MenuLocal← Retour à l'accueil
v2.0.105/05/2026Dernière mise à jour : 05/05/2026

Data Processing Agreement (DPA)

Accord de sous-traitance des données à caractère personnel conclu en application de l'article 28 du Règlement (UE) 2016/679 (RGPD). MenuLocal agit en qualité de sous-traitant du Restaurateur (responsable de traitement) pour les données collectées via le Site Vitrine.

1. Objet et qualification

Le présent DPA encadre la sous-traitance des données à caractère personnel collectées et traitées par MenuLocal pour le compte du Restaurateur dans le cadre de l'exécution des CGV. Il constitue l'accord prévu par l'article 28 paragraphe 3 du RGPD.

Le Restaurateur agit en qualité de responsable de traitement. MenuLocal (MenuLocal) agit en qualité de sous-traitant. En cas de contradiction entre les CGV et le présent DPA, le DPA prévaut pour les seules questions relatives aux données à caractère personnel.

2. Périmètre du traitement

  • Nature et finalités : hébergement, transmission, journalisation et conservation des données saisies par les Visiteurs finaux dans les formulaires de contact et de réservation, dans le but de permettre au Restaurateur de répondre à ces demandes.
  • Catégories de personnes concernées : visiteurs finaux du Site Vitrine, prospects et clients du Restaurateur.
  • Catégories de données : nom, prénom, adresse email, numéro de téléphone, message libre, date et heure souhaitée pour une réservation, données techniques de soumission (IP, user agent, horodatage).
  • Durée du traitement : durée du contrat principal, sauf instructions contraires du Restaurateur.
  • Exclusions: aucune donnée sensible au sens de l'article 9 RGPD n'est sciemment collectée ; le Restaurateur s'engage à ne pas configurer ses formulaires de manière à provoquer une telle collecte.

3. Instructions du Responsable

MenuLocal ne traite les données à caractère personnel que sur instructions documentées du Restaurateur. Les présentes CGV et le présent DPA constituent l'ensemble initial des instructions documentées. Toute instruction complémentaire doit être adressée par écrit à contact@menulocal.fr.

Si MenuLocal estime qu'une instruction constitue une violation du RGPD ou d'autres dispositions du droit de l'Union ou des États membres en matière de protection des données, elle en informe immédiatement le Restaurateur.

4. Obligations de MenuLocal

MenuLocal s'engage à :

  • ne traiter les données qu'aux seules fins de l'exécution du contrat principal ;
  • garantir la confidentialité des données et veiller à ce que les personnes habilitées à les traiter soient soumises à une obligation appropriée de confidentialité ;
  • mettre en œuvre les mesures de sécurité prévues à l'article 8 ci-dessous ;
  • assister le Restaurateur dans l'exécution de ses propres obligations RGPD (réponse aux droits des personnes, analyse d'impact, notification de violation), dans les conditions prévues à l'article 9 ci-dessous ;
  • tenir un registre des catégories d'activités de traitement effectuées pour le compte du Restaurateur (article 30.2 RGPD).

5. Personnes habilitées

L'accès aux données est restreint aux seuls collaborateurs et prestataires de MenuLocal ayant un besoin opérationnel de connaître les données pour l'exécution du Service. Tous sont tenus à une obligation de confidentialité.

6. Sous-traitants ultérieurs

Le Restaurateur autorise expressément MenuLocal à recourir aux sous-traitants ultérieurs listés ci-dessous, conformément à l'article 28.2 du RGPD (autorisation générale écrite) :

Sous-traitantRôleZoneGaranties
Stripe Payments Europe Ltd.paiementUE (Irlande) + US (DPF)Clauses contractuelles types + DPF Self-Certified
Supabase Inc.base de données & authUE (Francfort)Hébergement UE + DPA Supabase
Resend Inc.envoi emailUS (DPF)DPF Self-Certified + Clauses contractuelles types
Vercel Inc.hébergement applicatifUS (DPF) + edge UEDPF Self-Certified + Clauses contractuelles types
Google LLC (Maps Geocoding API)cartographieUS (DPF)DPF Self-Certified + Clauses contractuelles types
Google LLC (Gemini API)génération de contenu IAUS (DPF)DPF Self-Certified + Clauses contractuelles types

MenuLocal informe le Restaurateur de tout projet d'ajout ou de remplacement d'un sous-traitant ultérieur par email avec un préavis minimum de trente (30) jours, donnant ainsi au Restaurateur la possibilité d'émettre une objection motivée. En cas d'objection persistante, le Restaurateur pourra résilier le contrat principal sans frais.

MenuLocal impose à chacun de ses sous-traitants ultérieurs des obligations de protection des données équivalentes à celles stipulées dans le présent DPA, par voie contractuelle.

7. Transferts hors UE

Tout transfert de données à caractère personnel hors de l'Espace économique européen est encadré par l'un des mécanismes prévus par les articles 44 à 49 du RGPD, et notamment : décision d'adéquation, certification Data Privacy Framework (DPF), ou Clauses contractuelles types adoptées par la Commission européenne (décision d'exécution 2021/914).

8. Mesures de sécurité

Conformément à l'article 32 du RGPD, MenuLocal met en œuvre des mesures techniques et organisationnelles appropriées au regard du risque, et notamment :

  • chiffrement TLS pour toutes les communications réseau ;
  • chiffrement « at-rest » des bases de données managées par Supabase ;
  • cloisonnement des données par Restaurateur (Row Level Security PostgreSQL) ;
  • authentification forte et droits d'accès limités au strict nécessaire pour les comptes d'administration ;
  • journalisation des opérations sensibles et conservation des logs ;
  • sauvegardes quotidiennes assurées par les hébergeurs.

Le Restaurateur reconnaît que ces mesures sont proportionnées au risque et adaptées à la nature des données traitées. MenuLocal ne souscrit pas à des engagements de moyens lourds (audits externes réguliers, certifications ISO, pentests trimestriels), au regard de la taille de la structure et du niveau de criticité des données.

9. Assistance — droits des personnes

MenuLocal met à la disposition du Restaurateur des fonctionnalités standard permettant l'export et la suppression des données (article 28.3.e et 28.3.f RGPD), et l'assiste, dans la mesure du possible et compte tenu de la nature du traitement, à donner suite aux demandes d'exercice des droits des personnes concernées.

Toute demande adressée directement à MenuLocal par une personne concernée est transmise au Restaurateur dans les meilleurs délais, le Restaurateur restant seul compétent pour y répondre en sa qualité de responsable de traitement.

L'assistance dépassant l'usage standard du Service peut faire l'objet d'une facturation au temps passé, sur devis préalable.

10. Violations de données

MenuLocal notifie au Restaurateur toute violation de données à caractère personnel concernant les données traitées pour son compte, dans un délai maximum de soixante-douze (72) heures à compter de sa découverte effective. La notification, adressée par email à l'adresse de contact du Restaurateur, comprend, dans la mesure du possible : la nature de la violation, les catégories et le volume approximatif de données et de personnes concernées, les conséquences probables et les mesures prises ou envisagées.

La notification à la CNIL et, le cas échéant, aux personnes concernées (articles 33 et 34 RGPD) incombe au Restaurateur en sa qualité de responsable de traitement.

11. Audit et documentation

MenuLocal met à disposition du Restaurateur, sur demande écrite et motivée, les informations nécessaires pour démontrer le respect du présent DPA. Cette obligation est satisfaite, par défaut, par la fourniture de la documentation publique (présent DPA, mesures de sécurité, liste des sous-traitants).

Tout audit additionnel sur site est subordonné à : (i) un préavis écrit de trente (30) jours, (ii) la signature préalable d'un accord de confidentialité, (iii) la prise en charge intégrale des coûts par le Restaurateur, (iv) la limitation à un audit par période de douze (12) mois sauf incident avéré.

12. Fin du contrat

À l'issue du contrat principal, et sur instruction écrite du Restaurateur formulée dans les trente (30) jours suivant la résiliation, MenuLocal procède au choix du Restaurateur :

  • à la restitution des données via export ZIP au format standard ;
  • ou à la suppression définitive des données.

À défaut d'instruction dans ce délai, MenuLocal procède à la suppression définitive des données. MenuLocal est en droit de conserver les données nécessaires au respect d'une obligation légale (notamment comptable) ou aux fins d'établissement, d'exercice ou de défense d'un droit en justice.

13. Responsabilité

La responsabilité de MenuLocal au titre du présent DPA est plafonnée dans les conditions de l'article 14 des CGV. Le Restaurateur, en sa qualité de responsable de traitement, conserve la responsabilité pleine et entière de la licéité des traitements qu'il met en œuvre, du recueil du consentement le cas échéant, et de la conformité des informations données aux personnes concernées.