Annexe 2

Annexe 2: Protection des Données

Il y a deux activités en relation avec lesquelles Tahiti Food partage des Données Personnelles avec le Restaurant. La première consiste à permettre au Restaurant de traiter et de satisfaire les Commandes, la seconde à l’aider à traiter les réclamations et les Demandes des Personnes Concernées.

  1. Termes définis
    1. Dans la présente Annexe :
      • « Responsable de Traitement», « Sous-traitant », « Personne Concernée », « organisation internationale », « Données Personnelles » et « traitement – tous ces termes ont le sens qui leur est attribué dans la Législation en matière de Protection des Données (et les termes connexes comme « processus » auront des sens correspondants).
      • « Réclamation » désigne une réclamation ou une demande concernant les obligations de l’une ou l’autre partie en vertu de la Législation en matière de protection des données concernant les Données Protégées, y compris toute demande de compensation d’une Personne Concernée ou tout avis, tout contrôle ou autre action d’un régulateur ou d’une Autorité de Contrôle.
  • « Demande d’une Personne Concernée» désigne une demande d’une Personne Concernée en vue d’exercer ses droits, quels qu’ils soient, en vertu de la Législation en matière de Protection des Données.
  • « Évaluation d’Impact sur la Protection des Données» désigne une évaluation d’impact sur la Protection des Données, telle que décrite dans la Législation en matière de Protection des Données.

« Législation en matière de Protection des Données » désigne toute loi, promulgation, règlement, politique réglementaire, tout arrêté, toute ordonnance ou législation dérivée en relation avec le traitement, la confidentialité et l’utilisation des Données Personnelles, qui s’applique au Restaurant, à Tahiti Food et/ou aux Services, y compris :

  1. toutes lois ou règlements d’application des Directives Européennes 95/46/CE (Directive sur la Protection des Données) ou 2002/58/CE (Directive Vie Privée et Communications Électroniques) ;
  2. le Règlement Général sur la Protection des Données (RGPD) (Règlement (UE) 2016/679) ainsi que toutes les lois pertinentes des États Membres donnant effet au RGPD ou y correspondant ;
  3. toute interprétation judiciaire ou administrative des éléments ci-dessus, ainsi que tous conseils, orientations, codes de pratique, codes de conduite approuvés ou mécanismes approuvés de certification publiés par toute Autorité de Contrôle compétente,

dans chaque cas, tels qu’en vigueur et applicables.

  • « Pertes concernant la Protection des Données» désigne toutes les responsabilités, y compris : (a) les coûts (y compris les coûts judiciaires), les réclamations, les demandes, les actions, les règlements, les charges, les procédures, les dépenses, les pertes et dommages, et (b) dans la mesure où le Droit Applicable l’autorise : (i) les amandes administratives, les pénalités, les sanctions, les responsabilités ou autres recours imposés par une Autorité de Contrôle ou toute autre autorité réglementaire compétente ; (ii) une compensation pour une Personne Concernée ordonnée par une Autorité de Contrôle, une cour ou un autre tribunal compétents, et (iii) les coûts de mise en conformité consécutifs à des enquêtes d’une Autorité de Contrôle ou de toute autre autorité réglementaire compétente.
  • « Atteinte aux Données Personnelles» désigne une atteinte à la sécurité ou toute autre action ou inaction menant, accidentellement ou illégalement, à la destruction, à la perte, à l’altération, à la divulgation non autorisée de Données Protégées, ou à l’accès à celles-ci.
  • « Données Protégées» désigne des Données Personnelles reçues de ou pour le compte du Client afin de placer une Commande.
  • « Sous Sous-Traitant» désigne un autre Sous-Traitant utilisé par l’une ou l’autre partie en vue du traitement d’activités en relation avec les Données Protégées.
  • « Autorité de Contrôle» désigne toute agence, tout département, tout fonctionnaire tout parlement, toute personne publique ou statutaire ou toute autre administration ou tout autre organe professionnel, locaux, nationaux ou multinationaux ou autorité réglementaire ou de contrôle, conseil ou autre organe responsable de l’administration de la Législation en matière de Protection des Données.
  1. EXPLOITATION
    1. Tahiti Food fournira au moyen de l’Équipement au Restaurant :
      • des informations suffisantes concernant la Commande du Client, de sorte que le Restaurant puisse traiter et satisfaire la Commande ;
      • des informations concernant les allergies fournies par le Client en relation avec la Commande (« Information concernant les Allergies », et
      • le nom du client et les informations concernant l’adresse dans la mesure où il est nécessaire d’utiliser l’Équipement pour créer une étiquette à fixer sur la Commande,

(collectivement, les « Informations de Commande »).

  1. Le Restaurant devra :
    • créer une archive de toute Information concernant les Allergies au regard du numéro pertinent de Commande (pas le nom du Client) ;
    • ne pas essayer d’accéder à, ni d’utiliser d’Informations de Commande plus de 48 heures après que la Commande a été placée (ni permettre à personne d’autre de le faire), et
    • ne pas traiter les Informations de Commande, à quelque fin que ce soit autre que la satisfaction de la Commande, et en particulier ne pas copier ni enregistrer pour son propre compte des Données Protégées.
  2. Si le Restaurant demande, dans la mesure du raisonnable, d’accéder aux Données Protégées après la date du présent. Contrat à des fins légitimes :
    • traiter une réclamation d’un Client, ou
    • répondre à une Demande d’une Personne Concernée

(collectivement, la « Fin Convenue »), et Tahiti Food devra, sur demande écrite, fournir au Restaurant l’accès aux Données Protégées dans la mesure nécessaire correspondant à la Fin Convenue.

  1. Obligations concernant le traitement des Données
    1. Les parties reconnaissent et conviennent que, pour ce qui concerne les Données Protégées, chacune est un Responsable de Traitement indépendant en commun (et non un responsable de traitement conjoint).
    2. Chaque partie respectera la Législation en matière de Protection des Données ainsi que ses obligations en vertu du présent Contrat, en relation avec le traitement des Données Protégées. Le Restaurant n’utilisera des Données Protégées qu’aux fins du traitement de la Commande et de sa satisfaction conformément au paragraphe 2, ou de la Fin Convenue.
    3. La Législation Applicable en matière de Protection des Données peut changer dans le futur, ou il peut être prévu qu’elle change, de telle sorte que chaque partie considère que le présent Contrat n’est plus approprié aux fins des mesures de partage des données prévues aux présentes. Dans ces circonstances, à la demande de l’une ou l’autre, les parties (agissant raisonnablement et de bonne foi) se réuniront dans les meilleurs délais pour discuter, convenir des modifications appropriées du Contrat, et les documenter.
    4. Chaque partie peut traiter, à sa discrétion, toutes les Demandes et Réclamations des Personnes Concernées qu’elle reçoit directement d’une Personne Concernée ou de la personne déposant la Réclamation. Le Restaurant avisera Tahiti Food des Demandes de la Personne Concernée dans les 3 jours suivant la réception par le Restaurant des dites Demandes de la Personne Concernée.
    5. Chaque partie convient de fournir une assistance raisonnable et immédiate à l’autre si cela est nécessaire pour lui permettre de satisfaire les Demandes de la Personne Concernée et/ou de répondre à toute autre question ou Réclamation des Personnes Concernées ou des Autorités de Contrôle et, dans chaque cas, en relation avec les Données Protégées.
    6. Pour ce qui concerne toute Atteinte aux Données Personnelles (réelle ou soupçonnée) en relation avec les Données Protégées, le Restaurant avisera Tahiti Food de l’atteinte sans retard excessif (mais au plus tard 24 heures après avoir pris connaissance de l’Atteinte aux Données Personnelles) et lui communiquera aussitôt (chaque fois que possible, dans les 24 heures suivant sa prise de connaissance de l’atteinte) toutes les informations de détail concernant l’atteinte, en fonction de ce que Tahiti Food demandera, dans la mesure du raisonnable.
    7. Dans la mesure où le Droit Applicable l’autorise, l’une comme l’autre partie s’abstiendront de :
      • aviser une Autorité de Contrôle ou une Personne Concernée de toute Atteinte aux Données Protégées, ou
      • émettre une déclaration publique ou autrement notifier à une Personne Concernée une quelconque Atteinte aux Données Protégées,

sans consulter préalablement et obtenir le consentement de l’autre partie qui devra ne pas déraisonnablement refuser ou retenir son consentement.

  1. Le Restaurant ne conservera ni ne traitera des Données Protégées plus longtemps que ce sera nécessaire en relation avec l’exécution de la Fin Convenue ou, s’il le doit, il devra se conformer aux exigences contraignantes en vertu du Droit Applicable.
  2. Le Restaurant devra, sans retard excessif, et sur demande écrite de Tahiti Food, définitivement et de manière sécurisée effacer ou fournir toutes les Données Protégées à Tahiti Food une fois que le traitement par le Restaurant des Données Protégées ne sera plus nécessaire en vue d’une Fin Convenue spécifique. Cette exigence ne s’appliquera pas dans la mesure où la conservation et le stockage de toute donnée sera nécessaire aux fins légitimes d’archivage du Restaurant ou en vertu du Droit Applicable (et dans ce cas le Restaurant s’assurera que cette conservation et ce stockage soient conformes à la Législation en matière de Protection des Données).
  3. Chaque partie (la « Partie Indemnisatrice» indemnisera l’autre (la « Partie Indemnisée» concernant la totalité des Pertes concernant la Protection des Données subies ou encourues par la Partie Indemnisée, découlant de ou en relation avec une quelconque atteinte par la Partie Indemnisatrice ou l’un quelconque de ses Sous-Traitants ou sous Sous-Traitants de Données à ses obligations en vertu du présent Programme.
  4. Chaque partie fournira une assistance, des informations et une coopération raisonnables concernant les Données Protégées à l’autre partie afin de l’aider à assurer sa conformité avec ses obligations concernant la Législation en matière de Protection des Données.