Toast Merchant Data Processing Addendum
Cliquez ici pour la version française / Click here for the French version
Effective: November 20, 2025
This Merchant Data Processing Addendum (the “Addendum”) is entered into between Toast, Inc., including its subsidiaries and affiliates (referred to generally as “Toast”) and the Merchant and forms part of the Merchant Agreement(s) entered into between Toast and Merchant (collectively the “Agreement”) and applies where either of the Parties process Personal Information under the Agreement.
1. INTRODUCTION___________________________________________________________________
1.1 Toast provides services to Merchant under the Agreement that may involve the processing of Personal Information.
1.2 Both Toast and Merchant (each a “Party” or together the “Parties”) agree to comply in good faith with the terms set out in this Addendum. The Parties wish to set out their mutual obligations in relation to the Processing of Personal Information in this Addendum.
1.3 In the event of a conflict or inconsistency between a term of this Addendum and the Agreement, the term of this Addendum shall control to the extent of the conflict or inconsistency.
2. DEFINITIONS____________________________________________________________________
Unless otherwise set out below, each capitalized term in this Addendum shall have the meaning set out in the Agreement.
2.1 “Alternative Transfer Mechanism” means a mechanism other than the Standard Contractual Clauses that enables the lawful transfer of Personal Information from the European Economic Area (“EEA”), the United Kingdom (“UK”) or Switzerland to a third country in accordance with Applicable Data Protection Laws, including, but not limited to, programs both approved and operated by the U.S. Department of Commerce and approved by the European Commission or other applicable governmental authority or entity.
2.2 “Applicable Data Protection Laws” means all applicable federal, state, provincial, regional and local laws, directives, regulations, and rules imposed by any government, agency or authority in relation to the processing and security of Personal Information, including, but not limited, to Australian Privacy Laws, NZ Privacy Laws the European Union’s General Data Protection Regulation (Regulation 2016/679) pertaining to the protection of individuals within the European Economic Area (“EU GDPR”), the EU Directive on Privacy and Electronic Communications 2002/58/EC (“PECR”), the data protection law of the United Kingdom, including but not limited to the EU GDPR as incorporated into the United Kingdom, the Data Protection Act 2018 and any additional legislation (“UK GDPR”), Switzerland’s Federal Data Protection Act of 19 June 1992, Canada’s Personal Information Protection and Electronic Documents Act (“PIPEDA”) and all substantially similar laws, the CCPA, and other US Privacy Laws, as any of the foregoing may be amended, replaced or superseded.
2.3 “Australian Privacy Laws” means the Privacy Act 1988 (Cth) and any applicable state legislation governing Personal Information.
2.4 “CCPA” means, as applicable, the California Consumer Privacy Act of 2018, California Civil Code 1798.100 et seq. (2018), including as amended by the California Privacy Rights Act of 2020; and any subsequent replacements to the foregoing laws. All implementing regulations forming part of the laws above shall also be included in this definition.
2.5 “Controller” means the Party that alone or jointly with others determines the purposes and means of the Processing of Personal Information. For the purposes of this Agreement, “Controller” includes similarly defined terms under Applicable Data Protection Laws, including, but not limited to, a “business”, an “Agency” or a “person carrying on an enterprise”.
2.6 “GDPR” means, as applicable, the EU GDPR and the UK GDPR.
2.7 "Individual” has the same meaning as “individual”, “consumer” or “data subject” under Applicable Data Protection Laws.
2.8 “Individual Rights Request” means the exercise of an individual’s right over their Personal Information (for example deletion, access or rectification) and shall be understood to have the same meaning as a “data subject rights request”, “a consumer right”, “a personal data rights request”, and similar terms as may be defined under Applicable Data Protection Laws.
2.9 “NZ Privacy Laws” means the Privacy Act 2020 (NZ), any applicable Codes of Practice or Regulations made pursuant to such Act, and any other laws or regulations governing the Processing of Personal Information in New Zealand.
2.10 “Processor” means the entity which processes Personal Information on behalf of a Controller.
2.11 “Sale” or “Sell” has the same meaning as such term is defined in the CCPA, any subsequent or similar legislation or other Applicable Data Protection Laws as enacted or amended from time to time.
2.12 “Share” or “Sharing” has the same meaning as such term is defined in the CCPA, any subsequent or similar legislation or other Applicable Data Protection Laws as enacted or amended from time to time.
2.13 “Standard Contractual Clauses” or “SCCs” means (i) in respect of EU Personal Information, the Standard Contractual Clauses implemented by the Commission Implementing Decision (EU) 2021/914 of 4 June 2021 for the transfer of personal data to third countries pursuant to the EU GDPR, as updated or replaced from time to time (“EU Standard Contractual Clauses”) and (ii) in respect of UK Personal Information, means the International Data Transfer Addendum to the EU Standard Contractual Clauses issued by the UK Information Commissioner’s Office (ICO) in accordance with the UK GDPR and the Data Protection Act 2018, as amended or replaced (“UK Addendum”).
2.14 “Security Incident” means any accidental or unlawful destruction, loss, alteration, theft, unauthorized disclosure of, or access to, Personal Information and includes any event that constitutes a privacy breach, personal data breach, or similar reportable incident under applicable law.
2.15 “Sub-processor” means any additional authorized Processor engaged by the original Processor that agrees to receive any Personal Information from the Controller as part of the Services.
2.16 “Third Party” means any Controller, Processor or Sub-processor engaged by a Party that agrees to receive Personal Information as part of the Services.
2.17 “US Privacy Laws” refers to state-specific privacy laws in the United States, including the CCPA, the Virginia Consumer Data Protection Act, the Colorado Privacy Act, the Connecticut Data Privacy Act and other state-specific privacy laws as amended; and any subsequent replacements to the foregoing laws. All implementing regulations forming part of the laws above shall also be included in this definition. Terms in capitals not defined in this Addendum shall have the same meaning as set out in the Merchant Agreement.
DATA PROCESSING
3. CONTROLLER OBLIGATIONS____________________________________________________________________
To the extent Toast and Merchant Process Personal Information as Controllers as part of the Agreement, the Parties agree that:
3.1 Independent controllers: Each Party shall act as independent Controller and no “Joint Controller” relationship shall exist under the Applicable Data Protection Laws.
3.2 Compliance with law: Both Parties agree to comply with Applicable Data Protection Laws and shall not by any act or omission, put the other Party in breach of those Laws.
3.3 Compliance obligations: Each Party is obligated to manage its respective compliance obligations pursuant to Applicable Data Protection Laws and put in place any applicable controls or governance, which may include (i) the provision and maintenance of a privacy statement or similar notice for each Party’s respective Processing; (ii) providing written notices to individuals and obtaining any required consents (including consents for secondary uses) before any initial or subsequent use or disclosure of Personal Information; (iii) fulfilment and management of opt-outs and individual rights requests; (iv) compliance with any applicable direct marketing or spam legislation, and (v) the oversight of Processing operations involving Personal Information.
3.4 Individual Rights Requests: Each Party shall comply with Individual Rights Requests under Applicable Data Protection Laws (including where applicable the right to withdraw consent, of access, restriction, rectification and erasure) in relation to Personal Information. The Parties shall reasonably cooperate with each other to respond to such requests.
3.5 Sales or Sharing: To the extent any transfer of Personal Information to a Third Party is found to constitute a “Sale” or “Sharing”, the Party responsible for instructing that transfer shall be solely responsible for implementing the appropriate disclosures and managing any subsequent legal obligations (e.g., opt-outs) under the Applicable Data Protection Laws.
The Merchant:
3.6 Specifically with regard to any Personal Information Merchant collects, uploads or discloses to Toast, Merchant represents and warrants that it has provided the appropriate notices to Individuals and collected any required consents, including in compliance with Sections 3.3 of this Addendum and to facilitate Toast’s collection, use and disclosure of such information in accordance with the Agreement and Toast’s Privacy Statement, and otherwise has a lawful basis for processing and disclosing the Personal Information to Toast in connection with the Services.
3.7 Where Merchant directs that Toast disclose Personal Information to any Third Parties (including partners), Merchant agrees that such disclosure is in line with its obligations under Section 3.3 of this Addendum, and any notices and consents referred to in Section 3.6 of this Addendum, and that Merchant as Controller remains responsible for any subsequent processing of Personal Information and its compliance with applicable Data Protection Laws as a result of any such direction to Toast.
3.8 Acknowledges that by using the Services, the Personal Information of Merchant, Merchant Employees and Customers will be processed in accordance with Toast’s Privacy Statement found at https://pos.toasttab.com/privacy. Merchant and its Employees are encouraged to read the Privacy Statement carefully, as it forms a binding part of this Addendum and contains important information about individuals’ rights and how Toast manages Personal Information. Merchant shall make the Privacy Statement available to its Employees and Customers (as appropriate) in such manner as Toast may reasonably request from time to time.
4. PROCESSOR OBLIGATIONS____________________________________________________________________
To the extent Toast Processes Personal Information as a Processor under the Agreement, Toast agrees that:
4.1 Processing: Toast shall only Process the Personal Information on documented instructions of the Merchant and in order to provide the Services or where required by applicable law, in which case Toast will inform Merchant of the legal requirement unless Toast is prohibited from doing so by law.
4.2 Audits and Assessments: To the extent required under the Applicable Data Protection Laws, Toast shall make available to Merchant all information necessary to demonstrate compliance with the obligations under such Laws.
4.3 Confidentiality: Anyone authorized to process Personal Information on behalf of Merchant shall either have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality.
4.4 CCPA Service Provider: Where Toast acts as a “service provider” for the purposes of the CCPA, and with respect to Personal Information it processes in such capacity, in addition to the obligations set forth in this DPA and to the extent the CCPA applies: Toast shall not (a) combine Personal Information it receives in in connection with the Services with Personal Information it may receive from other sources (b) “sell” or “share” Personal Information as such terms are defined in the CCPA (c) retain, use, or disclose Personal Information for any purpose other than to provide the Services, and as otherwise permitted by applicable law (including but not limited to Applicable Data Protection Laws), (d) retain, use or disclose Personal Information outside of the direct business relationship between the parties or outside the provision of the Services, and (e) disclose Personal Information to any person without including them on the list of Sub-processors described below. The parties acknowledge that the transfer of Personal Information is in furtherance of a business purpose, described in the Agreement.
4.5 Sub-processors: Merchant grants Toast a general authorisation to appoint Sub-processors to Process Personal Information under the Agreement and permits each Sub-processor to appoint Sub-processors in accordance with the terms herein. Toast will have a written agreement with the Sub-processor imposing substantially similar obligations as those set out under this Addendum. Toast is responsible to Merchant for the failure of any Sub-processors to perform their obligations under this Addendum. See Annex 3 of this Addendum for a link to a website detailing Toast’s current Sub-processors. By visiting that site, Merchant may also register to be notified of any modifications to the Sub-processor list (a “Notification”).
4.6 Sub-processor Objections: Where Applicable Data Protection Law provides a Controller the opportunity to object to a Sub-processor and Merchant objects on reasonable grounds to the use of a specific Sub-processor, it must inform Toast of such objection in writing (by email to privacy@toasttab.com) within 15 days of receipt of Notification. Toast will use reasonable efforts to make available to Merchant a change in the Services or recommend a commercially-reasonable change to the configuration or use of the Services by Merchant to avoid Processing of Personal Information by the objected-to new Subprocessor. Toast shall at its option (a) within a commercially reasonable timeframe find a replacement Sub-processor; or (b) provide a termination right pursuant to the Agreement. Before the Sub-processor first processes Personal Information, Toast agrees to carry out adequate due diligence to ensure that the Sub-processor is capable of providing the level of protection for Personal Information required by the Agreement. Toast will provide for Merchant to review the form of agreement for such written contract, as Merchant may request up to once per year.
4.7 Retention and deletion: Upon termination of the Agreement, Toast shall return or delete any Personal Information on Merchant’s request, except where it is required to retain or delete the Personal Information to comply with applicable laws, or, where permitted, such retention is in line with Toast’s current data retention schedule.
4.8 Government Access Requests: If Toast becomes aware that any government authority (including law enforcement) wishes to obtain access to or a copy of some or all of the Personal Information of Merchant, whether on a voluntary or a mandatory basis, then unless legally prohibited under applicable law, Toast shall: (1) immediately notify Merchant (2) inform the requestor that Toast is a Processor and is not authorized to disclose the Personal Information (3) inform the requestor that the request must be sent to the Merchant (4) not provide access to the Personal Information unless required by applicable law or authorized by the Merchant in writing. If applicable law prohibits Toast from complying with (1) to (4) above, then Toast shall use any lawful means to challenge (a) disclosure of the Personal Information and (b) the prohibition to notify Merchant.
4.9 Additional GDPR Processor obligations: In addition to the other requirements set out in this Addendum, to the extent Toast Processes Personal Information subject to the GDPR, UK GDPR or laws of Switzerland, Toast shall comply with all requirements under Article 28 of the GDPR in relation to Toast’s role as a Processor (or the relevant equivalent requirements as applicable). This includes the contractual obligations set out in Article 28(3) as set out in this Addendum.
5. SECURITY
5.1 Security Measures: Taking into account the state of the art, costs of implementation, the nature, scope, context and purpose of the Processing, each Party shall implement and maintain a written information security program embodying all appropriate technical, organizational and administrative security measures required to protect the privacy and security of any Personal Information Processed as part of the Services (including against loss, access, use, modification or disclosure that is not authorised, and other misuse). In all cases, the Parties shall implement any and all security measures imposed under the Applicable Data Protection Laws.
6. SECURITY INCIDENTS____________________________________________________________________
6.1 Security Incident response program: Each Party shall implement and maintain a written incident response program for the management of Security Incidents.
6.2 Notification of a Security Incident: If either Party discovers, is notified of or reasonably suspects the occurrence of a Security Incident impacting any Personal Information Processed under the Agreement, that Party will notify the other Party without undue delay. The timing of such notification shall not exceed seventy-two (72) hours after having become aware of a Security Incident or such other time limit imposed under the Applicable Data Protection Laws. Such notice shall (where known) contain the following: (i) the facts of the Security Incident, including the date of discovery, a date range of unauthorized activity, and any remediation and mitigation activities that have been taken or put in place; (ii) a description of the categories and approximate number of individuals and records affected by the Security Incident; (iii) the Party’s assessment, developed through reasonable diligence, of the likely consequences of the Security Incident with respect to the affected Personal Information and affected individuals; and (iv) the name and the contact details of the data protection officer or other contact point where more information can be obtained. The Parties will reasonably assist each with any obligation to inform any impacted individuals or any regulatory body of the Security Incident and nothing in this Addendum or the Agreement prohibits a party from complying with any such obligations to the extent required under Applicable Data Protection Laws. .
6.3 Costs and remediation obligations: To the extent any Security Incident is attributable to the actions of a specific Party or its Third Parties, that Party shall be responsible for all costs associated with the Security Incident, including, but limited to, the following: (i) the cost of providing notice to affected individuals; (ii) the cost of providing notice to government agencies, credit bureaus, and/or other entities required to be notified under applicable law; (iii) the cost of providing affected individuals with credit monitoring services (as appropriate or as required by the Applicable Data Protection Laws); (iv) call center support for such affected individuals; (v) the cost of any other measures required under the Applicable Data Protection Laws; and (vi) other losses, liabilities or expenses for which that Party would be liable. In all cases, as to the Personal Information Processed under this Agreement impacted by a Security Incident, the Parties shall, where appropriate and reasonable, cooperate and work together as part of the remediation efforts.
7. NOTIFICATIONS AND REQUESTS FROM THIRD PARTIES____________________________________________________________________
7.1 Reasonable support: Where appropriate, each Party shall provide reasonable assistance and cooperation in relation to each Party’s compliance obligations under the Agreement and the Applicable Data Protection Laws. This may include support with individual rights requests or notifications from any governmental, regulatory or law enforcement authority pertaining to the Processing of Personal Information under this Addendum. In the event either Party receives a notification or request directed to the other Party pursuant to this Section, that Party shall notify the other Party and shall not respond to the individual or governmental authority making the request unless required to do so under the law (including the Applicable Data Protection Laws). Merchant acknowledges that in certain instances it may not be able to respond to requests under this section and as such Merchant hereby authorizes and instructs Toast to take the steps necessary to verify and comply with an individual rights request that relates to the Services under the Agreement and any Personal Information that Toast processes on Merchant’s behalf, including any such request that Toast receives directly from an individual. Merchant acknowledges that Toast reserves the right to direct certain Individual Rights Requests to be managed by Merchant, for example where the nature of Merchant’s relationship with an Individual, or the nature of the processing makes Merchant best equipped to address such Request. Should Toast receive a request that is not related to Services under the Agreement and is associated with Merchant, Toast will promptly notify Merchant of such request and/or instruct the consumer to contact the Merchant directly. Should Merchant receive an individual rights request related to the Services, Merchant shall notify Toast, and Toast shall provide reasonable assistance in complying with such request.
7.2 Third Parties: To the extent either Party is permitted to utilize any Third Parties as part of the Services under the Agreement, that Party shall ensure that those relationships are governed by a written agreement that imposes appropriate privacy obligations and security controls substantially similar to the measures contained in this Addendum. In all cases, the Party engaging the Third Party is responsible for any acts or omissions of the Third Party. For the avoidance of doubt, this includes instances where the Merchant elects to transfer Personal Information to a Third Party, including any third-party partners.
8. DATA TRANSFERS____________________________________________________________________
8.1 Transfers generally: Each Party is permitted to transfer Personal Information under the Agreement to locations around the world provided that such transfers comply with Applicable Data Protection Laws.
8.2 Transfer Types: The following data transfer scenarios are applicable in respect of EEA, Switzerland and UK transfers:
(i) Merchant EEA, Switzerland and UK Personal Information is first processed by Toast in the EEA, Switzerland and/or UK and is subsequently transferred to a country not recognized by the European Commission, the UK ICO or the Swiss Federal Data Protection Authority as providing an adequate level of protection of Personal Information (“Third Country”). Such transfers are governed by an intra-company set of Standard Contractual Clauses entered into between Toast Ireland, Toast UK and Toast, Inc. as part of its compliance with this Section and as part of providing the Services under the Agreement. A copy of these Standard Contractual Clauses can be requested by emailing privacy@toasttab.com.
(ii) Merchant EEA, Switzerland and UK Personal Information is not first processed by Toast in the EEA, Switzerland and/or UK and instead is transferred directly to a Third Country. Such transfers are governed by the Standard Contractual Clauses (including the UK Addendum) which are hereby incorporated by reference with the following selections:
For the purposes of the EEA and Switzerland:
Section Reference | Concept | Selection by the Parties |
Module | In operation | Modules One and Two. |
Section I, Clause 7 | Docking | The option under clause 7 shall not apply. |
Section II, Clause 9 | Sub-processors | Option 2 (General Written Authorisation) under clause 9 shall apply. See clause 3.2(iii) of this Addendum. |
Section IV, Clause 17 | Governing law | Transfers under the EU SCCs will be governed by the laws of Ireland. The Swiss Federal Act on Data Protection (FADP) insofar as the transfers are governed by the FADP. |
Section IV, Clause 18(b) | Choice of forum and jurisdiction | The Courts of Ireland shall have exclusive jurisdiction to resolve any dispute or lawsuit arising out of or in connection with the EU SCCs. |
Annex 1.A | List of Parties | See Annex 1 Section A of this Addendum. |
Annex I.B | Description of Transfer | See Annex 1 Section B of this Addendum. |
Annex I.C | Competent Supervisory Authority | Irish Data Protection Commissioner. Federal Data Protection and Information Commissioner insofar as the transfers are governed by the FADP. |
Annex II | Technical and Organisational Measures | See Annex 2 of this Addendum. |
Annex III | Sub-processors | See Annex 3 of this Addendum (only for Module Two) |
Additional adaptations insofar as the FADP governs the transfers | The term ‘member state’ must not be interpreted in such a way as to exclude data subjects in Switzerland from the possibility of suing for their rights in their place of residence (Switzerland) in accordance with Clause 18(c) of the SCCs. References to “GDPR” are to be understood as references to FADP. The SCCs shall apply to data pertaining to legal entities until the entry into force of the revised FADP. |
For the purposes of the UK, the parties agree that the EU Standard Contractual Clauses will apply but will be modified and interpreted in accordance with the UK Addendum and agree as follows:
Table or Section Reference | Concept | Selection by the Parties |
Table 1 | Parties | See Annex 1 Section A of this Addendum |
Table 2 | Selected SCCs, Modules and Selected Clauses | Modules One and Two of the EU Standard Contractual Clauses entered into on the date of the Agreement. |
Table 3 | Appendix Information | Annex 1.A shall be populated with the information in Annex 1A of this Addendum Annex 1.B shall be populated with the information in Annex 1B of this Addendum Annex II shall be populated with Annex 2 of this Addendum Annex III shall be populated with Annex 3 of this Addendum (only for Module Two) |
Table 4 | End of UK Addendum when the Approved Addendum changes | Neither party may end this UK Addendum per Section 19 of the UK Addendum, except as set forth in this Addendum. |
Section I, Clause 7 | Docking | The option under clause 7 shall not apply. |
Section II, Clause 9 | Sub-processors | Option 2 (General Written Authorisation) under clause 9 shall apply. See clause 3.2(iii) of this Addendum. |
Section II, Clause 11 | Redress | The option under clause 11 shall not apply. |
Section IV, Clause 17 | Governing law | The laws of England and Wales insofar as the transfers are governed by UK Data Protection Law. |
Section IV, Clause 18(b) | Choice of forum and jurisdiction | The Courts of England and Wales shall have exclusive jurisdiction to resolve any dispute or lawsuit arising out of or in connection with the UK Addendum. |
Part 2 | Mandatory Clauses | Mandatory clauses of the UK Addendum as issued by the Information Commissioner’s Office and laid before the United Kingdom Parliament in accordance with section 119A of the Data Protection Act 2018 on February 2, 2022, as it is revised under section 18 of those Mandatory Clauses. section |
Any conflict between the terms of the Standard Contractual Clauses and the UK Addendum will be resolved in accordance with Section 10 and Section 11 of the UK Addendum.
8.3 If the SCCs are implemented, adopted or recognized as a legitimate data transfer mechanism in countries other than the EEA countries, then the Parties shall apply the SCCs Modules One and Two to the transfer of Personal Information originating from such country(-ies).
8.4 In the event of any changes to the UK Addendum after signature of this Addendum, the Parties agree to cooperate in good faith and repopulate any replacement UK Addendum.
8.5 Alternative Transfer Mechanisms: It is the responsibility of any Party relying on an Alternative Transfer Mechanism to ensure it provides the same level of protection of Personal Information as imposed under this Addendum.
9. JURISDICTION-SPECIFIC TERMS____________________________________________________________________
9.1 Security Measures Applicable to Quebec: The security measures set forth in Annex 2 shall apply to the processing of personal information of Quebec Residents regardless of whether data is transferred outside the province.
10. Miscellaneous____________________________________________________________________
10.1 Assurances: Notwithstanding any requirements or specific rights granted to the Parties under the Applicable Data Protection Laws, each Party shall, with reasonable notice, have the right to obtain assurances from the other Party to verify each Party’s compliance with the terms of this Addendum if it has a reasonable suspicion of a breach or a potential breach under this Addendum.
10.2 Survival: Each Party’s obligations under this Addendum will survive the termination of the Agreement to the extent either Party continues to Process Personal Information covered by the Agreement.
10.3 Severability: If any court or competent authority decides that any term of this Addendum is held to be invalid, unlawful, or unenforceable to any extent, such term shall, to that extent only, be severed from the remaining terms, which shall continue to be valid to the fullest extent permitted by law.
10.4 Waiver: Either Party’s failure to enforce any provision of this Addendum shall not constitute a waiver of that or any other provision and will not relieve the other Party from the obligation to comply with such provision.
10.5 Changes to this Addendum: From time to time, subject the Applicable Data Protection Laws, Toast may update this Addendum in accordance with the requirements for updating or modifying the Agreement as set out in the Merchant Agreement including as required to maintain compliance with the Applicable Data Protection Laws, for internal business purposes, or as otherwise provided under the Agreement provided that any such updates do not materially diminish either Party’s ability to comply with the Applicable Data Protection Laws or result in a material detriment to Merchant. The Parties agree that any such updates to this Addendum shall be effective on the publication date, subject to the terms of the Merchant Agreement.
ANNEX 1
A. LIST OF PARTIES____________________________________________________________________
- Merchant / Data Exporter
Name | As set forth in the Agreement. |
Address | As set forth in the Agreement. |
Contact person | As set forth in the Agreement. |
Activities related to data transfer under the Clauses: | As set forth in this Addendum and the Agreement. |
Role (controller/processor) | Standard Contractual Clauses Module One: Merchant is the data controller. |
- Toast / Data Importer
Name | Toast, Inc. |
Address | 333 Summer St. Boston, MA 02210 |
Contact person | Assistant General Counsel, Privacy; privacy@toasttab.com |
Activities related to data transfer under the Clauses: | Services associated with facilitation of POS-related, partner and other restaurant-related services for merchants, merchant employees and restaurant guests |
Role (controller/processor) | - Standard Contractual Clauses Module One: Toast is the data controller. - Standard Contractual Clauses Module Two: Toast is the data processor. |
B. DESCRIPTION OF TRANSFER & PROCESSING____________________________________________________________________
Module One Merchant is the controller Toast, Inc. is the controller | Module Two Toast, Inc. is the processor | |
Categories of Data Subjects | Merchants, merchant employees, guests and suppliers. | Merchants, merchant employees, guests and suppliers. |
Categories of Personal Information | Merchants – name, date of birth (DOB), personal contact details, business contact details, address, ownership information, bank account information, payment card information, credential information, social security number (SSN) or national identifier, driver’s licence information (number, state and expiration), user ID, device ID, IP address. Merchant employees – name, date of birth (DOB), business contact details, job title, personal contact details, shift and employment information, compensation information, and IP address. Guests – name, personal contact details, address, payment card number, security code & expiration date, payment ID, amount paid, order details, time/date of the order, transaction ID, transaction details, car colour & make, IP address, DOB (month/day), loyalty card number and information, location information (course and precise), IP address digital ordering account information, earnings/redemptions, preferences & notes, reservation & waitlist details. Suppliers – name, business contact details, address, bank account information | Personal information included in the context of Toast, Inc.’s service offerings and ancillary/support services to the Merchant, including the categories listed opposite. |
Sensitive data processed | To the extent allergy and dietary information is provided and constitutes health data. | To the extent allergy and dietary information is provided and constitutes health data. Toast may also process sensitive personal data of Merchant employees and guests to the extent Merchant provides it to Toast during the Services. |
Transfer frequency | There will be continuous transfer and Processing of Personal Information | |
Nature of processing | Processing is conducted to provide the Services described in the Agreement. Processor shall Process Personal Information only in accordance with the Agreement. | |
Purpose of processing | Toast, Inc. is providing the Services described in the Agreement. | |
Retention period | Each Controller will retain the Personal Information in accordance with their respective data retention policies and schedules. Merchant may instruct Processor to delete Personal Information as agreed by the Parties and Processor shall promptly delete requested Personal Information. Upon termination of the Agreement, Toast shall return or delete any Personal Information on Merchant’s request, except where it is required to retain the Personal Information to comply with applicable laws, or, where permitted, such retention is in line with Toast’s current data retention schedule. |
ANNEX 2
Security Measures
TECHNICAL AND ORGANISATIONAL MEASURES INCLUDING TECHNICAL AND ORGANISATIONAL MEASURES TO ENSURE THE SECURITY OF THE DATA
EXPLANATORY NOTE:
The technical and organisational measures must be described in specific (and not generic) terms. See also the general comment on the first page of the Appendix, in particular on the need to clearly indicate which measures apply to each transfer/set of transfers.
Description of the technical and organisational measures implemented by the data importer(s) (including any relevant certifications) to ensure an appropriate level of security, taking into account the nature, scope, context and purpose of the processing, and the risks for the rights and freedoms of natural persons.
- Measures of pseudonymisation and encryption of personal data
Toast maintains policy-based as well as technical controls to ensure that certain information at rest as well in transit is encrypted and adequately secured. Toast also maintains a data masking policy and utilizes both hashing and tokenization for certain information under its control. As a PCI-DSS-compliant Level 1 Service Provider, Toast maintains a number of encryption and data masking controls associated with payment card information and the cardholder data environment. - Measures for ensuring ongoing confidentiality, integrity, availability and resilience of processing systems and services
Toast maintains a comprehensive information security program, consisting of numerous policies, standards and controls that prescribes a number of administrative, technical and organizational safeguards to ensure the confidentiality, integrity and availability of information entrusted to Toast. These measures include, but are not, limited to various policies and controls relating to access and user management, network security, encryption, network devices and incident response. Toast also maintains a number of data handling policies within the Privacy function. - Measures for ensuring the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident
Toast maintains a business continuity plan (BCP) and various disaster recovery protocols that include details regarding key personnel, assets and recovery processes to be followed upon the occurrence of a triggering event. This includes the incorporation of emergency evacuation and incident response protocols. These controls ensure that Toast maintains the availability of information as well as measures to backup and/or recover data from critical systems or databases. Toast business continuity and disaster recovery measures also incorporate remote access protocols and the ability of individuals to securely access information systems. - Processes for regularly testing, assessing and evaluating the effectiveness of technical and organisational measures in order to ensure the security of the processing
As a PCI-DSS-compliant Level 1 Service Provider, Toast’s cardholder data environment (including both infrastructure and software) is scanned on a quarterly basis as prescribed by PCI-DSS using an approved third-party scanning vendor. A report of the scanning results is reviewed based on pre-defined thresholds and actioned based on the severity of the risk. - Measures for user identification and authorization
Toast maintains various policies and controls in relation to user authentication and access as part of our information security program. Toast follows the principle of “least privilege” and users are only granted access to systems, applications and services on a need-to-know basis. Toast users maintain unique user credentials for access to systems, and all systems containing data classified as confidential or higher require SSO login, which also requires multi-factor authentication. - Measures for the protection of data during transmission
Toast maintains measures for the encryption of information in transit based on the sensitivity of the information and utilizes industry standard encryption tools. Toast standards prescribe that information in transit utilize TLS 1.2 or higher. Payment card information is encrypted upon swipe/tap/dip via a private or public key and our product is configured to automatically wipe data upon payment authorization. - Measures for the protection of data during storage
Toast maintains measures for the encryption of information at rest based on the sensitivity of the information and utilizes industry-standard encryption tools. Acceptable standards for information at rest include the use of OSX or Windows 10 for full-disk encryption and AES 128-bit encryption or higher. Certain information processed by Toast or its third-party service providers is subject to encryption as well as other heightened security standards that may include restricted access and hashing/tokenization. - Measures for ensuring physical security of locations at which personal data are processed
Toast maintains physical access controls that secure Toast’s offices and facilities as well as access to underlying information (including personal data). These measures include, but are not limited to, the use of security guards, an access management system incorporating electronic badges as well as CCTV. Toast also maintains a visitor policy and access approval process. - Measures for ensuring events logging
Toast utilizes various monitoring, auditing and logging software and technologies within our systems to detect and alert our employees of security-related or other relevant events. These systems are regularly monitored and analyzed by authorized users as well as members of the Information Security team, including our Security Operations Center. - Measures for ensuring system configuration, including default configuration
Defined configuration standards exist for Toast hardware as well as for various company-issued IT equipment. These configuration standards are periodically reviewed and implemented to meet our evolving business and security needs. Toast also maintains various network device and other network configuration standards. - Measures for internal IT and IT security governance and management
Toast maintains a formal information security program that is overseen by the Senior Director of Information Security as well as an Information Technology function that is overseen by our Chief Information Officer. Both functions utilize a number of policies, standards and processes as part of the effort to operationalize information security within Toast. The effectiveness of these programs is monitored by Toast’s Risk Management function as well as other functions at Toast. - Measures for certification/assurance of processes and products
Toast is a PCI-DSS-compliant Level 1 Service Provider and is assessed by a certified QSA as part of that ongoing compliance process. Toast also maintains a SOC 2, Type I report. - Measures for ensuring data minimisation
As part of Toast’s privacy principles and governance, individuals are only permitted to collect the minimum amount of information necessary for a particular processing purpose. These principles are also reinforced within our product development and change management processes by both the Privacy and Information Security functions within Toast. - Measures for ensuring data quality
Toast maintains a number of administrative and technical controls pertaining to the access of information. Data is handled differently based on the sensitivity of information and only specifically trained individuals can access our cardholder data environment. As part of Toast's security controls, we maintain various data lineage and logging measures for activities within the Toast platform as well as business justifications for access to certain sets of information. - Measures for ensuring accountability
As part of Toast’s information security program, individuals are required to adhere and attest to their compliance with specific Toast polices in relation to the management of information and information systems. Our policies also prescribe accountability for system owners that are entrusted with the management and upkeep of information within systems that they oversee. Individuals are also provided with unique user ids for access to systems within our infrastructure. - Measures for allowing data portability and ensuring erasure
Toast US and Toast Ireland have developed internal tools to be able to locate, pull and/or delete applicable personal data related to a data subject request. These tools are regularly tested for their efficacy and functionality, including data portability and erasure.
For transfers to (sub-) processors, also describe the specific technical and organisational measures to be taken by the (sub-) processor to be able to provide assistance to the controller and, for transfers from a processor to a sub-processor, to the data exporter
ANNEX 3
Approved Sub-processors
A list of Toast’s current Sub-processors can be found at https://pos.toasttab.com/sub-processor-list. By visiting that site, Merchant may also register to be notified by email of any modifications to the Sub-processor list (a “Notification”).
Addenda sur le traitement des données des marchands
Entrée en vigueur : 25 mars 2026
Le présent addenda sur le traitement des données des marchands (l’« Addenda ») est conclu entre Toast, Inc. y compris ses filiales et entreprises affiliées (désignées généralement par le terme « Toast ») et le marchand et fait partie du ou des contrat commerciaux conclues entre Toast et le marchand (collectivement le « Contract ») et s’applique lorsque l’une ou l’autre des parties traite des renseignements personnels dans le cadre du Contrat.
1. INTRODUCTION___________________________________________________________________
1.1 Toast fournit des services au marchand dans le cadre du Contrat commercial qui peuvent impliquer le traitement de renseignements personnels.
1.2 Toast et le marchand (chacun étant une « Partie » ou ensemble les « Parties ») s’engagent à respecter de bonne foi les conditions énoncées dans le présent addenda. Les parties souhaitent définir leurs obligations mutuelles en matière de traitement des renseignements personnels dans le présent addenda.
1.3 En cas de contradiction entre le présent addendum et le Contrat, c’est le présent addenda qui prévaut.
2. DÉFINITIONS____________________________________________________________________
Sauf indication contraire ci-dessous, chaque terme commençant par une majuscule dans le présent addenda a la signification qui lui est donnée dans le Contrat.
2.1 « Mécanisme de transfert alternatif » désigne un mécanisme autre que les clauses contractuelles standard qui permet le transfert légal de renseignements personnels de l’Espace économique européen (« EEE »), du Royaume-Uni (« R-U ») ou de la Suisse vers un pays tiers conformément aux lois applicables en matière de protection des données, y compris, mais sans s’y limiter, les programmes à la fois approuvés et exploités par le ministère américain du Commerce et approuvés par la Commission européenne ou par toute autre autorité ou entité gouvernementale applicable.
2.2 « Lois sur la confidentialité applicables » désigne toutes les lois fédérales, étatiques, provinciales, régionales et locales applicables, les directives, les règlements et les règles imposées par tout gouvernement, agence ou autorité en relation avec le traitement et la sécurité des renseignements personnels, y compris, mais sans s’y limiter, les lois australiennes sur la confidentialité, le règlement général sur la protection des données de l’Union européenne (règlement 2016/679) relatif à la protection des individus au sein de l’Espace économique européen (« RGPD de l’UE »), la directive de l’UE sur la confidentialité et les communications électroniques 2002/58/CE (« PECR »), la loi sur la protection des données du Royaume-Uni, y compris, mais sans s’y limiter, le RGPD de l’UE tel qu’incorporé au Royaume-Uni, le Data Protection Act 2018 et toute législation supplémentaire (« RGPD du Royaume-Uni »), la loi fédérale suisse sur la protection des données du 19 juin 1992, la loi canadienne sur la protection des renseignements personnels et les documents électroniques (« LPRPDE »), ainsi que toute législation provinciale applicable, le CCPA et d’autres lois américaines sur la confidentialité, telles qu’elles peuvent être modifiées, remplacées ou remplacées par les lois qui précèdent.
2.3 « Lois australiennes sur la confidentialité » : la loi sur la confidentialité de 1988 (Cth) et toute législation d’État applicable régissant les renseignements personnels.
2.4 « CCPA » désigne, le cas échéant, la loi californienne de 2018 sur la confidentialité des consommateurs, California Civil Code 1798.100 et seq. (2018), y compris telle que modifiée par la loi californienne sur la confidentialité de 2020 et tout remplacement ultérieur des lois mentionnées ci-dessus. Tous les règlements d’application faisant partie des lois mentionnées ci-dessus sont également inclus dans cette définition.
2.5 « Contrôleur » désigne la partie qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des renseignements personnels. Aux fins de la présente entente, le terme « contrôleur » comprend des termes définis de manière similaire en vertu des lois applicables en matière de protection des données, y compris, mais sans s’y limiter, une « entreprise » et une « personne exerçant une activité commerciale ».
2.6 « RGPD » signifie, selon le cas, le RGPD de l’UE et le RGPD du Royaume-Uni.
2.7 « Individu » a la même signification que « consommateur » ou « personne concernée » en vertu des lois applicables en matière de protection des données.
2.8 « Demande de droits individuels » signifie l’exercice du droit d’une personne sur ses renseignements personnels (par exemple la suppression, l’accès ou la rectification) et doit être compris comme ayant la même signification qu’une « demande de droits de la personne concernée », « un droit du consommateur », « une demande de droits sur les données personnelles », et des termes similaires tels qu’ils peuvent être définis en vertu des lois applicables sur la protection des données.
2.9 « Vente » ou « vendre » a la même signification que celle donnée à ce terme dans la CCPA, dans toute législation ultérieure ou similaire ou dans d’autres lois applicables en matière de protection des données, telles qu’elles sont promulguées ou modifiées de temps à autre.
2.10 « Partage » ou « partage » ont la même signification que celle qui leur est donnée dans la loi sur la protection des données, toute législation ultérieure ou similaire ou toute autre loi applicable en matière de protection des données, telle qu’elle est adoptée ou modifiée de temps à autre.
2.11 « Clauses contractuelles modèles » ou « CCM » désigne (i) en ce qui concerne les renseignements personnels de l’UE, les clauses contractuelles modèles mises en œuvre par la décision de mise en œuvre (UE) 2021/914 de la commission du 4 juin 2021 pour le transfert de renseignements personnels vers des pays tiers en vertu du RGPD de l’UE, telles que mises à jour ou remplacées de temps à autre (« Clauses contractuelles modèles de l’UE ») et (ii) en ce qui concerne les renseignements personnels du Royaume-Uni, désigne l’addenda sur le transfert international de données aux clauses contractuelles modèles de l’UE publié par l’Information Commissioner’s Office (ICO) du Royaume-Uni conformément au RGPD du Royaume-Uni et au Data Protection Act 2018, tels que modifiés ou remplacés (« Addenda du Royaume-Uni »).
2.12 « Responsable du sous-traitement » désigne tout responsable du traitement autorisé supplémentaire engagé par le sous-traitant initial qui accepte de recevoir tout renseignement personnel de la part du contrôleur dans le cadre des services.
2.13 « Tiers » signifie tout contrôleur, responsable ou sous-responsable du traitement engagé par une partie qui accepte de recevoir des renseignements personnels dans le cadre des services.
2.14 « Lois américaines sur la confidentialité » fait référence aux lois sur la confidentialité propres à chaque État des États-Unis, y compris la CCPA, la Virginia Consumer Data Protection Act, la Colorado Privacy Act, la Connecticut Data Privacy Act et d’autres lois sur la protection de la confidentialité propres à chaque État, telles qu’amendées, ainsi que tout remplacement ultérieur des lois susmentionnées. Tous les règlements d’application faisant partie des lois mentionnées ci-dessus sont également inclus dans cette définition. Les termes en majuscules qui ne sont pas définis dans le présent addenda ont la même signification que dans le Contrat commercial.
TRAITEMENT DES DONNÉES
3. OBLIGATIONS DU CONTRÔLEUR
Dans la mesure où Toast et le marchand traitent les renseignements personnels en tant que responsables du traitement dans le cadre du Contrat commercial, les parties conviennent que :
3.1 Contrôleurs indépendants : Chaque partie agit en tant que contrôleur indépendant et aucune relation de « contrôleur conjoint » n’existe en vertu des lois applicables en matière de protection des données.
3.2 Obligations en matière de conformité : Chaque partie est tenue de gérer ses obligations en matière de conformité conformément aux lois applicables sur la protection des données et de mettre en place tout contrôle ou gouvernance applicable, ce qui peut inclure (i) la fourniture et la mise à jour d’une déclaration de confidentialité ou d’un avis similaire pour le traitement respectif de chaque partie; (ii) la fourniture d’avis écrits aux individus et l’obtention de tous les consentements requis (y compris les consentements pour les utilisations secondaires) avant toute utilisation ou divulgation initiale ou ultérieure des renseignements personnels; (iii) l’exécution et la gestion des demandes de retrait et des droits individuels ; (iv) le respect de toute législation applicable en matière de marketing direct ou de spam, et (v) la supervision des opérations de traitement impliquant des renseignements personnels.
3.3 Demandes de droits individuels : Chaque partie se conforme aux demandes de droits individuels en vertu des lois applicables en matière de protection des données (y compris le droit de retirer son consentement, d’accès, de restriction, de rectification et d’effacement) en ce qui concerne les renseignements personnels. Les parties coopèrent raisonnablement entre elles pour répondre à ces demandes.
3.4 Pas de vente ni de partage : Chaque partie déclare et garantit qu’à sa connaissance, le transfert de renseignements personnels en vertu de l’entente entre les parties ne constitue pas une « vente » ou un « partage » en vertu des lois sur la protection des données applicables. Les parties conviennent que tout transfert de renseignements personnels à des tiers, qu’il soit effectué directement par une partie ou à la demande de l’autre partie, ne constituera pas une « vente » ou un « partage ».
3.5 Respect de la loi : Les deux parties acceptent de se conformer aux lois applicables en matière de protection des données et ne doivent pas, par un acte ou une omission, mettre l’autre partie en violation de ces lois.
Le marchand :
3.6 Spécifiquement en ce qui concerne les renseignements personnels que le marchand collecte, télécharge ou divulgue à Toast, le marchand déclare et garantit qu’il a fourni les avis appropriés aux individus et recueilli tous les consentements requis, y compris en conformité avec les articles 3.3 du présent addenda et pour faciliter la collecte, l’utilisation et la divulgation de ces informations par Toast conformément à la présente entente et à la déclaration de confidentialité de Toast, et qu’il a par ailleurs une base légale pour traiter et divulguer les renseignements personnels avec Toast dans le cadre des services.
3.7 Lorsque le marchand demande à Toast de divulguer des renseignements personnels à des tiers (y compris des partenaires), le marchand convient que cette divulgation est conforme à ses obligations en vertu de l’article 3.3 du présent addenda, ainsi qu’aux avis et consentements visés à l’article 3.6 du présent addenda, et que le marchand, en tant que contrôleur, demeure responsable de tout traitement ultérieur des renseignements personnels et de sa conformité aux lois sur la protection des données applicables à la suite d’une telle directive donnée à Toast.
3.8 Reconnaît qu’en utilisant les services, les renseignements personnels du marchand, des employés du marchand et des clients seront traités conformément à la déclaration de confidentialité de Toast qui se trouve à l’adresse https://pos.toasttab.com/privacy. Le marchand et ses employés sont encouragés à lire attentivement la déclaration de confidentialité, car elle fait partie intégrante du présent Contrat commercial et contient des informations importantes sur les droits des personnes et sur la gestion des renseignements personnels par Toast. Le marchand mettra la déclaration de confidentialité à la disposition de ses employés et de ses clients (le cas échéant) de la manière dont Toast peut raisonnablement le demander de temps à autre.
4. OBLIGATIONS DU RESPONSABLE DU TRAITEMENT
Dans la mesure où Toast traite les renseignements personnels en tant que responsables du traitement dans le cadre du Contrat commercial, Toast convient que :
4.1 Traitement : Toast ne traitera les renseignements personnels que sur instructions documentées du marchand et dans le but de fournir les services ou lorsque la loi applicable l’exige, auquel cas Toast avisera le marchand de l’exigence légale, à moins que la loi n’interdise à Toast d’agir de la sorte.
4.2 Audits et évaluations : Dans la mesure requise par les lois sur la protection des données applicables, Toast mettra à la disposition du marchand toutes les informations nécessaires pour montrer qu’il se conforme aux obligations prévues par ces lois.
4.3 Confidentialité : Toute personne autorisée à traiter des renseignements personnels au nom du marchand s’engage à respecter la confidentialité ou est soumise à une obligation légale de confidentialité.
4.4 Fournisseur de services CCPA : Lorsque Toast agit en tant que « fournisseur de services » aux fins du CCPA, et en ce qui concerne les renseignements personnels qu’il traite en cette qualité, en plus des obligations énoncées dans la présente EPD et dans la mesure où le CCPA s’applique : Toast ne doit pas (a) combiner les renseignements personnels qu’il reçoit dans le cadre des services avec les renseignements personnels qu’il peut recevoir d’autres sources (b) « vendre » ou « partager » les renseignements personnels tels que ces termes sont définis dans le CCPA (c) conserver, utiliser ou divulguer les renseignements personnels à des fins autres que la fourniture des services, et dans la mesure où le droit applicable le permet (y compris, mais sans s’y limiter, les lois applicables en matière de protection des données), (d) conserver, utiliser ou divulguer des renseignements personnels en dehors de la relation d’affaires directe entre les parties ou en dehors de la fourniture des services, et (e) divulguer des renseignements personnels à toute personne sans l’inclure dans la liste des sous-traitants secondaires décrite ci-dessous. Le marchand mettra la déclaration de confidentialité à la disposition de ses employés et de ses clients (le cas échéant) de la manière dont Toast peut raisonnablement le demander de temps à autre. Les parties reconnaissent que le transfert des renseignements personnels s’inscrit dans le cadre de l’atteinte d’un objectif commercial, décrit dans le Contrat.
4.5 Sous-responsables du traitement : Le marchand accorde à Toast une autorisation générale de nommer des sous-responsable pour le traitement des renseignements personnels dans le cadre du Contrat commercial et permet à chaque sous-responsable de nommer des sous-responsables conformément aux conditions prévues par la présente. Toast disposera d’une entente écrite avec le sous-responsable secondaire imposant des obligations sensiblement similaires à celles énoncées dans le cadre du présent addenda. Toast assume la responsabilité à l’égard du marchand de l’incapacité de tout sous-responsable secondaire à s’acquitter des obligations qui lui incombent en vertu du présent addenda. Voir l’annexe 3 du présent addenda pour un lien vers un site Web détaillant les sous-responsables du traitement actuels de Toast. En visitant ce site, le marchand peut également s’inscrire pour être averti de toute modification apportée à la liste des sous-responsables (un « avis »).
4.6 Oppositions du sous-responsables du traitement : Lorsque la loi sur la protection des données applicable donne à un contrôleur la possibilité de s’opposer à un sous-responsable secondaire et que le marchand s’oppose pour des motifs raisonnables à l’utilisation d’un sous-responsable secondaire spécifique, il doit informer Toast de cette opposition par écrit (par courriel à privacy@toasttab.com) dans un délai de 15 jours à compter de la réception de l’avis. Toast fera des efforts raisonnables pour mettre à la disposition du marchand une modification des services ou recommander une modification raisonnable sur le plan commercial de la configuration ou de l’utilisation des services par le marchand afin d’éviter le traitement des renseignements personnels par le nouveau sous-responsable auquel il s’est opposé. Toast devra, à son choix, (a) dans un délai raisonnable sur le plan commercial, trouver un sous-responsable de remplacement; ou (b) fournir un droit de résiliation conformément au Contrat. Avant que le sous-responsable ne traite pour la première fois des renseignements personnels, Toast s’engage à faire preuve de la diligence requise pour s’assurer que le sous-responsable est en mesure d’assurer le niveau de protection des renseignements personnels requis par le Contrat. Toast permettra au marchand de revoir la forme du Contrat pour un tel contrat écrit, comme le marchand peut le demander jusqu’à une fois par an.
4.7 Retenue et suppression : En cas de résiliation du Contrat commercial, Toast doit retourner ou supprimer tous les renseignements personnels à la demande du marchand, sauf si l’entreprise est tenu de conserver ou de supprimer les renseignements personnels pour se conformer aux lois applicables ou, lorsque cela est autorisé, cette conservation est conforme au calendrier de conservation des données en vigueur chez Toast.
4.8 Demandes d’accès du gouvernement : Si Toast apprend qu’une autorité gouvernementale (y compris les organismes d’application de la loi) souhaite obtenir l’accès ou une copie de tout ou partie des renseignements personnels du marchand, que ce soit sur une base volontaire ou obligatoire, alors, sauf interdiction légale en vertu de la loi applicable, Toast s’engage à : (1) aviser immédiatement le marchand (2) informer le demandeur que Toast est un sous-responsable et n’est pas autorisé à divulguer les renseignements personnels (3) informer le demandeur que la demande doit être envoyée au marchand (4) ne pas donner accès aux renseignements personnels à moins que la loi applicable ne l’exige ou que le marchand ne l’autorise par écrit. Si la loi applicable interdit à Toast de se conformer aux points (1) à (4) ci-dessus, Toast utilisera tous des moyens licites pour contester (a) la divulgation des renseignements personnels et (b) l’interdiction d’avertir le marchand.
4.9 Obligations supplémentaires du sous-responsable RGPD : En plus des autres exigences énoncées dans le présent addenda, dans la mesure où Toast traite des renseignements personnels soumis au RGPD, au RGPD britannique ou aux lois de la Suisse, Toast doit se conformer à toutes les exigences prévues à l’article 28 du RGPD en ce qui concerne le rôle de Toast en tant que sous-traitant (ou les exigences équivalentes pertinentes, le cas échéant). Cela comprend les obligations contractuelles énoncées à l’article 28, paragraphe 3, telles qu’elles figurent dans le présent addenda.
5. SÉCURITÉ
5.1 Mesures de sécurité : En tenant compte des coûts de mise en œuvre de la technologie de pointe, puis de la nature, de la portée, du contexte et de la finalité du traitement, chaque partie met en œuvre et maintient un programme écrit de sécurité de l’information comprenant toutes les mesures de sécurité techniques, organisationnelles et administratives appropriées requises pour assurer la confidentialité et la sécurité de tous les renseignements personnels traités dans le cadre des services. Dans tous les cas, les parties mettent en œuvre toutes les mesures de sécurité imposées en vertu des lois applicables en matière de protection des données.
6. INCIDENTS DE SÉCURITÉ
6.1 Programme de réponse aux incidents de sécurité : Chaque partie met en œuvre et maintient un programme de réponse aux incidents par écrit pour la gestion des incidents de sécurité.
6.2 Avis d’un incident de sécurité : Si l’une des parties découvre, est informée ou soupçonne raisonnablement la survenance d’un incident de sécurité ayant une incidence sur les renseignements personnels traités dans le cadre du Contrat, elle en informera l’autre partie dans les plus brefs délais. Le délai de cet avis ne doit pas dépasser soixante-douze (72) heures après avoir pris connaissance d’un incident de sécurité ou tout autre délai imposé en vertu des lois applicables en matière de protection des données. Cet avis contient (lorsqu’ils sont connus) les éléments suivants : (i) les faits relatifs à l’incident de sécurité, y compris la date de découverte, une fourchette de dates de l’activité non autorisée et toutes les activités de correction et d’atténuation qui ont été prises ou mises en place; (ii) une description des catégories et du nombre approximatif de personnes et de dossiers touchés par l’incident de sécurité; (iii) l’évaluation de la partie, élaborée avec une diligence raisonnable, des conséquences probables de l’incident de sécurité en ce qui concerne les renseignements personnels touchés et les personnes touchées; et (iv) le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact où il est possible d’obtenir de plus d’informations. Les parties vont raisonnablement s’aider chacune avec toute obligation d’informer toute personne d’impact ou tout organisme de réglementation de l’incident de sécurité et rien dans le présent addenda ou le Contrat n’interdit à une partie de se conformer à de telles obligations dans la mesure requise par les lois applicables en matière de protection des données.
6.3 Coûts et obligations de remédiation : Dans la mesure où un incident de sécurité est imputable aux actions d’une partie spécifique ou de ses tiers, cette partie est responsable de tous les coûts associés à l’incident de sécurité, y compris, mais sans s’y limiter, les éléments suivants : (i) le coût de l’avis aux personnes concernées; (ii) le coût de l’avis aux agences gouvernementales, aux bureaux de crédit et/ou à d’autres entités devant être avisées en vertu de la loi applicable; (iii) le coût de la fourniture aux personnes concernées de services de surveillance du crédit (le cas échéant ou conformément aux lois sur la protection des données applicables); (iv) l’assistance du centre d’appel pour ces personnes concernées; (v) le coût de toute autre mesure requise en vertu des lois sur la protection des données applicables; et (vi) d’autres pertes, responsabilités ou dépenses pour lesquelles cette partie serait responsable. Dans tous les cas, en ce qui concerne les renseignements personnels traités dans le cadre du présent Contrat et touchés par un incident de sécurité, les parties coopèrent et travaillent ensemble, lorsque cela est approprié et raisonnable, dans le cadre des efforts de remédiation.
7. AVIS ET DEMANDES DE TIERS
7.1 Soutien raisonnable : Le cas échéant, chaque partie fournit une assistance et une coopération raisonnables en ce qui concerne les obligations de conformité de chaque partie en vertu du Contrat et des lois applicables en matière de protection des données. Il peut s’agir d’un soutien aux demandes de droits individuels ou aux avis de toute autorité gouvernementale, réglementaire ou d’application de la loi concernant le traitement des renseignements personnels dans le cadre du présent addenda. Si l’une des parties reçoit un avis ou une demande adressée à l’autre partie en vertu du présent article, elle en informe l’autre partie et ne répond pas à la personne ou à l’autorité gouvernementale qui a formulé la demande, sauf si la loi (y compris les lois applicables en matière de protection des données) l’y oblige. Le marchand reconnaît que, dans certains cas, il peut ne pas être en mesure de répondre à des demandes en vertu du présent article et, à ce titre, le marchand autorise et donne instruction à Toast de prendre les mesures nécessaires pour vérifier et respecter une demande de droits individuels qui concerne les services en vertu du Contrat commercial et tous les renseignements personnels que Toast traite pour le compte du marchand, y compris toute demande de ce type que Toast reçoit directement d’une personne. Le marchand reconnaît que Toast se réserve le droit de confier la gestion de certaines demandes de droits individuels au marchand, par exemple lorsque la nature de la relation du marchand avec un individu, ou la nature du traitement, fait que le marchand est le mieux équipé pour traiter cette demande. Si Toast reçoit une demande qui n’est pas liée aux services prévus par le Contrat commercial et qui est associée au marchand, Toast informera rapidement le marchand de cette demande et/ou demandera au consommateur de contacter directement le marchand. Si le marchand reçoit une demande de droits individuels liée aux services, le marchand doit en informer Toast, et Toast doit fournir une assistance raisonnable pour se conformer à cette demande.
7.2 Tiers : Dans la mesure où l’une des parties est autorisée à utiliser des tiers dans le cadre des services prévus par le Contrat, cette partie doit s’assurer que ces relations sont régies par une entente écrite qui impose des obligations appropriées en matière de confidentialité et des contrôles de sécurité substantiellement similaires aux mesures contenues dans le présent addenda. Dans tous les cas, la partie qui engage le tiers est responsable des actes ou omissions du tiers. Pour éviter toute ambiguïté, cela inclut les cas où le marchand choisit de transférer des renseignements personnels à un tiers, y compris tout partenaire tiers.
8. TRANSFERTS DE DONNÉES
8.1 Transferts en général : Chaque partie est autorisée à transférer des renseignements personnels dans le cadre du Contrat vers des lieux situés à travers le monde, à condition que ces transferts soient conformes aux lois applicables en matière de protection des données.
8.2 Types de transfert : Les scénarios de transfert de données suivants s’appliquent aux transferts vers l’EEE, la Suisse et le Royaume-Uni :
(i) Les renseignements personnels des marchands de l’EEE, de la Suisse et du Royaume-Uni sont d’abord traités par Toast dans l’EEE, en Suisse et/ou au Royaume-Uni et sont ensuite transférés vers un pays qui n’est pas reconnu par la Commission européenne, l’ICO du Royaume-Uni ou l’Autorité fédérale suisse de protection des données comme offrant un niveau adéquat de protection des renseignements personnels (« pays tiers »). Ces transferts sont régis par un ensemble de clauses contractuelles modèles intra-entreprise conclues entre Toast Ireland, Toast UK et Toast, Inc. dans le cadre du respect de cet article et de la fourniture des services dans le cadre du Contrat. Vous pouvez demander une copie de ces clauses contractuelles modèles en envoyant un courriel à privacy@toasttab.com.
(ii) Les renseignements personnels des marchands de l’EEE, de la Suisse et du Royaume-Uni ne sont pas traités d’abord par Toast dans l’EEE, en Suisse et/ou au Royaume-Uni, mais sont transférés directement vers un pays tiers. Ces transferts sont régis par les clauses contractuelles modèles (y compris l’addenda pour le Royaume-Uni) qui sont incorporées par référence avec les sélections suivantes :
Pour les besoins de l’EEE et de la Suisse :
Référence de l’article | Concept | Sélection par les parties |
Module | En service | Modules un et deux |
Article I, clause 7 | Connexion | L’option prévue à la clause 7 ne s’applique pas. |
Article II, clause 9 | Sous-responsables du traitement | L’option 2 (autorisation générale écrite) prévue à la clause 9 s’applique. Voir la clause 3.2(iii) du présent addenda. |
Article IV, clause 17 | Droit applicable | Les transferts effectués dans le cadre des CCM de l’UE seront régis par les lois de l’Irlande. La loi fédérale suisse sur la protection des données (LPD) dans la mesure où les transferts sont régis par la LPD. |
Article IV, clause 18(b) | Choix de l’autorité juridictionnelle | Les tribunaux irlandais sont exclusivement compétents pour résoudre tout litige ou toute action en justice découlant des CCM de l’UE ou en rapport avec ceux-ci. |
Annexe 1.A | Liste des parties | Voir la section A de l’annexe 1 de cet addenda |
Annexe I.B | Description du transfert | Voir la section B de l’annexe 1 de cet addenda |
Annexe I.C | Autorité de surveillance compétente | Commissaire irlandais à la protection des données. Commissaire fédéral à la protection des données et à l’information dans la mesure où les transferts sont régis par la LPD. |
Annexe II | Mesures techniques et organisationnelles | Voir l’annexe 2 de cet addenda |
Annexe III | Sous-responsables du traitement | Voir l’annexe 3 de cet addenda (uniquement pour le module deux) |
Adaptations supplémentaires dans la mesure où la LPD régit les transferts | Le terme « état membre » ne doit pas être interprété de manière à exclure les personnes concernées en Suisse de la possibilité de faire valoir leurs droits dans leur lieu de résidence (Suisse) conformément à la clause 18(c) des CCM. Les références au « RGPD » doivent être interprétées comme des références à la LPD. Les CCM s’appliquent aux données relatives aux personnes morales jusqu’à l’entrée en vigueur de la nouvelle LPD. |
Pour les besoins du Royaume-Uni, les parties conviennent que les clauses contractuelles modèles de l’UE s’appliqueront mais seront modifiées et interprétées conformément à l’addenda du Royaume-Uni et conviennent de ce qui suit :
Référence du tableau ou de l’article | Concept | Sélection par les parties |
Tableau 1 | Parties | Voir la section A de l’annexe 1 de cet addenda |
Tableau 2 | CCM sélectionnées, modules et clauses sélectionnées | Modules un et deux des clauses contractuelles modèles de l’UE conclues à la date du Contrat. |
Tableau 3 | Informations sur l’annexe | L’annexe 1.A est complétée par les informations figurant à l’annexe 1A du présent addenda. L’annexe 1.B est complétée par les informations figurant à l’annexe 1B du présent addenda. L’annexe II est complétée par l’annexe 2 du présent addenda. L’annexe III est complétée par l’annexe 3 du présent addenda (uniquement pour le module deux) |
Tableau 4 | Fin de l’addenda du Royaume-Uni en cas de modification de l’addenda approuvé | Aucune des parties ne peut mettre fin au présent addenda pour le Royaume-Uni conformément à l’article 19 de l’addenda pour le Royaume-Uni, sauf dans les cas prévus par le présent addenda. |
Article I, clause 7 | Connexion | L’option prévue à la clause 7 ne s’applique pas. |
Article II, clause 9 | Sous-responsables du traitement | L’option 2 (autorisation générale écrite) prévue à la clause 9 s’applique. Voir la clause 3.2(iii) du présent addenda. |
Article II, clause 11 | Redressement | L’option prévue à la clause 11 ne s’applique pas. |
Article IV, clause 17 | Droit applicable | Les lois de l’Angleterre et du Pays de Galles dans la mesure où les transferts sont régis par la loi du Royaume-Uni sur la protection des données. |
Article IV, clause 18(b) | Choix de l’autorité juridictionnelle | Les tribunaux d’Angleterre et du Pays de Galles sont exclusivement compétents pour résoudre tout litige ou toute action en justice découlant de l’addenda pour le Royaume-Uni ou en rapport avec celui-ci. |
Partie 2 | Clauses obligatoires | Clauses obligatoires de l’addenda pour le Royaume-Uni, telles qu’elles ont été publiées par l’Information Commissioner’s Office et déposées devant le Parlement du Royaume-Uni conformément à l’article 119A du Data Protection Act 2018 le 2 février 2022, telles qu’elles sont révisées en vertu de l’article 18 de ces clauses obligatoires. article. |
Tout conflit entre les termes des clauses contractuelles types et l’addenda pour le Royaume-Uni sera r�ésolu conformément à l’article 10 et à l’article 11 de l’addenda pour le Royaume-Uni.
8.3 Si les CCM sont mises en œuvre, adoptées ou reconnues comme un mécanisme légitime de transfert de données dans des pays autres que ceux de l’EEE, les parties appliqueront les modules un et deux des CCM au transfert de renseignements personnels provenant de ce(s) pays.
8.4 En cas de modification de l’addenda pour le Royaume-Uni après la signature du présent addenda, les parties conviennent de coopérer de bonne foi et de reformuler tout addenda pour le Royaume-Uni de remplacement.
8.5 Mécanismes de transfert alternatifs : Il revient à toute partie s’appuyant sur un mécanisme de transfert alternatif de s’assurer qu’il offre le même niveau de protection des renseignements personnels que celui imposé par le présent addenda.
9. TERMES SPÉCIFIQUES À LA JURIDICTION
9.1 Mesures de sécurité qui s’appliquent au Québec : Les mesures de sécurité énoncées à l’annexe 2 s’appliquent au traitement des renseignements personnels des résidents du Québec, qu’il y ait ou non transfert de données à l’extérieur de la province.
10. Divers
10.1 Assurances : Nonobstant toute exigence ou tout droit spécifique accordé aux parties en vertu des lois applicables en matière de protection des données, chaque partie a le droit, moyennant un préavis raisonnable, d’obtenir des assurances de l’autre partie afin de vérifier le respect par chacune des parties des conditions du présent addenda si elle a une suspicion raisonnable d’une violation ou d’une violation potentielle en vertu du présent addenda.
10.2 Survie : Les obligations de chaque partie en vertu du présent addenda survivront à la résiliation du Contrat dans la mesure où l’une ou l’autre des parties continue de traiter les renseignements personnels visés par le Contrat.
10.3 Divisibilité : Si un tribunal ou une autorité compétente décide qu’une modalité du présent addenda est jugée invalide, illégale ou inapplicable dans une certaine mesure, cette modalité sera, dans cette mesure seulement, dissociée des autres modalités, qui continueront d’être valides dans toute la mesure permise par la loi.
10.4 Renonciation : Le manquement de l’une ou l’autre des parties à appliquer une disposition du présent addenda ne constitue pas une renonciation à cette disposition ou à toute autre disposition et ne libère pas l’autre partie de l’obligation de se conformer à cette disposition.
10.5 Modifications du présent addenda : De temps à autre, sous réserve des lois applicables sur la protection des données, Toast peut mettre à jour cet addenda conformément aux exigences de mise à jour ou de modification du Contrat telles que définies dans le Contrat commerciale, y compris si cela est nécessaire pour maintenir la conformité avec les lois applicables sur la protection des données, à des fins commerciales internes, ou comme le prévoit autrement le Contrat à condition que ces mises à jour ne diminuent pas matériellement la capacité de l’une ou l’autre des parties à se conformer aux lois applicables sur la protection des données ou qu’elles n’entraînent pas un préjudice important pour le marchand. Les parties conviennent que toute mise à jour du présent addenda sera effective à la date de publication, sous réserve des conditions du Contrat commercial.
ANNEXE 1
A. LISTE DES PARTIES
1. Marchand/Exportateur de données
Nom | Comme indiqué dans le Contrat. |
Adresse | Comme indiqué dans le Contrat. |
Personne-ressource | Comme indiqué dans le Contrat. |
Activités liées au transfert de données en vertu des clauses : | Comme indiqué dans le présent addenda et dans le Contrat. |
Rôle (contrôleur/responsable du traitement) | Clauses contractuelles modèles Module 1 : Le marchand est le responsable du traitement des données. |
2. Toast/Importateur de données
Nom | Toast, Inc. |
Adresse | 401 Park Drive, Suite 801, Boston, MA 02215 |
Personne-ressource | Avocat général adjoint, confidentialité; privacy@toasttab.com |
Activités liées au transfert de données en vertu des clauses : | Services associés à la facilitation des services liés aux points de vente, aux partenaires et à d’autres services liés à la restauration pour les marchands, les employés des marchands et les clients des restaurants. |
Rôle (contrôleur/responsable du traitement) | Clauses contractuelles modèles Module un : Toast est contrôleur des données. Clauses contractuelles modèles Module deux : Toast est le sous-traitant des données. |
B. DESCRIPTION DU TRANSFERT ET DU TRAITEMENT
Module un Le marchand est le contrôleur Toast, Inc. est le contrôleur | Module deux Toast, Inc. est responsable du traitement | |
Catégories de personnes concernées | Les marchands, les employés des marchands, les clients et les fournisseurs. | Les marchands, les employés des marchands, les clients et les fournisseurs. |
Catégories de renseignements personnels | Marchands – nom, date de naissance, coordonnées personnelles, coordonnées professionnelles, adresse, informations sur la propriété, informations sur le compte bancaire, informations sur la carte de paiement, informations sur les justificatifs, numéro de sécurité sociale (SSN) ou identifiant national, informations sur le permis de conduire (numéro, état et expiration), identifiant de l’utilisateur, identifiant de l’appareil, adresse IP. Employés des marchands – nom, date de naissance (DDN), coordonnées professionnelles, titre de poste, coordonnées personnelles, informations sur les postes et l’emploi, informations sur la rémunération et adresse IP. Clients – nom, renseignements personnels, adresse, numéro de carte de paiement, code de sécurité et date d’expiration, identifiant de paiement, montant payé, détails de la commande, heure/date de la commande, identifiant de transaction, détails de la transaction, couleur et marque de la voiture, adresse IP, date de naissance (mois/jour), numéro et informations de la carte de fidélité, informations sur le lieu (parcours et précis), adresse IP, informations sur le compte de commande numérique, gains/récompenses, préférences et notes, détails de la réservation et de la liste d’attente. Fournisseurs – nom, coordonnées professionnelles, adresse, informations sur le compte bancaire | Les renseignements personnels inclus dans le contexte des offres de services de Toast, Inc. et des services auxiliaires/de soutien au marchand, y compris les catégories énumérées ci-contre. |
Données sensibles traitées | Dans la mesure où des informations sur les allergies et le régime alimentaire sont fournies et constituent des données sur la santé. | Dans la mesure où des informations sur les allergies et le régime alimentaire sont fournies et constituent des données sur la santé. Toast peut également traiter les données personnelles sensibles des employés et des clients du marchand dans la mesure où le marchand les fournit à Toast dans le cadre des services. |
Fréquence des transferts | Il y aura un transfert et un traitement continus des renseignements personnels | |
Nature du traitement | Le traitement est effectué pour fournir les services décrits dans le Contrat. Le responsable du traitement ne traite les données à caractère personnel que conformément au Contrat. | |
Objectif du traitement | Toast, Inc. fournit les services décrits dans le Contrat. | |
Période de retenue | Chaque contrôleur conservera les renseignements personnels conformément à leurs politiques et calendriers de conservation des données respectifs. Le marchand peut demander au responsable du traitement de supprimer des renseignements personnels comme convenu par les parties et le responsable du traitement doit rapidement supprimer les renseignements personnels demandés. En cas de résiliation du Contrat commercial, Toast retournera ou supprimera tous les renseignements personnels à la demande du marchand, sauf s’il est tenu de conserver les renseignements personnels pour se conformer aux lois applicables ou, lorsque cela est autorisé, si cette conservation est conforme au calendrier de conservation des données en vigueur chez Toast. |
ANNEX 2
Mesures de sécurité
MESURES TECHNIQUES ET ORGANISATIONNELLES Y COMPRIS LES MESURES TECHNIQUES ET ORGANISATIONNELLES POUR ASSURER LA SÉCURITÉ DES DONNÉES.
NOTE EXPLICATIVE :
Les mesures techniques et organisationnelles doivent être décrites en termes spécifiques (et non génériques). Veuillez également consulter l’observation générale figurant sur la première page de l’annexe, notamment en ce qui concerne la nécessité d’indiquer clairement quelles mesures s’appliquent à chaque transfert/ensemble de transferts.
Description des mesures techniques et organisationnelles mises en œuvre par le ou les importateurs de données (y compris toute certification pertinente) pour garantir un niveau de sécurité approprié, compte tenu de la nature, de la portée, du contexte et de la finalité du traitement, ainsi que des risques pour les droits et libertés des personnes physiques.
- Mesures de pseudonymisation et de cryptage des données à caractère personnel
Toast met en place des contrôles techniques et des contrôles basés sur des politiques afin de s’assurer que certaines informations au repos et en transit sont cryptées et sécurisées de manière adéquate. Toast applique également une politique de masquage des données et utilise à la fois le hachage et la symbolisation pour certaines informations sous son contrôle. En tant que fournisseur de services de niveau 1 conforme à la norme PCI-DSS, Toast met en place un certain nombre de contrôles de cryptage et de masquage des données associés aux informations des cartes de paiement et à l’environnement des données des titulaires de cartes. - Mesures visant à garantir en permanence la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et services de traitement
Toast met en œuvre un programme complet de sécurité de l’information, composé de nombreuses politiques, normes et contrôles, qui prescrit un certain nombre de mesures de protection administratives, techniques et organisationnelles afin de garantir la confidentialité, l’intégrité et la disponibilité des informations confiées à Toast. Ces mesures comprennent, sans s’y limiter, diverses politiques et contrôles relatifs à la gestion des accès et des utilisateurs, à la sécurité du réseau, au cryptage, aux dispositifs du réseau et à la réponse aux incidents. Toast maintient également un certain nombre de politiques de traitement des données dans le cadre de la fonction de confidentialité. - Mesures visant à garantir la capacité de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci en temps utile en cas d’incident physique ou technique
Toast dispose d’un plan de continuité d’activité (PCA) et de divers protocoles de reprise après sinistre qui comprennent des détails concernant le personnel clé, les actifs et les processus de reprise à suivre en cas de survenance d’un événement déclencheur. Il s’agit notamment d’incorporer des protocoles d’évacuation d’urgence et d’intervention en cas d’incident. Ces contrôles garantissent le maintien par Toast de la disponibilité des informations ainsi que des mesures de sauvegarde et/ou de récupération des données des systèmes ou bases de données critiques. Les mesures de continuité de l’activité et de reprise après sinistre de Toast intègrent également les protocoles d’accès à distance et la capacité des personnes à accéder en toute sécurité aux systèmes d’information. - Processus permettant de tester, analyser et évaluer régulièrement l’efficacité des mesures techniques et organisationnelles afin d’assurer la sécurité du traitement.
En tant que fournisseur de services de niveau 1 conforme à la norme PCI-DSS, l’environnement des données des titulaires de cartes de Toast (y compris l’infrastructure et les logiciels) est balayé tous les trimestres, comme le prescrit la norme PCI-DSS, par l’intermédiaire d’un fournisseur de balayage tiers agréé. Un rapport des résultats du balayage est analysé en fonction de seuils prédéfinis et des mesures sont prises en fonction de la gravité du risque. - Mesures d’identification et d’autorisation des utilisateurs
Dans le cadre de son programme de sécurité de l’information, Toast applique diverses politiques et contrôles relatifs à l’authentification et à l’accès des utilisateurs. Toast suit le principe du « moindre privilège » et les utilisateurs n’ont accès aux systèmes, applications et services que s’ils en ont besoin. Les utilisateurs de Toast conservent des identifiants uniques pour accéder aux systèmes, et tous les systèmes contenant des données classées confidentielles ou supérieures nécessitent une connexion SSO, qui requiert également une authentification multifacteur. - Mesures de protection des données lors de leur transmission
Toast maintient des mesures de cryptage des informations en transit en fonction de la sensibilité des informations et utilise des outils de cryptage conformes aux normes du secteur. Les normes Toast prescrivent que les informations en transit utilisent TLS 1.2 ou une version plus récente. Les informations relatives aux cartes de paiement sont cryptées au moment du passage de la carte dans l’appareil, au moyen d’une clé privée ou publique, et notre produit est configuré de manière à effacer automatiquement les données après l’autorisation de paiement. - Mesures de protection des données pendant le stockage
Toast maintient des mesures de cryptage des informations au repos en fonction de la sensibilité des informations et utilise des outils de cryptage conformes aux normes du secteur. Les normes acceptables pour les informations au repos comprennent l’utilisation d’OSX ou de Windows 10 pour le cryptage du disque complet et le cryptage AES 128 bits ou plus. Certaines informations traitées par Toast ou ses fournisseurs de services tiers sont soumises au cryptage ainsi qu’à d’autres normes de sécurité renforcées qui peuvent inclure un accès restreint et un hachage/une authentification. - Mesures visant à assurer la sécurité physique des lieux où des données à caractère personnel sont traitées
Toast maintient des contrôles d’accès physiques qui sécurisent les bureaux et les installations de Toast ainsi que l’accès aux informations sous-jacentes (y compris les renseignements personnels). Ces mesures comprennent, entre autres, le recours à des agents de sécurité, à un système de gestion des accès incorporant des badges électroniques ainsi qu’à la télévision en circuit fermé. Toast a également mis en place une politique des visiteurs et un processus d’approbation de l’accès. - Mesures visant à garantir la journalisation des événements
Toast utilise divers logiciels et technologies de surveillance, d’audit et d’enregistrement au sein de nos systèmes afin de détecter et d’alerter nos employés en cas d’événements liés à la sécurité ou d’autres événements pertinents. Ces systèmes sont régulièrement contrôlés et analysés par les utilisateurs autorisés ainsi que par les membres de l’équipe de sécurité de l’information, y compris notre centre d’opérations de sécurité. - Mesures visant à garantir la configuration du système, y compris la configuration par défaut
Il existe des normes de configuration définies pour le matériel Toast ainsi que pour divers équipements informatiques fournis par l’entreprise. Ces normes de configuration font l’objet d’une révision et d’une mise en œuvre périodiques afin de répondre à l’évolution de nos activités et de nos besoins en matière de sécurité. Toast maintient également diverses normes relatives aux périphériques de réseau et à la configuration du réseau. - Mesures relatives à la gouvernance et à la gestion internes des technologies de l’information et de la sécurité informatique
Toast dispose d’un programme de sécurité de l’information officiel supervisé par le directeur principal de la sécurité de l’information, ainsi que d’une fonction de technologie de l’information supervisée par notre directeur général des systèmes d’information. Les deux fonctions utilisent un certain nombre de politiques, de normes et de processus dans le cadre de l’effort d’opérationnalisation de la sécurité de l’information au sein de Toast. L’efficacité de ces programmes est contrôlée par la fonction de gestion des risques de Toast ainsi que par d’autres fonctions de Toast. - Mesures de certification/assurance des processus et des produits
Toast est un fournisseur de services de niveau 1 conforme à la norme PCI-DSS et fait l’objet d’une évaluation par une QSA certifiée dans le cadre de ce processus de conformité permanent. Toast dispose également d’un rapport SOC 2, type I. - Mesures visant à assurer la minimisation des données
Dans le cadre des principes et de la gouvernance de Toast en matière de confidentialité, les personnes ne sont autorisées à collecter que le minimum d’informations nécessaires à une fin de traitement particulière. Ces principes sont également renforcés dans nos processus de développement de produits et de gestion du changement par les fonctions de confidentialité et de sécurité de l’information au sein de Toast. - Mesures visant à assurer la qualité des données
Toast maintient un certain nombre de contrôles administratifs et techniques relatifs à l’accès à l’information. Les données sont traitées différemment en fonction de leur sensibilité et seules des personnes spécialement formées peuvent accéder à l’environnement des données relatives aux titulaires de cartes. Dans le cadre des contrôles de sécurité de Toast, nous maintenons diverses mesures de traçabilité et de journalisation des données pour les activités menées sur la plateforme Toast, ainsi que des justifications commerciales pour l’accès à certains ensembles d’informations. - Mesures visant à garantir la responsabilisation
Dans le cadre du programme de sécurité de l’information de Toast, les individus sont tenus d’adhérer et d’attester de leur conformité aux politiques particulières de Toast en matière de gestion de l’information et des systèmes d’information. Nos politiques prescrivent également la responsabilité des propriétaires de systèmes qui sont chargés de la gestion et de la conservation des informations au sein des systèmes qu’ils supervisent. Les personnes reçoivent également des identifiants uniques pour accéder aux systèmes de notre infrastructure. - Mesures visant à permettre la portabilité des données et à garantir leur effacement
Toast É-U et Toast Irlande ont développé des outils internes pour permettre la localisation, l’extraction et/ou la suppression des données personnelles applicables à la demande d’une personne concernée. L’efficacité et la fonctionnalité de ces outils sont régulièrement testées, notamment en ce qui concerne la portabilité et l’effacement des données.
Pour les transferts aux (sous)-responsables du traitement, décrire également les mesures techniques et organisationnelles spécifiques que doit prendre le (sous)-responsable du traitement pour être en mesure de fournir une assistance au responsable du traitement et, pour les transferts d’un responsable du traitement à un sous-responsable ultérieur, à l’exportateur de données.
ANNEXE 3
Sous-responsables du traitement des données approuvés
Une liste des sous-responsables du traitement actuels de Toast se trouve à l’adresse https://pos.toasttab.com/sub-processor-list. En visitant ce site, le marchand peut également s’inscrire pour être informé par courriel de toute modification apportée à la liste des sous-responsables (un « Avis »).