Le présent Accord de traitement des données («DPA») est conclu entre le restaurateur («Responsable du traitement») et DineEasy, exploité par Maxapp GmbH («Sous-traitant»), et constitue une partie intégrante des CGU. Il régit le traitement des données à caractère personnel des clients que le Responsable collecte via son menu public sur la plateforme DineEasy.
1. Parties
Sous-traitant : Maxapp GmbH, Birkenstrasse 49, 6343 Rotkreuz, Suisse.
Responsable du traitement : la personne morale ou physique qui crée un compte DineEasy et exploite un ou plusieurs menus publics de restaurant sur la plateforme.
2. Portée et rôles
Les clients peuvent transmettre des données personnelles via le menu public – généralement un nom, et facultativement un numéro de téléphone, une adresse e-mail, une référence de table et les détails de commande. Pour ces données, le Responsable est le responsable du traitement, et DineEasy est le sous-traitant. DineEasy traite ces données uniquement sur instructions documentées du Responsable et seulement aux fins prévues par les CGU : servir le menu public, enregistrer les commandes, traiter les paiements via Stripe Connect et fournir au Responsable la télémétrie opérationnelle correspondante.
Pour les données du compte du Responsable lui-même (e-mail de connexion, paramètres du restaurant, informations de facturation), DineEasy est le responsable du traitement – voir la Politique de confidentialité.
3. Instructions du Responsable
Les instructions du Responsable sont documentées dans les CGU, la Politique de confidentialité et la configuration définie par le Responsable dans son tableau de bord (par exemple, publication ou non d’un e-mail de contact, activation ou non des commandes, activation ou non des traductions). DineEasy ne traite pas les données des clients à d’autres fins sans nouvelle instruction écrite.
Si DineEasy estime qu’une instruction enfreint le droit applicable en matière de protection des données, nous en informons le Responsable sans délai indu.
4. Confidentialité
DineEasy s’assure que toutes les personnes autorisées à traiter des données personnelles sont liées par des engagements de confidentialité appropriés.
5. Mesures de sécurité
DineEasy met en œuvre des mesures techniques et organisationnelles (TOMs) appropriées pour protéger les données personnelles contre tout traitement non autorisé ou illicite, toute perte, destruction ou détérioration accidentelle. Les mesures actuelles comprennent notamment :
- Chiffrement en transit (TLS 1.2+) et au repos (chiffrement disque géré par le fournisseur).
- Contrôle d’accès basé sur les rôles dans l’infrastructure de production avec moindres privilèges par défaut ; les actions administratives sont auditées.
- Sécurité Postgres au niveau ligne (RLS) sur chaque table dépendant du tenant ; les clés de service ne sont jamais exposées côté client.
- Stripe Connect en charges directes – les données de paiement des clients ne touchent jamais notre infrastructure ; elles passent du navigateur du client directement à Stripe.
- Vérification de signature des webhooks pour chaque intégration entrante.
- Sauvegardes quotidiennes avec rétention conforme aux paramètres par défaut des fournisseurs.
- Analyse de secrets en pre-commit à chaque commit (gitleaks).
6. Sous-traitants
Le Responsable autorise DineEasy à recourir aux sous-traitants suivants. Tout ajout ou remplacement d’un sous-traitant fait l’objet d’un préavis écrit d’au moins 30 jours (via une notification dans le produit, le journal de mise à jour de la Politique de confidentialité ou un e-mail).
| Sous-traitant | Finalité | Région |
|---|---|---|
| Supabase | Base de données, authentification, stockage | UE (Francfort) |
| Vercel | Hébergement applicatif, runtime edge | Mondial ; principalement UE |
| Stripe | Paiements, onboarding Connect | UE / Suisse (données localisées) |
| Upstash | Cache Redis, files de tâches QStash | UE (Francfort) |
| DeepL | Traduction automatique du menu | UE (Allemagne) |
| PostHog | Analytique produit, suivi des erreurs | UE Cloud |
| Google Cloud (Places API) | Auto-complétion d’adresse | UE |
DineEasy conclut avec chaque sous-traitant des contrats écrits imposant des obligations de protection des données équivalentes à celles du présent DPA.
7. Droits des personnes concernées
DineEasy assiste le Responsable, en tenant compte de la nature du traitement et par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, à s’acquitter de son obligation de répondre aux demandes des personnes concernées (accès, rectification, effacement, limitation, portabilité, opposition).
Si un client s’adresse directement à DineEasy avec une demande relative à des données traitées pour le compte d’un Responsable, nous le redirigeons vers le Responsable et l’informons sans délai indu.
8. Notification de violation
DineEasy notifie au Responsable, sans délai indu et en tout état de cause dans les 72 heures suivant la prise de connaissance, toute violation de données à caractère personnel affectant les données du Responsable, avec suffisamment de détails pour permettre à celui-ci de respecter ses propres obligations de notification.
9. Audit
Sur demande écrite raisonnable et au maximum une fois par année civile, DineEasy met à disposition les informations nécessaires pour démontrer le respect du présent DPA, y compris la liste actuelle des sous-traitants, un aperçu de la sécurité et, si disponible, le résumé du dernier test d’intrusion réalisé par un tiers.
Les audits sur site ne sont généralement pas possibles compte tenu de la nature du service ; des attestations et certifications indépendantes peuvent, lorsqu’elles sont disponibles, en tenir lieu.
10. Transferts internationaux
DineEasy traite principalement des données personnelles dans l’UE et en Suisse. Les sous-traitants situés hors UE/EEE sont engagés sur la base des Clauses contractuelles types de la Commission européenne et, le cas échéant, du dispositif complémentaire du PFPDT suisse.
11. Restitution et suppression
À la résiliation des CGU, le Responsable peut exporter ses données via le tableau de bord. Dans les 30 jours suivant la résiliation, DineEasy supprime ou anonymise toutes les données personnelles traitées dans le cadre du présent DPA, sauf lorsque la conservation est exigée par la loi applicable (par exemple, registres comptables selon le droit comptable suisse).
12. Responsabilité
La responsabilité au titre du présent DPA est régie par la clause de limitation de responsabilité des CGU.
13. Durée et résiliation
Le présent DPA entre en vigueur dès l’acceptation des CGU et reste en vigueur tant que DineEasy traite des données personnelles pour le compte du Responsable.
14. Contact
Questions relatives à la protection des données et correspondance DPA : legal@dineeasy.app.