Addendum relatif au traitement des données (“DPA”).

Le DPA fait partie des Conditions Générales de Service entre Sunday et le Marchand (le « Contrat ») en vertu desquelles Sunday fournit des services technologiques au Marchand. Les termes qui ne sont pas définis dans le présent DPA ont le sens qui leur est donné dans le Contrat. En cas de contradiction entre un terme du présent DPA et un terme du Contrat, le présent DPA prévaut. La durée du traitement est celle du Contrat.
Certains mots et expressions figurant dans ce DPA ont une définition spécifique lorsqu'ils commencent par une majuscule. Lorsqu'un terme défini est utilisé, il a soit la signification indiquée dans l’annexe 1 ci-dessous (Définitions), soit la signification qui lui est donnée dans l’article applicable de ce DPA. Les termes “responsable de traitement”, “sous-traitant”, "personne concernée", "données à caractère personnel", "traitement", "demande d’accès", "violation de données", “sous-traitant ultérieur” et "autorité de contrôle" ont la signification qui leur est donnée dans la Législation sur la Protection des Données.

2. Traitement des données personnelles en tant que responsable de traitement

2.1 Cet article 2 s'applique au traitement des données personnelles par Sunday lorsque de telles données sont (i) reçues dans le cadre des services fournis directement aux Utilisateurs, tels que via les applications et services destinés aux consommateurs de Sunday, et/ou (ii) liées au personnel du Marchand, y compris les serveurs, lorsque ces informations sont transférés à Sunday par le Marchand ou mis à disposition de Sunday dans le cadre de la fourniture des services de Sunday et de la Solution.
2.2 Le Marchand reconnaît que Sunday agit en tant que responsable indépendant du traitement des données en ce qui concerne les modalités décrites dans l’article 2.1.
2.3 En particulier, le Marchand comprend et reconnaît que que les données personnelles dans le cadre de cet article 2 seront traitées par Sunday conformément à:
(i) notre politique de confidentialité Utilisateurs accessible à l’adresse https://sundayapp.com/fr/privacy-policy/;
(ii) notre politique de confidentialité marchand accessible à l’adresse https://sundayapp.com/fr/privacy-policy-waiters-personnel/;
2.4 Le Marchand veillera à avoir toutes les autorisations et notifications nécessaires en place pour permettre le transfert légal des données personnelles liées à son personnel à Sunday pendant la durée et aux fins du présent DPA.

3. Traitement des données personnelles en tant que sous-traitant du Marchand

3.1 Lorsque Sunday traite des données personnelles dans le cadre des services fournis au Marchand en vertu du Contrat, Sunday traite les données personnelles en tant que sous-traitant et/ou prestataire de services, uniquement dans le but de fournir lesdits services. Les Parties conviennent que l'annexe 2 du présent DPA décrit l'objet et les détails du traitement des données personnelles. Sunday peut être amenée à rassembler, anonymiser ou dépersonnaliser des données personnelles et traiter ces données pour les finalités décrites dans l’annexe 2 ou dans la mesure où la législation applicable le permet.
3.2 Sunday traitera les données personnelles conformément aux instructions documentées du Marchand (à condition que de telles instructions soient en adéquation avec les fonctionnalités de la Solution), sauf si la loi exige que Sunday traite les données personnelles à d'autres fins. Si Sunday estime qu'une instruction du Marchand enfreint la Législation sur la Protection des Données, Sunday en informera ce dernier.
3.3 Sunday se conformera à la Législation sur la Protection des Données qui lui est applicable dans son rôle de sous-traitant. Le Marchand se conformera à la Législation sur la Protection des Données qui lui est applicable en tant que responsable du traitement des données.
3.4 Dans le cadre de la prestation de services, le Marchand reconnaît et donne l’autorisation écrite à Sunday par la présente d’utiliser des sous-traitants ultérieurs, listés en ligne à l’adresse suivante https://sundayapp.com/sunday-subprocessors/;
(« Liste des sous-traitants ultérieurs »), afin de traiter les données personnelles. Le recours de Sunday à un sous-traitant ultérieur spécifique pour traiter les données personnelles doit respecter la Législation sur la Protection des Données et être régi par un contrat entre Sunday et le sous-traitant ultérieur qui impose des protections comparables à celles du présent DPA. Dans le cas où Sunday désignerait un nouveau sous-traitant ultérieur ou aurait l’intention d’apporter des changements concernant l’ajout ou le remplacement des sous-traitants ultérieurs, ces changements seront apportés à notre Liste des sous-traitants ultérieurs. À partir de la date de mise à jour de la Liste des sous-traitants ultérieurs, le Marchand aura sept (7) jours pour s’opposer à ce changement. S’il s’oppose à ce qu’un Sous-traitant ultérieur soit désigné, le Marchand pourra mettre fin au Contrat.
3.6 Sunday informera rapidement le Marchand après avoir pris connaissance et confirmé tout traitement, toute divulgation ou tout accès accidentels, non autorisés ou illégaux affectant des données personnelles.
3.5 Sunday apportera son assistance au Marchand pour répondre à toute demande d’une personne concernée et pour assurer le respect de ses obligations en vertu de la Législation sur la Protection des Données concernant la sécurité, les notifications en cas de violations de données, les évaluations d'impact sur la protection des données et les consultations avec les autorités de contrôle ou les régulateurs.
3.7 Afin de fournir les services au Marchand, Sunday n'accédera et ne traitera les données personnelles que provenant (i) des pays de l'EEE, (ii) des pays ou territoires formellement reconnus par la Commission européenne comme offrant un niveau adéquat de protection des données (« Pays Adéquats ») et (iii) des pays tiers ou territoires, pour autant que Sunday et le sous-traitant ultérieur concerné aient mis en place un Mécanisme de Transfert Valide.
3.8 À la demande écrite du Marchand, Sunday devra supprimer ou restituer les données personnelles ainsi que les copies de celles-ci au Marchand à la résiliation du DPA, sauf si la Législation sur la Protection des Données ou d'autres lois applicables exigent le stockage des données personnelles.
3.9 Sunday mettra en place et maintiendra en permanence, pendant la durée du présent DPA, des mesures techniques et organisationnelles afin de protéger les données personnelles contre tout traitement non autorisé ou illicite, ainsi que contre toute perte ou tout dommage accidentel : (i) en assurant, dans chaque cas, un niveau de sécurité approprié au risque; (ii) en maintenant la certification PCI DSS (Payment Card Industry Data Security Standard) niveau 1; et (iii), en maintenant des contrôles conformes aux pratiques industrielles acceptées, y compris les normes de l'Organisation internationale de normalisation (ISO): NIST (National Institute of Standards and Technology) CSF (Cybersecurity Framework).
3.10 Au minimum, les mesures de sécurité mises en place par Sunday pour la protection des données personnelles incluront : (i) la sécurisation des systèmes cloud, des systèmes de sauvegarde et de l'équipement informatique, y compris, mais sans s'y limiter, tous les dispositifs de point de terminaison et autres équipements dotés d'une capacité de stockage d'informations ; (ii) la mise en œuvre de la sécurité réseau, des applications, des bases de données et des plates-formes ; (iii) la sécurisation de la transmission, du stockage et de l'élimination des informations ; (iv) la mise en place de l'authentification et des contrôles d'accès au sein des supports, applications, systèmes d'exploitation et équipements ; (v) le chiffrement des données personnelles au repos lorsque cela est possible ; (vi) le chiffrement des données personnelles transmises en transit sur le réseau ; (vii) la ségrégation stricte des données du commerçant par rapport aux informations de Sunday ou de ses autres clients, de manière à ce que les données du commerçant ne soient pas mélangées avec d'autres types d'informations ; (viii) la réalisation d'évaluations des risques et de scans de vulnérabilité, et la mise en œuvre rapide, aux seuls frais de Sunday, d'un plan d'action correctif pour remédier à tout problème signalé à la suite des tests ; (ix) la mise en place de procédures et pratiques appropriées de sécurité et d'intégrité du personnel ; et (x) la fourniture d'une formation appropriée à la sécurité de l'information aux salariés de Sunday.

Annexe 1. Définitions

Législation sur la Protection des Données
toutes les législations applicables relatives à la protection des données et à la vie privée en vigueur de temps à autre, y compris le Règlement Général sur la Protection des Données ((UE) 2016/679) (‘RGPD’) ; la Directive 2002/58/CE concernant la vie privée et les communications électroniques (telle que mise à jour par la Directive 2009/136/CE) et les Règlements de 2003 sur la vie privée et les communications électroniques (SI 2003 No. 2426) tels que modifiés de temps à autre ; toute autre législation de l'Union européenne relative aux données personnelles ainsi que toutes les autres législations et exigences réglementaires en vigueur de temps à autre, qui s'appliquent à une Partie en ce qui concerne l'utilisation de données personnelles.
Mécanisme de Transfert Valide
Un mécanisme de transfert de données autorisé par la Législation sur la Protection des Données en tant que base légale pour transférer des données personnelles à un destinataire situé dans un pays tiers au sens du RGPD et du Data Protection Act 2018.

Annexe 2. Description du traitement

Nature et finalité du traitement
fournir et améliorer les Services Sunday en vertu des Conditions Générales de Service et de toute autre condition auquel ce DPA est rattaché, fournir toute assistance au Marchand, dans la mesure permise par la Législation sur la Protection des Données, ou à l’initiative du Marchand à tout moment.
Objet, Types de Données personnelles et Catégories de Personnes concernées
Données personnelles concernant des Utilisateurs.
Durée du traitement
La période d’application du présent DPA, plus la période à partir de la fin de cette période d’application jusqu’à la suppression de l’ensemble des données personnelles des Utilisateurs par Sunday conformément à ses obligations en vertu du présent DPA.