Dernière mise à jour : 30 janvier 2026
1. Introduction et portée
Le présent Accord sur le traitement des données (« DPA ») fait partie des Conditions d’utilisation de CHCKN et régit le traitement des données personnelles par CHCKN Inc. (« CHCKN », « nous », « Sous-traitant ») au nom des Marchands (« Client », « vous », « Responsable du traitement ») qui utilisent nos services.
Le présent DPA s’applique chaque fois que CHCKN traite des données personnelles au nom d’un
Marchand, y compris :
Renseignements sur les membres (noms, adresses courriel, numéros de téléphone, activité de fidélité)
Données des destinataires de campagnes
Dossiers de transactions et de programmes de fidélité
Toute autre donnée personnelle soumise à la plateforme de CHCKN ou collectée par son intermédiaire
Le présent DPA est conçu pour se conformer aux lois applicables en matière de protection des données, notamment :
Règlement général sur la protection des données (RGPD) - Règlement (UE) 2016/679
Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) - Canada
California Consumer Privacy Act (CCPA)
Autres lois provinciales, fédérales et internationales applicables en matière de protection de la vie privée
2. Définitions
« Données personnelles » désigne toute information se rapportant à une personne physique identifiée ou identifiable qui est traitée par CHCKN au nom du Client.
« Traitement » désigne toute opération effectuée sur des Données personnelles, y compris la collecte, l’enregistrement, le stockage, l’utilisation, la divulgation, la transmission, la suppression ou toute autre manipulation des données.
« Responsable du traitement » désigne le Marchand qui détermine les finalités et les moyens du Traitement des Données personnelles. Le Marchand est le Responsable du traitement pour toutes les données des Membres dans ses programmes de fidélité.
« Sous-traitant » désigne CHCKN, qui traite les Données personnelles au nom du Responsable du traitement et selon ses instructions.
« Personne concernée » désigne la personne physique à laquelle se rapportent les Données personnelles (généralement un Membre d’un programme de fidélité).
« Sous-traitant ultérieur » désigne tout tiers mandaté par CHCKN pour traiter des Données personnelles au nom du Client.
« Lois sur la protection des données » désigne l’ensemble des lois et règlements applicables relatifs à la protection de la vie privée et des données, y compris le RGPD, la LPRPDE, la CCPA et toute autre législation pertinente.
« Incident de sécurité » désigne toute violation de sécurité confirmée entraînant la destruction, la perte, l’altération, la divulgation non autorisée de Données personnelles, ou l’accès non autorisé à celles-ci, de manière accidentelle ou illicite.
3. Rôles et responsabilités
3.1 Responsable du traitement (Marchand)
À titre de Responsable du traitement, vous :
Déterminez quelles Données personnelles sont collectées et à quelles fins
Êtes responsable d’obtenir les consentements nécessaires des Personnes concernées
Fournissez des instructions à CHCKN sur la manière de traiter les Données personnelles
Veillez au respect des Lois sur la protection des données pour vos programmes de fidélité et vos campagnes
Répondez aux demandes des Personnes concernées concernant leurs Données personnelles
Maintenez des avis de confidentialité et des divulgations appropriés
3.2 Sous-traitant (CHCKN)
À titre de Sous-traitant, CHCKN :
Traite les Données personnelles uniquement selon vos instructions documentées
Met en œuvre des mesures de sécurité techniques et organisationnelles appropriées
Vous aide à répondre aux demandes des Personnes concernées
Vous informe des Incidents de sécurité sans retard injustifié
Met à disposition les informations nécessaires pour démontrer la conformité
Supprime ou retourne les Données personnelles à la résiliation des services
4. Instructions de traitement
4.1 Portée du traitement
CHCKN traitera les Données personnelles uniquement dans la mesure nécessaire pour :
Fournir les Services comme décrit dans les Conditions d’utilisation
Respecter les lois applicables
Suivre vos instructions écrites spécifiques
Objet : Fourniture d’une plateforme de programme de fidélité et de services d’engagement client
Durée : Pendant la durée de votre abonnement CHCKN et selon les exigences de conservation légale
Nature et finalité :
Exploitation de programmes de fidélité
Suivi des estampes, des points et des récompenses
Envoi de campagnes par courriel, SMS et notifications poussées
Production d’analyses et de rapports
Fourniture du soutien à la clientèle
Maintien de la sécurité de la plateforme
Types de Données personnelles :
Données d’identité (noms, noms d’utilisateur)
Coordonnées (adresses courriel, numéros de téléphone)
Activité de fidélité (estampes, points, récompenses, transactions)
Préférences et historique de communication
Informations sur l’appareil et l’utilisation
Données de localisation (localisation générale basée sur l’adresse IP)
Toute autre donnée que vous téléversez sur la plateforme ou recueillez par son intermédiaire
Catégories de Personnes concernées :
Membres de programmes de fidélité
Employés et administrateurs du Marchand
Visiteurs du site Web
4.2 Instructions
Vous demandez à CHCKN de traiter les Données personnelles selon ce qui est nécessaire pour fournir les Services. CHCKN :
Traite les Données personnelles conformément au présent DPA et aux Conditions d’utilisation
Ne traite pas les Données personnelles à d’autres fins que celles précisées
Vous avise si, selon CHCKN, une instruction enfreint les Lois sur la protection des données
Vous pouvez émettre des instructions écrites supplémentaires par :
Les paramètres et configurations de votre compte
Des demandes par courriel à support@chckn.app
Des mises à jour des paramètres et préférences de campagne
CHCKN peut facturer des frais supplémentaires pour les instructions de traitement qui exigent un travail additionnel important au-delà des Services standards.
5. Mesures de sécurité
5.1 Mesures techniques et organisationnelles
CHCKN met en œuvre des mesures de sécurité appropriées pour protéger les Données personnelles, notamment :
Contrôles d’accès :
Authentification des utilisateurs et protection par mot de passe
Contrôles d’accès fondés sur les rôles
Options d’authentification multifacteur
Révisions et révocations régulières des accès
Sécurité des données :
Chiffrement des données en transit (TLS/SSL)
Chiffrement des données au repos
Centres de données sécurisés avec contrôles d’accès physiques
Évaluations de sécurité régulières et tests d’intrusion
Gestion des vulnérabilités et application de correctifs
Mesures organisationnelles :
Ententes de confidentialité des employés
Formation de sensibilisation à la sécurité
Procédures de réponse aux incidents
Vérifications des antécédents pour les employés ayant accès aux données
Séparation des tâches et accès selon le principe du moindre privilège
Continuité des activités :
Sauvegardes de données régulières
Planification de reprise après sinistre
Infrastructure redondante
Systèmes de surveillance et d’alerte
5.2 Réponse aux incidents de sécurité
En cas d’Incident de sécurité, CHCKN :
Vous avisera sans retard injustifié (dans les 72 heures suivant sa prise de connaissance)
Fournira des détails sur la nature et la portée de l’incident
Décrira les mesures prises ou proposées pour traiter l’incident
Fournira des coordonnées pour toute demande supplémentaire
Vous aidera à respecter votre obligation de notifier les autorités ou les Personnes concernées si nécessaire
Vous reconnaissez que l’avis de CHCKN ne constitue pas un aveu de faute ou de responsabilité.
6. Sous-traitants ultérieurs
6.1 Sous-traitants ultérieurs autorisés
Vous autorisez CHCKN à engager les Sous-traitants ultérieurs énumérés ci-dessous pour traiter les Données personnelles. CHCKN veille à ce que tous les Sous-traitants ultérieurs soient liés par des obligations de protection des données équivalentes à celles du présent DPA.
| Sous-traitant | Emplacement | Objectif |
|---|---|---|
| Vercel Inc. | États-Unis | Hébergement infonuagique et infrastructure applicative |
| Néon | États-Unis | Services de base de données |
| Google LLC | États-Unis | Diffusion de contenu et infrastructure |
| PostHog Inc. | États-Unis | Analyses client et informations sur les produits |
| Stripe Inc. | États-Unis | Traitement des paiements |
6.2 Modifications des sous-traitants
CHCKN peut ajouter ou remplacer des sous-traitants de temps à autre. Nous allons :
Vous fournir un préavis d’au moins 30 jours pour tout nouveau sous-traitant
Publier les mises à jour de notre liste de sous-traitants à https://chckn.app/subprocessors
Vous donner la possibilité de vous opposer à l’utilisation d’un nouveau sous-traitant
Si vous vous opposez à un nouveau sous-traitant pour des motifs raisonnables liés à la protection des données, nous allons :
Travailler avec vous pour trouver une solution de rechange, ou
Vous permettre de résilier votre abonnement sans pénalité
6.3 Obligations des sous-traitants
CHCKN veille à ce que les sous-traitants :
Soient liés contractuellement à des normes de protection des données équivalentes à la présente DPA
Traitent les données personnelles uniquement aux fins précisées
Mettent en œuvre des mesures de sécurité appropriées
Fournissent de l’aide pour les demandes des personnes concernées et les notifications d’incidents de sécurité
CHCKN demeure entièrement responsable de l’exécution des sous-traitants.
7. Droits des personnes concernées
7.1 Assistance pour les demandes des personnes concernées
CHCKN vous aidera à répondre aux demandes des personnes concernées visant à exercer leurs droits en vertu des lois sur la protection des données, y compris :
Droit d’accès : Fournir aux personnes concernées l’accès à leurs données personnelles
Droit de rectification : Corriger les données personnelles inexactes ou incomplètes
Droit à l’effacement ("droit à l’oubli") : Supprimer les données personnelles dans certaines circonstances
Droit à la limitation : Limiter le traitement des données personnelles dans certaines circonstances
Droit à la portabilité des données : Fournir les données personnelles dans un format structuré et lisible par machine
Droit d’opposition : S’opposer au traitement fondé sur des intérêts légitimes ou à des fins de marketing direct
7.2 Processus pour les demandes des personnes concernées
Si CHCKN reçoit directement une demande d’une personne concernée, nous allons :
Vous transmettre la demande rapidement
Ne pas répondre à la demande sans votre autorisation (sauf pour informer la personne concernée de communiquer avec vous)
Vous aider à répondre à la demande dans la mesure raisonnablement nécessaire
Vous êtes responsable de :
Répondre aux demandes des personnes concernées dans les délais requis
Vérifier l’identité des personnes concernées qui présentent des demandes
Déterminer la réponse et les mesures appropriées
7.3 Assistance technique
CHCKN fournira une assistance technique raisonnable pour vous aider à traiter les demandes des personnes concernées, y compris :
Fournir l’accès aux données personnelles par l’entremise du tableau de bord de votre compte
Exporter les données dans des formats lisibles par machine
Supprimer les données selon vos instructions
Limiter le traitement sur demande
8. Transferts internationaux de données
8.1 Lieux de transfert des données
Les données personnelles peuvent être transférées et traitées dans :
Le Canada (où se trouve le siège social de CHCKN)
Les États-Unis (où les sous-traitants exercent leurs activités)
D’autres pays où CHCKN ou ses sous-traitants maintiennent une infrastructure
8.2 Garanties de transfert
Pour les transferts de données personnelles en provenance de l’Espace économique européen (EEE), du Royaume-Uni ou de la Suisse, CHCKN s’appuie sur les garanties suivantes :
Clauses contractuelles types (CCT) approuvées par la Commission européenne
Décisions d’adéquation, le cas échéant
Autres mécanismes de transfert licites en vertu du RGPD
Sur demande, CHCKN fournira des copies des clauses contractuelles types applicables ou de toute autre documentation relative au mécanisme de transfert.
8.3 Engagement de conformité
CHCKN s’engage à :
Traiter les données personnelles conformément aux lois sur la protection des données, quel que soit l’endroit
Veiller à ce que les sous-traitants dans des juridictions non adéquates offrent des garanties appropriées
Vous aviser de toute incapacité à respecter les exigences en matière de protection des données
9. Conservation et suppression des données
9.1 Période de conservation
CHCKN conserve les données personnelles :
Pendant la durée de votre abonnement
Aussi longtemps que nécessaire pour fournir les Services
Tel qu’exigé par la loi applicable
Comme précisé dans notre Politique de confidentialité
9.2 Suppression à la résiliation
À la résiliation ou à l’expiration de votre abonnement, CHCKN, selon votre choix :
Supprimera toutes les données personnelles dans un délai de 30 jours, ou
Vous retournera les données personnelles dans un format standard dans un délai de 30 jours
Après la période de 30 jours, CHCKN supprimera de façon sécurisée toutes les données personnelles restantes, sauf :
Les données devant être conservées en vertu de la loi
Les données conservées sous une forme désidentifiée ou agrégée
Les données dans les systèmes de sauvegarde, qui seront supprimées conformément à notre calendrier de conservation des sauvegardes
9.3 Méthodes de suppression
CHCKN utilise des méthodes de suppression sécurisées pour garantir que les données personnelles ne peuvent pas être récupérées, y compris :
Effacement sécurisé des données
Effacement cryptographique
Destruction physique des supports de stockage (le cas échéant)
10. Droits d’audit
10.1 Informations et audits
Pour démontrer la conformité à la présente DPA, CHCKN va :
Mettre à disposition des informations sur nos pratiques de traitement des données
Fournir des copies des certifications de sécurité pertinentes et des rapports d’audit
Vous permettre d’effectuer des audits ou des inspections, sous réserve de conditions raisonnables
10.2 Processus d’audit
Si vous souhaitez effectuer un audit :
Fournir un préavis écrit d’au moins 30 jours
Effectuer les audits pendant les heures normales de bureau
Minimiser les perturbations des activités de CHCKN
Signer un accord de confidentialité si requis
Assumer les coûts de l’audit (sauf si l’audit révèle une non-conformité importante)
CHCKN peut exiger que les audits soient effectués par un auditeur tiers indépendant approuvé par CHCKN.
10.3 Fréquence des audits
Vous pouvez effectuer des audits :
Une fois par année pendant la durée de votre abonnement
Plus fréquemment si les lois sur la protection des données l’exigent ou s’il y a un incident de sécurité
11. Responsabilité et indemnisation
11.1 Responsabilité
La responsabilité de chaque partie en vertu de la présente DPA est assujettie aux limitations et exclusions de responsabilité prévues dans les Conditions d’utilisation.
11.2 Indemnisation
CHCKN vous indemnisera et vous dégagera de toute responsabilité à l’égard des réclamations, dommages et coûts découlant de :
Une violation importante de la présente DPA par CHCKN
Une violation des lois sur la protection des données dans son rôle de sous-traitant
L’omission de mettre en œuvre des mesures de sécurité appropriées
Vous indemniserez CHCKN et la dégagerez de toute responsabilité à l’égard des réclamations, dommages et coûts découlant de :
Vos instructions qui contreviennent aux lois sur la protection des données
Votre omission d’obtenir les consentements nécessaires des personnes concernées
Votre violation des lois sur la protection des données dans votre rôle de responsable du traitement
Des données inexactes, trompeuses ou illégales que vous fournissez à CHCKN
12. Durée et résiliation
12.1 Durée
La présente DPA prend effet à la date à laquelle vous acceptez les Conditions d’utilisation et se poursuit jusqu’à la résiliation de tous les Services.
12.2 Survie
Les dispositions suivantes survivent à la résiliation :
Obligations de confidentialité
Obligations de suppression des données
Responsabilité et indemnisation
Droits d’audit (pendant une période raisonnable)
13. Modifications
CHCKN peut mettre à jour la présente DPA de temps à autre afin de refléter :
Les changements apportés aux lois sur la protection des données
De nouvelles mesures de sécurité ou certifications
Des changements aux sous-traitants
Des améliorations à nos pratiques de protection des données
Nous vous aviserons des changements importants par courriel ou par l’intermédiaire de la plateforme. La poursuite de l’utilisation des Services après l’entrée en vigueur des changements constitue une acceptation de la DPA mise à jour.
Si vous n’acceptez pas les changements, vous pouvez résilier votre abonnement conformément aux Conditions d’utilisation.
14. Loi applicable et compétence
La présente DPA est régie par les lois précisées dans les Conditions d’utilisation (lois du Québec, Canada), sauf lorsque les lois sur la protection des données exigent autrement.
15. Coordonnées
Pour toute question, préoccupation ou demande liée à la présente DPA ou au traitement des données, communiquez avec :
CHCKN Inc. Courriel : support@chckn.app Emplacement : Montréal, Québec, Canada
Pour les demandes liées à la protection des données, veuillez inclure « Demande DPA » dans l’objet de votre courriel.
16. Ordre de priorité
En cas de conflit :
La présente DPA prévaut sur les Conditions d’utilisation en ce qui concerne le traitement des données
Les clauses contractuelles types (le cas échéant) prévalent sur la présente DPA
Les dispositions impératives des lois sur la protection des données prévalent sur toutes les ententes