Accord de Sous-Traitance (DPA)

Les termes ci-dessous ont, dans le présent accord, la signification suivante :

• « RGPD » : le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel.
• « Responsable de traitement » : l'Exploitant (food trucker, crêpier, restaurateur ambulant) qui détermine les finalités et les moyens du traitement des données personnelles de ses Clients finaux.
• « Sous-traitant » : Thomas Jouhanneau exerçant sous la marque OrderFlow, qui traite les données personnelles pour le compte de l'Exploitant.
• « Sous-traitants ultérieurs » : les prestataires techniques tiers auxquels OrderFlow recourt pour exécuter le service (cf. Article 8).
• « Données personnelles » : toute information se rapportant à une personne physique identifiée ou identifiable.
• « Clients finaux » : les consommateurs qui passent commande via la borne ou le QR code mis à disposition par l'Exploitant.
• « Violation de données » : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données personnelles, ou l'accès non autorisé à de telles données.

Le présent accord a pour objet de définir les conditions dans lesquelles OrderFlow, en sa qualité de sous-traitant, s'engage à effectuer pour le compte de l'Exploitant les opérations de traitement de données personnelles définies ci-après.

Il s'applique à toutes les données personnelles que l'Exploitant collecte ou fait collecter via les services OrderFlow auprès de ses Clients finaux, ainsi qu'à toute donnée personnelle de l'Exploitant que celui-ci confie à OrderFlow dans le cadre de l'exécution du contrat.

Le DPA est conclu pour la durée d'exécution des CGV. Il prend fin de plein droit en cas de résiliation du contrat principal, sous réserve des obligations post-contractuelles définies à l'Article 13.

3.1 — Nature des opérations effectuées par OrderFlow

• Collecte des données saisies par le Client final sur la borne ou via le QR code (prénom, téléphone, panier, créneau souhaité)
• Stockage temporaire dans la base de données dédiée à l'Exploitant (tenant)
• Routage de la commande vers le dashboard cuisinier
• Envoi de notifications SMS et push aux Clients finaux et à l'Exploitant
• Calcul de statistiques agrégées (chiffre d'affaires, panier moyen, fréquentation par jour/lieu)
• Purge automatique nocturne des données identifiantes
• Conservation longue durée uniquement des données agrégées non identifiantes (utilisables par l'Exploitant pour son tableau de bord)

3.2 — Finalités du traitement

• Permettre à l'Exploitant de recevoir et de gérer les commandes de ses Clients finaux
• Notifier les Clients finaux de l'état d'avancement de leur commande
• Fournir à l'Exploitant des statistiques agrégées sur son activité
• Détecter et prévenir les abus (commandes fantômes, fraudes)

3.3 — Durée du traitement

Les données identifiantes (prénom, téléphone, IP) sont purgées automatiquement chaque nuit. Les données agrégées et anonymisées (chiffres de vente, panier moyen, fréquentation par lieu/jour/météo) sont conservées pendant toute la durée d'utilisation du service par l'Exploitant et restent à sa disposition pour alimenter son analyse d'activité. L'Exploitant peut demander à tout moment la suppression de ses données agrégées, sous réserve du respect des obligations comptables et légales applicables (notamment l'article L.123-22 du Code de commerce).

4.1 — Données des Clients finaux (collectées par l'Exploitant via OrderFlow)

• Données d'identification : prénom, numéro de téléphone mobile
• Données de commande : contenu du panier, options, allergies signalées, créneau souhaité, montant
• Données techniques : adresse IP, User-Agent, identifiant de session, horodatages (à des fins de sécurité et de détection d'abus uniquement)

4.2 — Données de l'Exploitant (traitées par OrderFlow en tant que responsable de traitement vis-à-vis de l'Exploitant lui-même)

Ces données ne relèvent pas du présent DPA mais de la Politique de confidentialité d'OrderFlow. Il s'agit notamment : email, mot de passe haché, SIRET, RIB Stripe, configuration du foodtruck.

4.3 — Données sensibles

OrderFlow ne traite aucune donnée sensible au sens de l'article 9 du RGPD (santé, opinions politiques, religion, orientation sexuelle, etc.). Les allergies éventuellement signalées par les Clients finaux sont collectées pour la finalité unique de l'exécution de la commande et ne sont jamais conservées au-delà du service.

• Les Clients finaux de l'Exploitant (personnes physiques majeures ou accompagnées d'un adulte responsable)
• Les employés ou personnel de l'Exploitant utilisant le dashboard cuisinier

OrderFlow s'engage à :

• (a) Traiter les données uniquement sur instructions documentées de l'Exploitant, lesquelles instructions résultent des CGV, du paramétrage du compte et du présent DPA. Toute instruction ultérieure spécifique fera l'objet d'un échange écrit (email à orderflow.foodtech@gmail.com).
• (b) Garantir la confidentialité des données personnelles. OrderFlow étant exploité en nom propre par Thomas Jouhanneau, l'engagement de confidentialité est personnel et inconditionnel. Tout sous-traitant ultérieur (cf. Article 8) est tenu par une obligation de confidentialité équivalente.
• (c) Mettre en œuvre des mesures techniques et organisationnelles appropriées (cf. Article 7) pour garantir un niveau de sécurité adapté au risque.
• (d) Tenir un registre des activités de traitement effectuées pour le compte de l'Exploitant, en application de l'article 30.2 du RGPD.
• (e) Aider l'Exploitant, dans la mesure du possible et compte tenu de la nature du traitement, à répondre aux demandes des Clients finaux relatives à l'exercice de leurs droits (accès, rectification, effacement, opposition, portabilité).
• (f) Notifier sans retard injustifié toute violation de données à l'Exploitant dans un délai maximum de 48 heures à compter de sa connaissance (cf. Article 11).
• (g) Mettre à disposition de l'Exploitant toutes les informations nécessaires pour démontrer le respect des obligations du présent accord, et permettre la réalisation d'audits dans les conditions de l'Article 10.
• (h) Restituer ou détruire les données en fin de contrat selon le choix de l'Exploitant (cf. Article 13).
• (i) Informer immédiatement l'Exploitant si une instruction lui paraît constituer une violation du RGPD ou de toute autre disposition européenne ou nationale relative à la protection des données.

OrderFlow met en œuvre les mesures suivantes :

7.1 — Chiffrement

• Chiffrement TLS 1.3 de tous les flux entre les terminaux (borne / dashboard) et les serveurs
• Chiffrement au repos des bases de données chez Supabase (AES-256)
• Mots de passe stockés en haché bcrypt
• Secrets applicatifs (clés API, JWT) stockés en variables d'environnement chiffrées (Railway)

7.2 — Contrôle d'accès

• Isolation tenant par schéma de base : chaque Exploitant a ses propres tables préfixées, contrôlées par Row Level Security Supabase
• Authentification du dashboard par mot de passe + session JWT à durée limitée
• Aucun accès humain en clair aux données des Clients finaux (Thomas Jouhanneau accède uniquement aux métadonnées agrégées pour le support et la maintenance)

7.3 — Journalisation et détection d'incidents

• Journalisation des accès, des actions sensibles (création de commande, suppression) et des erreurs serveur
• Agrégation et anonymisation des logs après 30 jours (purge nocturne)
• Détection des commandes suspectes / fantômes par algorithme automatisé

7.4 — Continuité d'activité

• Sauvegardes quotidiennes automatiques par Supabase (point-in-time recovery sur 7 jours)
• Hébergement Railway avec redéploiement automatique en cas de panne d'instance
• Plan de reprise documenté en interne

7.5 — Évolutivité

Ces mesures sont évaluées régulièrement et mises à jour en fonction des évolutions techniques, juridiques et des risques identifiés.

L'Exploitant autorise OrderFlow à faire appel aux sous-traitants ultérieurs ci-dessous pour l'exécution des services. Cette autorisation est générale au sens de l'article 28.2 du RGPD.

OrderFlow s'engage à informer l'Exploitant de tout changement prévu concernant l'ajout ou le remplacement d'un sous-traitant ultérieur au moins 30 jours avant la modification effective, donnant ainsi à l'Exploitant la possibilité d'émettre des objections (avec faculté de résiliation sans frais cf. CGV Art. 7).

OrderFlow garantit que chaque sous-traitant ultérieur présente les garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées, et qu'il est lié par un contrat imposant des obligations de protection des données au moins équivalentes à celles définies au présent DPA.

Certains sous-traitants ultérieurs (Supabase, Railway, Twilio, Google) sont susceptibles de traiter des données depuis les États-Unis. Ces transferts sont encadrés par les Clauses Contractuelles Types adoptées par la Commission européenne dans sa décision 2021/914 du 4 juin 2021, complétées le cas échéant par le Data Privacy Framework UE-USA pour les entreprises certifiées.

OrderFlow s'efforce, lorsque cela est techniquement et économiquement possible, de privilégier les régions UE de ses sous-traitants (notamment région Frankfurt de Supabase pour les données les plus sensibles).

L'Exploitant peut, à tout moment, demander à OrderFlow une copie des Clauses Contractuelles Types signées avec les sous-traitants ultérieurs concernés.

10.1 — Assistance aux droits des Clients finaux

OrderFlow met à disposition de l'Exploitant des moyens techniques permettant de répondre aux demandes des Clients finaux relatives à leurs droits d'accès, de rectification, d'effacement et de portabilité. L'Exploitant reste seul responsable de la réponse à ses Clients finaux dans le délai légal d'1 mois. OrderFlow fournit son assistance technique gratuitement dans la limite d'un volume raisonnable.

10.2 — Audit

L'Exploitant a le droit d'effectuer un audit du respect par OrderFlow des obligations du présent DPA, dans les conditions suivantes :

• Au maximum une fois par an, sauf survenance d'une violation de données ou d'un manquement avéré
• Sur préavis écrit d'au moins 30 jours
• Sans entrave excessive aux opérations d'OrderFlow
• L'Exploitant prend en charge les coûts raisonnables de cet audit (notamment le temps consacré par OrderFlow)

L'audit peut être réalisé sous forme de réponse à un questionnaire écrit, d'entretien à distance, ou — pour les Exploitants Pro disposant d'un DPO interne — d'examen sur pièces des journaux et configurations pertinents.

En cas de violation de données personnelles au sens de l'article 4.12 du RGPD, OrderFlow s'engage à notifier l'Exploitant sans retard injustifié et au plus tard dans les 48 heures après en avoir pris connaissance.

La notification, transmise par email à l'adresse de contact du compte Exploitant, comprend :

• La nature de la violation, la catégorie de données concernée et le nombre approximatif de personnes affectées
• Les conséquences probables de la violation
• Les mesures prises ou envisagées pour remédier à la violation et en atténuer les effets
• Les coordonnées d'OrderFlow pour obtenir des informations complémentaires

L'Exploitant, en sa qualité de responsable de traitement, reste seul compétent pour décider de la notification éventuelle à la CNIL (dans les 72 h prévues à l'article 33 RGPD) et, le cas échéant, aux personnes concernées (article 34 RGPD). OrderFlow lui apporte son assistance dans ces démarches.

Chaque partie est responsable des dommages causés par le traitement des données dans la mesure de ses propres manquements à ses obligations.

La responsabilité d'OrderFlow vis-à-vis de l'Exploitant au titre du présent DPA est limitée aux sommes versées par l'Exploitant au cours des 12 derniers mois précédant le fait générateur, conformément à l'Article 11 des CGV. Cette limitation ne s'applique pas en cas de faute lourde ou intentionnelle d'OrderFlow, ni dans les cas où la loi impose une responsabilité illimitée.

À l'expiration ou à la résiliation du contrat principal (CGV), l'Exploitant peut choisir, dans un délai de 30 jours suivant la fin du contrat :

• (a) Demander la restitution intégrale de ses données sous un format structuré, couramment utilisé et lisible par machine (JSON ou CSV au choix d'OrderFlow)
• (b) Demander la destruction de l'ensemble des données traitées par OrderFlow et ses sous-traitants ultérieurs pour son compte

À défaut de demande explicite dans ce délai de 30 jours, OrderFlow procède à la suppression définitive des données identifiantes restantes. Les données strictement nécessaires au respect d'obligations légales (notamment comptables — article L.123-22 du Code de commerce, 10 ans) peuvent être conservées sous forme archivée et chiffrée, sans accès opérationnel.

OrderFlow fournit à l'Exploitant une attestation de suppression sur demande.

Le présent DPA est soumis au droit français et au RGPD. Tout litige relatif à son interprétation ou à son exécution relève des tribunaux compétents du ressort du domicile de l'éditeur (La Rochelle), sauf disposition impérative contraire.

OrderFlow — Thomas Jouhanneau, entrepreneur individuel
SIRET : 881 630 636 00028
Siège : 7 venelle de la Chapelle, 17580 Le Bois-Plage-en-Ré
Contact RGPD : orderflow.foodtech@gmail.com
OrderFlow n'a pas désigné de Délégué à la Protection des Données (DPO) — non obligatoire compte tenu de la nature et du volume des traitements (cf. art. 37 RGPD).