Logo Pokawa Light

Politique de données

Données relatives à l’utilisation de nos services

Les données à caractère personnelles relatives au Client, collectées, notamment, lors de la création des Comptes Administrateurs, font l’objet d’un traitement par le Prestataire, destiné à assurer l’exécution des Services ainsi que la gestion et le suivi de la relation avec le Client.

Le Prestataire pourra transmettre les données du Client aux sous-traitants auxquels il fait appel pour assurer l’exécution des Services, sous réserve d’un accord expresse de ce dernier.

Le Prestataire s’engage à ne conserver les données collectées que pour une durée nécessaire à la finalité du traitement.

Conformément à la règlementation applicable en matière de protection des données à caractère personnel et en particulier du Règlement Européen n°2016/679 du 27 avril 2016 et de la Loi informatique et libertés du 6 janvier 1978 telle que modifiée, le Client dispose :

• d’un droit d’accès, de rectification, d’effacement et de portabilité de ses données, • d’un droit à la limitation du traitement de ses données,

• d’un droit d’opposition au traitement de ses données et à leur utilisation à des fins de prospection commerciale,

• d’un droit de définir des directives relatives au sort de ses données post-mortem,

• d’un droit de ne pas être soumis à la prise de décision automatisée y compris de ne pas faire l’objet de mesures de profilage,

qu’il pourra exercer en adressant un courrier à l’adresse de l’établissement du Prestataire telle que visée aux termes de la comparution des présentes. Le Client peut également introduire une réclamation auprès de la Commission Nationale Informatique et Libertés (« CNIL »).

Données relatives aux Utilisateurs

Le Prestataire s’engage à respecter les engagements prévus au présent article et à en faire respecter les termes par ses personnels, permanent ou non permanent et ses éventuels sous-traitants, notamment en répercutant sur eux les engagements similaires à ceux prévus ci-après.

La présente clause a pour objet de définir les conditions dans lesquelles le Prestataire s’engage à effectuer pour le compte du Client, responsable de traitement des données à caractère personnel des Utilisateurs, les opérations définies ci-après.

Dans ce cadre, les Parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter di 25 mai 2028 (ou ci-après le « RGPD »).

Le Prestataire est autorisé à traiter pour le compte du responsable de traitement, le Client, les données à caractère personnel des Utilisateurs nécessaires pour fournir les Services souscrits.

La nature des opérations réalisées sur les données est l’enregistrement, l’organisation, la structuration, la conservation, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Les finalités de traitement est l’exécution de ses obligations, telles que stipulées aux termes des présentes ou de toute documentation ou annexe portée à l’attention du Client, par le Prestataire à l’égard du Client.

Les données de l’Utilisateur sont celles initialement collectées par le Client lorsque l’Utilisateur créé un compte personnel pour l’utilisation de l’Application auxquelles s’ajoutent celles nécessaires à l’exécution des présentes. Les données concernées sont les nom, prénom, date de naissance, photo de profil, préférences alimentaires, numéro de téléphone mobile, email, coordonnées bancaires, information TRD. Pour l’exécution des présentes, le Client s’engage à mettre à disposition du Prestataire les informations précitées, outre celles qui s’avèreraient nécessaires au cours de l’exécution des présentes.

Le Prestataire s’engage à :

1. traiter les données uniquement pour la ou les seule(s)finalité(s) qui fait/font l’objet de la sous-traitance ;

2. traiter les données conformément aux instructions documentées du responsable de traitement. Si le sous-traitant considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le responsable de traitement. En outre, si le sous-traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public

3. garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent contrat ;

4. veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat :

• s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité

• reçoivent la formation nécessaire en matière de protection des données à caractère personnel

5. prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut ;

6. Sous-traitance : le Prestataire, sous-traitant, peut faire appel à un autre sous-traitant (ci-après, « le sous-traitant ultérieur ») pour mener des activités de traitement spécifiques.

Le sous-traitant ultérieur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions du responsable de traitement. Il appartient au sous-traitant initial de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en oeuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable de traitement de l’exécution par l’autre sous-traitant de ses obligations.

En cas de recours à un sous-traitant ultérieur, le Prestataire informe préalablement et par écrit le responsable de traitement de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants. Le responsable de traitement dispose d’un délai minium de QUINZE (15) JOURS à compter de la date de réception de cette information pour présenter ses objections.

Cette sous-traitance ne peut être effectuée que si le responsable de traitement n’a pas émis d’objection pendant le délai convenu.

Le Client, responsable de traitement, est informé que, pour l’heure, pour assurer le service de paiement des Commandes des Utilisateurs, le Prestataire a recours aux prestataires suivants : EDENRED FRANCE, (S.A.S. au capital de 464.966.992 €, dont le siège social est situé 166-180, boulevard Gabriel Péri, 92240 Malakoff – 393 365 135 R.C.S. Nanterre ; SWILE (S.A.S. au capital de 49.171,20 Euros, dont le siège se situe sis 7 center, Immeuble l’Atlis, Bâtiment A, 561 rue Georges Meliés – 34000 Montpellier, immatriculée au RCS de Montpellier sous le n°824 012 173 ; OCTOPLUS, société par actions simplifiée au capital de 88.593,70 €, ayant son siège social au 33, Rue du Temple, 75004 Paris, immatriculée au Registre du Commerce et des Sociétés de Paris sous le numéro 531 601 136 RCS Paris ; UP, Société Coopérative et Participative à forme Anonyme et à capital variable, immatriculée au Registre du Commerce et des Sociétés de NANTERRE sous le numéro 642 044 366, dont le siège social est situé Z.A.C. des Louvresses, 27-29 avenue des Louvresses – 92230 GENNEVILLIERS ; SODEXO PASS FRANCE, Société Anonyme au capital de 61 623 908 €, immatriculée au Registre du Commerce et des Sociétés de Nanterre sous le n° 340 393 065, ayant son siège social au 19 Rue Ernest Renan, 92022 Nanterre Cedex; NATIXIS INTERTITRES, Société Anonyme au capital de 380.800 Euros, immatriculée au RCS de PARIS sous le n° B 718 503 386 dont le siège Social est sis 30, avenue Pierre Mendès France 75013 Paris; AGENCE NATIONALE CHEQUES VACANCES dont le siège est sis 36, Bd Henri Bergson – 95200 Sarcelles.

7. Il appartient au responsable de traitement de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données.

8. Lorsque les personnes concernées exercent auprès du sous-traitant des demandes d’exercice de leurs droits, le sous-traitant doit adresser ces demandes dès réception par courrier électronique à l’adresse de contact de Pokawa.

9. Le sous-traitant notifie au responsable de traitement toute violation de données à caractère personnel dans un délai maximum de VINGT-QUATRE (24) heures après en avoir pris connaissance par tout moyen. Cette notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.

10. Sous réserves des stipulations de l’article 7.1 ci-avant, le sous-traitant s’engage à mettre en oeuvre les mesures de sécurité suivantes :

• la pseudonymisation et le chiffrement des données à caractère personnel

• les moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;

• les moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique, sous réserve d’avoir souscrit l’option support ;

11. Au terme de la prestation de services relatifs au traitement de ces données, le sous- traitant s’engage à : (choisir) (i) détruire toutes les données à caractère personnel ou (ii) à renvoyer toutes les données à caractère personnel au responsable de traitement ou (iii) à renvoyer les données à caractère personnel au sous-traitant désigné par le responsable de traitement ;

12. Le sous-traitant déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable de traitement ;

13. Le responsable de traitement s’engage à :

• fournir au sous-traitant les données nécessaires au Prestataire dans les conditions et selon les modalités définies aux présentes.

• documenter par écrit toute instruction concernant le traitement des données par le sous-traitant.

• veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen sur la protection des données de la part du sous-traitant.

• superviser le traitement, y compris réaliser les audits et les inspections auprès du sous-traitant.

Le Client est donc responsable du traitement réalisé, pour l’exécution des présentes par le Prestataire, des données à caractère personnel des Utilisateurs.

Le Prestataire de son côté est directement responsable de tout agissement de ses sous- traitants qui ne serait pas conforme à l’état de l’art ou à la réglementation en la matière.

Le Prestataire s’engage à ne pas exploiter ou utiliser, à ne pas faire de copies et à ne pas créer de fichiers des données du Client pour ses besoins propres ou pour le compte de tiers.

Sur demande du Client, le Prestataire s’engage à lui préciser à tout moment les lieux géographiques de traitement, de stockage et de transit des données qui seront utilisés pour fournir les Services au Client afin qu’il puisse se mettre en conformité avec les exigences légales applicables.

De même, le Prestataire s’engage à :

– mettre en oeuvre ses meilleurs efforts, en son nom ainsi qu’au nom et pour le compte de ses éventuels sous-traitants, pour collaborer et aider le Client, en lui donnant notamment toutes informations utiles afin de lui permettre de se mettre en conformité avec les exigences légales ou des régulateurs concernant la protection des données à caractère personnel, ou encore en organisant la mise en place, le cas échéant, des droits d’accès, de rectification, etc., reconnus aux clients du Client ;

– prendre toutes les mesures qui s’imposent en matière de protection de la sécurité et de la confidentialité des données ainsi que les données à caractère personnel, notamment en cas de traitement, de sauvegarde, d’archivage ou de transfert vers des pays hors du cadre de l’Union européenne et qui ne seraient pas considérés comme disposant d’une protection « adéquate » en matière de données à caractère personnel selon une décision officielle de la Commission européenne.

Si le sous-traitant est situé dans des pays hors Union Européenne ne disposant pas d’un niveau de protection adéquat, le Prestataire s’engage à ce que le sous-traitant adhère notamment à l’ensemble des dispositions du présent Article et aux clauses contractuelles pour le transfert de Données à caractère personnel vers des sous-traitants établis dans des pays tiers dans le cadre de la législation et règlementation susvisée, en signant un Contrat spécifique relatif au transfert de Données à caractère personnel dans un pays hors Union européenne et ne bénéficiant pas d’un niveau de protection adéquat, dont un modèle sera transmis par le Client.

Ce contrat sera signé de façon tripartite entre le Client (responsable de traitement), le Prestataire (exportateur des données) et le sous-traitant hors UE (importateur des données).