Addendum relatif au traitement des données (“DPA”).
Dernière mise à jour: 30 mars 2026
Le DPA fait partie des Conditions Générales de Service entre Sunday et le Marchand (le « Contrat ») en vertu desquelles Sunday fournit des services technologiques au Marchand. Les termes qui ne sont pas définis dans le présent DPA ont le sens qui leur est donné dans le Contrat. En cas de contradiction entre un terme du présent DPA et un terme du Contrat, le présent DPA prévaut. La durée du traitement est celle du Contrat.
Certains mots et expressions figurant dans ce DPA ont une définition spécifique lorsqu'ils commencent par une majuscule. Lorsqu'un terme défini est utilisé, il a soit la signification indiquée dans l’annexe 1 ci-dessous (Définitions), soit la signification qui lui est donnée dans l’article applicable de ce DPA. Les termes “responsable de traitement”, “sous-traitant”, "personne concernée", "données à caractère personnel", "traitement", "demande d’accès", "violation de données", “sous-traitant ultérieur” et "autorité de contrôle" ont la signification qui leur est donnée dans la Législation sur la Protection des Données.
2. Traitement des données personnelles en tant que responsable de traitement
2.1 Cet article 2 s'applique au traitement des données personnelles par Sunday lorsque (i) les données personnelles de l’Utilisateur sont reçues dans le cadre de la relation directe ou de l’interaction intentionnelle de l’Utilisateur avec Sunday, notamment via les Services Utilisateurs tels que définis dans les Conditions Générales d’Utilisation disponibles à l’adresse suivante :
https://sundayapp.com/fr/user-terms-of-service/;
et ; (ii) les données personnelles concernent le personnel du Marchand, y compris les serveurs, et sont transférées ou rendues accessibles à Sunday par le Marchand dans le cadre de la fourniture des Services Sunday.
et ; (ii) les données personnelles concernent le personnel du Marchand, y compris les serveurs, et sont transférées ou rendues accessibles à Sunday par le Marchand dans le cadre de la fourniture des Services Sunday.
2.2 Le Marchand reconnaît que Sunday agit en tant que responsable indépendant du traitement des données en ce qui concerne les modalités décrites dans l’article 2.1.
2.3 En particulier, le Marchand comprend et reconnaît que que les données personnelles dans le cadre de cet article 2 seront traitées par Sunday conformément à:
(i) notre politique de confidentialité Utilisateurs accessible à l’adresse https://sundayapp.com/fr/privacy-policy/;
(ii) notre politique de confidentialité marchand accessible à l’adresse https://sundayapp.com/fr/privacy-policy-waiters-personnel/;
(ii) notre politique de confidentialité marchand accessible à l’adresse https://sundayapp.com/fr/privacy-policy-waiters-personnel/;
2.4 Le Marchand veillera à avoir toutes les autorisations et notifications nécessaires en place pour permettre le transfert légal des données personnelles liées à son personnel à Sunday pendant la durée et aux fins du présent DPA.
2.5 Anonymisation et Données Dérivées. Dans le cadre de ses activités en tant que responsable de traitement indépendant au titre du présent article 2, Sunday est autorisée à anonymiser et agréger les données personnelles des Utilisateurs afin de créer des jeux de données qui ne permettent pas, directement ou indirectement, l'identification d'un Utilisateur ou du Marchand (« Données Dérivées »), telles que définies à l'article 13.3 du Contrat. Les finalités et modalités de ce traitement sont décrites dans la politique de confidentialité Utilisateurs de Sunday.
Les Données Dérivées ne constituent pas des données à caractère personnel au sens de la Législation sur la Protection des Données. Leur création, utilisation et exploitation par Sunday ne sont pas soumises aux obligations du présent DPA relatives au traitement des données à caractère personnel.
Le Marchand reconnaît que la création de Données Dérivées relève des finalités propres de Sunday en tant que responsable de traitement indépendant et ne constitue pas un traitement effectué pour le compte du Marchand au sens de l'article 3 du présent DPA.
2.6 Anonymisation des Données Marchand pour la création de Données Dérivées. En application de la licence concédée par le Marchand au titre de l'article 13.3(a) du Contrat, Sunday anonymise et agrège les données personnelles contenues dans les Données Marchand (y compris, le cas échéant, les données relatives au Personnel du Marchand) aux fins de création de Données Dérivées. Aux fins de l'article 3.2 du présent DPA, cette opération constitue une instruction documentée du Marchand, dont l'exécution aboutit à la création de données qui ne constituent plus des données à caractère personnel au sens de la Législation sur la Protection des Données.
3. Traitement des données personnelles en tant que sous-traitant du Marchand
3.1 Lorsque Sunday traite des données personnelles dans le cadre des services fournis au Marchand en vertu du Contrat, Sunday traite les données personnelles en tant que sous-traitant et/ou prestataire de services, uniquement dans le but de fournir lesdits services. Les Parties conviennent que l'annexe 2 du présent DPA décrit l'objet et les détails du traitement des données personnelles. Dans le cadre de sa qualité de sous-traitant, Sunday peut être amenée à agréger ou pseudonymiser des données personnelles traitées pour le compte du Marchand, aux seules fins décrites dans l'Annexe 2 et conformément aux instructions documentées du Marchand.
Il est précisé que :
(i) l'anonymisation de Données Utilisateurs aux fins de création de Données Dérivées au sens de l'article 13.3 du Contrat relève exclusivement de l'article 2.5 du présent DPA et du statut de responsable de traitement indépendant de Sunday ;
(ii) l'anonymisation de données personnelles contenues dans les Données Marchand aux fins de création de Données Dérivées est effectuée conformément à l'instruction documentée du Marchand prévue à l'article 2.6 du présent DPA.
3.2 Sunday traitera les données personnelles conformément aux instructions documentées du Marchand (à condition que de telles instructions soient en adéquation avec les fonctionnalités de la Solution), sauf si la loi exige que Sunday traite les données personnelles à d'autres fins. Si Sunday estime qu'une instruction du Marchand enfreint la Législation sur la Protection des Données, Sunday en informera ce dernier.
3.3 Sunday se conformera à la Législation sur la Protection des Données qui lui est applicable dans son rôle de sous-traitant. Le Marchand se conformera à la Législation sur la Protection des Données qui lui est applicable en tant que responsable du traitement des données.
3.4 Dans le cadre de la prestation de services, le Marchand reconnaît et donne l’autorisation écrite à Sunday par la présente d’utiliser des sous-traitants ultérieurs, listés en ligne à l’adresse suivante https://sundayapp.com/sunday-subprocessors/;
(« Liste des sous-traitants ultérieurs »), afin de traiter les données personnelles. Le recours de Sunday à un sous-traitant ultérieur spécifique pour traiter les données personnelles doit respecter la Législation sur la Protection des Données et être régi par un contrat entre Sunday et le sous-traitant ultérieur qui impose des protections comparables à celles du présent DPA. Dans le cas où Sunday désignerait un nouveau sous-traitant ultérieur ou aurait l’intention d’apporter des changements concernant l’ajout ou le remplacement des sous-traitants ultérieurs, ces changements seront apportés à notre Liste des sous-traitants ultérieurs. À partir de la date de mise à jour de la Liste des sous-traitants ultérieurs, le Marchand aura sept (7) jours pour s’opposer à ce changement. S’il s’oppose à ce qu’un Sous-traitant ultérieur soit désigné, le Marchand pourra mettre fin au Contrat.
(« Liste des sous-traitants ultérieurs »), afin de traiter les données personnelles. Le recours de Sunday à un sous-traitant ultérieur spécifique pour traiter les données personnelles doit respecter la Législation sur la Protection des Données et être régi par un contrat entre Sunday et le sous-traitant ultérieur qui impose des protections comparables à celles du présent DPA. Dans le cas où Sunday désignerait un nouveau sous-traitant ultérieur ou aurait l’intention d’apporter des changements concernant l’ajout ou le remplacement des sous-traitants ultérieurs, ces changements seront apportés à notre Liste des sous-traitants ultérieurs. À partir de la date de mise à jour de la Liste des sous-traitants ultérieurs, le Marchand aura sept (7) jours pour s’opposer à ce changement. S’il s’oppose à ce qu’un Sous-traitant ultérieur soit désigné, le Marchand pourra mettre fin au Contrat.
3.5 Sunday apportera son assistance au Marchand pour répondre à toute demande d’une personne concernée et pour assurer le respect de ses obligations en vertu de la Législation sur la Protection des Données concernant la sécurité, les notifications en cas de violations de données, les évaluations d'impact sur la protection des données et les consultations avec les autorités de contrôle ou les régulateurs.
3.6 Sunday informera rapidement le Marchand après avoir pris connaissance et confirmé tout traitement, toute divulgation ou tout accès accidentels, non autorisés ou illégaux affectant des données personnelles.
3.7 Afin de fournir les services au Marchand, Sunday n'accédera et ne traitera les données personnelles que provenant (i) des pays de l'EEE, (ii) des pays ou territoires formellement reconnus par la Commission européenne comme offrant un niveau adéquat de protection des données (« Pays Adéquats ») et (iii) des pays tiers ou territoires, pour autant que Sunday et le sous-traitant ultérieur concerné aient mis en place un Mécanisme de Transfert Valide.
3.8 À la demande écrite du Marchand, Sunday devra supprimer ou restituer les données personnelles ainsi que les copies de celles-ci au Marchand à la résiliation du DPA, sauf si la Législation sur la Protection des Données ou d'autres lois applicables exigent le stockage des données personnelles.
3.9 Sunday mettra en place et maintiendra en permanence, pendant la durée du présent DPA, des mesures techniques et organisationnelles afin de protéger les données personnelles contre tout traitement non autorisé ou illicite, ainsi que contre toute perte ou tout dommage accidentel : (i) en assurant, dans chaque cas, un niveau de sécurité approprié au risque; (ii) en maintenant la certification PCI DSS (Payment Card Industry Data Security Standard) niveau 1; et (iii), en maintenant des contrôles conformes aux pratiques industrielles acceptées, y compris les normes de l'Organisation internationale de normalisation (ISO): NIST (National Institute of Standards and Technology) CSF (Cybersecurity Framework).
3.10 Au minimum, les mesures de sécurité mises en place par Sunday pour la protection des données personnelles incluront : (i) la sécurisation des systèmes cloud, des systèmes de sauvegarde et de l'équipement informatique, y compris, mais sans s'y limiter, tous les dispositifs de point de terminaison et autres équipements dotés d'une capacité de stockage d'informations ; (ii) la mise en œuvre de la sécurité réseau, des applications, des bases de données et des plates-formes ; (iii) la sécurisation de la transmission, du stockage et de l'élimination des informations ; (iv) la mise en place de l'authentification et des contrôles d'accès au sein des supports, applications, systèmes d'exploitation et équipements ; (v) le chiffrement des données personnelles au repos lorsque cela est possible ; (vi) le chiffrement des données personnelles transmises en transit sur le réseau ; (vii) la ségrégation stricte des données du commerçant par rapport aux informations de Sunday ou de ses autres clients, de manière à ce que les données du commerçant ne soient pas mélangées avec d'autres types d'informations ; (viii) la réalisation d'évaluations des risques et de scans de vulnérabilité, et la mise en œuvre rapide, aux seuls frais de Sunday, d'un plan d'action correctif pour remédier à tout problème signalé à la suite des tests ; (ix) la mise en place de procédures et pratiques appropriées de sécurité et d'intégrité du personnel ; et (x) la fourniture d'une formation appropriée à la sécurité de l'information aux salariés de Sunday.
Annexe 1. Définitions
Données Dérivées
jeux de données anonymisées et agrégées créés par Sunday à partir de Données Marchand et/ou de Données Utilisateurs, qui ne permettent pas, directement ou indirectement, l'identification d'un Utilisateur, du Marchand ou de toute autre personne physique, et qui ne constituent pas des données à caractère personnel au sens de la Législation sur la Protection des Données. Les conditions de création et d'exploitation des Données Dérivées sont définies aux articles 2.5 et 2.6 du présent DPA et à l'article 13.3 du Contrat.
Législation sur la Protection des Données
toutes les législations applicables relatives à la protection des données et à la vie privée en vigueur de temps à autre, y compris le Règlement Général sur la Protection des Données ((UE) 2016/679) (‘RGPD’) ; la Directive 2002/58/CE concernant la vie privée et les communications électroniques (telle que mise à jour par la Directive 2009/136/CE) et les Règlements de 2003 sur la vie privée et les communications électroniques (SI 2003 No. 2426) tels que modifiés de temps à autre ; toute autre législation de l'Union européenne relative aux données personnelles ainsi que toutes les autres législations et exigences réglementaires en vigueur de temps à autre, qui s'appliquent à une Partie en ce qui concerne l'utilisation de données personnelles.
Mécanisme de Transfert Valide
Un mécanisme de transfert de données autorisé par la Législation sur la Protection des Données en tant que base légale pour transférer des données personnelles à un destinataire situé dans un pays tiers au sens du RGPD et du Data Protection Act 2018.
Annexe 2. Description du traitement
Nature et finalité du traitement
Fourniture des Services Sunday au Marchand ; traitement des transactions de paiement ; suivi en temps réel des transactions ; reporting et analyses ; support technique ; intégration avec les systèmes de caisse (POS) du Marchand ; toute assistance au Marchand dans la mesure permise par la Législation sur la Protection des Données ; anonymisation et agrégation de données personnelles contenues dans les Données Marchand aux fins de création de Données Dérivées, conformément à l'instruction documentée du Marchand prévue à l'article 2.6 du présent DPA et à l'article 13.3 du Contrat.
Types de données personnelles:
Données Marchand pouvant inclure des données personnelles (notamment données relatives au Personnel du Marchand telles que prénom, nom, coordonnées, fonction) ; données transactionnelles liées aux Établissements du Marchand ; données personnelles des Utilisateurs dans la mesure où elles sont traitées sur instruction et pour le compte du Marchand.
Catégories de Personnes concernées
Personnel du Marchand (y compris les Serveurs) ; Utilisateurs (dans la mesure où leurs données sont traitées pour le compte du Marchand conformément à ses instructions documentées).
Durée du traitement
La durée du Contrat, plus la période nécessaire à la suppression ou à la restitution de l'ensemble des données personnelles par Sunday conformément à l'article 3.8 du présent DPA.