Bokrez
Accord de Traitement des Données
Dernière mise à jour : 1er avril 2026. | Conformément à l'Article 28 du RGPD
<strong>Note :</strong> Le présent Accord de Traitement des Données (“DPA”) s'applique automatiquement entre chaque Utilisateur Professionnel (“Responsable du Traitement”) et 360 tour obrt (“Sous-traitant”, exploitant Bokrez) dès l'inscription et l'acceptation des Conditions Générales d'Utilisation. Aucune signature distincte n'est requise.
1. Parties et définitions
Le présent Accord de traitement des données est conclu entre :
Responsable du traitement :
L'Utilisateur professionnel inscrit sur la plateforme Bokrez qui traite les données personnelles de ses clients finaux via la Plateforme.
Sous-traitant :
360 Tour — Obrt za virtualne zapise, Zagrebačka cesta 81, 10000 Zagreb, Croatie, OIB : 59456273095 — exploitant de la plateforme Bokrez (bokrez.com).
Dans le présent Accord :
- “RGPD” désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.
- “Données personnelles” a le sens défini à l'article 4, paragraphe 1, du RGPD.
- “Traitement” a le sens défini à l'article 4, paragraphe 2, du RGPD.
- “Plateforme” désigne le service SaaS Bokrez disponible à l'adresse bokrez.com.
- “Personnes concernées” désigne les clients finaux du Responsable du traitement dont les données personnelles sont traitées via la Plateforme.
- “Sous-traitants ultérieurs” désigne les tiers engagés par le Sous-traitant pour traiter des données personnelles pour le compte du Responsable du traitement.
2. Objet et durée du traitement
Le Sous-traitant traite les données personnelles pour le compte du Responsable du traitement uniquement aux fins de fourniture du service Bokrez tel que décrit dans les Conditions Générales d'Utilisation.
| Objet du traitement | Gestion des réservations de rendez-vous, données clients (CRM), communications et fonctionnalités associées au sein de la plateforme Bokrez |
| Durée | Pour toute la durée de l'abonnement actif du Responsable du traitement à Bokrez |
| Nature du traitement | Stockage, organisation, recherche, affichage, envoi de notifications, sauvegarde |
| Finalité | Fourniture des fonctionnalités de la plateforme Bokrez au Responsable du traitement et à ses utilisateurs finaux |
3. Types de données personnelles et catégories de personnes concernées
3.1 Types de données personnelles traitées
- Données d'identité : prénom, nom
- Données de contact : adresse e-mail, numéro de téléphone portable
- Données de réservation : dates, services, notes de rendez-vous
- Notes CRM et étiquettes saisies par le Responsable du traitement sur les Personnes concernées
- Données du programme de fidélité : solde de points/tampons, historique des transactions
- Données d'avis et de notation
- Messages au sein de la plateforme entre les Personnes concernées et le Responsable du traitement
Bokrez ne traite pas de catégories spéciales de données personnelles (art. 9 RGPD) dans le cadre du service standard, sauf si le Responsable du traitement saisit expressément de telles données dans des champs de texte libre, auquel cas il en assume l'entière responsabilité.
3.2 Catégories de Personnes concernées
Clients finaux du Responsable du traitement (personnes physiques qui réservent des rendez-vous ou communiquent avec le Responsable du traitement via la Plateforme).
4. Obligations du Sous-traitant
Le Sous-traitant (Bokrez) s'engage à :
5. Mesures de sécurité
Bokrez met en œuvre les mesures techniques et organisationnelles suivantes pour protéger les données personnelles des Personnes concernées :
| Mesure | Détail de mise en œuvre |
|---|---|
| Chiffrement en transit | TLS 1.2+ pour tout le trafic entre le client et le serveur |
| Chiffrement au repos | Disque chiffré pour la base de données et le système de fichiers |
| Gestion des accès | Contrôle d'accès basé sur les rôles (RBAC) ; tous les accès sont authentifiés et journalisés |
| Mots de passe | Jamais stockés en clair ; hachage bcrypt avec facteur de coût 12 |
| Sauvegardes | Sauvegardes automatiques quotidiennes chiffrées de la base de données |
| Surveillance et journalisation | Journaux d'audit des accès et modifications ; conservés pendant 90 jours |
| Gestion des sous-traitants ultérieurs | Tous les tiers ayant accès aux données sont liés par des accords de traitement des données |
| Réponse aux incidents | Procédure documentée de réponse aux violations de données avec délai de notification à AZOP de 72 heures |
6. Sous-traitants ultérieurs
Le Responsable du traitement autorise par les présentes Bokrez à faire appel à des sous-traitants ultérieurs. Bokrez garantit que tous les sous-traitants ultérieurs sont liés par des obligations contractuelles équivalentes à celles du présent Accord.
Sous-traitants ultérieurs actuels :
| Sous-traitant | Finalité | Localisation | Base de transfert |
|---|---|---|---|
| ZeptoMail (Zoho Corporation) | Envoi d'e-mails transactionnels | Inde | SCC |
| Fournisseur d'hébergement (serveur UE) | Stockage des données | UE | Au sein de l'EEE |
| Google LLC | Authentification (Google Sign-In), Cartes et services de localisation | États-Unis | EU-US DPF |
| Apple Inc. | Authentification (Sign in with Apple) | États-Unis | EU-US DPF |
| Expo (650 Industries, Inc.) | Livraison de notifications push | États-Unis | SCC |
Bokrez informera le Responsable du traitement des modifications prévues des sous-traitants ultérieurs au moins 14 jours à l'avance. Le Responsable du traitement peut formuler des objections dans un délai de 10 jours. Si l'objection ne peut être résolue, le Responsable du traitement a le droit de résilier l'accord sans pénalité.
7. Notification de violation de données personnelles
Bokrez, sans retard injustifié et en tout état de cause dans les 48 heures suivant la découverte d'une violation de données personnelles impliquant des données traitées pour le compte du Responsable du traitement, notifiera au Responsable du traitement la violation.
La notification contiendra au minimum :
- Une description de la nature de la violation, y compris les catégories et le nombre approximatif de Personnes concernées et d'enregistrements touchés
- Les coordonnées de la personne disponible pour de plus amples informations
- Une description des conséquences probables de la violation
- Une description des mesures prises ou proposées pour remédier à la violation
Le Responsable du traitement conserve la responsabilité de ses propres obligations de notification à AZOP dans les 72 heures (art. 33 RGPD) et de communication aux Personnes concernées (art. 34 RGPD).
8. Droits des Personnes concernées
Bokrez, compte tenu de la nature du traitement, assistera le Responsable du traitement par des mesures techniques appropriées dans la mesure du possible pour lui permettre de répondre aux demandes d'exercice des droits des Personnes concernées (accès, rectification, effacement, limitation, portabilité, opposition).
Bokrez est tenu de transmettre sans retard, et au plus tard dans les 5 jours ouvrés, au Responsable du traitement toute demande de Personnes concernées reçue directement et relative à des données traitées pour le compte du Responsable du traitement.
9. Obligations du Responsable du traitement
Le Responsable du traitement déclare et garantit qu'il :
- Dispose d'une base juridique valide pour la collecte et le traitement des données personnelles des Personnes concernées via la Plateforme
- A informé les Personnes concernées du traitement de leurs données conformément aux art. 13 et 14 du RGPD (par ex. via sa propre politique de confidentialité)
- Utilisera la Plateforme uniquement à des fins licites
- Informera immédiatement Bokrez de toute demande ou réclamation des Personnes concernées relative au traitement via la Plateforme
- A l'autorité de donner des instructions à Bokrez concernant le traitement, y compris des instructions de suppression ou de modification des données
10. Audit et inspection
Le Responsable du traitement a le droit de vérifier la conformité de Bokrez au présent Accord. Bokrez :
- Sur demande, mettra à disposition la documentation pertinente relative aux mesures de sécurité et à la conformité
- Une fois par an, avec un préavis de 30 jours, autorisera le Responsable du traitement ou un auditeur indépendant agréé à réaliser un audit, à condition que l'audit ne perturbe pas les opérations de Bokrez et que les coûts soient supportés par le Responsable du traitement
11. Restitution et suppression des données
À l'expiration ou à la résiliation de l'abonnement :
- Le Responsable du traitement aura la possibilité d'exporter les données dans un format lisible par machine (CSV, JSON) dans les 30 jours
- Passé ce délai, Bokrez supprimera toutes les données personnelles des Personnes concernées traitées pour le compte du Responsable du traitement, sauf obligation légale de conservation
- Sur demande, Bokrez fournira une confirmation écrite de la suppression
12. Responsabilité
Bokrez est responsable auprès du Responsable du traitement des dommages directs résultant de la violation du présent Accord ou de la législation applicable en matière de protection des données par Bokrez, sous réserve des limitations prévues dans les Conditions Générales d'Utilisation.
Chaque partie est responsable auprès de l'autorité de contrôle de ses propres violations de la réglementation relative à la protection des données personnelles.
13. Loi applicable
Le présent Accord est régi et interprété conformément au droit de la République de Croatie et au droit applicable de l'UE, en particulier le RGPD. Le Tribunal de commerce de Zagreb est compétent pour tout litige.
14. Modifications
Bokrez peut modifier le présent Accord avec un préavis écrit d'au moins 30 jours. L'utilisation continue de la Plateforme après la date de modification constitue une acceptation. Si le Responsable du traitement n'est pas d'accord, il peut résilier l'abonnement sans pénalité.
Contact protection des données
360 Tour — Obrt za virtualne zapise — Bokrez Protection des Données
Zagrebačka cesta 81, 10000 Zagreb
OIB: 59456273095
E-mail : [email protected]
Site web : bokrez.com