Le présent Accord de traitement des données (« ATD ») fait partie intégrante de l'Accord de plateforme conclu entre wakesys sàrl (« Sous-traitant », « wakesys », « nous ») et le Parc identifié dans le formulaire de commande (« Responsable du traitement », « Parc », « tu », « ton »).
Le présent ATD reflète l'accord des parties concernant le traitement des données à caractère personnel conformément aux exigences des lois sur la protection des données, y compris le Règlement général sur la protection des données (UE) 2016/679 (« RGPD »).
1. Définitions
- « Lois sur la protection des données » désigne toutes les lois applicables relatives à la protection des données et à la vie privée, y compris le RGPD.
- « Données à caractère personnel » désigne toute information relative à une personne physique identifiée ou identifiable traitée par wakesys pour le compte du Responsable du traitement.
- « Traitement » désigne toute opération effectuée sur les données à caractère personnel, y compris la collecte, le stockage, l'utilisation, la divulgation et la suppression.
- « Personne concernée » désigne l'individu auquel se rapportent les données à caractère personnel.
- « Sous-traitant » désigne tout tiers engagé par wakesys pour traiter des données à caractère personnel pour le compte du Responsable du traitement.
- « Violation de données » désigne une atteinte à la sécurité conduisant à une divulgation non autorisée ou à un accès non autorisé aux données à caractère personnel.
- « Clauses contractuelles types » désigne les clauses contractuelles adoptées par la Commission européenne pour les transferts internationaux de données.
2. Champ d'application et rôles
2.1 Rôles
- Tu (le Parc) es le Responsable du traitement. Tu determines les finalités et les moyens du traitement des données à caractère personnel de tes clients.
- wakesys est le Sous-traitant. Nous traitons les données à caractère personnel uniquement pour ton compte et conformément à tes instructions documentées.
2.2 Objet
Le présent ATD s'applique au traitement des données à caractère personnel par wakesys dans le cadre de la fourniture des services de la plateforme.
2.3 Durée
Le présent ATD restera en vigueur pendant toute la durée de l'Accord de plateforme.
3. Détails du traitement
3.1 Nature et finalité
wakesys traite les données à caractère personnel pour fournir les services de la plateforme, notamment :
- Le traitement et la gestion des réservations
- Le traitement des paiements
- La gestion des décharges numériques
- L'envoi d'e-mails transactionnels
- La fourniture de fonctionnalités de gestion client
- La génération de rapports et d'analyses
3.2 Catégories de personnes concernées
- Les clients qui réservent ou achètent via la plateforme
- Les invités ajoutés aux réservations par les clients
- Les visiteurs qui signent des décharges ou s'inscrivent sur place
3.3 Types de données à caractère personnel
| Catégorie | Types de données |
|---|
| Données d'identité | Nom, date de naissance, genre |
| Données de contact | Adresse e-mail, numéro de téléphone, adresse |
| Données de transaction | Détails des réservations, historique d'achats, dossiers de paiement |
| Données de décharge | Décharges signées, signatures, contacts d'urgence |
| Données techniques | Adresse IP, informations du navigateur, données de l'appareil |
4. Obligations du Responsable du traitement
En tant que Responsable du traitement, tu es responsable de :
- T'assurer que tu disposes d'une base légale pour le traitement des données à caractère personnel
- Fournir des notices de confidentialité appropriées aux personnes concernées
- Obtenir les consentements nécessaires lorsque requis
- Répondre aux demandes des personnes concernées
- La conformité aux lois applicables en matière de protection des données
5. Obligations du Sous-traitant
5.1 Instructions de traitement
wakesys s'engage à :
- Traiter les données à caractère personnel uniquement conformément à tes instructions documentées
- T'informer si nous estimons qu'une instruction viole les lois sur la protection des données
5.2 Confidentialité
wakesys s'assure que les personnes autorisées à traiter les données à caractère personnel sont tenues par des obligations de confidentialité.
5.3 Mesures de sécurité
Mesures techniques :
- Chiffrement des données en transit (TLS 1.2+/HTTPS)
- Chiffrement des données au repos (AES-256) pour les données sensibles
- Hachage sécurisé des mots de passe (bcrypt avec sel)
- Infrastructure d'hébergement sécurisée (AWS et Fly.io)
- Sauvegardes automatisées avec chiffrement
- Pare-feu réseau et détection d'intrusion (via les hébergeurs)
Mesures organisationnelles :
- Accords de confidentialité des employés
- Principe du moindre privilège pour l'accès aux données
- Accès restreint au personnel essentiel uniquement
- Sous-traitants limités à des prestataires établis et conformes au RGPD
- Révision régulière des droits d'accès
5.4 Assistance pour les droits des personnes concernées
wakesys t'assistera dans la réponse aux demandes des personnes concernées (accès, rectification, effacement, portabilité, etc.) en fournissant les fonctionnalités pertinentes dans la plateforme et une coopération raisonnable. Tu es responsable de répondre directement aux personnes concernées.
5.5 Assistance pour la conformité
Compte tenu de la nature du traitement et des informations disponibles, wakesys t'assistera pour les analyses d'impact relatives à la protection des données et les consultations avec les autorités de contrôle, dans la mesure requise.
5.6 Droits d'audit
wakesys mettra à ta disposition toutes les informations nécessaires pour démontrer la conformité au présent ATD et permettra et contribuera aux audits, y compris les inspections, menés par toi ou un auditeur mandaté par toi. Ces audits seront réalisés avec un préavis raisonnable (au moins 30 jours) et pendant les heures ouvrables normales, pas plus d'une fois par an sauf exigence d'une autorité de contrôle. Le Responsable du traitement supportera les coûts de tout audit, y compris toute rémunération raisonnable pour le temps et les ressources du personnel de wakesys impliqués.
6. Sous-traitants
6.1 Autorisation
Tu autorises wakesys à engager des Sous-traitants. wakesys reste pleinement responsable des actes et omissions de ses Sous-traitants.
6.2 Sous-traitants actuels
| Sous-traitant | Finalité | Localisation |
|---|
| Amazon Web Services (AWS) | Hébergement cloud et base de données | Francfort, Allemagne (UE) |
| Fly.io | Hébergement cloud, base de données et infrastructure | Francfort, Allemagne (UE) |
| Stripe | Traitement des paiements | USA (CCT UE) |
| PayPal | Traitement des paiements | Luxembourg (UE) / USA |
| Adyen | Traitement des paiements | Pays-Bas (UE) |
| Omise | Traitement des paiements (Asie-Pacifique) | Thaïlande / Singapur |
| SendGrid (Twilio) | Livraison d'e-mails transactionnels | USA (CCT UE) |
| Omnisend | Marketing par e-mail (intégration Parc) | USA / Lituanie (UE) |
| Hotjar | Enregistrements de session et heatmaps (échantillonnés, PII masqués) | Malte (UE) |
6.3 Modifications des Sous-traitants
wakesys te notifiera toute modification prévue des Sous-traitants au moins 30 jours avant la modification.
7. Transferts internationaux de données
7.1 Stockage principal
Les données à caractère personnel sont principalement stockées au sein de l'Union européenne (AWS et Fly.io, Francfort, Allemagne).
7.2 Transferts hors UE/EEE
Lorsque des données à caractère personnel sont transférées vers des pays hors UE/EEE, wakesys s'assure que des garanties appropriées sont en place, y compris les Clauses contractuelles types.
8. Violation de données
8.1 Notification
wakesys te notifiera sans délai indu (et en tout état de cause dans les 48 heures) dès qu'il aura connaissance d'une violation de données.
8.2 Coopération
wakesys coopérera avec toi pour enquêter, atténuer et remédier à la violation.
9. Suppression et restitution des données
À la résiliation de l'Accord de plateforme :
- Tu peux demander une exportation de tes données à caractère personnel dans les 30 jours
- wakesys supprimera les données à caractère personnel après 30 jours ou sur ta confirmation
10. Coordonnées
Contact protection des données
wakesys sàrl
3, montée St. Hubert
8387 Koerich
Luxembourg
E-mail : info@wakesys.com
11. Droit applicable
Le présent ATD est régi par le droit luxembourgeois. Tout litige sera résolu exclusivement devant les tribunaux de la ville de Luxembourg, Luxembourg.