Dernière mise à jour :
Résumé en langage clair. Quand vos clients réservent un casier via LockMe, vous (l'exploitant) êtes le responsable du traitement de leurs données personnelles et LockMe est votre sous-traitant. Cet avenant fixe la manière dont nous traitons ces données pour votre compte, les mesures de sécurité que nous appliquons, les sous-traitants que nous utilisons et ce qu'il se passe en cas de problème. Il s'applique automatiquement à chaque contrat LockMe payant ; vous n'avez pas besoin de signer une copie séparée.
Avertissement. Ceci est une traduction assistée par IA du texte original en anglais, en attente de relecture par un conseil. En cas d'incohérence, la version anglaise sur /legal/dpa prévaut.
Note. Cette page est un brouillon de travail en attente de relecture par un conseil externe avant le lancement. Si vous avez besoin d'une copie signée sur papier d'entreprise pour vos achats, écrivez à legal@lock-me.com et nous en enverrons une.
1. Rôles
- Responsable de traitement : l'entité exploitante (vous).
- Sous-traitant : LockMe S.L.
- Personnes concernées : les clients finaux qui réservent et utilisent les casiers dans vos magasins.
- Données personnelles : nom, e-mail, téléphone (quand collecté), détails de réservation, métadonnées de paiement, jetons d'accès au casier.
2. Objet et durée
LockMe traite les données personnelles pour le compte de l'exploitant pendant la durée du contrat de service LockMe et jusqu'à 90 jours après sa résiliation, pour la conservation des sauvegardes.
3. Nature et finalité du traitement
Fournir les services décrits dans le bon de commande de l'exploitant : vitrine client, tableau de bord, orchestration des paiements, communications client et invitations à laisser un avis après séjour.
4. Obligations de LockMe en qualité de sous-traitant
LockMe s'engage à :
- Traiter les données personnelles uniquement sur instructions documentées de l'exploitant, sauf obligation légale contraire.
- Veiller à ce que le personnel autorisé à traiter les données personnelles soit lié par un engagement de confidentialité.
- Mettre en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données personnelles contre la destruction, la perte, l'altération, la divulgation ou l'accès accidentels ou illicites (voir Annexe II).
- Aider l'exploitant à répondre aux demandes des personnes concernées et à se conformer aux articles 32 à 36 du RGPD.
- Notifier l'exploitant sans retard injustifié (et au plus tard dans les 72 heures) après avoir pris connaissance d'une violation de données personnelles.
- À la fin du contrat, restituer ou supprimer les données personnelles selon le choix de l'exploitant (sous réserve des obligations légales de conservation).
- Mettre à disposition toute information nécessaire pour démontrer la conformité et permettre des audits, sous réserve d'une confidentialité et d'une planification raisonnables.
5. Sous-traitants ultérieurs
L'exploitant autorise LockMe à recourir à des sous-traitants ultérieurs. La liste actuelle (Annexe III) est publiée ci-dessous et l'exploitant sera notifié au moins 30 jours avant tout ajout ou remplacement d'un sous-traitant ultérieur. L'exploitant peut s'opposer pour des motifs raisonnables liés à la protection des données ; si les parties ne trouvent pas de solution, l'exploitant peut résilier le service concerné pour manquement substantiel.
6. Transferts internationaux
Lorsque des données personnelles sont transférées hors de l'EEE, LockMe s'appuiera sur un mécanisme de transfert valable (Clauses Contractuelles Types ou décision d'adéquation) et appliquera des mesures supplémentaires lorsque la jurisprudence l'exige (notamment Schrems II).
7. Responsabilité
Les dispositions relatives à la responsabilité du contrat de service principal s'appliquent au présent avenant comme si elles étaient reproduites intégralement ici.
Annexe I — Description du traitement
| Champ | Détail |
|---|---|
| Catégories de personnes concernées | Clients finaux des magasins de l'exploitant |
| Catégories de données personnelles | Identifiants (nom, e-mail, téléphone), métadonnées de réservation, métadonnées de paiement (sans PAN complet), jetons d'accès au casier, texte d'avis optionnel |
| Données sensibles | Aucune |
| Fréquence | Continue |
| Nature du traitement | Stockage, transmission, calcul pour la vitrine, le tableau de bord et les communications |
| Finalité | Fourniture du service LockMe |
| Durée | Durée du contrat LockMe + 90 jours de rétention des sauvegardes |
Annexe II — Mesures techniques et organisationnelles
Liste non exhaustive :
- Toutes les données chiffrées en transit (TLS 1.2+) et au repos.
- Accès production via SSO avec MFA par clé matérielle ; RBAC au moindre privilège ; journal d'audit complet.
- Tests d'intrusion trimestriels ; revue de sécurité interne à chaque release.
- Sauvegardes chiffrées, stockées dans une seconde région UE, restaurées chaque trimestre pour vérifier l'intégrité.
- Revues de sécurité fournisseur pour chaque sous-traitant ; audit interne annuel aligné SOC 2.
- Plan documenté de réponse aux incidents ; astreinte 24/7 sur les plans payants.
Annexe III — Sous-traitants (liste actuelle)
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Google Cloud Platform | Hébergement (calcul, stockage, bases de données) | UE (europe-west4, Pays-Bas) |
| Stripe Payments Europe Ltd. | Traitement des paiements | UE + États-Unis sous CCT |
| Postmark | E-mail transactionnel | UE (Francfort) |
| Twilio | SMS pour confirmations de réservation | UE/mondial sous CCT |
| Sentry | Surveillance d'erreurs et de performance | UE (Francfort) |
| Plausible Insights | Analytique web sans cookies | UE (Allemagne) |
Cette liste est maintenue sur https://lock-me.com/legal/dpa et remplace toute liste précédemment diffusée par e-mail.
Contact
DPO et contact protection des données : privacy@lock-me.com.
Des questions sur ce document ? Écrivez à legal@lock-me.com. Cette page est publiée par transparence ; elle ne remplace pas un conseil juridique adapté à votre exploitation.