Accord de traitement des données
Le présent Accord de traitement des données (le « DPA ») complète les Conditions générales d'utilisation et les Conditions Partenaires conclues entre vous (le « Client » ou « Responsable de traitement ») et Konatamo LLC (le « Sous-traitant », « satooB », « nous », « notre »). Il s'applique chaque fois que le Sous-traitant traite des données personnelles pour le compte du Responsable de traitement dans le cadre de la plateforme satooB.
La version web ci-dessous est le rendu lisible du DPA. Une copie PDF pré-signée est disponible en téléchargement pour vos archives et signature. Le retour d'une copie contre-signée par e-mail à legal@konatamo.com constitue la voie canonique pour clore la boucle contractuelle ; un workflow de signature électronique pourra être mis à disposition à l'avenir.
Pre-signed by Konatamo LLC. Counter-sign and return to legal@konatamo.com.
1. Parties
Sous-traitant : Konatamo LLC, société à responsabilité limitée constituée selon les lois de l'État du Nouveau-Mexique, États-Unis, dont le siège social est situé au 1209 Mountain Road Pl NE, Ste R, Albuquerque, NM 87110, USA. EIN 35-2955786. Contact confidentialité : privacy@satoob.com. Contact juridique : legal@konatamo.com.
Responsable de traitement : le Client, identifié par son compte Client sur la plateforme satooB. Chaque Client acceptant les présentes Conditions générales d'utilisation et Conditions Partenaires est le Responsable de traitement des données personnelles de ses Utilisateurs Finaux traitées au travers de la plateforme.
2. Définitions
Les termes définis non précisés ici ont le sens qui leur est donné dans les Conditions générales d'utilisation. Les termes propres à la protection des données — notamment « données personnelles », « personne concernée », « traitement », « responsable du traitement », « sous-traitant », « autorité de contrôle » et « violation de données personnelles » — ont le sens qui leur est donné dans le Règlement général sur la protection des données 2016/679 (« RGPD ») et dans la législation équivalente du Royaume-Uni.
3. Champ d'application
Le présent DPA s'applique chaque fois que le Sous-traitant traite des données personnelles pour le compte du Responsable de traitement au travers de la plateforme satooB. Il est subordonné aux Conditions générales d'utilisation et aux Conditions Partenaires ; en cas de contradiction sur les questions de protection des données, le présent DPA prévaut.
4. Objet et durée
L'objet du traitement est la fourniture de la plateforme satooB d'administration de programmes de fidélité. La durée du traitement est la période pendant laquelle les Conditions générales d'utilisation produisent leurs effets entre les parties.
5. Nature et finalité du traitement
Gestion de comptes, traitement des transactions, émission et validation de Bons, analyse, support client, prévention de la fraude et conformité réglementaire, tels que détaillés dans la Politique de confidentialité et dans l'Annexe 1 ci-dessous.
6. Catégories de personnes concernées et de données personnelles
Personnes concernées : les Utilisateurs Finaux du Responsable de traitement (consommateurs participant au programme de fidélité du Responsable de traitement) ; les représentants autorisés et les employés du portail caisse du Responsable de traitement.
Catégories de données personnelles : Identité (nom, e-mail, téléphone facultatif), identifiants d'authentification, préférences de langue et de devise, événements comportementaux, enregistrements transactionnels, journaux d'audit de l'activité du portail caisse. La liste complète est définie à la Section 2 de la Politique de confidentialité.
7. Obligations du Sous-traitant
Le Sous-traitant s'engage à :
- Traiter uniquement sur instructions documentées du Responsable de traitement, y compris en ce qui concerne les transferts internationaux, sauf obligation contraire imposée par le droit de l'UE ou d'un État membre.
- Confidentialité — veiller à ce que les personnes autorisées à traiter les données personnelles soient soumises à des obligations de confidentialité d'un standard équivalent à celles du présent DPA.
- Sécurité — mettre en œuvre les mesures techniques et organisationnelles appropriées, telles que définies à l'Annexe 2 ci-dessous.
- Sous-traitants ultérieurs — recourir à des sous-traitants ultérieurs uniquement avec l'autorisation préalable, générale ou spécifique, du Responsable de traitement. La liste des sous-traitants ultérieurs autorisés est publiée à l'adresse /legal/subprocessors. Un préavis d'au moins trente (30) jours sera donné avant tout ajout ou remplacement d'un sous-traitant ; le Responsable de traitement peut s'y opposer pour des motifs raisonnables liés à la protection des données.
- Notification de violation — notifier le Responsable de traitement sans retard injustifié, et en tout état de cause dans un délai de quarante-huit (48) heures, après avoir pris connaissance d'une violation de données personnelles affectant les données du Responsable de traitement.
- Droits des personnes concernées — assister le Responsable de traitement dans l'accomplissement de son obligation de répondre aux demandes d'exercice des droits prévus aux Articles 15 à 22 du RGPD.
- AIPD et consultation préalable — assister le Responsable de traitement, compte tenu de la nature du traitement et des informations à sa disposition, pour les analyses d'impact relatives à la protection des données et les consultations préalables aux autorités de contrôle.
- Restitution ou suppression — à la fin du traitement, supprimer ou restituer toutes les données personnelles, sauf lorsque la conservation est requise par le droit applicable.
- Audit — mettre à disposition toutes les informations nécessaires pour démontrer le respect du présent DPA et permettre la réalisation d'audits, y compris d'inspections, par le Responsable de traitement ou par un autre auditeur mandaté par lui, dans le respect de la Section 11 ci-dessous.
8. Obligations du Responsable de traitement
Le Responsable de traitement s'engage à :
- Fournir les instructions par écrit au Sous-traitant concernant le traitement des données personnelles.
- Base légale — s'assurer qu'une base légale appropriée au titre de l'Article 6 (et, le cas échéant, de l'Article 9) du RGPD existe pour le traitement.
- Information des personnes concernées — informer les personnes concernées au moyen d'une politique de confidentialité conforme aux exigences des Articles 13 et 14 du RGPD, y compris quant au rôle du Sous-traitant et à tout transfert ultérieur.
- Consentement — obtenir le consentement des personnes concernées lorsque la base légale invoquée est le consentement.
- Registre — tenir un registre des activités de traitement au titre de l'Article 30 du RGPD.
9. Transferts internationaux
Lorsque les données personnelles de résidents UE ou britanniques sont transférées vers un pays ne bénéficiant pas d'une décision d'adéquation, les parties s'appuient sur les Clauses contractuelles types (« CCT ») émises par la Commission européenne (Décision 2021/914), Module 2 (responsable de traitement à sous-traitant), réputées incorporées au présent DPA par référence (voir Annexe 4). Des garanties équivalentes s'appliquent aux transferts britanniques via l'Addendum britannique au transfert international de données aux CCT UE.
Le Sous-traitant réalise une évaluation d'impact des transferts pour chaque transfert ultérieur et applique des mesures supplémentaires (par exemple, chiffrement supplémentaire, restrictions contractuelles à l'accès gouvernemental) lorsque l'évaluation indique qu'elles sont nécessaires.
10. Sous-traitants ultérieurs
La liste des sous-traitants ultérieurs autorisés est publiée à l'adresse /legal/subprocessors et reproduite à l'Annexe 3. Le Sous-traitant fournira un préavis d'au moins trente (30) jours avant tout ajout ou remplacement d'un sous-traitant.
Le Responsable de traitement peut s'y opposer dans le délai de préavis pour des motifs raisonnables liés à la protection des données. Si les parties ne peuvent résoudre l'objection par la réorientation du traitement ou d'autres moyens raisonnables, le Responsable de traitement peut résilier la portion concernée du Service pour cause.
11. Droits d'audit
Le Responsable de traitement peut vérifier la conformité du Sous-traitant au présent DPA :
- Audit annuel à distance — par questionnaire d'évaluation à distance, que le Sous-traitant complétera dans les trente (30) jours suivant sa réception.
- Audit sur place — sur préavis raisonnable, le Responsable de traitement (ou un auditeur indépendant qu'il mandate, lié par confidentialité) peut réaliser un audit sur place dans les locaux du Sous-traitant, aux frais du Responsable de traitement.
- Rapports d'audit tiers — le Sous-traitant partagera, sous accord de confidentialité, tout rapport d'audit tiers actuel qu'il pourrait publier à l'avenir (par exemple, SOC 2 Type II ou ISO 27001).
12. Responsabilité et limitations
La responsabilité au titre du présent DPA est régie par le cadre de limitation de responsabilité des Conditions générales d'utilisation et des Conditions Partenaires, incluant les exceptions relatives à la faute lourde, à l'inconduite intentionnelle, à la fraude, aux obligations d'indemnisation et au droit impératif.
13. Résiliation
Le présent DPA prend fin automatiquement avec les Conditions générales d'utilisation sous-jacentes. Les obligations qui survivent comprennent celles qui, par leur nature, doivent survivre — confidentialité, audit, restitution ou suppression des données personnelles, et toute conservation requise par un droit impératif.
Annexe 1 — Description du traitement
Catégories de personnes concernées : telles qu'énoncées à la Section 6.
Catégories de données personnelles : telles qu'énoncées à la Section 6 et détaillées à la Section 2 de la Politique de confidentialité.
Nature et finalité du traitement : telles qu'énoncées à la Section 5 et détaillées à la Section 4 de la Politique de confidentialité, avec référence aux bases légales au titre de l'Article 6 du RGPD énoncées à la Section 5 de la Politique de confidentialité.
Durée du traitement : la durée des Conditions générales d'utilisation augmentée de toute durée de conservation imposée par la loi, telle que détaillée à la Section 7 de la Politique de confidentialité.
Annexe 2 — Mesures techniques et organisationnelles de sécurité
Le Sous-traitant met en œuvre les mesures de sécurité décrites à la Section 12 de la Politique de confidentialité, notamment :
- Chiffrement en transit (TLS 1.3) sur tous les points d'accès clients et toutes les communications inter-services.
- Chiffrement au repos (AES-256) sur le stockage des bases de données et le stockage objet.
- Hygiène des identifiants : facteur de coût bcrypt minimum 12 pour les mots de passe ; hachages PIN pour le portail caisse avec vérification anti-attaques temporelles et verrouillages exponentiels.
- Gestion des identités et accès : contrôles d'accès au moindre privilège, authentification multi-facteurs pour les environnements de production, journalisation d'audit des actions administratives.
- Grand livre auditable : activité financière enregistrée dans un grand livre à partie double immuable.
- Anti-abus : limitation de débit, détection d'anomalies et verrouillage automatique.
- Gestion des vulnérabilités : revue périodique des dépendances, correctifs de sécurité, programme coordonné de divulgation de vulnérabilités.
- Réponse aux incidents : procédure de notification à 72 heures alignée sur l'Article 33 du RGPD.
Annexe 3 — Sous-traitants ultérieurs
Les sous-traitants ultérieurs autorisés actuels sont listés à l'adresse /legal/subprocessors, où le tableau est mis à jour en continu. La liste à la date d'effet du présent DPA est reproduite ci-dessous pour exhaustivité.
| Subprocessor | Service | Location | Data | DPA |
|---|---|---|---|---|
| Cloudflare, Inc. | DNS, CDN, DDoS protection | Global · USA registered | IP, request metadata | DPA + SCC |
| Google LLC (Google Workspace) | Email infrastructure, document storage | USA + EU regions | Email comms, identity | DPA + SCC |
| Hostinger International, Ltd. | VPS hosting for n8n workflow runner | EU (Lithuania) | Workflow logs | DPA |
| Mercury Bank (Choice Financial Group, member FDIC) | Business banking and settlement payouts | USA | Settlement payouts | Bank-grade DPA |
| PostHog, Inc. | Product analytics, error tracking, session diagnostics | EU (Frankfurt) | Behavioural events | DPA + SCC |
| Resend, Inc. | Transactional email delivery | USA | Email metadata + content | DPA + SCC |
| Stripe, Inc. | Payment processing | USA + EU regions | Payment + identity | DPA + SCC |
| Supabase, Inc. | Database, authentication, object storage | USA · EU region for EU customers | Application data | DPA + SCC |
| Vercel, Inc. | Hosting, edge runtime, CDN | USA + EU regions | Application data + logs | DPA + SCC |
Annexe 4 — Clauses contractuelles types
Les Clauses contractuelles types pour le transfert de données personnelles vers des pays tiers en vertu du Règlement (UE) 2016/679, énoncées dans la Décision d'exécution (UE) 2021/914 de la Commission du 4 juin 2021 (Module 2 — responsable de traitement à sous-traitant), sont incorporées au présent DPA par référence et s'appliquent par défaut à tout transfert de données personnelles de résidents UE/EEE vers un pays ne bénéficiant pas d'une décision d'adéquation.
Le texte officiel est publié par la Commission européenne à l'adresse eur-lex.europa.eu/eli/dec_impl/2021/914/oj.
L'Addendum britannique au transfert international de données (publié par l'Information Commissioner's Office britannique) s'applique par défaut aux transferts britanniques.
14. Contact
Pour toute question relative au présent DPA :
- Délégué à la protection des données — privacy@satoob.com
- Affaires juridiques et contractuelles — legal@konatamo.com
Adresse postale (pour la signification d'actes) : Konatamo LLC, 1209 Mountain Road Pl NE, Ste R, Albuquerque, NM 87110, USA.