Dernière mise à jour : 19 mars 2026
Contrat de Sous-traitance des Données
Data Processing Agreement (DPA)
Ce contrat est conclu conformément à l'article 28 du Règlement (UE) 2016/679 (RGPD). Il est automatiquement accepté par le commerçant lors de la création de son compte Passcard.
1. Parties
Le Responsable de Traitement (Controller)
Le commerçant souscrivant au service Passcard, dont les coordonnées figurent dans son profil de compte, agissant en qualité de responsable de traitement pour les données personnelles de ses clients finaux.
Le Sous-traitant (Processor)
Passcard SAS, société par actions simplifiée, éditrice de la plateforme Passcard, agissant en qualité de sous-traitant pour le compte du commerçant.
2. Objet et durée
Le présent contrat définit les conditions dans lesquelles Passcard traite, pour le compte du commerçant, les données personnelles des clients finaux dans le cadre de la gestion du programme de fidélité.
La durée du présent contrat est identique à celle du contrat de service principal (abonnement Passcard). Il prend fin automatiquement à la résiliation du compte.
3. Nature et finalité du traitement
| Élément | Description |
|---|---|
| Nature | Collecte, stockage, consultation, mise à jour et suppression de données |
| Finalité | Gestion du programme de fidélité du commerçant (tampons, récompenses, passes Wallet) |
| Catégories de personnes | Clients finaux du commerçant ayant consenti au programme de fidélité |
| Catégories de données | Prénom + 1 contact (email OU téléphone), historique tampons, identifiants Wallet |
| Durée de conservation | Durée du programme + 1 an après clôture |
4. Obligations de Passcard (sous-traitant)
Passcard s'engage à :
- Traiter les données personnelles uniquement sur instruction documentée du commerçant, y compris en ce qui concerne les transferts de données vers des pays tiers.
- Garantir que les personnes habilitées à traiter les données s'engagent à respecter la confidentialité ou sont soumises à une obligation légale appropriée.
- Prendre toutes les mesures techniques et organisationnelles appropriées requises en vertu de l'article 32 du RGPD (sécurité des traitements).
- Respecter les conditions fixées pour faire appel à un autre sous-traitant (liste des sous-traitants ultérieurs disponible en section 5).
- Aider le commerçant à garantir le respect des droits des personnes concernées (accès, rectification, effacement, portabilité).
- Aider le commerçant à respecter les obligations prévues aux articles 32 à 36 du RGPD (sécurité, notification des violations, DPIA).
- Supprimer ou restituer toutes les données personnelles à l'issue de la prestation de services, selon le choix du commerçant.
- Mettre à disposition du commerçant toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28 du RGPD.
5. Sous-traitants ultérieurs
Le commerçant autorise Passcard à faire appel aux sous-traitants ultérieurs suivants. Passcard notifiera le commerçant de tout changement prévu 30 jours à l'avance.
| Sous-traitant | Service | Pays | Garanties |
|---|---|---|---|
| Supabase Inc. | Base de données, Auth | UE (Francfort) | DPA Supabase, SOC 2 Type II |
| Vercel Inc. | Hébergement | UE | DPA Vercel, SCCs UE |
| Resend Inc. | Emails transactionnels | UE | DPA Resend |
6. Obligations du commerçant (responsable de traitement)
Le commerçant s'engage à :
- Documenter les instructions transmises à Passcard.
- Obtenir le consentement explicite des clients finaux avant leur inscription.
- Informer les clients finaux de leurs droits RGPD (accès, rectification, suppression).
- Ne collecter que les données strictement nécessaires au programme de fidélité.
- Notifier Passcard de toute violation de données dont il aurait connaissance.
- S'assurer que les données des clients finaux sont exactes et à jour, et procéder aux suppressions demandées dans les délais réglementaires.
7. Violation de données (Data Breach)
En cas de violation de données à caractère personnel, Passcard notifiera le commerçant dans un délai de 72 heures à compter de la prise de connaissance de l'incident, conformément à l'article 33 du RGPD.
La notification comprendra : la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les données concernées, et les mesures prises ou envisagées. Le commerçant est alors responsable de la notification à la CNIL si la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes.
8. Audit et transparence
Passcard met à la disposition du commerçant toutes les informations nécessaires pour démontrer le respect du présent contrat. Le commerçant peut, à sa charge, demander un audit de conformité avec un préavis de 30 jours. Des rapports de conformité (SOC 2) sont disponibles sur demande.
9. Sort des données à l'issue du contrat
À l'issue du contrat de service (résiliation du compte), Passcard :
- Désactive immédiatement l'accès au compte du commerçant.
- Conserve les données clients finaux pendant 1 an supplémentaire pour permettre d'éventuelles demandes d'exercice de droits.
- Supprime définitivement toutes les données à l'issue de cette période.
- Sur demande explicite du commerçant, peut exporter les données au format JSON avant suppression (dans les 30 jours suivant la résiliation).
10. Contact DPO
Pour toute question relative au présent contrat :privacy@passcard.fr
Passcard SAS, Délégué à la Protection des Données
Voir aussi : Politique de confidentialité · CGU · Mentions légales