Annexe DPA — Accord de traitement des données

La présente Annexe DPA encadre le traitement de données personnelles techniques que Repass effectue pour le compte du Client commerçant dans le cadre de la fourniture du service (création et gestion de cartes de fidélité digitales via Apple Wallet et Google Wallet). Elle fait partie intégrante des Conditions générales d'abonnement et d'utilisation. IMPORTANT : Repass ne collecte aucune donnée d'identification directe des clients finaux (ni nom, ni prénom réel, ni email, ni téléphone, ni date de naissance). Seules sont traitées des données techniques anonymes. La présente Annexe s'applique néanmoins à ces données techniques dans la mesure où elles pourraient être indirectement rattachables à une personne.

Responsable du traitement : le Client commerçant Sous-traitant (pour les seules données techniques listées ci-après) : Repass, exploité par Keenan Buensi Sedar, Chemin des Prés-Guétins 36F, 2520 La Neuveville, Suisse

Repass traite les données techniques uniquement pour fournir le service au Client, notamment pour : - créer et maintenir les cartes wallet ; - enregistrer les tampons et récompenses ; - générer, mettre à jour et synchroniser les passes Apple/Google ; - permettre les notifications push wallet liées aux cartes ; - héberger, sécuriser et sauvegarder les données ; - permettre l'export technique par le Client.

Les opérations incluent : création automatique lors de l'ajout volontaire de la carte par le client final, enregistrement, organisation, hébergement, conservation, mise à jour, transmission technique à Apple/Google pour l'affichage du pass, suppression lors de la désactivation de la carte ou du compte commerçant.

Données traitées par Repass : - numéro de série technique de la carte (ex : repass-a1b2c3d4) ; - compteur de tampons et historique des scans ; - date d'inscription et date du dernier tampon ; - jeton push Apple et identifiant d'appareil (pour les notifications natives iOS) ; - identifiant d'objet Google Wallet (pour les notifications natives Android) ; - langue choisie par le navigateur au moment de la création. Données NON traitées par Repass : - nom, prénom réel ; - adresse email ou postale ; - numéro de téléphone ; - date de naissance ; - données bancaires ; - géolocalisation précise.

Les personnes concernées sont les clients finaux du Client commerçant qui ajoutent volontairement une carte de fidélité à leur Apple Wallet ou Google Wallet.

Repass ne traite les données que sur instruction documentée du Client, exprimée via les paramétrages, actions et configurations opérés dans l'interface du service, sauf obligation légale contraire applicable à Repass. Le Client est seul responsable de la licéité, de la pertinence et de l'exactitude des instructions qu'il donne (notamment les contenus de ses broadcasts, notifications, règles automatiques, et le fait d'associer éventuellement ces identifiants à d'autres données dans ses propres systèmes).

Repass veille à ce que les personnes autorisées à traiter les données soient soumises à une obligation appropriée de confidentialité.

Repass met en œuvre des mesures techniques et organisationnelles appropriées : - chiffrement TLS en transit ; - hachage bcrypt des mots de passe commerçants ; - contrôle d'accès (middleware d'authentification distinct pour admin, commerçant et vendeur) ; - segmentation logique entre environnements ; - journalisation technique ; - rate limiting ; - sauvegardes régulières ; - mesures raisonnables de sécurité applicative (CSP, HSTS, SameSite cookies, validation inputs).

Le Client autorise Repass à recourir aux sous-traitants ultérieurs nécessaires au fonctionnement du service. À la date de la présente Annexe, cela inclut : - Hostinger (infrastructure VPS, France) ; - Infomaniak (emails transactionnels, Suisse) ; - Stripe (paiements abonnements commerçants, Irlande/USA) ; - Apple (services Apple Wallet, USA) ; - Google (services Google Wallet, USA) ; - DeepL (traduction automatique des messages, Allemagne). Repass veille à imposer à ses sous-traitants ultérieurs des obligations appropriées en matière de protection des données.

Dans la mesure où certains sous-traitants impliquent un traitement hors de Suisse ou hors de l'EEE, Repass met en place ou s'appuie sur les garanties appropriées prévues contractuellement par les prestataires concernés (clauses contractuelles types, décisions d'adéquation).

Repass assiste le Client, dans la mesure du possible, pour : - répondre aux demandes des personnes concernées (accès, rectification, suppression) ; - corriger ou supprimer des données via l'interface ou une demande manuelle ; - documenter certains éléments utiles en cas d'audit ; - gérer un incident de sécurité.

Si Repass a connaissance d'une violation de sécurité susceptible d'affecter des données traitées pour le compte du Client, Repass informe le Client dans un délai raisonnable (objectif : 72 heures) avec les informations disponibles : nature, catégories de données, volume estimé, mesures prises.

À la fin du service (résiliation du compte commerçant) : - les données sont supprimées sans délai injustifié de la base de données Repass ; - les sauvegardes techniques contenant les données sont écrasées sur une base glissante d'environ 7 jours ; - les passes Apple/Google associés sont expirés côté Apple/Google ; - sous réserve d'obligations légales ou de nécessité de sécurité (logs d'incidents), aucune donnée n'est conservée.

Sur demande raisonnable du Client, Repass peut fournir des informations générales sur les mesures de sécurité mises en œuvre. Un audit sur site n'est pas prévu compte tenu de la nature limitée des données techniques traitées.

Chaque partie reste responsable des obligations qui lui incombent. Le Client reconnaît que Repass agit comme prestataire technique et ne détermine pas les finalités commerciales propres au Client. Si le Client associe les identifiants techniques à des données nominatives dans ses propres systèmes, il est seul responsable de ce traitement supplémentaire qui n'entre pas dans le périmètre Repass.

En cas de contradiction entre la présente Annexe DPA et les Conditions générales, la présente Annexe prévaut pour les questions relatives au traitement de données effectué pour le compte du Client.