RestoGuardian

Accord de Traitement de Données

Version 1.0 — Dernière mise à jour : 3 mai 2026

Cet accord s'applique conformément à l'article 28 du RGPD (Règlement UE 2016/679) et est incorporé par référence aux Conditions Générales d'Utilisation.

1. Objet et contexte

Le présent Accord de Traitement de Données (ci-après « DPA ») est conclu entre le Client (ci-après « le Responsable de traitement ») et RestoGuardian SAS (ci-après « RestoGuardian » ou « le Sous-traitant »), dans le cadre de l'utilisation du Service RestoGuardian.

Ce DPA est incorporé par référence aux Conditions Générales d'Utilisation (CGU) et entre en vigueur à la date d'acceptation des CGU par le Client. Il complète et précise les obligations respectives des parties au regard du Règlement (UE) 2016/679 (RGPD) et de la loi n° 78-17 du 6 janvier 1978 modifiée (loi Informatique et Libertés).

Dans le cadre de la fourniture du Service, RestoGuardian traite des données à caractère personnel pour le compte et selon les instructions du Client. Le Client agit en qualité de Responsable de traitement ; RestoGuardian agit en qualité de Sous-traitant au sens de l'article 28 du RGPD.

2. Données traitées

2.1 Catégories de données personnelles

Dans le cadre du Service, RestoGuardian peut être amené à traiter les catégories de données suivantes pour le compte du Client :

  • Données d'identification des employés : prénom, nom ou pseudonyme (identifiant POS), numéro d'employé.
  • Données transactionnelles liées à l'activité des employés : transactions de caisse, annulations, remises, encaissements, timestamps.
  • Données comportementales dérivées : scores de risque, anomalies détectées, historiques d'activité sur le POS.
  • Données de compte utilisateur Client : email, nom, adresse IP de connexion, rôle dans la plateforme.

2.2 Personnes concernées

  • Employés et membres du personnel du Client utilisant le Système POS connecté.
  • Responsables et gérants du Client ayant un compte utilisateur RestoGuardian.

2.3 Finalités du traitement

  • Détection d'anomalies transactionnelles et comportements atypiques sur les données POS.
  • Génération de scores comportementaux et de rapports d'analyse.
  • Envoi d'alertes aux personnes autorisées par le Client.
  • Gestion des accès et authentification des utilisateurs du Client.
  • Journalisation des actions pour des finalités de sécurité et d'audit.

2.4 Durée du traitement

RestoGuardian traite les données à caractère personnel pendant toute la durée du contrat liant les parties. À l'expiration ou à la résiliation du contrat, RestoGuardian supprime ou restitue toutes les données à caractère personnel, selon les modalités décrites à l'article 5.8.

3. Obligations de RestoGuardian (Sous-traitant)

3.1 Traitement sur instructions documentées

RestoGuardian s'engage à ne traiter les données à caractère personnel que sur instruction documentée du Client, notamment en ce qui concerne les transferts de données vers un pays tiers. Les présentes CGU et le présent DPA constituent les instructions documentées du Client.

Si RestoGuardian est tenu de procéder à un traitement en vertu du droit de l'Union ou du droit d'un État membre auquel il est soumis, RestoGuardian en informe le Client avant d'effectuer le traitement, sauf si la loi interdit une telle information.

Si RestoGuardian estime qu'une instruction enfreint le RGPD ou d'autres dispositions du droit de l'Union ou du droit des États membres relatives à la protection des données, il en informe immédiatement le Client.

3.2 Confidentialité

RestoGuardian s'assure que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité.

3.3 Mesures de sécurité (article 32 RGPD)

RestoGuardian met en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, notamment :

  • Chiffrement des données au repos (AES-256) et en transit (TLS 1.2+).
  • Chiffrement individuel des identifiants POS sensibles (secrets, mots de passe API).
  • Authentification forte (2FA/TOTP) disponible pour tous les comptes utilisateurs.
  • Contrôle d'accès strict basé sur les rôles (OWNER, ADMIN, MANAGER, VIEWER).
  • Journalisation des accès et des actions sensibles dans un journal d'audit immuable.
  • Procédures de sauvegarde et de restauration des données testées régulièrement.
  • Isolation des données par tenant (architecture multi-tenant cloisonnée).
  • Surveillance automatisée des événements de sécurité suspects.

3.4 Sous-traitants ultérieurs

Le Client autorise RestoGuardian à faire appel aux sous-traitants ultérieurs listés ci-dessous. RestoGuardian informe le Client de tout changement envisagé concernant l'ajout ou le remplacement de sous-traitants ultérieurs, en lui laissant la possibilité de s'y opposer.

RestoGuardian s'assure que chaque sous-traitant ultérieur présente des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées.

  • Railway (hébergement applicatif et base de données PostgreSQL) — infrastructure en Europe.
  • Upstash (cache Redis et files de traitement) — infrastructure en Europe.
  • Stripe (traitement des paiements, ne traite que les données de facturation) — certifié PCI-DSS niveau 1.
  • SendGrid / Postmark (routage d'emails transactionnels) — encadré par les clauses contractuelles types CE.
  • Sentry (journalisation des erreurs applicatives, données anonymisées) — données configurées sans PII.
  • Vercel (hébergement de l'application web) — infrastructure en Europe possible, traitement encadré par DPA Vercel.

3.5 Assistance pour les droits des personnes concernées

Compte tenu de la nature du traitement, RestoGuardian aide le Client à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées (droit d'accès, rectification, effacement, portabilité, limitation, opposition).

Pour toute demande reçue directement d'une personne concernée, RestoGuardian la redirige vers le Client sans délai.

RestoGuardian fournit au Client les outils permettant l'export des données d'un employé au format CSV/JSON sur demande.

3.6 Assistance sécurité et analyses d'impact (DPIA)

RestoGuardian aide le Client à garantir le respect des obligations relatives à la sécurité des traitements (art. 32 RGPD), à la notification des violations (art. 33-34 RGPD) et aux analyses d'impact (art. 35-36 RGPD), compte tenu de la nature du traitement et des informations à la disposition de RestoGuardian.

RestoGuardian met à disposition du Client, sur demande écrite à privacy@restoguardian.io, les informations nécessaires pour démontrer le respect des obligations du présent article et permettre la réalisation d'audits ou d'inspections.

3.7 Notification des violations de données

En cas de violation de données à caractère personnel, RestoGuardian en notifie le Client dans les meilleurs délais après en avoir pris connaissance, et au plus tard dans les 72 heures suivant la découverte de l'incident, sauf si la violation ne présente pas de risque pour les droits et libertés des personnes physiques.

La notification contient au minimum : la description de la violation (nature, catégories et nombre approximatif de personnes et d'enregistrements concernés), le nom et coordonnées du DPO ou point de contact, les conséquences probables, les mesures prises ou envisagées pour remédier à la violation.

3.8 Restitution et suppression des données

À l'issue du contrat, RestoGuardian procède, au choix du Client formulé par écrit dans un délai de 30 jours suivant la fin du contrat, à la restitution ou à la destruction de toutes les données à caractère personnel traitées pour le compte du Client.

En l'absence d'instruction, les données sont supprimées définitivement 30 jours après la fin du contrat, sauf obligation légale de conservation contraire.

RestoGuardian fournit au Client une attestation de suppression sur demande.

3.9 Audits et contrôles

RestoGuardian met à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations du présent DPA et permettre la réalisation d'audits, y compris des inspections, par le Client ou un auditeur mandaté.

RestoGuardian s'engage à contribuer à ces audits dans des conditions raisonnables, sous réserve d'un préavis de 30 jours et que l'audit n'interfère pas de manière excessive avec les opérations de RestoGuardian.

Les coûts des audits sont à la charge du Client, sauf en cas de manquement avéré de RestoGuardian aux obligations du présent DPA.

4. Obligations du Client (Responsable de traitement)

En sa qualité de Responsable de traitement, le Client est seul responsable de la licéité de la collecte des données à caractère personnel transmises à RestoGuardian. Le Client s'engage notamment à :

  • Informer préalablement ses employés concernés du traitement réalisé via RestoGuardian (notamment via le registre des traitements et la politique de confidentialité interne).
  • Disposer d'une base légale valide pour le traitement (intérêt légitime pour la prévention des fraudes internes, sur la base d'une analyse documentée — art. 6.1.f RGPD).
  • Ne pas transmettre à RestoGuardian de données appartenant à des catégories particulières (art. 9 RGPD : données de santé, religieuses, biométriques, etc.) sans autorisation préalable écrite de RestoGuardian.
  • Veiller à la mise en place d'une procédure d'exercice des droits des personnes concernées auprès de ses équipes.
  • S'assurer que ses utilisateurs ayant accès à RestoGuardian ont été informés des règles de confidentialité applicables.

5. Transferts de données hors Espace Économique Européen

RestoGuardian s'engage à ne pas transférer les données à caractère personnel en dehors de l'Espace Économique Européen (EEE) sans garanties appropriées.

Dans les cas où des sous-traitants ultérieurs établis hors EEE sont utilisés (notamment pour le routage d'emails ou la journalisation des erreurs), RestoGuardian s'assure que des garanties appropriées sont en place : décision d'adéquation de la Commission européenne, clauses contractuelles types (CCT) approuvées par la Commission (décision 2021/914/UE), ou autres mécanismes prévus par l'article 46 du RGPD.

La liste des transferts hors EEE et des mécanismes de garantie applicables est disponible sur demande à privacy@restoguardian.io.

6. Durée et résiliation

Le présent DPA entre en vigueur à la date d'acceptation des CGU et reste en vigueur aussi longtemps que RestoGuardian traite des données à caractère personnel pour le compte du Client.

Le DPA prend fin automatiquement à la résiliation ou à l'expiration du contrat principal, sous réserve des obligations de suppression et de restitution des données prévues à l'article 3.8.

7. Responsabilité

La responsabilité de chaque partie pour les dommages causés à des personnes physiques du fait d'un manquement au RGPD ou au présent DPA est régie par les articles 82 et suivants du RGPD ainsi que par les dispositions de limitation de responsabilité prévues aux CGU.

RestoGuardian ne peut être tenu responsable que des dommages causés par le traitement lorsqu'il n'a pas respecté les obligations du RGPD qui incombent spécifiquement aux sous-traitants ou lorsqu'il a agi en dehors des instructions licites du Client.

8. Point de contact et DPO

Pour toute question relative au présent DPA ou à la protection des données, le Client peut contacter RestoGuardian à l'adresse : privacy@restoguardian.io.

RestoGuardian SAS, France — En cas de désaccord persistant, les parties peuvent saisir la CNIL (Commission Nationale de l'Informatique et des Libertés) ou toute autorité de contrôle compétente.

9. Droit applicable

Le présent DPA est soumis au droit français et au droit de l'Union européenne. Tout litige relatif à son interprétation ou à son exécution est soumis à la compétence exclusive des tribunaux de Paris, conformément à la clause attributive de juridiction prévue aux CGU.

← Documents légauxCGUPolitique de confidentialitéAccueil