← Retour

Ovixa

Accord de Sous-traitance (DPA)

Version 1.0 · Dernière mise à jour : 24/05/2026

Le présent Accord de Sous-traitance des Données (Data Processing Agreement, ci-après « DPA ») est conclu en application de l'article 28 du RGPD (UE 2016/679) entre Ovixa et chaque restaurateur ayant souscrit au service. Il fait partie intégrante du contrat principal.

1. Parties au DPA

Le RESPONSABLE DU TRAITEMENT

Le restaurateur Client de Ovixa, identifié par les informations renseignées dans son compte (raison sociale, SIRET/NIF, etc.).

Le SOUS-TRAITANT

[RAISON SOCIALE À COMPLÉTER], Autónomo en Espagne, exploitant la plateforme Ovixa.

2. Objet et nature du traitement

Ovixa traite les données personnelles des clients finaux du restaurateur pour les besoins exclusifs de la prestation de service décrite dans le contrat principal, notamment :

  • Création et gestion des commandes
  • Gestion de la fidélité client
  • Envoi de notifications transactionnelles (confirmations de commande)
  • Traitement des paiements via Stripe
  • Génération de tickets de caisse et factures
  • Conservation comptable et légale (10 ans)

3. Catégories de données et de personnes concernées

Personnes concernées

  • Clients finaux du restaurateur (commandes en ligne, borne, fidélité)
  • Employés du restaurateur (accès dashboard, caisse, cuisine)

Catégories de données

  • Données d'identification : nom, prénom
  • Coordonnées : email, téléphone, adresse de livraison
  • Données de commande : items, prix, mode de paiement, horodatage
  • Données de fidélité : points, historique d'achats
  • Données techniques : IP, navigateur (pour sécurité)

ℹ️ Ovixa ne traite pas de données sensibles au sens de l'article 9 du RGPD (santé, opinions politiques, religion, etc.). Si le Responsable du traitement souhaite collecter de telles données (ex: allergies alimentaires), il s'engage à recueillir un consentement explicite.

4. Obligations du Sous-traitant (Ovixa)

Conformément à l'article 28 du RGPD, Ovixa s'engage à :

  • a) Traiter les données uniquement sur instructions documentées du Responsable
  • b) Garantir que les personnes autorisées au traitement s'engagent à respecter la confidentialité
  • c) Mettre en œuvre toutes les mesures de sécurité requises (article 32 RGPD)
  • d) Respecter les conditions de recours à un autre sous-traitant (article 28.2 et 28.4)
  • e) Aider le Responsable à répondre aux demandes des personnes concernées
  • f) Aider le Responsable à respecter ses obligations (sécurité, notification, AIPD, consultation préalable)
  • g) Supprimer ou restituer les données à la fin du contrat (au choix du Responsable)
  • h) Mettre à disposition toutes informations nécessaires pour démontrer le respect des obligations

5. Mesures de sécurité (article 32 RGPD)

Ovixa met en œuvre les mesures techniques et organisationnelles suivantes :

  • Chiffrement des données en transit (HTTPS/TLS 1.3)
  • Chiffrement des données au repos (AES-256)
  • Hachage des mots de passe (bcrypt)
  • Authentification forte (Row Level Security Supabase)
  • Sauvegardes quotidiennes
  • Journalisation des accès et modifications
  • Tests de sécurité réguliers
  • Politique de mots de passe robustes
  • Mise à jour régulière des dépendances

6. Sous-traitants ultérieurs autorisés

Le Responsable autorise Ovixa à recourir aux sous-traitants suivants pour l'exécution du service :

Sous-traitantFinalitéLocalisation
SupabaseBase de donnéesUE (Francfort)
VercelHébergement applicationÉtats-Unis*
StripePaiementsIrlande / UE

* Transfert hors UE encadré par les clauses contractuelles types de la Commission européenne (décision 2021/914).

En cas d'ajout ou de remplacement d'un sous-traitant, Ovixa informe le Responsable au moins 30 jours avant. Le Responsable peut s'opposer en résiliant son contrat sans frais.

7. Notification de violation de données

En cas de violation de données personnelles concernant le Responsable, Ovixa s'engage à le notifier dans les 72 heures suivant la prise de connaissance, par email, en précisant :

  • La nature de la violation
  • Les catégories et le nombre approximatif de personnes concernées
  • Les conséquences probables
  • Les mesures prises ou proposées

8. Droit des personnes concernées

Lorsqu'un client final exerce ses droits RGPD (accès, rectification, effacement, etc.) directement auprès de Ovixa, celui-ci transmet la demande au Responsable du traitement (le restaurateur) qui est tenu d'y répondre dans les 30 jours.

Ovixa met à disposition un système permettant au Responsable de gérer ces demandes via l'onglet « RGPD » de son tableau de bord.

9. Audit

Le Responsable peut demander, à ses frais et avec un préavis de 30 jours, un audit de conformité une fois par an. L'audit doit être réalisé par un tiers indépendant agréé et ne doit pas perturber le service.

10. Fin du traitement

À la fin du contrat, le Responsable peut choisir entre :

  • Restitution : export des données dans un format standard (CSV/JSON) sous 30 jours
  • Suppression : destruction définitive sous 60 jours

Exception : Ovixa conservera les données nécessaires au respect d'obligations légales (comptabilité 10 ans, anti-fraude fiscale 6 ans).

11. Responsabilité

Chaque partie est responsable des dommages résultant du non-respect de ses obligations RGPD. Conformément à l'article 82 du RGPD, le Responsable et le Sous-traitant sont tenus solidairement vis-à-vis des personnes concernées, à charge pour celui ayant indemnisé d'exercer un recours contre l'autre partie.

Voir aussi : Mentions légales · CGV · CGU · Confidentialité