Data Processing Agreement
Accord de traitement des données
Dernière mise à jour : le 8 mai 2026
Version : v1.0
Le présent Data Processing Agreement (« DPA ») fait partie intégrante des Conditions Générales de Vente (« CGV ») applicables aux commerçants et utilisateurs professionnels utilisant les services Cobook.
Le présent DPA encadre les traitements de données personnelles réalisés par Cobook lorsqu’elle agit en qualité de sous-traitant pour le compte d’un commerçant ou utilisateur professionnel au sens du Règlement Général sur la Protection des Données (« RGPD »).
Les traitements réalisés par Cobook peuvent notamment avoir pour finalité :
-
la gestion des comptes commerçants ;
-
la gestion des programmes de fidélité ;
-
la gestion des cartes numériques, coupons et avantages ;
-
la gestion des accès employés ;
-
les fonctionnalités de communication et notification ;
-
l’hébergement et le stockage des données ;
-
les fonctionnalités analytiques ;
-
certaines fonctionnalités d’automatisation ou d’intelligence artificielle ;
-
la maintenance et la sécurité des services.
Selon les services utilisés, les données traitées peuvent notamment inclure :
-
données d’identification ;
-
coordonnées ;
-
données relatives aux programmes de fidélité ;
-
historiques d’utilisation ;
-
données de communication ;
-
contenus transmis via la plateforme ;
-
données techniques ;
-
données de connexion ;
-
données analytiques ;
-
données liées aux notifications ;
-
ou toute autre donnée transmise par le commerçant via les services Cobook.
Le commerçant s’engage à ne transmettre que les données strictement nécessaires à l’utilisation des services.
Cobook s’engage à traiter les données personnelles uniquement :
-
sur instruction documentée du commerçant ;
-
conformément aux présentes CGV ;
-
au présent DPA ;
-
et aux fonctionnalités mises à disposition via la plateforme.
Le commerçant reconnaît que certaines instructions peuvent être exécutées directement via :
-
les paramètres du compte ;
-
les outils de configuration ;
-
les fonctionnalités activées ;
-
ou les actions réalisées sur la plateforme.
Cobook pourra refuser toute instruction manifestement illicite, abusive ou incompatible avec la réglementation applicable.
Cobook veille à ce que les personnes autorisées à traiter les données personnelles :
-
soient soumises à une obligation de confidentialité appropriée ;
-
ou soient soumises à une obligation légale adéquate de confidentialité.
L’accès aux données personnelles est limité aux seules personnes ayant besoin d’y accéder dans le cadre de leurs fonctions ou missions.
Cobook met en œuvre des mesures techniques et organisationnelles raisonnables afin d’assurer un niveau de sécurité adapté aux risques, notamment :
-
le chiffrement des communications ;
-
le contrôle des accès ;
-
la journalisation ;
-
les mécanismes de détection d’incidents ;
-
la limitation des accès internes ;
-
la segmentation des accès ;
-
les sauvegardes ;
-
ou des procédures internes de sécurité.
Compte tenu de la nature des technologies numériques, aucune mesure de sécurité ne peut garantir une protection absolue contre tous les risques.
Le commerçant autorise Cobook à recourir à des sous-traitants ultérieurs pour fournir les services.
Ces sous-traitants peuvent notamment intervenir pour :
-
l’hébergement ;
-
les infrastructures cloud ;
-
les notifications ;
-
les services analytiques ;
-
les fonctionnalités d’intelligence artificielle ;
-
les communications ;
-
ou certains services techniques intégrés.
La liste des principaux sous-traitants est disponible dans le document séparé : « Liste des sous-traitants ».
Cobook veille à imposer à ses sous-traitants des obligations appropriées en matière de confidentialité, sécurité et protection des données personnelles.
Le présent DPA définit :
-
les conditions dans lesquelles Cobook traite certaines données personnelles pour le compte du commerçant ;
-
les obligations respectives des parties ;
-
les mesures de sécurité applicables ;
-
ainsi que les garanties relatives à la protection des données personnelles.
Le présent DPA s’applique uniquement lorsque le commerçant agit en qualité de responsable de traitement et que Cobook agit en qualité de sous-traitant au sens du RGPD.
2.1 Responsable de traitement
-
Le commerçant agit en qualité de responsable de traitement concernant les données personnelles :
-
de ses clients ;
-
prospects ;
-
employés ;
-
collaborateurs ;
-
ou utilisateurs finaux,
-
qu’il traite via les services Cobook.
-
-
Le commerçant demeure responsable :
-
de la licéité des traitements ;
-
de la détermination des finalités et moyens essentiels des traitements ;
-
des informations fournies aux personnes concernées ;
-
ainsi que du respect de ses obligations réglementaires.
-
2.2 Sous-traitant
-
Cobook agit en qualité de sous-traitant lorsqu’elle traite des données personnelles pour le compte du commerçant et selon ses instructions documentées.
-
Cobook peut également agir en qualité de responsable de traitement indépendant pour certains traitements propres à :
-
la sécurité de la plateforme ;
-
la prévention de la fraude ;
-
la gestion technique des services ;
-
la maintenance ;
-
les obligations légales ;
-
ou l’amélioration des infrastructures et services.
-
Certains traitements peuvent impliquer des transferts de données personnelles en dehors de l’Espace économique européen (EEE).
Dans ce cadre, Cobook met en œuvre les garanties appropriées prévues par la réglementation applicable, notamment :
-
les Clauses Contractuelles Types de la Commission européenne (SCCs) ;
-
les mécanismes de protection reconnus ;
-
ou toute autre garantie juridiquement applicable.
Dans la mesure raisonnablement possible et compte tenu de la nature des traitements, Cobook peut assister le commerçant concernant :
-
les demandes d’exercice des droits des personnes concernées ;
-
les obligations de sécurité ;
-
les violations de données personnelles ;
-
ou certaines obligations réglementaires applicables.
Le commerçant demeure responsable du traitement des demandes adressées par les personnes concernées, sauf disposition contraire prévue par la réglementation applicable.
En cas de violation de données personnelles affectant les traitements réalisés pour le compte du commerçant et susceptible d’engendrer un risque au sens du RGPD, Cobook pourra notifier le commerçant concerné dans un délai raisonnable après en avoir pris connaissance.
Cette notification pourra inclure, lorsque cela est raisonnablement possible :
-
la nature de l’incident ;
-
les catégories de données concernées ;
-
les conséquences potentielles connues ;
-
ainsi que les mesures prises ou envisagées.
Le présent DPA demeure applicable pendant toute la durée d’utilisation des services impliquant un traitement de données personnelles pour le compte du commerçant.
À l’issue des services et sous réserve :
-
des obligations légales ;
-
des contraintes techniques ;
-
des obligations de sécurité ;
-
ou des politiques de conservation applicables,
Cobook pourra :
-
supprimer ;
-
anonymiser ;
-
ou restituer certaines données,
dans un délai raisonnable lorsque cela est techniquement possible.
Le commerçant demeure responsable de l’exportation ou de la sauvegarde de ses données avant la fin effective des services lorsque ces fonctionnalités sont disponibles.
Sous réserve de conditions raisonnables de sécurité, confidentialité et proportionnalité, le commerçant peut demander des informations générales relatives aux mesures de sécurité mises en œuvre par Cobook.
Toute demande d’audit devra :
-
être raisonnable ;
-
ne pas compromettre la sécurité des autres utilisateurs ;
-
ne pas révéler d’informations confidentielles ou sensibles concernant Cobook ou des tiers ;
-
et faire l’objet d’un accord préalable entre les parties.
En cas de contradiction entre le présent DPA et les CGV, les dispositions du présent DPA prévalent pour les traitements de données personnelles relevant du RGPD.
Le présent DPA est régi par le droit français.
Tout litige relatif au présent DPA relève des juridictions compétentes prévues dans les CGV applicables.