Suzzy LogoSuzzy

Accord de Sous-Traitance RGPD (DPA)

Mise à jour le 2 mai 2026

Préambule

Le présent Accord de Sous-Traitance (le « DPA ») constitue une annexe indissociable des Conditions Générales de Vente Restaurateur (les « CGV ») conclues entre SUZZY, SAS au capital de 3 000 €, RCS Paris 102 900 487 (le « Sous-Traitant » ou « Suzzy ») et le restaurateur ayant souscrit à un Abonnement Suzzy (le « Responsable de Traitement » ou « Vous »). Le présent DPA encadre les conditions dans lesquelles le Sous-Traitant traite, pour le compte du Responsable de Traitement, les données à caractère personnel des clients finaux du Responsable de Traitement, conformément au Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (le « RGPD ») et à la loi n°78-17 du 6 janvier 1978 modifiée.

1. Définitions

Les termes employés avec une majuscule ont la signification qui leur est donnée dans les CGV ou, à défaut, dans le RGPD. Pour les besoins du présent DPA, les définitions complémentaires suivantes s'appliquent :

Responsable de Traitement

Le Restaurateur ayant souscrit à un Abonnement Suzzy, qui détermine les finalités et les moyens du traitement des données personnelles de ses clients finaux.

Sous-Traitant

Suzzy, qui traite les données personnelles pour le compte du Responsable de Traitement, dans la stricte limite des instructions documentées par ce dernier.

Sous-traitant ultérieur

Tout prestataire tiers auquel Suzzy fait appel pour exécuter des activités spécifiques de traitement pour le compte du Responsable de Traitement (notamment Railway, Stripe, Octopush, Resend).

Données

Toute donnée à caractère personnel telle que définie à l'article 4 du RGPD, traitée par Suzzy dans le cadre des Services.

Personne concernée

La personne physique identifiée ou identifiable à laquelle se rapportent les Données traitées (notamment les clients finaux du Restaurateur).

2. Objet

Le présent DPA a pour objet de définir les conditions dans lesquelles Suzzy s'engage, en qualité de Sous-Traitant, à effectuer, pour le compte du Responsable de Traitement, les opérations de traitement des données personnelles strictement nécessaires à la fourniture des Services. Le Responsable de Traitement reste seul responsable de la détermination des finalités et des moyens du traitement, ainsi que du respect des obligations qui lui incombent au titre du RGPD.

3. Description du traitement

Le traitement effectué par Suzzy pour le compte du Responsable de Traitement présente les caractéristiques suivantes :

3.1 Nature du traitement

Hébergement, stockage, structuration, consultation, communication, mise à disposition, sauvegarde, suppression de données. Le cas échéant : envoi de notifications transactionnelles (email/SMS) et marketing (sous réserve du consentement de la personne concernée), génération de pass de fidélité, profilage léger à finalité de fidélisation (statistiques agrégées par client : nombre de visites, montant total dépensé, nombre d'avis, nombre de no-shows).

3.2 Finalités

Fourniture des Services au Responsable de Traitement, à savoir notamment : la gestion des réservations, du programme de fidélité, des jeux promotionnels, de la collecte et de la diffusion des avis, et l'envoi de campagnes marketing autorisées par les personnes concernées.

3.3 Durée

Le traitement est effectué pour la durée de l'Abonnement Suzzy. À l'issue de l'Abonnement, les Données sont restituées ou supprimées conformément à l'article 11 ci-après.

3.4 Catégories de Données

  • Données d'identification : nom, prénom, adresse email, numéro de téléphone
  • Données de réservation : date, heure, nombre de couverts, notes
  • Données de fidélité : points, paliers, transactions, identifiants Apple Wallet / Google Wallet
  • Données d'avis : note, commentaire, date
  • Données de jeu : participation, gain, statut de la récompense
  • Données de consentement marketing : opt-in/opt-out, source, horodatage
  • Données de navigation : adresse IP, logs techniques (durée limitée)
Aucune donnée sensible au sens de l'article 9 du RGPD n'est traitée.

3.5 Catégories de personnes concernées

Clients finaux du Responsable de Traitement, prospects ayant interagi avec la mini-boutique du Restaurateur (notamment lors d'un jeu sans obligation d'achat).

4. Obligations du Responsable de Traitement

Le Responsable de Traitement s'engage à :

4.1 Licéité du traitement

Garantir que le traitement des Données effectué via les Services repose sur une base légale valable au sens de l'article 6 du RGPD (exécution d'un contrat, intérêt légitime, consentement, etc.).

4.2 Information et consentement des personnes concernées

Informer les personnes concernées du traitement de leurs Données dans des conditions conformes aux articles 13 et 14 du RGPD, et recueillir leur consentement explicite lorsque celui-ci est requis (notamment pour les communications marketing par SMS, conformément à l'article L34-5 du Code des postes et des communications électroniques).

4.3 Instructions documentées

Donner à Suzzy des instructions documentées concernant le traitement, et garantir que ces instructions sont conformes à la réglementation applicable. Les paramètres choisis dans le back-office Suzzy constituent des instructions documentées au sens du présent DPA.

5. Obligations de Suzzy (Sous-Traitant)

Conformément à l'article 28 du RGPD, Suzzy s'engage à :

5.1 Traitement conforme aux instructions

Traiter les Données uniquement sur la base des instructions documentées du Responsable de Traitement, y compris en ce qui concerne les transferts de données vers un pays tiers ou à une organisation internationale, à moins d'y être obligé en vertu du droit de l'Union ou du droit d'un État membre. Dans ce cas, Suzzy informe le Responsable de Traitement de cette obligation juridique avant le traitement.

5.2 Confidentialité

Veiller à ce que les personnes autorisées à traiter les Données s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

5.3 Mesures de sécurité

Mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD : chiffrement des Données en transit (TLS), contrôle d'accès et authentification forte, journalisation des accès aux Données, sauvegardes régulières, procédures de gestion des incidents, audits de sécurité réguliers.

5.4 Assistance au Responsable de Traitement

Aider le Responsable de Traitement, dans la mesure du possible, à :
  • répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, limitation, portabilité, opposition) ;
  • réaliser, le cas échéant, des analyses d'impact relatives à la protection des données (AIPD) ;
  • consulter l'autorité de contrôle (CNIL) en cas de besoin.

5.5 Restitution / suppression

À la fin de la prestation, Suzzy supprime ou restitue toutes les Données à caractère personnel et détruit les copies existantes, sauf obligation légale de conservation. La restitution s'effectue dans un format structuré, couramment utilisé et lisible par machine. Une période de rétention de 30 jours est appliquée par défaut pour permettre la récupération des Données sur demande.

5.6 Audit

Mettre à disposition du Responsable de Traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28 du RGPD et autoriser la réalisation d'audits, par lui-même ou un auditeur tiers indépendant qu'il a mandaté, dans la limite d'un audit par an, sous réserve d'un préavis raisonnable de trente (30) jours et aux frais du Responsable de Traitement, sauf si l'audit révèle un manquement avéré de Suzzy à ses obligations.

5.7 Notification de violation

Notifier au Responsable de Traitement toute violation de données à caractère personnel dans les 72 heures au plus après en avoir pris connaissance, par email à l'adresse de contact renseignée dans le compte du Responsable de Traitement. La notification décrit la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les conséquences probables et les mesures prises ou envisagées pour y remédier.

6. Sous-traitants ultérieurs

6.1 Autorisation générale

Le Responsable de Traitement autorise expressément Suzzy à recourir à des sous-traitants ultérieurs (les « Sous-traitants Ultérieurs ») pour la fourniture des Services.

6.2 Liste des Sous-traitants Ultérieurs

Au jour de la signature du présent DPA, les Sous-traitants Ultérieurs sont les suivants :
  • Railway Corporation — Hébergement de la Plateforme et des Données — 548 Market St, San Francisco, CA 94104, USA
  • Stripe, Inc. — Traitement des paiements (abonnement, achats à l'usage) — Dublin, Irlande / San Francisco, USA
  • Octopush — Envoi de SMS transactionnels et marketing — France
  • Resend Inc. — Envoi d'emails transactionnels — Delaware, USA
  • Apple Inc. et Google LLC — Hébergement des passes de fidélité (Apple Wallet / Google Wallet) — USA

6.3 Évolution de la liste

Toute évolution de la liste des Sous-traitants Ultérieurs sera notifiée au Responsable de Traitement par email ou notification dans le back-office, au moins trente (30) jours avant l'entrée en service du nouveau Sous-traitant Ultérieur. Le Responsable de Traitement peut s'opposer à cette évolution dans ce délai en notifiant son opposition motivée par email à [email protected]. À défaut d'accord, le Responsable de Traitement peut résilier les CGV sans pénalité, son préavis étant adapté en conséquence.

7. Transferts hors Union Européenne

7.1 Principe

Suzzy s'efforce de privilégier l'hébergement des Données au sein de l'Union Européenne. Toutefois, certains Sous-traitants Ultérieurs peuvent être établis hors de l'Union Européenne (notamment aux États-Unis).

7.2 Encadrement par les Clauses Contractuelles Types (CCT)

Tout transfert de Données vers un pays hors Union Européenne ne bénéficiant pas d'une décision d'adéquation de la Commission Européenne est encadré par les Clauses Contractuelles Types (CCT) adoptées par la Commission Européenne le 4 juin 2021 (Décision d'exécution (UE) 2021/914), conformément aux articles 44 à 49 du RGPD.

7.3 Transfert vers Railway Corporation (USA)

L'hébergement principal de la Plateforme et des Données est assuré par Railway Corporation, établie aux États-Unis. Ce transfert est encadré par les Clauses Contractuelles Types signées entre Suzzy et Railway, complétées par des mesures techniques additionnelles : chiffrement des Données en transit et au repos, ségrégation logique des environnements clients, contrôle d'accès basé sur les rôles.

8. Sécurité des Données

Suzzy met en œuvre les mesures techniques et organisationnelles suivantes pour garantir la sécurité des Données :
  • chiffrement des Données en transit (HTTPS / TLS 1.2+) ;
  • politique de mots de passe complexes (longueur minimale, expiration, hash bcrypt) ;
  • authentification multi-facteurs disponible pour les comptes administrateurs ;
  • contrôle d'accès basé sur les rôles (RBAC) avec principe du moindre privilège ;
  • journalisation des opérations sensibles et conservation des logs ;
  • sauvegardes régulières automatisées avec test de restauration périodique ;
  • environnements de production séparés des environnements de développement et de test ;
  • revue régulière des dépendances logicielles et application des correctifs de sécurité.

9. Violation de Données

En cas de Violation de Données, Suzzy s'engage à notifier le Responsable de Traitement dans les 72 heures suivant la prise de connaissance de la violation. La notification comprend :
  • la nature de la violation (catégories et nombre approximatif de personnes et d'enregistrements concernés) ;
  • les coordonnées du point de contact où des informations supplémentaires peuvent être obtenues ;
  • les conséquences probables ;
  • les mesures prises ou envisagées pour atténuer les conséquences.
Suzzy assiste le Responsable de Traitement dans la notification éventuelle à la CNIL et aux personnes concernées (articles 33 et 34 du RGPD).

10. Fin du traitement

Au terme du présent DPA (notamment en cas de résiliation des CGV), Suzzy procède, au choix du Responsable de Traitement et dans un délai de trente (30) jours :
  • à la restitution des Données dans un format structuré, couramment utilisé et lisible par machine (CSV ou JSON) ;
  • ou à la suppression définitive des Données, sauf obligation légale de conservation (notamment obligations comptables et fiscales).
À défaut de choix exprimé dans ce délai, Suzzy procédera à la suppression des Données. Une attestation de suppression peut être délivrée sur demande.

11. Responsabilité

Chaque partie est responsable des dommages causés par le traitement résultant d'un manquement de sa part aux obligations du RGPD. Suzzy n'est tenu responsable que des dommages causés par le traitement résultant d'un manquement à ses propres obligations en qualité de Sous-Traitant ou aux instructions licites du Responsable de Traitement, conformément à l'article 82 du RGPD. La limitation de responsabilité prévue à l'article 11 des CGV s'applique pleinement au présent DPA.

12. Droit applicable et juridiction

Le présent DPA est régi par le droit français et par le RGPD. Tout litige relevant du présent DPA est soumis à la compétence exclusive du Tribunal de commerce de Paris, conformément à l'article 16 des CGV.

Historique des modifications

Version 1.0 — 2 mai 2026

  • Version initiale du DPA