Contrat de sous-traitance — Article 28 RGPD

Version 1.0. Ce contrat est conclu entre le restaurateur (responsable de traitement, ci-après « Client ») et Izee Résa (sous-traitant, ci-après « Prestataire ») dès la création du compte sur la plateforme.

1. Objet

Le Prestataire traite, pour le compte du Client, les données personnelles des clients finaux dans le cadre de l'exploitation du service de réservation en ligne Izee Résa.

2. Nature, finalités et durée du traitement

Nature : collecte, stockage chiffré, transmission au Client (back-office), envoi automatique d'emails et SMS de confirmation, analyse statistique anonymisée, suppression automatique au terme de la durée de conservation.
Finalités : gestion des réservations, communication transactionnelle, statistiques de fréquentation.
Durée : pour toute la durée de l'abonnement commercial, complétée par une durée de conservation post-réservation de 36 mois.

3. Catégories de données traitées

Identité (prénom, nom)
Coordonnées (email, téléphone) — chiffrées au repos
Données de réservation (date, heure, couverts, message libre)
Métadonnées techniques (adresse IP du widget, user-agent) à des fins anti-abus
Données de paiement (option empreinte CB) : tokens Stripe uniquement. Aucun numéro de carte en clair n'est stocké ni transmis au Prestataire ; les saisies CB transitent exclusivement via Stripe (certifié PCI DSS Level 1).

3 bis. Flux financiers (option empreinte CB anti-no-show)

Lorsque le Client active la fonctionnalité « empreinte CB anti-no-show », il devient marchand via Stripe Connect Express et contracte directement avec Stripe Payments Europe Ltd. Les éventuels frais de no-show sont encaissés directement sur le compte bancaire du Client, sans passer par Izee Résa. Le Prestataire agit uniquement comme intermédiaire technique pour la création des tokens et l'orchestration des hold/capture.

4. Catégories de personnes concernées

Clients finaux (« diners ») effectuant une réservation auprès du Client via le widget Izee Résa.

5. Obligations du Prestataire

Ne traiter les données que sur instructions documentées du Client.
Garantir la confidentialité par chiffrement au repos (AES-256 via Izee Résa).
Mettre en œuvre les mesures techniques et organisationnelles appropriées (Article 32 RGPD).
Notifier toute violation de données dans les 72 heures.
Aider le Client à répondre aux demandes des personnes concernées (droits d'accès, suppression, etc.).
Supprimer ou restituer les données à la fin du contrat.
Mettre à disposition les éléments nécessaires aux audits (sur demande motivée).

6. Sous-traitants ultérieurs

Le Prestataire est autorisé à recourir aux sous-traitants suivants :

Sous-traitant	Finalité	Localisation
Stripe Payments Europe	Encaissement abonnement	Irlande / UE
o2switch	Hébergement	France

Toute évolution sera notifiée au Client par email avec un préavis de 30 jours, lui permettant de s'y opposer.

7. Mesures de sécurité

Chiffrement TLS pour les transmissions.
Chiffrement AES-256 au repos pour les emails et téléphones des clients finaux.
Hashage des emails (SHA-256) pour les recherches sans déchiffrement.
Logs purgés des PII via masquage automatique.
Audit log de tout accès en back-office aux données personnelles.
Sauvegardes quotidiennes chiffrées, conservées 30 jours.
Authentification à deux facteurs disponible sur les comptes administrateurs (à activer côté restaurateur).

8. Lieu d'hébergement

o2switch — 222 boulevard Gustave Flaubert, 63000 Clermont-Ferrand, France.

9. Acceptation

Le Client accepte le présent contrat lors de la création de son compte sur la plateforme Izee Résa, par le biais d'une case à cocher explicite. Cette acceptation, datée et horodatée, est conservée à titre de preuve.

10. Modification

Toute modification matérielle entraîne une nouvelle version (incrémentation du numéro de version), notifiée par email avec un préavis raisonnable. Le Client peut résilier sans frais en cas de désaccord.