Accord de traitement des données (Data Processing Agreement)

Préambule

Le présent Accord de traitement des données (« DPA ») est conclu en application de l'article 28 du Règlement (UE) 2016/679 (« RGPD ») entre :

Le présent DPA fait partie intégrante des Conditions Générales d'Utilisation auxquelles il est annexé. En cas de contradiction entre les CGU et le présent DPA pour les questions de protection des données, le DPA prévaut.

1. Objet et durée (art. 28.3)

Le présent DPA encadre les opérations de traitement de données à caractère personnel effectuées par Night'Life pour le compte du Responsable, dans le cadre de l'utilisation de la plateforme Night'Life Pro et notamment :

• la gestion du CRM et des fiches clients du Responsable
• l'envoi de campagnes marketing (notifications push, email, SMS) à destination des clients du Responsable
• la gestion des champs personnalisés de billetterie collectés par le Responsable
• la gestion des membres du staff (StaffMember) ajoutés par le Responsable
• la collecte des avis clients et des messages échangés via la messagerie
• la génération de réponses automatisées par IA (lorsque cette fonctionnalité est activée par le Responsable)

Le DPA prend effet à la date d'acceptation des CGU et reste en vigueur tant que le compte Pro est actif. Il survit à la résiliation pour ce qui concerne les obligations de restitution / suppression et de confidentialité.

2. Nature et finalités du traitement (art. 28.3)

Night'Life ne traite les données du Responsable que sur instructions documentées de ce dernier (paramétrages dans le Dashboard, demandes formulées par email, contenu des campagnes lancées). Les finalités sont strictement limitées à la fourniture du Service, à savoir :

• hébergement, stockage et restitution des données du Responsable
• diffusion des campagnes marketing aux destinataires désignés par le Responsable
• traitement des opérations de billetterie et de booking prestataires
• application des règles de modération et anti-fraude définies par Night'Life
• génération de contenus IA strictement liés à la demande du Responsable

Toute utilisation des données à d'autres fins (par exemple à des fins commerciales propres à Night'Life) est exclue, sauf usage strictement statistique à partir de données agrégées et anonymisées ne permettant pas d'identifier le Responsable ni ses clients.

3. Catégories de données et de personnes concernées (art. 28.3)

3.1 Catégories de données

• Données d'identification : prénom, nom, email, téléphone, photo
• Données de contact et préférences (préférences musicales, préférences de notifications)
• Données de fréquentation (réservations, événements, dépenses détectées)
• Données de billetterie (champs personnalisés saisis par les acheteurs)
• Données RH limitées du staff (nom, prénom, email, téléphone, rôle, plannings, notes internes saisies par le Responsable)
• Contenu des messages échangés via la messagerie
• Avis et notes laissés par les clients

Le Responsable s'engage à ne pas collecter de données sensibles(art. 9 RGPD : données de santé, opinions, religion, orientation sexuelle, etc.) via les fonctionnalités proposées par la plateforme. Toute saisie de telles données relève de la seule responsabilité du Responsable et constitue une violation des présentes.

3.2 Catégories de personnes concernées

• Clients et prospects de l'établissement / association
• Acheteurs de billets et invités au nom desquels les billets sont émis
• Membres du staff de l'établissement
• Auteurs d'avis et de messages

4. Obligations de Night'Life en qualité de sous-traitant

4.1 Instructions documentées (art. 28.3.a)

Night'Life ne traite les données qu'à partir d'instructions documentées du Responsable, y compris en matière de transferts hors UE, sauf obligation légale contraire. En présence d'une telle obligation légale, Night'Life en informe le Responsable préalablement, sauf interdiction législative.

4.2 Confidentialité (art. 28.3.b)

Night'Life garantit que toute personne autorisée à traiter les données s'est engagée à la confidentialité ou est soumise à une obligation légale appropriée de confidentialité.

4.3 Sécurité (art. 28.3.c et art. 32)

Night'Life met en œuvre les mesures techniques et organisationnelles suivantes :

• Chiffrement des communications en transit (TLS 1.2+)
• Chiffrement des bases de données au repos (AWS RDS / Supabase)
• Hachage bcrypt des mots de passe
• Authentification par tokens JWT à durée limitée et refresh tokens rotatifs
• Contrôle d'accès par rôles (RBAC) avec séparation pro / utilisateur / admin
• Journalisation des accès administrateurs (AdminAuditLog)
• Sauvegardes chiffrées quotidiennes
• Tests de sécurité réguliers : revue de code, supervision Sentry, scans automatisés des dépendances et des secrets (en cours de déploiement)
• Hébergement applicatif Railway (Europe Irlande) + base de données Supabase / AWS eu-west-3 (Paris)

4.4 Recours à des sous-traitants ultérieurs (art. 28.2 et 28.3.d)

Le Responsable autorise Night'Life à recourir aux sous-traitants ultérieurs listés à l'Annexe A. Night'Life informe le Responsable de tout projet d'ajout ou de remplacement d'un sous-traitant ultérieur au moins 30 jours avant la mise en œuvre, donnant au Responsable la possibilité de s'opposer pour motif légitime. En cas d'opposition non résolue d'un commun accord, le Responsable peut résilier le contrat sans frais.

Night'Life impose à chaque sous-traitant ultérieur des obligations de protection équivalentes à celles du présent DPA et demeure pleinement responsable vis-à-vis du Responsable de l'exécution par ces sous-traitants.

4.5 Assistance aux droits des personnes (art. 28.3.e)

Night'Life met à disposition du Responsable les outils techniques et organisationnels nécessaires pour répondre aux demandes d'exercice des droits des personnes concernées (art. 15 à 22 du RGPD) : export des données client, suppression de fiches, restriction du traitement, etc. Le Responsable demeure l'unique interlocuteur des personnes concernées pour ses propres traitements.

4.6 Assistance générale (art. 28.3.f)

Night'Life assiste le Responsable dans le respect de ses obligations au titre des articles 32 (sécurité), 33-34 (notification de violation), 35-36 (analyse d'impact / consultation préalable), compte tenu de la nature du traitement et des informations à sa disposition.

4.7 Suppression ou restitution des données (art. 28.3.g)

À la résiliation du contrat, et sur instruction expresse du Responsable, Night'Life procède au choix de ce dernier :

• à la restitution des données au format JSON / CSV (export depuis le Dashboard) sous 30 jours, puis
• à la suppression de toutes les données traitées pour le compte du Responsable, dans un délai maximal de 30 jours après la restitution ou la fin du contrat

Sont exceptées les données dont la conservation est imposée par la loi (notamment les données comptables, conservées 10 ans conformément à l'article L123-22 du Code de commerce) et les données strictement nécessaires à l'exécution d'événements de billetterie déjà confirmés.

4.8 Audit et inspections (art. 28.3.h)

Night'Life met à disposition du Responsable toutes les informations nécessaires pour démontrer le respect des obligations de l'article 28 du RGPD (politiques, certifications, rapports de conformité). Le Responsable peut, une fois par an et avec un préavis raisonnable de 30 jours, faire procéder à un audit par un tiers indépendant soumis à un engagement de confidentialité, sauf en cas d'incident avéré ou d'injonction d'une autorité de contrôle, auxquels cas l'audit peut être réalisé sans préavis. Les frais d'audit sont à la charge du Responsable, sauf découverte d'un manquement substantiel imputable à Night'Life.

5. Notification de violation (art. 33)

En cas de violation de données à caractère personnel concernant le traitement effectué pour le compte du Responsable, Night'Life notifie le Responsable sans retard injustifié et au plus tard 72 heures après en avoir pris connaissance, par email à l'adresse de contact du compte Pro et via le Dashboard. La notification précise, dans la mesure du possible :

• la nature de la violation et, si possible, les catégories et le nombre approximatif de personnes et d'enregistrements concernés
• les conséquences probables
• les mesures prises ou proposées pour remédier à la violation et atténuer ses effets
• le point de contact pour toute information complémentaire

Night'Life apporte toute assistance utile au Responsable pour la notification à l'autorité de contrôle (CNIL) et, le cas échéant, aux personnes concernées.

6. Transferts hors Union européenne (art. 44 à 49)

Plusieurs sous-traitants ultérieurs (cf. Annexe A) sont localisés aux États-Unis. Ces transferts sont encadrés par :

• les Clauses contractuelles types (CCT) adoptées par la Commission européenne (décision (UE) 2021/914)
• le cas échéant, la certification au EU-U.S. Data Privacy Framework du sous-traitant

La base de données principale et les fichiers (photos, documents) sont conservés en France (Supabase / AWS eu-west-3 Paris). L'hébergement applicatif est en Irlande (Railway).

7. Obligations du Responsable

Le Responsable garantit :

• disposer d'une base légale (art. 6 RGPD) pour chaque traitement effectué via la plateforme
• informer ses clients, prospects et employés conformément aux articles 13 et 14 du RGPD
• recueillir le consentement préalable lorsque la prospection commerciale par voie électronique l'exige (art. L34-5 CPCE)
• ne pas saisir de données sensibles (art. 9 RGPD) via la plateforme
• tenir un registre des traitements (art. 30 RGPD) couvrant son utilisation de la plateforme
• répondre lui-même aux demandes d'exercice des droits émanant de ses propres clients
• indemniser Night'Life de tout préjudice résultant d'un manquement à ces obligations

8. Responsabilité

La responsabilité de chaque partie au titre du présent DPA est encadrée selon les limites définies dans les CGU et les CGV, sous réserve des dispositions impératives du RGPD. Chaque partie supporte les conséquences financières des amendes administratives qui lui seraient infligées en raison de ses propres manquements.

9. Droit applicable et juridiction

Le présent DPA est régi par le droit français. Tout litige relevant de son interprétation ou de son exécution est soumis à la juridiction stipulée à l'article 17 des CGU professionnelles (Tribunal de commerce d'Antibes).

Annexe A — Sous-traitants ultérieurs autorisés

La liste à jour des sous-traitants est disponible sur simple demande à contact@nightlife-pro.com.

Annexe B — Clauses contractuelles types

Pour les transferts hors UE listés à l'Annexe A, les Clauses contractuelles types adoptées par la décision d'exécution (UE) 2021/914 de la Commission européenne du 4 juin 2021 sont incorporées par référence :

• Module 2 (responsable de traitement → sous-traitant) entre Night'Life et chaque sous-traitant ultérieur situé hors UE
• Module 3 (sous-traitant → sous-traitant) lorsque applicable

La version intégrale des CCT applicables est disponible sur le site de la Commission européenne, et une copie peut être obtenue sur demande auprès de Night'Life.

Acceptation

L'acceptation des CGU professionnelles vaut acceptation du présent DPA pour la durée du contrat. Le Pro est invité à conserver une copie horodatée du présent document accessible depuis la rubrique « Factures & Abonnement » de son Dashboard.