Accord de Sous-Traitance des Données à Caractère Personnel (DPA)

Conforme à l'article 28 du Règlement (UE) 2016/679 (RGPD)

Dernière mise à jour : 3 juin 2026

Cet accord, conforme à l'article 28 du RGPD, est signé individuellement par chaque commerçant client lors de la souscription. Les informations propres au commerçant (raison sociale, adresse, SIRET, représentant, dates) sont complétées au moment de la signature.

La version générale est consultable ci-dessous. Pour votre version personnalisée et signée, connectez-vous à votre espace ou contactez contact@rytual.fr.

Entre les soussignés

LE SOUS-TRAITANT

Regis MENDY, exerçant sous le régime de l'Entreprise Individuelle, dénommé commercialement « Rytual »,

  • SIRET : 847 955 499 00029
  • Siège : 29 Allée du buisson cocher, 77700 SERRIS, France
  • Contact : contact@rytual.fr

Ci-après dénommé « Rytual » ou « le Sous-traitant »,

D'UNE PART,

ET

LE RESPONSABLE DE TRAITEMENT

, , immatriculé(e) sous le numéro , dont le siège est situé , représenté(e) par en qualité de, joignable à l'adresse ``.

Ci-après dénommé « le Commerçant » ou « le Responsable de Traitement »,

D'AUTRE PART.

Préambule

Le Commerçant a souscrit à la prestation de services « Rytual » qui consiste à proposer aux clients finaux du Commerçant un mécanisme de roue de récompense déclenché en boutique par scan d'un QR code, accompagné de fonctionnalités annexes (capture d'email opt-in, mesure de satisfaction NPS, validation de gains au comptoir, statistiques).

Dans le cadre de l'exécution de cette prestation, Rytual est amené à traiter pour le compte du Commerçant des données à caractère personnel relatives aux clients finaux de ce dernier. À ce titre, le Commerçant agit en qualité de Responsable de Traitement au sens de l'article 4-7 du RGPD, et Rytual agit en qualité de Sous-traitant au sens de l'article 4-8 du RGPD.

Le présent accord (ci-après « le DPA ») a pour objet de définir, conformément à l'article 28 du RGPD, les conditions dans lesquelles Rytual s'engage à effectuer pour le compte du Commerçant les opérations de traitement de données à caractère personnel décrites ci-après.

Article 1 — Objet et durée de l'accord

1.1 Objet. Le présent DPA encadre l'ensemble des traitements de données à caractère personnel effectués par Rytual pour le compte du Commerçant dans le cadre du contrat principal de souscription à la plateforme Rytual (ci-après « le Contrat Principal »).

1.2 Durée. Le présent DPA prend effet à compter du `` et reste applicable pendant toute la durée du Contrat Principal. Il continue par ailleurs à produire ses effets pour une période de trente (30) jours calendaires après la résiliation ou l'expiration du Contrat Principal.

1.3 Articulation avec le Contrat Principal. En cas de contradiction entre une stipulation du Contrat Principal et une stipulation du présent DPA portant sur la protection des données personnelles, la stipulation du DPA prévaut.

Article 2 — Nature et finalité du traitement

Rytual traite les données à caractère personnel des clients finaux du Commerçant dans le but exclusif de :

  • enregistrer les scans de QR code effectués en boutique ;
  • déclencher et journaliser les tirages (« spins ») de la roue Rytual ;
  • attribuer, suivre et permettre la validation au comptoir des récompenses (gains) ;
  • recueillir, lorsque l'utilisateur final y consent expressément, son adresse email à des fins de communication commerciale par le Commerçant (opt-in) ;
  • mesurer la satisfaction des utilisateurs finaux via un score NPS anonyme ;
  • produire des statistiques agrégées de fréquentation et de performance commerciale destinées au Commerçant ;
  • assurer la sécurité technique du service (prévention de la fraude, lutte contre les abus, journalisation des accès administrateurs).

Article 2 bis — Finalités acceptables limitatives côté Commerçant (usage de la liste email)

Le présent article encadre l'usage que le Commerçant (Responsable de Traitement) peut faire des adresses email collectées via Rytual, qu'il télécharge en clair ou exploite via les fonctionnalités d'envoi mises à disposition.

2 bis.1 — Finalités autorisées (liste limitative). Le Commerçant s'engage à n'utiliser les adresses email captées que pour les finalités suivantes, en lien direct avec son activité commerciale :

  1. Annonces de nouvelles roues, spins ou jeux organisés par le Commerçant ;
  2. Offres commerciales du Commerçant : remises, promotions, événements ponctuels ;
  3. Actualités du commerce : nouveautés produits, changements d'horaires, plat du jour, ouvertures exceptionnelles ;
  4. Rappels de récompenses non utilisées émis dans la fenêtre courant entre J-7 et J-1 avant expiration de la validité du gain (rewardValidityHours).

2 bis.2 — Finalités expressément interdites. Le Commerçant s'interdit, sans que cette liste soit limitative :

  1. La cession, location ou partage de tout ou partie de la liste à un tiers, à titre gratuit ou onéreux ;
  2. La prospection pour le compte de tiers (autres commerces, services externes, plateformes, partenaires) ;
  3. Le profilage publicitaire ou le scoring comportemental des destinataires ;
  4. Toute finalité non commerciale du Commerçant, notamment politique, religieuse, syndicale, philosophique ou idéologique.

2 bis.3 — Obligations de forme. Tout courrier électronique adressé sur la base d'un email capté via Rytual doit comporter :

  • l'identification claire de l'expéditeur (Commerçant) ;
  • un lien de désinscription en 1 clic fonctionnel, conformément à l'article 21 du RGPD et à l'article L. 34-5 du Code des postes et communications électroniques (LCEN) ;
  • la mention de la finalité.

2 bis.4 — Garantie du Commerçant. Le Commerçant déclare et garantit sur l'honneur respecter les finalités énumérées au 2 bis.1 et s'abstenir des usages prohibés au 2 bis.2. Cette déclaration est réputée renouvelée à chaque exportation de la liste et à chaque envoi de campagne.

2 bis.5 — Sanction. Le manquement à l'une des stipulations du présent article constitue une violation substantielle du DPA et du Contrat Principal, autorisant Rytual à résilier de plein droit, sans préavis ni indemnité, par notification écrite, sans préjudice des dommages-intérêts et des poursuites prévues par les articles 82 et 83 du RGPD.

Article 3 — Catégories de personnes concernées

  • les clients finaux du Commerçant ayant scanné le QR code Rytual affiché en boutique ;
  • accessoirement, les personnels du Commerçant ayant accès à l'interface d'administration Rytual.

Article 4 — Catégories de données traitées

CatégorieDescriptionDurée de conservation
Adresse IPAdresse IP de connexion lors d'un scan/spin60 jours en clair, puis hachée
Empreinte navigateur (fingerprint)Identifiant technique anti-fraude90 jours, puis suppression
Email opt-inEmail consenti explicitement par le client finalEn clair pour le Commerçant + hash conservé pour déduplication statistique
Score NPSNote de satisfaction anonymeDurée du Contrat Principal
Données de scan / spinToken, secretCode de validation, dates et heures, date de retrait différé (pickableAt, null = récupération immédiate) lorsque le Commerçant active le retrait différé du cadeau13 mois glissants
Événements de délivrabilité email (EmailEvent)Empreinte e-mail (SHA256, jamais l'adresse en clair), type d'événement (rejet « hard », plainte, livraison), motif éventuel13 mois glissants
Comptes administrateurs (identifiants)Email, mot de passe haché (bcrypt)Durée du Contrat Principal + 30 jours
Journal d'accès administrateur (AdminAccessLog)Trace des consultations administrateur des données nominatives12 mois glissants

Aucune donnée sensible au sens de l'article 9 du RGPD n'est traitée par Rytual.

Traitement des rejets et plaintes email (webhooks signés). Le prestataire d'envoi (Resend) notifie Rytual des événements de délivrabilité (rejet « hard » = adresse invalide, plainte = signalement spam) via des webhooks signés. Rytual, en sous-traitant, enregistre ces événements de façon minimisée (empreinte e-mail uniquement) et marque automatiquement l'adresse concernée comme désinscrite (unsubscribedAt) : les envois marketing ultérieurs devront respecter ce statut (sécurité art. 32 + opposition art. 21 RGPD). Les envois transactionnels liés à l'exécution du service (code de récompense, notification de changement de roue) ne sont pas suspendus à ce titre.

Aucun envoi marketing par Rytual. Rytual n'effectue aucun envoi d'e-mail marketing au nom du Commerçant. Le Commerçant, responsable de traitement, réalise ses propres campagnes via ses outils ; Rytual se limite à mettre à disposition les adresses consenties (export), en excluant les adresses désinscrites ou effacées. Le Commerçant demeure seul responsable du respect du consentement et du droit d'opposition lors de ses envois.

Article 5 — Obligations du Sous-traitant

Conformément à l'article 28.3 du RGPD, Rytual s'engage à :

5.1 Agir sur instruction. Ne traiter les données qu'en se conformant aux instructions documentées du Commerçant.

5.2 Confidentialité. Garantir que toute personne autorisée à accéder aux données dans le cadre de l'exécution du service est tenue à une obligation de confidentialité. Le personnel de Rytual habilité à manipuler les données est formé aux exigences du RGPD et tous les accès administrateurs sont journalisés dans le registre interne AdminAccessLog.

5.3 Sécurité. Mettre en œuvre les mesures techniques et organisationnelles appropriées détaillées à l'article 9.

5.4 Notification de violation. Notifier au Commerçant, dans un délai maximal de soixante-douze (72) heures à compter de la prise de connaissance d'une violation de données à caractère personnel, toute violation visée à l'article 33 du RGPD.

5.5 Assistance aux droits des personnes. Aider le Commerçant à répondre aux demandes d'exercice de droits (accès, rectification, effacement, limitation, portabilité, opposition — art. 12 à 22 RGPD).

5.6 Assistance à la conformité. Aider le Commerçant à se conformer à ses obligations en matière de sécurité (art. 32) — notamment par la fourniture automatisée des événements de délivrabilité email (rejets/plaintes) permettant la suppression proactive des adresses invalides ou opposées —, de notification de violation (art. 33-34), d'analyse d'impact (art. 35) et de consultation préalable (art. 36).

5.7 Restitution ou effacement. Selon le choix exprimé par le Commerçant dans les 30 jours suivant la fin du Contrat Principal, soit restituer les données dans un format structuré (CSV/JSON), soit procéder à leur effacement définitif. À défaut d'instruction expresse, la suppression sera la mesure par défaut.

5.8 Mise à disposition d'informations. Mettre à disposition du Commerçant toute information nécessaire à la démonstration du respect des obligations issues de l'article 28 du RGPD.

Article 6 — Sous-traitants ultérieurs

6.1 Autorisation générale. Le Commerçant donne au Sous-traitant une autorisation générale de recourir à des sous-traitants ultérieurs pour l'exécution du service.

6.2 Liste autorisée.

  • Vercel Inc.

    • Rôle : Hébergement applicatif (plateforme web Next.js, CDN edge, fonctions serverless)
    • Adresse : 440 N Barranca Ave #4133, Covina, CA 91723, États-Unis
    • Pays : USA
    • Garantie de transfert : CCT 2021/914 + DPF si applicable

  • Neon, LLC (affiliée de Databricks, Inc.)

    • Rôle : Hébergement de la base de données (données personnelles des utilisateurs)
    • Adresse : 209 Kearny St, San Francisco, CA 94108, États-Unis
    • Pays : Union européenne — Francfort (région eu-central-1) ; entité contractante aux États-Unis
    • Garantie de transfert : Aucun transfert hors UE pour les données client (région eu-central-1) ; entité Neon Inc. US encadrée par CCT 2021/914 + DPF si applicable

  • Cloudflare, Inc.

    • Rôle : DNS managé + CDN (résolution de noms, protection anti-DDoS)
    • Adresse : 101 Townsend Street, San Francisco, CA 94107, États-Unis
    • Pays : USA
    • Garantie de transfert : CCT 2021/914 + DPF si applicable

6.3 Information préalable. Rytual s'engage à informer le Commerçant de tout changement envisagé concernant l'ajout ou le remplacement d'un sous-traitant ultérieur, au moins trente (30) jours calendaires avant la mise en œuvre effective.

6.4 Obligations équivalentes. Rytual impose contractuellement à chacun de ses sous-traitants ultérieurs des obligations de protection des données équivalentes à celles du présent DPA.

Article 7 — Transferts hors Union européenne

Certains sous-traitants ultérieurs étant établis hors de l'Espace Économique Européen, notamment aux États-Unis, des transferts de données vers ces pays peuvent survenir. Ces transferts sont encadrés par les Clauses Contractuelles Types (CCT) adoptées par la Commission Européenne (décision d'exécution UE 2021/914 du 4 juin 2021), et le cas échéant par le Data Privacy Framework UE–USA lorsque le sous-traitant y adhère.

Article 8 — Coopération avec l'autorité de contrôle

Le Sous-traitant s'engage à coopérer avec la CNIL ou toute autre autorité de contrôle compétente, et à informer sans délai le Commerçant de toute demande contraignante émanant d'une telle autorité.

Article 9 — Mesures techniques et organisationnelles

  • Chiffrement en transit : HTTPS / TLS 1.2 minimum
  • Chiffrement au repos : bcrypt pour mots de passe, vault pour secrets d'infrastructure
  • Sauvegardes quotidiennes chiffrées avec rotation glissante
  • Politique de rétention automatisée (cron anonymize)
  • Journalisation des accès administrateurs (registre AdminAccessLog)
  • Cloisonnement logique des données par Commerçant
  • Tests et revue de sécurité réguliers

Article 10 — Sort des données en fin de contrat

Au terme du Contrat Principal, le Commerçant dispose d'un délai de trente (30) jours calendaires pour formuler par écrit son choix entre :

  • la restitution des données dans un format structuré (CSV ou JSON) ;
  • l'effacement définitif des données.

À l'expiration de ce délai et sauf instruction contraire, Rytual procède à l'effacement définitif des données. Un certificat d'effacement est délivré sur demande au Commerçant.

Article 11 — Audit et contrôle

  • Fréquence : un (1) audit par année civile maximum.
  • Préavis : trente (30) jours calendaires.
  • Modalités : par le Commerçant ou tiers indépendant tenu au secret professionnel.
  • Frais : à la charge du Commerçant sauf manquement substantiel constaté.

Article 12 — Responsabilité

La responsabilité de Rytual au titre du présent DPA est encadrée par les stipulations de plafonnement et d'exclusion figurant aux Conditions Générales de Service. À ce titre :

  • la responsabilité globale est plafonnée aux sommes effectivement versées par le Commerçant au cours des douze (12) derniers mois TTC ;
  • les dommages indirects sont expressément exclus ;
  • ces limitations ne s'appliquent ni en cas de faute lourde ou dolosive, ni dans les cas où la loi y fait obstacle.

Article 13 — Loi applicable et juridiction

Le présent DPA est régi par le droit français.

Tout litige relève de la compétence exclusive du Tribunal de Commerce de Paris.

Article 14 — Dispositions finales

14.1 Modifications. Toute modification fait l'objet d'un avenant écrit signé des deux Parties.

14.2 Nullité partielle. Si l'une quelconque des stipulations était jugée nulle, illégale ou inapplicable, les autres stipulations conserveraient leur pleine validité.

14.3 Signature électronique. Les Parties conviennent que le présent DPA peut être signé par voie électronique (art. 1367 du Code civil).

Signatures

Pour Rytual (Sous-traitant) Regis MENDY Fait à SERRIS, le ``

**Pour (Responsable de Traitement)**, Fait à, le ``

Version 2

Version 2 · Dernière mise à jour : 3 juin 2026