Mentions légales

Accord de traitement des données (DPA)

Encadrement de la sous-traitance entre le commerce (responsable de traitement) et MyFidelity (sous-traitant), conformément à l’article 28 du RGPD. Document opposable, signable sur demande pour les comptes entreprise.

Dernière mise à jour · 4 juin 2026Version · v1.0

Document opérationnel, immatriculation en cours. MyFidelity SAS finalise son enregistrement au RCS. Ce document décrit les engagements réels de la plateforme et sera complété par les références légales (SIRET, capital, RCS) dès l’immatriculation effective. Les commerces souhaitant signer une version contre-signée peuvent en faire la demande à legal@myfidelity.fr.

01

Définitions

Les termes en majuscules suivants ont, dans le présent Accord de traitement des données (DPA), la signification que leur donne le Règlement général sur la protection des données (RGPD).

Responsable de traitementle Client (commerce souscrivant un abonnement MyFidelity), qui détermine les finalités et les moyens du traitement.

Sous-traitantMyFidelity SAS, qui traite des données personnelles pour le compte du Responsable de traitement.

Sous-traitant ultérieurtout prestataire que MyFidelity engage pour réaliser une partie des activités de traitement (hébergeur, prestataire de paiement, fournisseur d’e-mails transactionnels, etc.).

Personne concernéetout client final du commerce dont les données sont traitées via MyFidelity (porteur d’une carte de fidélité, prospect inscrit à une campagne).

Violation de donnéesviolation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel.

02

Objet et durée

Le présent DPA encadre la sous-traitance par MyFidelity du traitement des données personnelles confiées par le Client dans le cadre de l’utilisation du Service. Il forme partie intégrante des CGU et complète celles-ci au titre de l’article 28 du RGPD.

Il prend effet à la date d’acceptation des CGU et s’applique pour toute la durée du contrat principal, ainsi que pendant la période de restitution ou de suppression des données prévue à l’article de restitution ci-dessous.

03

Nature et finalités du traitement

Nature des opérationscollecte, enregistrement, organisation, structuration, stockage, extraction, consultation, utilisation, communication par transmission, rapprochement, limitation, effacement.

Finalitésgestion d’un programme de fidélité numérique (émission et mise à jour de cartes Apple Wallet / Google Wallet, suivi des visites et des récompenses, segmentation, envoi de campagnes par e-mail, analyses agrégées et anonymisées pour l’amélioration du Service).

Duréepour toute la durée de l’abonnement, puis pendant la période de restitution ou suppression définie à l’article correspondant.

04

Données et personnes concernées

Catégories de personnes concernéesclients finaux du commerce (porteurs de cartes de fidélité, prospects inscrits à une campagne), employés ou administrateurs du commerce désignés par le Client.

Catégories de donnéesdonnées d’identification (prénom, nom), données de contact (e-mail ou numéro de téléphone), données comportementales (historique de visites, récompenses débloquées), identifiants techniques (identifiant de carte, identifiant de session).

Aucune donnée sensible au sens de l’article 9 du RGPD (santé, opinions politiques, etc.) ni aucune donnée bancaire client n’est traitée par MyFidelity dans le cadre du Service de fidélité.

05

Obligations du sous-traitant

MyFidelity, en sa qualité de sous-traitant, s’engage à :

  • traiter les données uniquement sur instruction documentée du Client (acceptation des CGU et configuration du compte) ;
  • garantir la confidentialité par engagement écrit du personnel habilité et limitation des accès au strict nécessaire (principe du moindre privilège) ;
  • mettre en œuvre les mesures techniques et organisationnelles décrites à l’article « Mesures de sécurité » ci-après ;
  • aider le Client à répondre aux demandes d’exercice de droits des personnes concernées ;
  • aider le Client à se conformer aux obligations prévues aux articles 32 à 36 du RGPD (sécurité, notification de violation, analyse d’impact, consultation préalable) ;
  • informer immédiatement le Client si une instruction lui paraît constituer une violation du RGPD ou de la législation applicable.
06

Sous-traitants ultérieurs

Le Client autorise MyFidelity à recourir aux sous-traitants ultérieurs listés ci-dessous. Cette autorisation vaut autorisation générale au sens de l’article 28.2 du RGPD.

Sous-traitantServiceLieu de traitement
Supabase Inc.Base de données, authentification, stockageFrancfort, Allemagne (UE)
Vercel Inc.Hébergement applicatif, Edge, CDNRégions Europe (Paris, Francfort, Dublin)
Stripe Payments Europe LtdTraitement des paiements et abonnementsDublin, Irlande (UE)
Resend Inc.E-mails transactionnels et campagnesRégion UE activée
Apple Distribution International LtdÉmission des passes Apple Wallet (PKPass)Cork, Irlande (UE)
Google Ireland LtdÉmission des passes Google WalletDublin, Irlande (UE)
OpenAI Ireland LtdAssistant IA (optionnel)Dublin, Irlande (UE)

MyFidelity informe le Client par e-mail de toute modification envisagée concernant l’ajout ou le remplacement d’un sous-traitant ultérieur, au moins 30 jours avant sa mise en œuvre. Le Client dispose de ce délai pour s’y opposer pour des motifs légitimes et objectifs. À défaut d’accord, le Client peut résilier l’abonnement sans frais ni pénalité.

MyFidelity s’engage à conclure avec chaque sous-traitant ultérieur un contrat écrit imposant des obligations équivalentes à celles du présent DPA.

07

Mesures de sécurité (TOMs)

MyFidelity met en œuvre les mesures techniques et organisationnelles suivantes, conformément à l’article 32 du RGPD :

  • Chiffrement — TLS 1.3 sur tout le trafic, AES-256 sur les sauvegardes et le stockage de fichiers ;
  • Isolation — séparation logique par boutique via Row-Level Security PostgreSQL, identifiants d’accès indépendants par compte ;
  • Authentification — mots de passe stockés avec algorithme de hachage moderne, vérification à deux facteurs disponible, expiration des sessions ;
  • Anti-fraude — tokens de scan signés à usage unique avec fenêtre de validité de 15 secondes, rate-limiting par IP et par compte, détection statistique d’anomalies ;
  • Journalisation — traces des actions sensibles conservées 12 mois, alerting automatique sur les événements inhabituels ;
  • Gestion des accès — principe du moindre privilège pour le personnel MyFidelity, revue trimestrielle des droits, rotation périodique des secrets ;
  • Continuité — sauvegardes quotidiennes, rétention 7 jours en standard et 30 jours en Pro, RPO cible de 4 heures et RTO cible de 2 heures.
08

Transferts internationaux

Les données sont traitées en Union européenne par défaut. Lorsqu’un transfert vers un pays tiers est techniquement inévitable (journaux opérationnels d’un sous-traitant non-UE), il est encadré par les clauses contractuelles types (CCT 2021/914/UE) de la Commission européenne, complétées au besoin par des mesures supplémentaires (chiffrement renforcé, pseudonymisation).

MyFidelity ne procède à aucun transfert vers un pays ne bénéficiant pas d’une décision d’adéquation ou de garanties appropriées au sens du Chapitre V du RGPD.

09

Assistance et droits des personnes

MyFidelity assiste le Client, par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour répondre aux demandes d’exercice des droits des personnes concernées (accès, rectification, effacement, opposition, portabilité, limitation).

L’assistance standard est incluse dans l’abonnement et fournie dans un délai compatible avec l’obligation du Client (un mois, prolongeable de deux mois en cas de complexité). Toute demande manifestement excessive ou répétitive peut faire l’objet d’une facturation raisonnable au coût réel, notifiée au Client avant exécution.

10

Notification de violation

En cas de violation de données affectant les données traitées pour le compte du Client, MyFidelity notifie le Client dans les meilleurs délais et au plus tard 72 heures après en avoir pris connaissance, par e-mail à l’adresse de contact figurant dans le compte.

La notification précise notamment :

  • la nature de la violation ;
  • les catégories et le volume approximatif de personnes et d’enregistrements concernés ;
  • les conséquences probables ;
  • les mesures prises ou envisagées pour y remédier ;
  • les coordonnées du DPO pour toute information complémentaire.
11

Droit d’audit

Le Client dispose d’un droit d’audit annuel portant sur le respect par MyFidelity de ses obligations au titre du présent DPA. L’audit est réalisé soit sur la base de la documentation (rapports d’audits tiers, certifications, attestations techniques), soit, en cas de motif légitime et après notification écrite au moins 30 jours à l’avance, par un auditeur indépendant mandaté par le Client, soumis à un engagement de confidentialité.

L’audit ne peut excéder cinq jours ouvrés et est réalisé pendant les heures ouvrables, sans perturbation injustifiée du Service. Les coûts d’un audit sur site sont à la charge du Client, sauf si l’audit révèle un manquement substantiel imputable à MyFidelity.

12

Restitution et suppression

À la fin de la prestation, le Client choisit, dans un délai de 30 jours suivant la résiliation, entre la restitution des données dans un format structuré et couramment utilisé (CSV ou JSON) et leur suppression définitive.

À défaut de choix exprimé dans ce délai, MyFidelity procède à la suppression des données au plus tard 90 jours après la résiliation, à l’exception des données dont la conservation est imposée par une obligation légale (factures, journaux de sécurité). Les sauvegardes restantes sont purgées dans le cycle de rotation suivant.

Une question sur ce document ?

Notre équipe juridique et notre DPO répondent aux questions des commerces, aux audits clients et aux demandes d’exercice de droits en moins de 72 heures ouvrées.

legal@myfidelity.frdpo@myfidelity.fr