Contrat de sous-traitance DPA v1.0

Data Processing Agreement — Article 28 RGPD · En vigueur à partir du 23 avril 2026

Version officielle signée et datée

Téléchargez le PDF pour archivage ou signature

Préambule

Le présent contrat de sous-traitance (ci-après le « Contrat » ou le « DPA ») est conclu entre les parties désignées ci-dessous. Il a pour objet d'encadrer les conditions dans lesquelles le Sous-traitant traite, pour le compte du Responsable de traitement, les données à caractère personnel collectées dans le cadre de l'utilisation du service RestoDaily (ci-après le « Service »).

Il constitue un complément aux Conditions Générales de Vente (CGV) et s'applique automatiquement dès l'acceptation de celles-ci par le Client. En cas de contradiction entre le présent Contrat et les CGV sur la protection des données personnelles, les stipulations du présent Contrat prévalent.

Entre les soussignés

Le Sous-traitant

GUIRAUD Loïc Yannick (entrepreneur individuel)

Nom commercial : RestoDaily

Siège social : 336 Chemin du Mas de Berthe, 30670 Aigues-Vives, France

SIRET : 495 084 733 — RCS Nîmes

N° de gestion : 2026A01117

Représenté par : M. Loïc GUIRAUD, en qualité d'exploitant

Contact : rgpd@restodaily.fr

Ci-après désigné le « Sous-traitant » ou « RestoDaily ».

Le Responsable de traitement

Le Client du service RestoDaily, tel qu'identifié lors de la souscription au Service (via les informations de compte saisies à l'inscription : dénomination du restaurant, adresse email du responsable, et, le cas échéant, raison sociale et SIRET fournis dans les paramètres de son compte).

Ci-après désigné le « Responsable de traitement » ou le « Client ».

Le Sous-traitant et le Responsable de traitement sont ci-après désignés ensemble « les Parties ».

Article 1 — Objet du Contrat

Le présent Contrat a pour objet de définir les conditions dans lesquelles le Sous-traitant s'engage à effectuer, pour le compte du Responsable de traitement, les opérations de traitement de données à caractère personnel définies à l'Article 2.

Dans le cadre de leurs relations contractuelles, les Parties s'engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après le « RGPD ») et la Loi Informatique et Libertés n°78-17 du 6 janvier 1978 modifiée.

Article 2 — Description du traitement sous-traité

2.1 Nature et finalités du traitement

Le Sous-traitant est autorisé à traiter, pour le compte du Responsable de traitement, les données à caractère personnel nécessaires à la fourniture du Service RestoDaily, lequel comprend notamment :

la gestion des réservations (en ligne et en salle) ;
l'envoi automatisé d'emails de confirmation, de rappel et de modification aux clients finaux du Restaurant ;
le suivi du chiffre d'affaires quotidien par service ;
le pointage horaire des salariés et le suivi des heures contractuelles ;
la gestion de la carte (menu) et du plan de salle ;
l'envoi de rapports journaliers par email au Responsable de traitement.

2.2 Catégories de données traitées

Données relatives aux clients finaux du Restaurant :

nom, prénom ;
numéro de téléphone ;
adresse email (lorsque communiquée) ;
commentaires ou demandes spécifiques liés à la réservation ;
horaire, date, nombre de personnes, emplacement de la réservation.

Données relatives aux salariés du Restaurant (module Pointage) :

nom du salarié ;
heures mensuelles et hebdomadaires prévues au contrat de travail ;
horaires quotidiens travaillés (début/fin de service) ;
absences déclarées (congé, maladie, etc.).

Données relatives au Responsable de traitement et à ses utilisateurs :

nom du restaurant ;
adresse email de connexion et mot de passe (haché) ;
adresse postale et numéro SIRET (le cas échéant) ;
données de facturation gérées par le prestataire Stripe (aucune donnée bancaire brute ne transite par RestoDaily).

Le Sous-traitant n'est pas autorisé à traiter, pour le compte du Responsable de traitement, de données dites « sensibles » au sens de l'article 9 du RGPD (données de santé, origine ethnique, opinions politiques, convictions religieuses, etc.).

2.3 Catégories de personnes concernées

les clients finaux du Restaurant ayant effectué une réservation ;
les salariés du Restaurant dont les horaires sont pointés ;
les utilisateurs du compte RestoDaily désignés par le Responsable de traitement.

Article 3 — Durée du Contrat

Le présent Contrat prend effet à la date de son acceptation par le Client (via la case à cocher lors de l'inscription au Service) et demeure en vigueur pendant toute la durée d'utilisation du Service, jusqu'à la résiliation de l'abonnement ou la clôture du compte.

Les obligations de confidentialité et celles prévues à l'Article 13 (sort des données) survivent à la fin du Contrat.

Article 4 — Obligations du Sous-traitant

Le Sous-traitant s'engage à :

Finalité limitée : traiter les données à caractère personnel uniquement pour les finalités définies à l'Article 2 et aucune autre ;
Instructions documentées : traiter les données conformément aux instructions documentées du Responsable de traitement, telles qu'elles résultent du présent Contrat, des CGV et des paramètres configurés par le Responsable de traitement dans le Service. Si le Sous-traitant considère qu'une instruction constitue une violation du RGPD ou d'une autre disposition relative à la protection des données, il en informe sans délai le Responsable de traitement ;
Confidentialité : garantir la confidentialité des données à caractère personnel traitées ;
Personnes autorisées : veiller à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité, et reçoivent la formation nécessaire en matière de protection des données ;
Privacy by design : prendre en compte, dans la conception de ses outils, produits, applications et services, les principes de protection des données dès la conception et par défaut (art. 25 RGPD) ;
Sécurité : mettre en œuvre les mesures techniques et organisationnelles appropriées décrites à l'Article 8 pour garantir un niveau de sécurité adapté au risque (art. 32 RGPD).

Article 5 — Recours à des sous-traitants ultérieurs

Le Responsable de traitement autorise expressément le Sous-traitant à recourir aux sous-traitants ultérieurs listés ci-dessous, en vertu d'une autorisation générale au sens de l'article 28.2 du RGPD :

Sous-traitant	Service fourni	Localisation
Google Ireland Ltd (Firebase Firestore)	Base de données et authentification, hébergement des données clients	Union européenne (europe-west1)
Cloudflare, Inc.	Hébergement du site, CDN, protection DDoS, Workers (envoi d'emails)	Réseau mondial (traitement EU)
Resend, Inc.	Envoi d'emails transactionnels (confirmations, rappels, rapports)	États-Unis (SCC UE signées)
Stripe Payments Europe Ltd	Traitement des paiements (abonnements)	Union européenne (Irlande)

En cas d'ajout ou de remplacement d'un sous-traitant ultérieur, le Sous-traitant informera préalablement et par écrit le Responsable de traitement (par email à l'adresse renseignée au compte) avec un délai de préavis minimum de 30 jours. Le Responsable de traitement dispose de ce délai pour présenter ses objections motivées. En cas d'objection raisonnable, les Parties rechercheront une solution amiable. À défaut, le Responsable de traitement pourra résilier le Contrat sans indemnité.

Le Sous-traitant ultérieur est tenu de respecter des obligations au moins équivalentes à celles du présent Contrat. Le Sous-traitant demeure pleinement responsable devant le Responsable de traitement de l'exécution des obligations du sous-traitant ultérieur.

Article 6 — Information des personnes concernées

Il appartient au Responsable de traitement (le Client) de fournir aux personnes concernées par les opérations de traitement (clients finaux, salariés) l'information prévue aux articles 12, 13 et 14 du RGPD, au moment de la collecte des données. Le Client veillera notamment à afficher dans son établissement et/ou à communiquer les mentions d'information requises.

Le Sous-traitant met toutefois à disposition, de manière générale via la page de confidentialité de RestoDaily, l'information relative à ses propres traitements en tant que Sous-traitant, ainsi que des modèles d'informations que le Client peut utiliser.

Article 7 — Exercice des droits des personnes concernées

Le Sous-traitant aide le Responsable de traitement à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées : droit d'accès, de rectification, d'effacement, d'opposition, de limitation du traitement, de portabilité des données, et droit de ne pas faire l'objet d'une décision individuelle automatisée.

À cette fin, le Sous-traitant met à disposition directement dans le Service :

un export JSON des données du compte accessible dans les Paramètres (droit d'accès et de portabilité, art. 15 et 20 RGPD) ;
une fonction d'effacement / anonymisation des données du client final, accessible depuis l'email de confirmation de réservation (art. 17 RGPD) ;
une procédure de demande de suppression de compte (art. 17 RGPD) accessible dans les Paramètres.

Lorsque les personnes concernées (clients finaux, salariés) adressent directement au Sous-traitant une demande d'exercice de leurs droits, ce dernier la transmet sans délai au Responsable de traitement par email à l'adresse renseignée dans le compte, sauf si la personne peut résoudre sa demande directement via les outils cités ci-dessus.

Article 8 — Mesures techniques et organisationnelles de sécurité

Conformément à l'article 32 du RGPD, le Sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque :

8.1 Mesures techniques

Chiffrement en transit de toutes les communications via HTTPS/TLS 1.2+ ;
Chiffrement au repos des données stockées chez le sous-traitant ultérieur (Google Firestore) ;
Authentification forte par email + mot de passe, avec mot de passe haché (algorithme bcrypt ou équivalent) et jamais stocké en clair ;
Isolation multi-tenant : chaque Client ne peut accéder qu'aux données de son propre compte, garantie par des règles de sécurité Firestore strictes ;
Journalisation des connexions et des actions sensibles ;
Sauvegardes automatisées quotidiennes assurées par le sous-traitant ultérieur (Google Firestore).

8.2 Mesures organisationnelles

accès aux données strictement limité au Sous-traitant dans le cadre du support et de la maintenance ;
absence de tiers non-contractuels ayant accès aux données ;
mise à jour régulière des dépendances techniques pour corriger les vulnérabilités connues ;
revue périodique des règles de sécurité et des paramètres de la base de données.

Article 9 — Notification des violations de données

En cas de violation de données à caractère personnel au sens de l'article 4.12 du RGPD (destruction, perte, altération, divulgation non autorisée, etc.), le Sous-traitant s'engage à notifier au Responsable de traitement toute violation dont il aurait connaissance dans un délai maximum de 72 heures après en avoir pris connaissance.

La notification est effectuée par email à l'adresse renseignée dans le compte du Client et contient au moins :

la description de la nature de la violation, y compris, si possible, les catégories et le nombre approximatif de personnes et d'enregistrements concernés ;
le point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
les conséquences probables de la violation ;
les mesures prises ou proposées pour remédier à la violation et en atténuer les effets négatifs.

Il appartient au Responsable de traitement (le Client), qui est destinataire de la notification, d'apprécier si la violation doit être notifiée à la CNIL dans les 72 heures (art. 33 RGPD) et, le cas échéant, aux personnes concernées (art. 34 RGPD). Le Sous-traitant l'assiste dans cette démarche.

Article 10 — Aide à la conformité du Responsable de traitement

Le Sous-traitant aide le Responsable de traitement, dans la mesure du raisonnable et compte tenu de la nature du traitement et des informations à sa disposition, à :

assurer le respect des obligations prévues aux articles 32 à 36 du RGPD (sécurité, notification de violation, analyse d'impact, consultation préalable) ;
réaliser, le cas échéant, une analyse d'impact relative à la protection des données (AIPD) lorsque la nature du traitement le requiert ;
réaliser la consultation préalable de l'autorité de contrôle en cas de risque résiduel élevé.

Article 11 — Registre des activités de traitement

Le Sous-traitant déclare tenir par écrit, conformément à l'article 30.2 du RGPD, un registre de toutes les catégories d'activités de traitement effectuées pour le compte des responsables de traitement, comprenant :

le nom et les coordonnées des responsables de traitement, des sous-traitants ultérieurs et des personnes de contact ;
les catégories de traitements effectués pour le compte de chaque responsable de traitement ;
le cas échéant, les transferts de données vers des pays tiers et les garanties appropriées prises ;
une description générale des mesures techniques et organisationnelles de sécurité.

Article 12 — Documentation et droit d'audit

Le Sous-traitant met à la disposition du Responsable de traitement la documentation nécessaire pour démontrer le respect des obligations découlant de l'article 28 du RGPD et du présent Contrat.

Le Responsable de traitement peut, sous réserve d'un préavis écrit raisonnable (30 jours minimum) et au maximum une fois par an, demander à réaliser un audit (ou le faire réaliser par un tiers indépendant soumis à une obligation de confidentialité) afin de vérifier le respect par le Sous-traitant de ses obligations. Les frais d'audit sont à la charge du Responsable de traitement, sauf si l'audit révèle un manquement grave imputable au Sous-traitant.

Article 13 — Sort des données en fin de Contrat

Au terme du Contrat, quelle qu'en soit la cause (résiliation, clôture de compte, non-renouvellement), le Responsable de traitement dispose d'un choix parmi les options suivantes, à exercer dans un délai de 30 jours suivant la date d'effet de la fin du Contrat :

Export complet des données (option par défaut) : le Responsable de traitement peut, à tout moment avant ou après la fin du Contrat, utiliser la fonction d'export JSON disponible dans les Paramètres pour récupérer l'intégralité de ses données (art. 20 RGPD) ;
Destruction des données : sur demande expresse par email à rgpd@restodaily.fr, le Sous-traitant procède à la destruction de toutes les données du compte dans un délai maximum de 30 jours. Une confirmation écrite de la destruction est transmise au Responsable de traitement.

À défaut d'instruction dans le délai de 30 jours suivant la fin du Contrat, et sauf obligation légale de conservation (comptabilité, litiges), le Sous-traitant procède automatiquement à la destruction des données dans un délai de 90 jours supplémentaires.

La destruction s'accompagne de la suppression de toutes les copies existantes, y compris auprès des sous-traitants ultérieurs, dans le respect des délais techniques de purge propres à chacun.

Article 14 — Transferts de données hors Union européenne

Les données à caractère personnel traitées par le Sous-traitant sont hébergées au sein de l'Union européenne (région europe-west1 de Google Cloud).

Certains sous-traitants ultérieurs peuvent, dans le cadre de leurs prestations, réaliser des transferts ponctuels hors UE (notamment Resend, Inc., établi aux États-Unis, pour l'envoi d'emails, et Cloudflare dont le réseau est mondial). Ces transferts sont encadrés par les Clauses Contractuelles Types adoptées par la Commission européenne (décision UE 2021/914), garantissant un niveau de protection équivalent à celui de l'UE.

Article 15 — Obligations du Responsable de traitement

Le Responsable de traitement s'engage à :

fournir au Sous-traitant, via la configuration de son compte, les données nécessaires à l'exécution du Service ;
documenter par écrit toute instruction particulière concernant le traitement des données ;
informer les personnes concernées (clients finaux, salariés) du traitement de leurs données conformément à l'Article 6 ;
veiller, au préalable et pendant toute la durée du traitement, au respect de ses propres obligations résultant du RGPD ;
ne confier au Sous-traitant que des traitements licites et conformes ;
notifier sans délai au Sous-traitant toute demande d'une autorité de contrôle ou d'une personne concernée le concernant.

Article 16 — Responsabilité

Chacune des Parties répond des dommages causés par un traitement qui constitue une violation du RGPD dans les conditions prévues par l'article 82 du RGPD.

La responsabilité du Sous-traitant ne saurait être engagée en cas de force majeure, de faute du Responsable de traitement ou d'une personne concernée, ou d'instruction illicite documentée du Responsable de traitement.

Article 17 — Droit applicable et juridiction compétente

Le présent Contrat est régi par le droit français et le droit européen applicable en matière de protection des données personnelles.

En cas de litige relatif à l'interprétation, l'exécution ou la résiliation du présent Contrat, les Parties s'efforceront de trouver une solution amiable. À défaut d'accord dans un délai de 60 jours à compter de la notification du litige, compétence exclusive est attribuée aux tribunaux compétents du ressort du Tribunal de commerce de Nîmes, nonobstant pluralité de défendeurs ou appel en garantie.

Acceptation

Le présent Contrat de sous-traitance est accepté par le Responsable de traitement au moment de la création de son compte RestoDaily, via la case à cocher dédiée. Cette acceptation électronique, horodatée et conservée dans les systèmes du Sous-traitant, vaut signature au sens de l'article 1367 du Code civil.

Le Responsable de traitement peut à tout moment consulter la version en vigueur du Contrat depuis les Paramètres de son compte, rubrique « Mes données personnelles ».

Fait à Aigues-Vives, le 23 avril 2026
Pour le Sous-traitant : M. Loïc GUIRAUD, exploitant de RestoDaily