Le present accord (« DPA ») formalise les obligations de CallEat en qualite de sous-traitant au sens de l'article 28 du Reglement (UE) 2016/679 (RGPD), lorsqu'elle traite des donnees a caractere personnel pour le compte de ses clients professionnels (« responsables du traitement »).
Une version PDF signable du present DPA peut etre obtenue sur simple demande a dpo@calleat.fr, dans le cadre d'une procedure d'achat (validation juridique, signature electronique).
1. Definitions
Les termes employes ont le sens defini par le RGPD :
Donnees a caractere personnel : toute information se rapportant a une personne physique identifiee ou identifiable.
Traitement : toute operation effectuee sur des donnees personnelles (collecte, stockage, consultation, etc.).
Responsable du traitement : le Client de CallEat, qui determine les finalites et moyens du traitement.
Sous-traitant : CallEat, qui traite les donnees pour le compte du Client.
Sous-traitant ulterieur : tout prestataire auquel CallEat fait appel pour executer le service (cf. article 7).
Personnes concernees : les administrateurs et employes du restaurant, ainsi que les clients finaux du restaurant.
2. Objet du DPA
CallEat fournit au Client une plateforme SaaS pour gerer la communication interne de son restaurant (appels par QR code, KDS, menus digitaux, analytics, planning). Dans le cadre de cette prestation, CallEat traite des donnees a caractere personnel pour le compte du Client. Le present DPA encadre ces traitements conformement a l'article 28 du RGPD.
3. Categories de donnees et personnes concernees
3.1 Donnees du personnel du restaurant
Identite (nom, prenom)
Email professionnel, identifiants de connexion (mot de passe hashe)
Donnees techniques anonymes (table scannee, horodatage, IP de session)
Aucune donnee nominative collectee
3.3 Donnees commerciales du restaurant
Menus, prix, photographies, descriptions de plats
Historique d'activite (commandes, appels, avis)
4. Finalites du traitement
CallEat traite ces donnees aux seules fins de :
Fournir et exploiter le service souscrit
Assurer la securite et la disponibilite de la plateforme
Permettre les fonctionnalites optionnelles activees par le Client (chatbot, avis, reviews externes)
Repondre aux demandes de support technique
Realiser les sauvegardes et la restauration en cas d'incident
CallEat ne traite les donnees que sur instruction documentee du Client (au travers de l'usage de la plateforme et des fonctionnalites activees) et conformement aux obligations legales applicables.
5. Obligations de CallEat (sous-traitant)
CallEat s'engage notamment a :
Ne traiter les donnees que sur instruction documentee du Client, y compris pour les transferts hors UE (cf. article 8).
S'assurer que toute personne autorisee a traiter les donnees est soumise a une obligation de confidentialite (contrat de travail, charte interne) ou a une obligation legale appropriee.
Mettre en oeuvre les mesures techniques et organisationnelles decrites a l'article 6.
Respecter les conditions de recours a un sous-traitant ulterieur decrites a l'article 7.
Assister le Client dans la mise en place de mesures permettant aux personnes concernees d'exercer leurs droits.
Aider le Client a respecter ses propres obligations RGPD (analyse d'impact, securite, notification de violation).
Notifier au Client toute violation de donnees personnelles dans les 48 heures suivant sa decouverte.
A la fin de la prestation, restituer toutes les donnees personnelles au Client ou les detruire (selon le choix du Client), sauf obligation legale de conservation.
Mettre a disposition du Client toutes les informations necessaires pour demontrer le respect des obligations prevues au present article et permettre la realisation d'audits.
6. Mesures techniques et organisationnelles (TOMs)
CallEat met en oeuvre les mesures suivantes, evaluees au regard de l'etat de l'art, des couts, de la nature des donnees et des risques (article 32 du RGPD) :
6.1 Mesures techniques
Chiffrement en transit : TLS 1.2+ obligatoire pour toute communication avec la plateforme (politique HSTS).
Chiffrement au repos : base de donnees PostgreSQL chiffree au niveau du stockage (AES-256), sauvegardes chiffrees avant transfert.
Hashage des mots de passe : bcrypt avec cout eleve, aucun mot de passe en clair en base ou en log.
Tokens JWT en memoire (front), refresh token en cookie HttpOnly SameSite=Strict avec rotation a chaque refresh, blacklist Redis au logout.
Cloisonnement multi-tenant : middleware require_tenant applique sur tous les endpoints sensibles ; un client ne peut acceder qu'aux donnees de son ou ses restaurant(s).
Sauvegardes : sauvegardes quotidiennes chiffrees (encryption GPG asymetrique), restauration testee automatiquement chaque semaine en CI.
Mises a jour de securite : CI integrant Trivy, Safety, pip-audit, npm audit, OSV-Scanner, Semgrep, Gitleaks ; correctifs appliques sous 7 jours pour les vulnerabilites Critical / High.
6.2 Mesures organisationnelles
Double authentification (TOTP) : disponible et recommandee pour tout administrateur ; obligatoire pour les comptes super-administrateur internes.
Controle d'acces base sur les roles (RBAC) : Super Admin, Group Owner, Restaurant Admin, Manager, Waiter ; principe du moindre privilege.
Journalisation d'audit : chaque action sensible (connexion, modification de role, suppression, export) est tracee dans un journal d'audit conserve 24 mois.
Procedure de revocation : revocation immediate des acces a la sortie d'un collaborateur ou en cas de suspicion d'incident.
Sensibilisation : charte interne, revues de code obligatoires, formation continue aux bonnes pratiques de securite.
Gestion des incidents : procedure formalisee de detection, qualification, notification et remediation.
7. Sous-traitants ulterieurs
Le Client autorise CallEat a recourir aux sous-traitants ulterieurs suivants, ayant souscrit a des obligations de protection des donnees equivalentes a celles du present DPA :
Prestataire
Role
Localisation des traitements
Garanties
OVHcloud (OVH SAS)
Hebergement infrastructure et base de donnees
France (UE)
DPA, ISO 27001, certifications HDS
Stripe Payments Europe Ltd
Traitement des paiements et facturation
Irlande (UE)
DPA, certification PCI-DSS Niveau 1
Brevo SAS
Envoi d'emails transactionnels et SMS
France (UE)
DPA, conformite RGPD attestee
OpenAI Ireland Ltd
Assistant chatbot menu (fonctionnalite optionnelle, desactivable par le Client a tout moment)
Irlande (UE) + transfert encadre vers les Etats-Unis
DPA, hebergement Frankfurt, scrubbing des donnees sensibles
Google Ireland Ltd
Avis externes : lecture des avis publics Google et publication des reponses via Google Business Profile (fonctionnalite optionnelle, desactivable par le Client a tout moment)
Irlande (UE) + transfert encadre vers les Etats-Unis
Clauses contractuelles types UE (decision 2021/914), Data Privacy Framework, DPA Google
CallEat informera le Client de tout changement envisage concernant l'ajout ou le remplacement d'un sous-traitant ulterieur, avec un preavis de 30 jours, permettant au Client de formuler des objections motivees. En l'absence d'accord, le Client pourra resilier l'abonnement sans frais.
8. Transferts hors Union europeenne
La majorite des traitements est realisee dans l'Union europeenne. Seules deux fonctionnalites optionnelles — le chatbot IA (OpenAI) et les avis externes & reponse Google — peuvent impliquer un transfert ponctuel vers les Etats-Unis. Ces transferts sont encadres par :
Les clauses contractuelles types adoptees par la Commission europeenne (decision d'execution (UE) 2021/914), completees le cas echeant par la certification des prestataires au titre du Data Privacy Framework UE–Etats-Unis ;
Les DPA officiels d'OpenAI et de Google inclus dans nos accords avec ces prestataires ;
La possibilite pour le Client de desactiver ces fonctionnalites a tout moment depuis /admin/feature-settings.
9. Notification de violation
En cas de violation de donnees personnelles, CallEat s'engage a notifier le Client dans les 48 heures suivant la decouverte de l'incident, avec a minima :
la nature de la violation, les categories et le volume de donnees concernees ;
les consequences probables et les mesures prises ou proposees ;
les coordonnees du point de contact (dpo@calleat.fr).
Le Client demeure responsable de la notification a l'autorite de controle competente (CNIL) et, le cas echeant, aux personnes concernees, dans les delais prevus par les articles 33 et 34 du RGPD. CallEat lui apporte son aide effective dans ce cadre.
10. Audit et droit d'inspection
Le Client peut, a sa charge, faire realiser un audit annuel des traitements operes par CallEat, sous reserve d'un preavis de 30 jours et de la signature d'un accord de confidentialite specifique. CallEat met a disposition, en alternative, ses certifications, rapports d'audit techniques (SAST, SBOM, scans CVE), et la documentation des mesures decrites a l'article 6.
11. Duree et fin du traitement
Le present DPA prend effet a la date de souscription du Client et reste applicable pendant toute la duree de la prestation. A son terme, CallEat propose au Client :
Un export complet des donnees au format JSON portable (RGPD article 20) ;
La suppression effective des donnees a sa demande, dans un delai maximum de 30 jours ;
L'archivage limite aux donnees pour lesquelles une obligation legale impose une conservation (factures : 10 ans).
12. Contact
Pour toute question relative au present DPA :
Email RGPD : dpo@calleat.fr
Courrier : CallEat — DPO, 323 boulevard de la Coopérative, Villa 10 résidence Terre Nature, 13610 Le Puy-Sainte-Réparade, France
Pour signer le DPA dans le cadre d'une procedure d'achat client (validation juridique, signature electronique), adressez votre demande a dpo@calleat.fr : nous vous transmettons la version PDF signable et retournons la version contresignee dans un delai de 7 jours ouvres.
Nous utilisons des cookies essentiels au fonctionnement du site et, avec votre accord, des cookies pour mesurer son audience et vous proposer du contenu pertinent. Vous pouvez accepter, refuser ou personnaliser votre choix à tout moment. Voir notre politique de confidentialité.