute instruction complémentaire raisonnablement donnée via les options de configuration du Service ou par écrit.

Le Processor ne traitera les données personnelles du Client que sur la base d'instructions documentées du Controller et uniquement aux fins décrites dans l'Annexe I, sauf si l'Applicable Data Protection Law l'exige autrement. Si le Processor estime qu'une instruction enfreint l'Applicable Data Protection Law, il en informera le Controller et pourra refuser d'y donner suite.

Le Controller garantit qu'il dispose du droit et de la base juridique nécessaires pour mettre les données personnelles du Client à la disposition du Processor et pour lui donner instruction d'effectuer le traitement décrit dans le présent DPA. Le Controller est responsable de la fourniture des informations requises aux personnes concernées, de la gestion de sa relation avec celles-ci et de l'obtention du consentement lorsque le consentement constitue la base juridique du traitement.

04Obligations du sous-traitant (Article 28(3) GDPR)

Le Processor s'engage à :

  • traiter les données personnelles du Client uniquement sur la base des instructions documentées du Controller, y compris en ce qui concerne les transferts internationaux (voir Section 9) ;
  • veiller à ce que les personnes autorisées à traiter les données personnelles du Client se soient engagées à la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
  • mettre en œuvre les mesures techniques et organisationnelles prévues à l'Annexe II pour protéger les données personnelles du Client contre la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé, qu'ils soient accidentels ou illicites ;
  • respecter les conditions prévues par le présent DPA pour le recours à des sous-traitants ultérieurs (Section 5) ;
  • compte tenu de la nature du traitement, aider le Controller, par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, à remplir son obligation de répondre aux demandes émanant des personnes concernées (Section 7) ;
  • aider le Controller à assurer le respect des obligations prévues aux Articles 32 to 36 GDPR (sécurité, notification des violations, analyse d'impact relative à la protection des données, consultation préalable), en tenant compte de la nature du traitement et des informations dont dispose le Processor ;
  • au choix du Controller, supprimer ou restituer l'ensemble des données personnelles du Client à l'issue de la fourniture des services et supprimer les copies existantes, sauf si l'Applicable Data Protection Law impose leur conservation (voir Section 10) ;
  • mettre à la disposition du Controller toutes les informations nécessaires pour démontrer le respect des obligations prévues par l'Article 28 GDPR et permettre la réalisation d'audits et y contribuer, conformément à la Section 8.

05Sous-traitants ultérieurs

Autorisation générale

Le Controller accorde au Processor une autorisation générale de recourir aux sous-traitants ultérieurs listés à l'Annexe III à la date du présent DPA. Le Processor demeure pleinement responsable envers le Controller de l'exécution des obligations de tout sous-traitant ultérieur.

Nouveaux sous-traitants ultérieurs ou remplacements

Le Processor informera le Controller à l'avance de tout ajout ou remplacement envisagé d'un sous-traitant ultérieur, en laissant au Controller une possibilité raisonnable de s'y opposer pour des motifs liés à la protection des données. La notification sera adressée par email au contact principal du compte, ou par une annonce dans le produit ou sur le site web maintenue à cette fin, au moins trente jours avant l'entrée en vigueur du changement.

Opposition

Le Controller peut s'y opposer pendant le délai de notification pour des motifs raisonnables et documentés liés à la protection des données. Les parties discuteront de bonne foi de cette opposition. Si l'objection ne peut pas être résolue, le Controller pourra résilier la partie du Service concernée par notification écrite ; le Processor remboursera les frais prépayés correspondant à la partie inutilisée de ce Service à compter de la date de résiliation.

Obligations des sous-traitants ultérieurs

Lorsque le Processor recourt à un sous-traitant ultérieur, il lui impose par contrat écrit les mêmes obligations en matière de protection des données que celles prévues dans le présent DPA, en particulier l'obligation d'offrir des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées afin que le traitement réponde aux exigences du GDPR.

06Notification des violations de données personnelles

Le Processor notifiera le Controller dans les meilleurs délais après avoir pris connaissance d'une personal data breach affectant les données personnelles du Client. La notification sera envoyée à l'adresse email associée au contact principal du compte du Controller et comprendra, dans la mesure où ces informations sont alors connues du Processor :

  • une description de la nature de la violation, y compris, lorsque cela est possible, les catégories et le nombre approximatif de personnes concernées et d'enregistrements concernés ;
  • le nom et les coordonnées du point de contact du Processor ;
  • les conséquences probables de la violation ;
  • les mesures prises ou proposées pour remédier à la violation et atténuer ses éventuels effets défavorables.

Lorsqu'il n'est pas possible de fournir toutes ces informations en une seule fois, le Processor les communiquera par phases à mesure qu'elles deviennent disponibles, sans retard injustifié supplémentaire.

La notification d'une violation ne vaut pas reconnaissance d'une faute ou d'une responsabilité de la part du Processor.

07Assistance relative aux droits des personnes concernées

Le Service fournit au Controller des outils en libre-service pour répondre aux personnes concernées exerçant leurs droits d'accès, de rectification, d'effacement, de limitation, de portabilité et d'opposition au titre des Articles 15-22 GDPR (par exemple, le tableau de bord du personnel exporte l'historique des commandes et les fiches de contact client, et le Controller peut supprimer directement des enregistrements).

Lorsque les outils en libre-service ne suffisent pas, compte tenu de la nature du traitement, le Processor apportera au Controller une assistance raisonnable pour répondre à une demande d'une personne concernée. Le Processor peut facturer des frais raisonnables lorsque l'assistance sollicitée est manifestement infondée ou excessive, notamment en raison de son caractère répétitif.

Si le Processor reçoit directement d'une personne concernée une demande portant sur des données personnelles du Client, il l'invitera à adresser sa demande au Controller et en informera le Controller sans retard injustifié.

08Audits

Le Processor mettra à la disposition du Controller, sur demande écrite raisonnable, les informations nécessaires pour démontrer le respect de ses obligations au titre de l'Article 28 GDPR.

Lorsque le Controller estime raisonnablement que les informations fournies ne suffisent pas à démontrer la conformité, il peut procéder à un audit au maximum une fois par année civile, en adressant une notification écrite au moins trente jours à l'avance. Les audits seront réalisés pendant les heures ouvrées, respecteront la confidentialité des données des autres clients, n'interféreront pas de manière déraisonnable avec l'activité du Processor et seront effectués par le Controller ou par un auditeur tiers indépendant qualifié soumis à des obligations de confidentialité appropriées. Le Controller supporte les coûts de son audit, sauf si l'audit révèle une violation substantielle du présent DPA imputable au Processor.

Des audits plus fréquents peuvent être nécessaires si une autorité de contrôle demande au Controller d'en réaliser un, ou à la suite d'une violation de données personnelles affectant de manière substantielle les données du Controller.

09Transferts internationaux

Le Processor traite principalement les données personnelles du Client en Bulgarie (UE). Lorsque le Processor ou un sous-traitant ultérieur transfère des données personnelles du Client vers un pays situé hors de l'EEA qui n'est pas couvert par une décision d'adéquation au titre de l'Article 45 GDPR, les parties conviennent que le transfert sera réalisé sur la base de garanties appropriées au sens de l'Article 46 GDPR, à savoir :

  • les SCCs, conclues entre l'exportateur de données et l'importateur de données dans le Module applicable, avec les choix et clauses optionnelles prévus à l'Annexe IV ; ou
  • lorsque l'importateur est auto-certifié au titre du EU-US Data Privacy Framework (Commission Implementing Decision (EU) 2023/1795), la décision d'adéquation combinée à l'auto-certification de l'importateur.

Le Processor réalisera, lorsque cela est requis, une analyse d'impact relative au transfert et mettra en œuvre des mesures complémentaires lorsque cela est raisonnablement nécessaire pour garantir que le niveau de protection garanti par le GDPR ne soit pas compromis.

10Restitution ou suppression des données

À la résiliation de l'Agreement et au choix du Controller, le Processor :

  • restituera l'ensemble des données personnelles du Client au Controller dans un format structuré, couramment utilisé et lisible par machine via les outils d'export du Service ou par tout autre moyen raisonnable ; ou
  • supprimera l'ensemble des données personnelles du Client.

Dans un délai de trois mois suivant la résiliation, le Processor supprimera les données personnelles du Client des systèmes de production et des sauvegardes de routine dans le cadre des cycles opérationnels ordinaires, sauf lorsque l'Applicable Data Protection Law ou une autre loi applicable impose une conservation supplémentaire (par exemple pour des documents comptables et fiscaux) ou lorsque cette conservation est nécessaire à l'établissement, à l'exercice ou à la défense de droits en justice. Toute donnée conservée reste soumise au présent DPA.

11Responsabilité et durée

La responsabilité de chaque partie au titre du présent DPA est soumise aux limitations et exclusions prévues dans l'Agreement. Rien dans le présent DPA n'exclut ni ne limite la responsabilité d'une partie en cas de fraude, de faute lourde, de faute intentionnelle ou de toute responsabilité qui ne peut être limitée ou exclue en vertu de l'Applicable Data Protection Law.

Le présent DPA entre en vigueur à la date à laquelle les parties concluent l'Agreement et reste en vigueur jusqu'à ce que le Processor ait supprimé ou restitué l'ensemble des données personnelles du Client conformément à la Section 10. Les obligations prévues par le présent DPA survivent à la résiliation de l'Agreement aussi longtemps que le Processor conserve des données personnelles du Client.

12Droit applicable

Le présent DPA est régi par les lois de la République de Bulgarie, sans égard à ses règles de conflit de lois. Les juridictions de Sofia City ont compétence exclusive pour tout litige découlant du présent DPA ou s'y rapportant, sauf lorsque l'Applicable Data Protection Law attribue une compétence exclusive à une autre juridiction.

13Contact

Les questions relatives au présent DPA, les demandes d'exercice de droits pour le compte de personnes concernées, ou les notifications requises au titre de celui-ci doivent être adressées à [email protected] ou par courrier à COTRONIKA EOOD, Sofia 1700, Bulgaria.

A1Annexe I — Description du traitement

Objet

Traitement de données personnelles par le Processor pour le compte du Controller afin de fournir la plateforme UXO au titre de l'Agreement.

Durée

Pendant la durée de l'Agreement et toute période postérieure pendant laquelle le Processor conserve des données personnelles du Client conformément à la Section 10.

Nature et finalité du traitement

Hébergement, stockage, récupération, affichage, transmission, consultation, organisation, structuration, indexation, recherche, pseudonymisation, suppression et autres opérations nécessaires au fonctionnement des fonctionnalités de la plateforme UXO que le Controller choisit d'utiliser, y compris les menus numériques, la commande par QR code, les parcours de retrait et de livraison, les réservations, le tableau de bord du personnel, l'interface marketplace et les analyses de support.

Catégories de personnes concernées

  • Les clients des établissements du Controller qui scannent un QR code, passent des commandes, effectuent des réservations ou interagissent d'une autre manière avec les interfaces destinées aux clients.
  • Les membres autorisés du personnel du Controller qui utilisent le tableau de bord du personnel, les files d'attente cuisine / bar ou le service d'impression.
  • Le cas échéant, les fournisseurs et autres contacts professionnels que le Controller ajoute à son établissement.

Catégories de données personnelles

  • Données de contact et d'identification — nom, email, téléphone, adresse de livraison.
  • Données de commande et de réservation — articles, variantes, notes, horaires, détails de table ou de retrait / livraison, statut de paiement.
  • Données de compte — préférence de langue, adresses enregistrées, jetons d'authentification.
  • Données du personnel — nom, rôle, coordonnées, jetons de session, journaux d'activité.
  • Données techniques et de connexion — adresse IP, appareil, navigateur, localisation approximative, journaux serveur et télémétrie de sécurité.

Le Service n'est pas conçu pour traiter des catégories particulières de données personnelles (Article 9 GDPR) ni des données relatives à des condamnations pénales et infractions (Article 10 GDPR). Le Controller s'engage à ne pas téléverser de telles données sans avoir préalablement convenu par écrit avec le Processor de garanties supplémentaires.

A2Annexe II — Mesures techniques et organisationnelles

Compte tenu de l'état de l'art, des coûts de mise en œuvre, ainsi que de la nature, de la portée, du contexte et des finalités du traitement, de même que du risque pour les droits et libertés des personnes physiques, le Processor met en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. Les mesures actuelles comprennent :

Confidentialité

  • Chiffrement TLS 1.2+ en transit pour l'ensemble du trafic à destination et en provenance du Service.
  • Chiffrement au repos des bases de données de production et des sauvegardes à l'aide d'algorithmes standards du secteur.
  • Contrôle d'accès fondé sur les rôles selon le principe du moindre privilège. L'accès du personnel aux données de production est limité aux personnes dont la fonction le nécessite.
  • Isolation multi-tenant appliquée à chaque requête de base de données grâce à un filtre de tenancy restaurant obligatoire.
  • Mots de passe stockés sous forme de hachages salés au moyen d'un algorithme lent et résistant à la mémoire. Les jetons de session sont renouvelés et expirent.

Intégrité

  • Processus de gestion des changements de code avec revue par les pairs pour les modifications apportées aux systèmes de production.
  • Pipeline automatisé d'intégration continue pour la build et les tests avant déploiement.
  • Journaux d'audit des actions administratives, signés et inviolables.

Disponibilité et résilience

  • Infrastructure de production redondante avec sauvegardes automatisées régulières.
  • Protection DDoS et pare-feu applicatif web via Cloudflare.
  • Planification de capacité et surveillance de l'état du système.
  • Procédures documentées de réponse aux incidents avec chaîne d'escalade définie.

Tests et revue périodiques

  • Application régulière de correctifs de vulnérabilité au système d'exploitation, au runtime du langage, au framework, aux dépendances et aux composants d'infrastructure.
  • Revue périodique de la posture de sécurité des fournisseurs pour les sous-traitants ultérieurs listés à l'Annexe III.
  • Revue et mise à jour périodiques des présentes mesures techniques et organisationnelles.

Le Processor peut mettre à jour ces mesures de temps à autre afin de refléter l'évolution de l'état de l'art et du profil de risque du Service, à condition que les mesures mises à jour ne réduisent pas de manière substantielle le niveau de protection.

A3Annexe III — Sous-traitants ultérieurs actuels

Les sous-traitants ultérieurs actuels auxquels le Processor a recours pour fournir le Service sont listés ci-dessous. Cette liste reflète la situation à la date «Last updated» et est tenue à jour conformément à la Section 5.

Sous-traitant ultérieurFinalitéLocalisation
COTRONIKA EOOD (infrastructure propre)Hébergement applicatif, base de données principale, stockage de fichiers, sauvegardes, envoi d'emails SMTP, gestion des abonnements (WHMCS auto-hébergé), surveillance des erreursBulgaria (EU)
Cloudflare, Inc.DNS, CDN, protection DDoS, pare-feu applicatif web, détection des bots TurnstileUSA, with EU points of presence
Stripe Payments Europe LtdTraitement des paiements pour les frais d'abonnement et les autres transactions payantesIreland (EU), with USA parent
Anthropic PBCConversion image-vers-texte (OCR) des menus papier téléversés uniquement via la fonctionnalité de scan de menu ; dans le fonctionnement ordinaire du Service, cette fonctionnalité ne transmet pas de données personnelles du ClientUSA
Google Ireland Ltd (Google Analytics)Analyse d'audience web uniquement sur le site marketing uxo.bgIreland (EU), with USA parent

A4Annexe IV — Choix des modules SCC

Lorsque les SCCs s'appliquent à un transfert en vertu de la Section 9, les choix suivants sont arrêtés à l'avance :

  • Module.Le Module Two (transfer controller-to-processor) s'applique entre le Controller et tout sous-traitant ultérieur non EEA engagé directement par le Controller. Le Module Three (transfer processor-to-processor) s'applique entre le Processor et tout sous-traitant ultérieur non EEA qu'il engage pour le compte du Controller.
  • Clause 7 (docking clause).S'applique. D'autres Controllers et Processors peuvent adhérer aux SCCs conformément à cette clause.
  • Clause 9 (sub-processors). Option 2 (general written authorisation), avec le délai de notification prévu à la Section 5.
  • Clause 11 (redress).Le texte optionnel permettant à la personne concernée d'introduire une réclamation auprès d'un organisme indépendant de règlement des litiges n'est pas retenu.
  • Clause 17 (governing law). Droit bulgare.
  • Clause 18 (forum and jurisdiction). Les juridictions de Sofia City, Bulgaria.
  • Annex I.A (parties). Le Controller est identifié par les informations de compte fournies au Processor ; le Processor est COTRONIKA EOOD ; le contact protection des données pour les deux parties est [email protected]pour le Processor et l'email du compte du Controller pour le Controller.
  • Annex I.B (description).Tel que prévu à l'Annexe I du présent DPA.
  • Annex II (security measures).Tel que prévu à l'Annexe II du présent DPA.
  • Annex III (sub-processors).Tel que prévu à l'Annexe III du présent DPA.

14Mises à jour du présent DPA

Le Processor peut mettre à jour le présent DPA de temps à autre, par exemple pour refléter des évolutions de la loi, des fonctionnalités du Service ou de ses sous-traitants ultérieurs. Le Processor fournira un préavis raisonnable au contact principal du compte en cas de changement substantiel. Les mises à jour qui ne réduisent pas de manière substantielle le niveau de protection des données personnelles du Client peuvent prendre effet à la date de leur publication sur cette page.

Prêt à réunir menu QR, commande à table, emporter et livraison sur une seule plateforme ?
Démarrage gratuit, visibilité locale incluse.

Commencer gratuitementNous contacter