Aller au contenu
Upvendo· upvendo.fr

Dernière mise à jour : 2026-06-17

The English version of this Data Processing Agreement is the governing version. Translations into Dutch, French and German are provided as a courtesy.

Accord de Traitement des Données

Dernière mise à jour : 17 juin 2026

Parties

« Upvendo » dans le présent Accord de Traitement des Données (« DPA ») désigne l'entité juridique qui contracte avec le Client, déterminée par le lieu d'établissement du Client :

  • Upvendo BV (l'« Entité UE »), une société de droit belge dont le siège social est situé Kalvekeetdijk 179, 8300 Knokke-Heist, Belgique, est la partie contractante pour les Clients établis dans l'Espace économique européen, au Royaume-Uni ou en Suisse.
  • Upvendo, Inc. (l'« Entité US »), une société du Delaware dont le siège social est situé 300 Delaware Avenue, Suite 210, Wilmington, DE 19801, États-Unis, est la partie contractante pour les Clients établis aux États-Unis.
  • Pour les Clients établis ailleurs, l'Entité UE est la partie contractante sauf accord écrit contraire.

Chacune est dénommée « Upvendo » ou le « Sous-traitant » dans le présent DPA selon l'entité qui contracte avec le Client.

Portée

Le présent DPA fait partie de l'accord conclu entre Upvendo et le client (« Client », « Responsable du traitement ») qui souscrit aux services d'Upvendo (les « Services »). Il régit le traitement des données à caractère personnel par Upvendo pour le compte du Client dans le cadre des Services et fait partie intégrante du contrat entre les parties (l'« Accord »).

En acceptant l'Accord, le Client accepte le présent DPA. Lorsque le Client est établi dans l'Espace économique européen, au Royaume-Uni ou en Suisse, le présent DPA s'applique automatiquement. Lorsque le Client est établi ailleurs, le présent DPA s'applique dans la mesure où Upvendo traite des données à caractère personnel soumises au RGPD ou à une législation équivalente.

1. Définitions

Les termes utilisés ont le sens qui leur est donné dans le RGPD. Sans limiter ce qui précède :

  • « Données à caractère personnel » : toute information se rapportant à une personne physique identifiée ou identifiable.
  • « Traitement » : sens de l'article 4(2) RGPD.
  • « Responsable du traitement », « Sous-traitant » et « Sous-traitant ultérieur » : sens de l'article 4 RGPD.
  • « Personne concernée » : la personne physique à laquelle se rapportent les Données à caractère personnel.
  • « Violation de données à caractère personnel » : sens de l'article 4(12) RGPD.
  • « CCT » : Clauses Contractuelles Types adoptées dans la Décision d'exécution (UE) 2021/914 du 4 juin 2021.

2. Objet et durée

Upvendo traitera les Données à caractère personnel pour le compte du Client pendant la durée de l'Accord. À la résiliation, les obligations restent en vigueur aussi longtemps qu'Upvendo conserve des Données à caractère personnel du Client.

L'objet, la nature, la finalité, les types de Données et les catégories de Personnes concernées sont exposés à l'Annexe A.

3. Rôles des parties

Pour toutes les Données traitées dans le cadre de l'Accord, le Client est le Responsable du traitement et Upvendo est le Sous-traitant. Le Client détermine les finalités et les moyens ; Upvendo traite les Données uniquement sur instructions documentées du Client.

Upvendo informera le Client sans retard injustifié si une instruction enfreint la législation applicable.

4. Obligations du Sous-traitant

Upvendo s'engage à :

  1. Ne traiter les Données que sur instructions documentées du Client, y compris pour les transferts internationaux, sauf obligation imposée par le droit de l'UE.
  2. Veiller à ce que les personnes autorisées s'engagent à la confidentialité ou soient soumises à une obligation légale de confidentialité.
  3. Prendre toutes les mesures requises par l'article 32 RGPD, comme décrit à l'Annexe C.
  4. Respecter les conditions de l'article 28(2) et (4) RGPD pour engager un Sous-traitant ultérieur, comme décrit à la Clause 6.
  5. Aider le Client à répondre aux demandes des Personnes concernées au titre du Chapitre III RGPD.
  6. Aider le Client à veiller au respect des articles 32 à 36 RGPD.
  7. Au choix du Client, supprimer ou restituer toutes les Données après la fin de la prestation. Voir Clause 11.
  8. Mettre à disposition toutes les informations pour démontrer le respect de l'article 28 RGPD et permettre des audits. Voir Clause 10.

5. Confidentialité

Upvendo gardera toutes les Données strictement confidentielles. Upvendo veillera à ce que les personnes autorisées :

  • accèdent aux Données selon le principe du besoin d'en connaître,
  • s'engagent à la confidentialité ou soient soumises à une obligation légale, et
  • reçoivent une formation appropriée.

Les obligations subsistent après la résiliation.

6. Sous-traitants ultérieurs

Le Client accorde à Upvendo une autorisation écrite générale pour engager des Sous-traitants ultérieurs. La liste actuelle figure à l'Annexe B.

Upvendo s'engage à :

  1. conclure un accord écrit avec chaque Sous-traitant ultérieur imposant des obligations au moins aussi protectrices que le présent DPA ;
  2. demeurer pleinement responsable envers le Client ;
  3. informer le Client au moins trente (30) jours à l'avance de tout ajout ou remplacement ; et
  4. donner au Client la possibilité de s'opposer pour des motifs raisonnables dans les quinze (15) jours. Si l'opposition ne peut être résolue, chaque partie peut résilier les Services concernés avec remboursement au prorata.

7. Transferts internationaux

Les Données peuvent être transférées dans des pays hors EEE, notamment aux États-Unis. Ces transferts ne sont effectués que via :

  1. Une décision d'adéquation de la Commission européenne (article 45 RGPD).
  2. Les CCT (Module Deux : Responsable à Sous-traitant) de la Décision d'exécution (UE) 2021/914, incorporées par référence. Les parties retiennent l'Option 1 de la Clause 17 (droit belge) et la Clause 18 (tribunaux de Bruxelles).
  3. Tout autre mécanisme licite reconnu par le RGPD.

Pour le Royaume-Uni : l'Addendum britannique aux CCT. Pour la Suisse : les clauses supplémentaires LPD.

Upvendo procédera à une évaluation d'impact des transferts lorsque requis.

8. Droits des Personnes concernées

Upvendo aidera le Client à répondre aux demandes des Personnes concernées au titre du Chapitre III RGPD (accès, rectification, effacement, limitation, portabilité, opposition, décision automatisée).

Si Upvendo reçoit directement une demande, Upvendo :

  1. informera promptement le Client et ne répondra pas directement sauf autorisation ; et
  2. aidera le Client à répondre dans les délais RGPD.

9. Notification des violations

Upvendo notifiera le Client sans retard injustifié, et dans tous les cas dans les soixante-douze (72) heures, après avoir pris connaissance d'une violation. La notification :

  1. décrira la nature de la violation, catégories et nombre approximatif de Personnes concernées ;
  2. communiquera le contact d'Upvendo en protection des données ;
  3. décrira les conséquences probables ; et
  4. décrira les mesures prises ou proposées.

Si non possible simultanément, les informations peuvent être fournies par étapes sans retard indu.

10. Droits d'audit

Sur demande raisonnable du Client et pas plus d'une fois par an, Upvendo mettra à disposition les informations nécessaires pour démontrer le respect du présent DPA.

Le Client peut, à ses frais, demander un audit sur site. Les audits sur site doivent :

  1. être demandés par écrit au moins trente (30) jours à l'avance ;
  2. être effectués pendant les heures d'ouverture sans perturber indûment ;
  3. être soumis à un accord de non-divulgation ;
  4. être limités aux informations strictement nécessaires ; et
  5. ne pas accéder aux données d'autres clients ou aux secrets commerciaux d'Upvendo.

Upvendo peut satisfaire à l'obligation en fournissant des rapports d'audit existants (ISO 27001, SOC 2 une fois disponibles).

11. Restitution et suppression

Au choix du Client, Upvendo, à la résiliation :

  1. restituera toutes les Données dans un format structuré et lisible par machine ; ou
  2. supprimera toutes les Données et copies,

sauf si le droit applicable impose la conservation.

Le Client peut demander dans les trente (30) jours suivant la résiliation. Passé ce délai, Upvendo supprimera selon son calendrier standard.

Upvendo confirmera par écrit sur demande.

12. Responsabilité et dispositions finales

La responsabilité de chaque partie est soumise aux limitations prévues dans l'Accord.

Si une disposition est invalide, le reste reste en vigueur. En cas de conflit entre le présent DPA et l'Accord, le DPA prévaut pour les questions de protection des données.

Le droit applicable et la juridiction suivent l'entité Upvendo contractante identifiée dans la section Parties ci-dessus :

  • Lorsque l'Entité UE (Upvendo BV) est le Sous-traitant contractant, le présent DPA est régi par le droit belge et les tribunaux de Bruxelles, Belgique, ont compétence exclusive pour tout différend découlant du présent DPA ou s'y rapportant.
  • Lorsque l'Entité US (Upvendo, Inc.) est le Sous-traitant contractant, le présent DPA est régi par les lois de l'État du Delaware, États-Unis, et les tribunaux étatiques ou fédéraux du District du Delaware ont compétence exclusive.

Ce qui précède s'applique sans préjudice de toute juridiction obligatoire en matière de protection des consommateurs ou des données.

Annexe A : Détails du traitement

Objet : Fourniture par Upvendo au Client de logiciels pour bornes en libre-service, commande en ligne et QR, y compris les intégrations avec le POS du Client.

Durée : Pour la durée de l'Accord, plus les périodes de conservation.

Nature et finalité : Permettre aux utilisateurs finaux de passer des commandes ; transmettre au POS ; fournir des analyses ; maintenir, soutenir et améliorer les Services.

Types de Données :

  • Données de commande (articles, modificateurs, prix, heure)
  • Coordonnées des utilisateurs finaux (e-mail, téléphone, fidélité)
  • Références de paiement (ID transaction, 4 derniers chiffres, mode — jamais de numéros bruts)
  • Données du personnel du Client (nom, e-mail professionnel, rôle)
  • Données de contact du Client (nom, e-mail, téléphone, adresse de facturation)
  • Données techniques (IP, empreinte navigateur, identifiants d'appareil)

Catégories de Personnes concernées :

  • Clients finaux du Client
  • Personnel du Client (opérateurs, gérants, comptables)
  • Représentants autorisés

Catégories particulières : Aucune traitée par conception.

Annexe B : Liste des Sous-traitants ultérieurs

Le Client peut demander la liste à jour à privacy@upvendo.com.

Sous-traitant ultérieur Service Localisation Mécanisme de transfert
Cloudflare, Inc. (et Cloudflare Ireland Ltd) Hébergement, edge computing, D1, CDN, WAF, DDoS Réseau edge mondial avec nœuds UE CCT UE (Module 2) plus addendum DPA Cloudflare
Stripe Payments Europe Ltd (et Stripe, Inc.) Paiements self-serve (.com uniquement) Irlande et États-Unis CCT UE (Module 2) plus DPA Stripe
GitHub, Inc. Hébergement code source et CI États-Unis CCT UE pour Données limitées du personnel Client

Pour fonctionnalités optionnelles : liste à jour disponible ou sur demande. Upvendo notifie au moins trente (30) jours à l'avance.

Annexe C : Mesures Techniques et Organisationnelles

Upvendo met en œuvre les mesures suivantes, conformément à l'article 32 RGPD.

1. Contrôles d'accès

  • Comptes individuels pour le personnel autorisé.
  • MFA pour tout accès administratif.
  • Accès selon besoin d'en connaître, révoqué rapidement.
  • Centres de données Cloudflare certifiés ISO 27001 et SOC 2 Type II.

2. Chiffrement

  • TLS 1.3 (HTTPS) pour toutes les connexions.
  • AES-256 au repos dans Cloudflare D1.
  • Trafic interne automatiquement chiffré.
  • Secrets dans Cloudflare Workers Secrets.

3. Pseudonymisation

  • Appliquée lorsque techniquement réalisable.

4. Confidentialité, intégrité, disponibilité, résilience

  • Isolation logique par tenant.
  • Cloudflare D1 point-in-time recovery.
  • DDoS, WAF, gestion des bots.

5. Procédures de récupération

  • Sauvegardes selon calendrier standard.
  • Procédures testées au moins annuellement.
  • RTO et RPO définis et révisés trimestriellement.

6. Tests réguliers

  • Code review obligatoire.
  • Scan des vulnérabilités à chaque commit.
  • Analyse statique à chaque commit.
  • Modèle de menace revu annuellement.

7. Sécurité du personnel

  • Engagements de confidentialité à l'embauche.
  • Vérifications d'antécédents lorsque légales et proportionnées.
  • Formation à la sensibilisation à la sécurité.

8. Gestion des incidents

  • Procédures documentées de réponse aux incidents.
  • Notification dans les 72 heures au Client.
  • Rapports traités selon la politique publiée sur /legal/security/.

9. Sécurité des Sous-traitants ultérieurs

  • Obligations écrites au moins aussi protectrices que ce DPA.
  • Évaluation périodique de la posture de sécurité.

10. Conformité et certifications

  • Cartographie ISO 27001:2022, objectif certifiable en 2027.
  • SOC 2 Type II sur la feuille de route.
  • Cloudflare et Stripe détiennent les certifications publiées sur leurs centres de confiance.

Pour toute question ou pour une copie signée, contactez privacy@upvendo.com.

Préférences cookies

Nous utilisons des cookies pour faire fonctionner le site, personnaliser votre expérience, mesurer le trafic et afficher des publicités pertinentes. Les cookies requis sont toujours actifs ; le reste dépend de vous. Politique de cookies