Données relatives à l'utilisation de nos services

Les informations personnelles du Client, recueillies notamment lors de la création des Comptes Administrateurs, font l'objet d'un traitement par le Prestataire dans le but d'assurer l'exécution des Services ainsi que la gestion et le suivi de la relation avec le Client.

Le Prestataire peut partager les données du Client avec des sous-traitants qu'il engage pour assurer l'exécution des Services, sous réserve d'un accord explicite de ce dernier.

Le Prestataire s'engage à ne conserver les données collectées que pendant la durée nécessaire à la finalité du traitement.

Conformément à la réglementation en vigueur sur la protection des données personnelles, en particulier le Règlement Européen n°2016/679 du 27 avril 2016 et la Loi informatique et libertés du 6 janvier 1978 modifiée, le Client a les droits suivants :

• Droit d'accès, de rectification, d'effacement et de portabilité de ses données,

• Droit à la limitation du traitement de ses données,

• Droit d'opposition au traitement de ses données et à leur utilisation à des fins de prospection commerciale,

• Droit de définir des directives relatives au sort de ses données après son décès,

• Droit de ne pas être soumis à la prise de décision automatisée, y compris de ne pas faire l'objet de mesures de profilage.

Ces droits peuvent être exercés en envoyant un courrier à l'adresse de l'établissement du Prestataire.

Données relatives aux Utilisateurs

Le Prestataire s'engage à respecter les engagements stipulés dans la présente clause et à faire respecter ses termes par ses personnels, permanents ou non permanents, ainsi que par ses éventuels sous-traitants, en appliquant des engagements similaires à ceux énoncés ci-dessous.

Cette clause définit les conditions dans lesquelles le Prestataire s'engage, pour le compte du Client, en tant que responsable du traitement des données personnelles des Utilisateurs, à effectuer les opérations définies ci-après.

Dans ce cadre, les Parties s'engagent à respecter la réglementation en vigueur applicable au traitement des données personnelles, notamment le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, applicable à partir du 25 mai 2028 (ci-après le "RGPD").

Le Prestataire est autorisé à traiter, pour le compte du responsable du traitement (le Client), les données personnelles des Utilisateurs nécessaires pour fournir les Services souscrits.

Les opérations réalisées sur les données incluent l'enregistrement, l'organisation, la structuration, la conservation, l'extraction, la consultation, l'utilisation, la transmission par communication, la diffusion ou toute autre mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.

La finalité du traitement est l'exécution des obligations stipulées dans les présentes ou dans toute documentation ou annexe portée à l'attention du Client par le Prestataire.

Les données de l'Utilisateur comprennent celles initialement collectées par le Client lors de la création d'un compte personnel pour l'utilisation de l'Application, auxquelles s'ajoutent celles nécessaires à l'exécution des présentes. Ces données comprennent le nom, prénom, date de naissance, photo de profil, préférences alimentaires, numéro de téléphone mobile, e-mail, coordonnées bancaires et information TRD. Le Client s'engage à mettre à disposition du Prestataire les informations susmentionnées, ainsi que celles nécessaires à l'exécution des présentes.

Le Prestataire s'engage à :

Traiter les données uniquement pour la ou les finalité(s) faisant l'objet de la sous-traitance ;

Traiter les données conformément aux instructions documentées du responsable du traitement ;

Garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent contrat ;

Veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat respectent la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité, et reçoivent la formation nécessaire en matière de protection des données à caractère personnel ;

Prendre en compte, pour ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut ;

• Informer préalablement et par écrit le responsable de traitement de tout changement envisagé concernant l'ajout ou le remplacement d'autres sous-traitants.

• Le responsable de traitement dispose d'un délai minimum de quinze (15) jours pour présenter ses objections. La sous-traitance ne peut être effectuée que si le responsable de traitement n'a pas émis d'objection pendant le délai convenu.

Le Prestataire informe le Client que, pour assurer le service de paiement des Commandes des Utilisateurs, il fait appel aux prestataires suivants : EDENRED, MONIZZE, SODEXO, UBER EATS, DELIVEROO, TAKEAWAY, EASY ORDER.

• Il appartient au responsable de traitement de fournir l'information aux personnes concernées par les opérations de traitement au moment de la collecte des données.

• Lorsque les personnes concernées exercent auprès du sous-traitant des demandes d'exercice de leurs droits, le sous-traitant doit adresser ces demandes dès réception par courrier électronique à l'adresse de contact de My Tannour.

Le sous-traitant notifie au responsable de traitement toute violation de données à caractère personnel dans un délai maximum de vingt-quatre (24) heures après en avoir pris connaissance, accompagnée de toute documentation utile pour permettre au responsable de traitement, si nécessaire, de notifier cette violation à l'autorité de contrôle compétente.

• Sous réserve des stipulations de l'article 7.1 ci-dessus, le sous-traitant s'engage à mettre en œuvre les mesures de sécurité suivantes : pseudonymisation et chiffrement des données à caractère personnel, moyens assurant la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement, moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique.

• Au terme de la prestation de services relatifs au traitement de ces données, le sous-traitant s'engage à détruire toutes les données à caractère personnel, à les renvoyer au responsable de traitement ou à les renvoyer au sous-traitant désigné par le responsable de traitement, selon le choix du responsable de traitement.

• Le sous-traitant tient un registre écrit de toutes les catégories d'activités de traitement effectuées pour le compte du responsable de traitement.

Le responsable de traitement s'engage à fournir au sous-traitant les données nécessaires dans les conditions et selon les modalités définies dans les présentes, documenter par écrit toute instruction concernant le traitement des données par le sous-traitant, veiller au respect des obligations prévues par le RGPD du sous-traitant, et superviser le traitement en réalisant les audits et les inspections nécessaires.

Le Client est responsable du traitement réalisé par le Prestataire pour l'exécution des présentes, des données personnelles des Utilisateurs. Le Prestataire est responsable de tout acte de ses sous-traitants qui ne serait pas conforme à l'état de l'art ou à la réglementation en la matière.

Le Prestataire s'engage à ne pas exploiter ou utiliser les données du Client, à ne pas faire de copies et à ne pas créer de fichiers à des fins propres ou pour le compte de tiers.

Sur demande du Client, le Prestataire s'engage à indiquer à tout moment les lieux géographiques de traitement, de stockage et de transit des données utilisés pour fournir les Services au Client, afin que ce dernier puisse se conformer aux exigences légales applicables.

• De même, le Prestataire s'engage à :

• Mettre en œuvre ses meilleurs efforts, pour le compte de ses éventuels sous-traitants, pour collaborer et aider le Client, en lui fournissant toutes les informations nécessaires pour se conformer aux exigences légales ou réglementaires concernant la protection des données personnelles.

• Prendre toutes les mesures nécessaires pour la protection de la sécurité et de la confidentialité des données, en particulier lors de leur traitement, de leur sauvegarde, de leur archivage ou de leur transfert vers des pays situés en dehors de l'Union européenne et ne bénéficiant pas d'une protection adéquate en matière de données personnelles selon une décision officielle de la Commission européenne.

• En cas de sous-traitance dans des pays hors de l'Union européenne sans niveau de protection adéquat, le Prestataire s'engage à ce que le sous-traitant adhère aux dispositions du présent Article et aux clauses contractuelles pour le transfert de Données à caractère personnel vers des sous-traitants établis dans des pays tiers, en signant un contrat spécifique relatif au transfert de Données à caractère personnel dans un pays hors Union européenne et ne bénéficiant pas d'un niveau de protection adéquat, dont un modèle sera transmis par le Client. Ce contrat sera signé de manière tripartite entre le Client (responsable de traitement), le Prestataire (exportateur des données) et le sous-traitant hors UE (importateur des données).