Responsabilité conjointe
La présente annexe complète les stipulations des Conditions Générales d’Utilisation ("CGU") de QEAT et en fait partie intégrante.
Cette annexe précise les conditions dans lesquelles les Parties déterminent conjointement les finalités et moyens d'un traitement de données à caractère personnel au sens du Règlement général européen n° 2016/679 du 27 avril 2016 relatif à la protection des données à caractère personnel ("RGPD") et la loi Informatique & Libertés du 6 janvier 1978 dans sa version en vigueur (collectivement les "Lois Applicables") et quels sont leurs rôles respectifs à cet égard.
- EXPOSÉ
En vertu des CGU, le Restaurateur a souscrit au service proposé par QEAT consistant en un service de fidélisation de la clientèle des restaurants partenaires, qui permet, sur la base d'une analyse des fichiers de réservations, de déterminer certaines caractéristiques des Clients du Restaurateur et de les catégoriser (le "Service").
Le Service met ainsi en œuvre la collecte et le traitement de certaines données à caractère personnel relatives aux Clients du Restaurateur. Cette collecte et ce traitement sont détaillés dans la Charte de Confidentialité de QEAT.
En sus de cette Charte de Confidentialité, et conformément aux dispositions de l'article 26 du RGPD, il est précisé, dans le cadre de la présente annexe, les rôles et responsabilités respectifs de QEAT et du Restaurateur.
- RESPONSABILITÉ CONJOINTE DES PARTIES
La mise en œuvre du Service suppose la transmission de certaines informations entre le Restaurateur et QEAT. Cette transmission d'informations signifie que le Restaurateur et QEAT sont chacun tenus de collecter et traiter certaines données à caractère personnel et, ce faisant, sont conduits à déterminer conjointement les finalités et les moyens du traitement.
D'une part, le Restaurateur transmet à QEAT des données à caractère personnel issues de ses fichiers de réservation, à savoir : numéro de téléphone et nom dont un Client s'est servi pour effectuer la réservation, date de la réservation et nom du restaurant.
D'autre part, sur la base de ces informations, QEAT détermine une catégorie de convive, opérant ainsi une qualification de la base de données du Restaurateur. Ces données qualifiées sont ensuite renvoyées au Restaurateur.
Le traitement de données à caractère personnel relevant d'une responsabilité conjointe au sens de l'article 26 du RGPD est donc le suivant :
Nom du Traitement : Qualification de la base de données clients d'un restaurant
Nature du Traitement : Analyse des données et détermination d'une catégorie de convive
Finalité du Traitement : Détermination d'un profil de convive
- RÔLES RESPECTIFS DES PARTIES
La mise en œuvre du traitement décrit ci-dessus, relevant d'une responsabilité conjointe des Parties, suppose la mise en œuvre, par chaque Partie, d'une partie de ce traitement.
Ainsi, pour le Restaurateur :
Nom du Traitement : Transmission de la base de données des réservations
Nature du Traitement : Envoi des données relatives aux réservations
Finalité du Traitement : Transmission des données aux fins d'analyse par QEAT
Et pour QEAT :
Nom du Traitement : Qualification de la base de données clients
Nature du Traitement : Analyse des données transmises, Qualification des données
Finalité du Traitement : Détermination d'un profil de convive
Nom du Traitement : Hébergement de la base de données qualifiée
Nature du Traitement : Hébergement des données qualifiées
Finalité du Traitement : Mise à disposition des données qualifiées
- INFORMATION DES PERSONNES CONCERNÉES
Conformément à la Charte de Confidentialité de QEAT, il est rappelé que QEAT n'est jamais en contact avec les clients du Restaurateur et qu'il appartient au Restaurateur, et à lui seul, d'informer les clients de la collecte et du traitement de leurs données à caractère personnel selon les termes de l'article 13 du RGPD.
QEAT rappelle qu'en vertu de ce texte, les personnes concernées doivent être informées, au moment où les données sont collectées, des éléments suivants :
- l'identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement ;
- le cas échéant, les coordonnées du délégué à la protection des données ;
- les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;
- le cas échéant, les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers ;
- les destinataires ou les catégories de destinataires des données à caractère personnel, s'ils existent; et
- le cas échéant, le fait que le responsable du traitement a l'intention d'effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l'existence ou l'absence d'une décision d'adéquation rendue par la Commission ou, dans le cas des transferts visés à l'article 46 ou 47, ou à l'article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d'en obtenir une copie ou l'endroit où elles ont été mises à disposition ;
- la durée de conservation des données à caractère personnel ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée ;
- l'existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel, la rectification ou l'effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s'opposer au traitement et du droit à la portabilité des données ;
- l'existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci ;
- le droit d'introduire une réclamation auprès d'une autorité de contrôle ;
- des informations sur la question de savoir si l'exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d'un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données ;
- l'existence d'une prise de décision automatisée, y compris un profilage, visée à l'article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.
Cette information des personnes concernées relève donc de la seule responsabilité du Restaurateur, qui doit procéder à cette information en fonction du canal de réservation choisi par le client : par téléphone, le Restaurateur peut utiliser un serveur vocal indiquant que les données des clients pourront être utilisées à des fins de qualification ; par internet, une mention écrite peut être utilisée.
Un modèle de clause d'information figure en Appendice 1.
- EXERCICE DES DROITS DES PERSONNES CONCERNÉES
Conformément à l'article 26 du RGPD, les personnes concernées peuvent exercer les droits dont ils disposent tant à l'égard du Restaurateur qu'à l'égard de QEAT.
- RESPONSABILITÉ
Les Parties sont solidairement responsables vis-à-vis des personnes concernées par les opérations de traitement en responsabilité conjointe visées à la présente annexe.
Les Parties sont responsables, chacune envers l'autre, des éventuelles fautes commises dans le cadre de la collecte et du traitement des données à caractère personnel des convives. Par conséquent, la Partie qui aura réparé intégralement le préjudice subi par un convive sera subrogée dans les droits de ce dernier et pourra exiger de l'autre Partie, dans la mesure où sa part de responsabilité aura été déterminée, le versement de la somme correspondant à sa part de responsabilité.
- SOUS-TRAITANCE
Les Parties peuvent être conduites à sous-traiter tout ou partie d'un traitement visé aux présentes. En particulier, la transmission des données à caractère personnel relatives aux convives peut être effectuée, non pas par le Restaurateur lui-même, mais par un service de traitement des réservations, sous réserve de l'accord du Restaurateur et de ses instructions en ce sens.
Dans tous les cas, la sous-traitance doit être mise en œuvre en vertu d'un contrat écrit et réalisée en vertu de mesures techniques et organisationnelles présentant des garanties de sécurité suffisantes, assurant la protection des droits des personnes concernées par le traitement.
* * *
APPENDICE 1
MODÈLE DE CLAUSE D'INFORMATION
“INFORMATION IMPORTANTE : en passant une commande ou en réservant une table au sein de notre restaurant, certaines informations vous concernant et pouvant constituer des données à caractère personnel au sens de la règlementation applicable (dont le Règlement général européen sur la protection des données personnelles – RGPD – n° 2016/679 du 27 avril 2016) feront l’objet d’un traitement informatique.
Ces données sont constituées exclusivement du numéro de téléphone, du nom que vous aurez renseigné lors de votre réservation ou de la commande et son montant, ainsi que de la date de votre réservation ou commande. Aucune autre donnée vous concernant ne font l’objet d’un traitement.
Ces données nous permettent de mieux vous connaître, en particulier au regard de vos habitudes de fréquentation ou commande. Elles sont collectées et traitées pour la bonne gestion de votre réservation ou commande et l’anticipation de vos éventuelles demandes spécifiques.
Le traitement de ces données est mis en œuvre par notre prestataire, la société QEAT, société à responsabilité limitée au capital de 500 euros, identifiée sous le numéro 838 118 594 RCS Paris, dont le siège social est sis 6 avenue Franklin D. Roosevelt à Paris (75008).
Vous disposez à cet égard du droit de demander la rectification, la modification, voire la suppression des données personnelles qui vous concernent, de même que celui de vous opposer au traitement de vos données personnelles. Pour ce faire, nous vous remercions de bien vouloir envoyer un e-mail à l’adresse suivante contact (@) qeat (.) io. Vous disposez également du droit de saisir la CNIL.”.