ismoPOS Cloud
POS
Kiosk
Mobile

ismoPOS Cloud

Votre Solution de Vente Connectée

Accord de traitement des données (DPA)

ismoPOS Cloud

Date d'effet : 30 mai 2026

Le présent Accord de traitement des données (« DPA ») fait partie des Conditions d'utilisation entre ismoPOS Cloud (« Sous-traitant ») et le client utilisant le Service (« Responsable du traitement »).

Ce DPA s'applique chaque fois que des données personnelles soumises au Règlement général sur la protection des données (RGPD) sont traitées via ismoPOS Cloud.

1. Définitions

Les termes « Données personnelles », « Traitement », « Personne concernée », « Responsable du traitement », « Sous-traitant », « Autorité de contrôle » et « Violation de données personnelles » ont la signification qui leur est attribuée par le RGPD.

2. Objet du contrat

Le sous-traitant fournit des services de point de vente et de gestion d'entreprise basés sur le cloud qui traitent des données personnelles pour le compte du responsable du traitement.

3. Durée

Le présent DPA reste en vigueur tant que le sous-traitant traite des données personnelles pour le compte du responsable du traitement.

4. Nature et finalité du traitement

Les activités de traitement peuvent inclure :

  • La collecte
  • L'enregistrement
  • Le stockage
  • L'organisation
  • L'extraction
  • L'analyse
  • La transmission
  • La suppression

Finalité du traitement :

  • Opérations de point de vente
  • Gestion de la relation client
  • Programmes de fidélité
  • Gestion des livraisons
  • Gestion des employés
  • Rapports et analyses
  • Administration des affaires

5. Catégories de données

Selon l'utilisation du Service par le responsable du traitement :

Clients

  • Noms
  • Numéros de téléphone
  • Adresses e-mail
  • Adresses de livraison
  • Informations de fidélité
  • Historique des achats

Employés

  • Noms
  • Coordonnées
  • Rôles et autorisations
  • Registres de connexion
  • Journaux d'activité

Fournisseurs

  • Coordonnées
  • Informations sur l'entreprise

6. Obligations du responsable du traitement

Le responsable du traitement doit :

  • Se conformer aux lois applicables sur la protection de la vie privée ;
  • Obtenir tous les consentements nécessaires le cas échéant ;
  • Fournir des avis de confidentialité appropriés ;
  • Assurer la collecte licite des données personnelles ;
  • Émettre des instructions de traitement de manière licite.

7. Obligations du sous-traitant

ismoPOS Cloud doit :

  • Traiter les données uniquement sur instructions documentées ;
  • Garantir la confidentialité du personnel ;
  • Maintenir des mesures de sécurité appropriées ;
  • Aider à la conformité au RGPD dans la mesure du possible ;
  • Notifier au responsable du traitement les violations de données personnelles dans les meilleurs délais ;
  • Supprimer ou renvoyer les données lors de la résiliation lorsque la loi le permet.

8. Mesures de sécurité

Le sous-traitant met en œuvre des mesures comprenant :

  • Chiffrement TLS
  • Hachage des mots de passe
  • Contrôles d'accès basés sur les rôles
  • Journalisation de l'activité
  • Surveillance de l'infrastructure
  • Systèmes de sauvegarde
  • Gestion des vulnérabilités

Les mesures de sécurité peuvent évoluer au fur et à mesure que les normes de l'infrastructure changent.

9. Sous-traitants ultérieurs

Le sous-traitant peut faire appel à des sous-traitants ultérieurs pour :

  • L'hébergement
  • Le stockage de fichiers
  • L'envoi d'e-mails
  • L'envoi de SMS
  • Le traitement des paiements
  • Les analyses

La liste actuelle des sous-traitants ultérieurs peut être publiée sur une page dédiée.

Le sous-traitant reste responsable de veiller à ce que les sous-traitants ultérieurs fournissent une protection adéquate.

10. Transferts internationaux

Lorsque des données personnelles sont transférées en dehors de l'EEE, le sous-traitant met en œuvre des garanties appropriées, notamment :

  • Des clauses contractuelles types (CCT)
  • Des mécanismes de transfert légaux équivalents

11. Droits des personnes concernées

Le sous-traitant doit raisonnablement aider le responsable du traitement à répondre aux :

  • Demandes d'accès
  • Demandes de rectification
  • Demandes de suppression
  • Demandes de portabilité
  • Demandes de limitation
  • Demandes d'opposition

12. Violations de données personnelles

Le sous-traitant notifie le responsable du traitement dans les meilleurs délais après avoir pris connaissance d'une violation de données personnelles affectant les données de ce dernier.

La notification peut inclure :

  • La nature de la violation
  • Les catégories de données concernées
  • Les conséquences probables
  • Les mesures d'atténuation

13. Audits

Lorsque la loi l'exige, le sous-traitant peut fournir des informations raisonnables démontrant sa conformité avec ce DPA.

Tout audit doit :

  • Être raisonnable dans sa portée ;
  • Ne pas compromettre d'autres clients ;
  • Être soumis à des obligations de confidentialité.

14. Suppression des données

Lors de la résiliation du Service :

  • Les données peuvent être exportées par le responsable du traitement ;
  • Le sous-traitant peut conserver les données lorsque la loi l'exige ;
  • Les données restantes peuvent être supprimées de manière sécurisée conformément aux politiques de conservation du sous-traitant.

15. Loi applicable

Le présent DPA est régi par les lois spécifiées dans les Conditions d'utilisation d'ismoPOS Cloud.