Traitement des données personnelles

Définitions


« Personne concernée » et « Traitement » ont chacun la signification précisée par le RGPD.
« Données à caractère personnel » ou « Données Personnelles » correspondent à la définition donnée par le RGPD et comprennent les données personnelles traitées par le Prestataire, pour le compte du Client, dans le cadre de l’exécution de la prestation de services objet de l’accord principal.
« Services » signifie les services rendus par le Prestataire pour le Client tels que prévus dans l'Accord Principal et qui incluent des Traitements de Données Personnelles objets du présent Accord.
« Sous-traitant » signifie tout tiers engagé par le Prestataire (soumis aux conditions du présent Accord) pour fournir des Services pour le compte du Prestataire incluant des traitements de Données Personnelles objets du présent Accord.
« Violation de données » signifie tout traitement non-autorisé ou illégal de Données Personnelles ainsi que toute perte, altération, divulgation ou destruction accidentelle ; toute violation des systèmes de sécurité de l'information ou tentative de pénétrer de tels systèmes qui compromettrait ou pourrait raisonnablement compromettre les Données Personnelles.
« Accord principal » désigne un contrat en cours conclu ou toute relation contractuelle ou commerciale continue entre le Client et le Prestataire, et pour lesquels ce présent Accord a valeur d’avenant.
Les majuscules ou minuscules n’ont pas d’effet particulier sur les termes employés et leur définition.


Objet


Dans le cadre de l’exécution de l’Accord Principal, le Prestataire s’engage, à l’égard du client, à respecter la réglementation en vigueur applicable au traitement des données à caractère personnel, et en particulier la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et le règlement européen nᵒ 2016/679, dit règlement général sur la protection des données. (RGPD)
A ce titre, le Prestataire déclare et garantit qu’il propose les prestations objet de l’accord principal dans le respect des obligations lui incombant en application de la Législation applicable en matière de la protection des données à caractère personnel.


Délégué de la protection des données


Le Prestataire a nommé un Délégué à la protection des Données, dont les coordonnées sont les suivantes :
Nom : RANNOU
Prénom : Théo
Poste : Fondateur
Adresse email : contact@annuaire-esport.fr


Traitements effectués par le prestataire


Le Prestataire s'engage à :
  1. Traiter les données uniquement pour la ou les seule(s) finalité(s) définies en Annexe 1 des présentes
  2. Traiter les données conformément aux instructions documentées du Client. Si le sous-traitant considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le Client.

Le Prestataire tient à la disposition du client sa « Politique de sécurité du système d'information ».


Sécurité et confidentialité


Le Prestataire doit mettre en place et maintenir toutes les mesures techniques et opérationnelles appropriées pour garantir le maintien en condition de sécurité des Données Personnelles du client qu'elle héberge et traite, des ressources du client qu'elle maintient ou de ses propres ressources mises à disposition du client pendant toute la durée des prestations. Ces mesures techniques et opérationnelles sont décrites dans un document que vous pouvez nous demander à contact@annuaire-esport.fr.
Les mécanismes de sécurité mis en œuvre doivent évoluer pour prendre en compte des nouvelles menaces, un nouveau contexte technologique ou des nouvelles exigences réglementaires. Toute évolution d’une mesure de sécurité doit aller dans le sens d’une amélioration du niveau de sécurité.
Le Prestataire tiendra des registres complets et exacts des traitements de données qu’il effectue conformément à la loi et au RGPD. Il les tiendra à la disposition du Client et de toute Autorité administrative ou judiciaire à toute demande de leur part.


Personnel


Le Prestataire s'engage à :
  1. Veiller à ce que les salariés autorisés à traiter les Données Personnelles en vertu du présent contrat : S’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité
  2. Reçoivent la formation nécessaire en matière de protection des données à caractère personnel.
Le Prestataire limitera l'accès aux Données Personnelles aux membres de son personnel qui ont strictement besoin d'un tel accès pour satisfaire aux obligations pour réaliser la prestation demandée par le Client. Ces membres n’auront pas accès à plus de Données que nécessaire pour la réalisation de la prestation.
Le Prestataire élabore et met à jour régulièrement une liste des personnels autorisés à accéder aux données du client et/ou à intervenir sur les ressources du client ainsi que leur niveau d’habilitation (types d’accès et ressources concernées du client). Cette liste est tenue à la disposition du client.
Le Prestataire aide dans la mesure du possible le Client pour la réalisation éventuelle d’analyses d’impact relative à la protection des données


Sous-traitants


Le Prestataire communique au client la liste de ses sous-traitants, la liste est publiée sur l’URL :https://help.eventmaker.io/conformite-securite-et-gestion-des-donnees/rgpd-et-securite/nos-prestataires-et-le-rgpd
Si le Prestataire tient à faire appel à un nouveau sous-traitant, il se tient de tenir à jour la liste des sous-traitants et de notifier les comptes utilisateurs du client par email qui aura un délai de 5 jours ouvrés à compter de l’envoi de la notification pour s’opposer à ce changement.
Le Prestataire s’assure que les éventuels sous-traitants sont soumis aux même obligations en matière de protection des Données personnelles que celles prévues par le présent Accord.
Le Prestataire reste en toute circonstance garant vis-à-vis du Client de la bonne exécution du Contrat par ses sous-traitants ultérieurs. Ainsi, si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données à caractère personnel, le Sous-Traitant demeure pleinement responsable devant le Client.
Le Prestataire est pleinement responsable auprès du Client dans le cas où un sous-traitant ne respecte pas les termes du présent Accord.


Durée et fin du traitement des données personnelles


Les Données personnelles ne sont traitées et conservées par le Prestataire que pendant le temps nécessaire à la réalisation de la prestation objet de l’Accord principal.
Cette durée a pour limite 30 mois pour les données d’inscription (notion de GUEST dans eventmaker) à compter de la date de création de l’événement sur la plateforme app.eventmaker.io ayant permis la collecte de ces données.
Cette limite est portée à 36 mois suivant le dernier contact commercial pour ce qui concerne les données de CRM (notion de CONTACT dans eventmaker).
Si le client souhaite supprimer ses données de manière anticipée, il en a la possibilité via le l’interface utilisateur de l’application. Toutes Données Personnelles fournies par le Client au Prestataire et traitées par le Prestataire directement ou indirectement au cours de l'exécution des Services objets de l’accord principal demeurent la propriété du Client.
Le Client peut à tout moment procéder à la modification, le transfert ou la suppression des Données personnelles via le l’interface utilisateur de l’application.


Droits de la personne concernée


Dans le cas où une personne concernée exercerait ses droits au sujet des données le concernant, tels que : le droit à la portabilité des données, le droit d'accès, le droit de rectification, le droit de suppression / droit d’effacement, le droit à la limitation du traitement, le droit de s'opposer au traitement et le droit de ne pas être assujetti au profilage automatisé, le Prestataire s’engage à assister le Client dans la satisfaction de la requête de la Personne concernée par le Traitement au titre des articles 12 à 23 du RGPD. Le Prestataire se doit de fournir les informations et documents et de réaliser les actions nécessaires à la satisfaction de la requête dans les 8 jours. Le prestataire met à disposition des personnes concernées une procédure d’accès et de suppression de données disponible sur l’url suivante : https://app.eventmaker.io/takeout.
Le Prestataire informe, dès la réception de la requête, le Client lorsqu’une personnes concernée demande l’application de ses droits, et effectue au plus vite le nécessaire afin de satisfaire cette requête. Il s’assure également que les informations prévues aux articles 13 et 14 du RGPD ont bien été communiquées à la Personne concernée, selon les modalités requises.


Transferts internationaux de données personnelles


Si le Prestataire est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le Client de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public. Le Prestataire s’engage par principe à ne pas transférer les données personnelles en dehors de l’Union Européenne. Néanmoins, à titre exceptionnel, le Prestataire pourra réaliser un tel transfert aux deux conditions suivantes :
  • Le transfert devra comporter une des garanties prévues aux articles 45 à 49 du RGPD ;
  • Le Prestataire informera son Client moyennant un préavis de 10 jours ouvrés du projet de transfert de données personnelles hors de l’Union Européenne. Cette information comportera le type de données concernées, le contexte, le pays de destination et la preuve que le transfert est assorti desdites.
A défaut de garanties valables, le Client est en droit de s’opposer au transfert de données personnelles hors UE.


Violation des données personnelles


En cas d’atteinte à la sécurité ou à la confidentialité des Données personnelles ou de risque avéré d’atteinte, le Prestataire s’engage à en informer le Client dans un délai d’un jour ouvré maximum après prise de connaissance de l’incident ou du risque. Le Prestataire communique au minimum les informations suivantes : nature de la violation des Données Personnelles, nombre approximatif de personnes concernées, conséquences probables, description des mesures prises ou envisagées d’être prises pour remédier à la violation.
Suite à un incident ou un risque avéré concernant la sécurité ou la confidentialité des Données personnelles, le Prestataire prend toutes les mesures correctives appropriées qu’il est en capacité d’appliquer afin d’éviter l’altération ou l’accès par un tiers à ces Données personnelles.
Le Prestataire n'informe aucun tiers sans le consentement écrit préalable du Client. Si une telle divulgation est exigée par la loi, le Prestataire travaillera avec le Client sur le contenu de la divulgation afin de minimiser tout impact négatif potentiel sur le traitement du sujet.


Audits


Le Client peut, à ses frais, réaliser ou faire réaliser par un tiers de son choix un audit, une vérification ou un contrôle chez le Prestataire ou les éventuels sous-traitants, après en avoir informé le Prestataire 5 jours à l’avance, conformément à l’article 28(3)(h) du RGPD.
Le Prestataire s’engage à collaborer avec le Client lors de la réalisation d’un contrôle, vérification ou audit externe. Tout temps passé par le prestataire à assister le client pour la mise en place de l’audit fera l’objet d’un devis et d’une facturation envers le Client.
Dans le cas où le Prestataire procède à un audit interne, il en informe le Client et garde à disposition du Client une copie de cet audit.


Assistance et coopération


Le Prestataire s’engage à porter assistance au Client afin de répondre à toute demande d’information émanant d’autorités de contrôle, administrations ou juridictions habilitées à formuler une telle demande. Si une telle demande est effectuée directement auprès du Prestataire, celui-ci s’engage à en informer le Client au maximum dans les 48h après réception , sauf disposition légale contraire.
Le Prestataire met à disposition du Client les éléments nécessaires pour démontrer la conformité de ses pratiques à la législation en vigueur ainsi qu’à ce que prévoient le présent Accord et l’accord principal.En cas de modification de sa politique en matière de sécurité des Données personnelles, le Prestataire doit au préalable en informer et obtenir l’accord du Client, sans quoi celui-ci peut résilier l’accord principal sans pénalités. Le Prestataire s’engage à aider le Client à se conformer à ses propres obligations en termes de protection des Données personnelles.
Le Prestataire s’engage à informer le Client si une demande de ce dernier viole la législation en vigueur.Le Prestataire est en capacité de mettre à la disposition du client, sur demande, tout ce qui prouve le respect du présent Accord.


Responsabilité


Le Prestataire demeure pleinement responsable du respect des obligations prévues au titre de la présente annexe et garantit le Client à ce titre.
Etant entendu entre les Parties, que toute éventuelle limitation de responsabilité du Prestataire qui serait stipulée dans le Contrat, ne serait pas applicable aux obligations découlant de la présente annexe.


Droit applicable et tribunaux compétents


Les Parties conviennent que l’Accord est régi par les dispositions légales et réglementaires applicables en France.
Les Parties conviennent de soumettre tous litiges liés à leurs relations contractuelles à la juridiction exclusive des tribunaux français compétents.


Documents contractuels


L’ Accord est composé de clauses contractuelles principales et d’une annexe ayant valeur contractuelle.


Annexes


Annexe 1 : Spécification des Traitements de Données à caractère personnel - Objet et finalité du traitement :Données nécessaires afin de gérer les inscriptions et suivi de la présence des inscrits aux évènements organisés par les clients, et notamment pour :
  • Éditer un site web de l'événement
  • Editer les emails (invitations, confirmation, relances)
  • Éditer les formulaires d'inscription/billetterie
  • Gérer une Base de données de participants
  • Enregistrer les checkins (émargement et scan de QR code avec application iOS)
  • Éditer les badges des visiteurs
  • Réaliser un reporting
  • Proposer du paiement en ligne
  • Editer des codes promo/ invitations
  • Réaliser des relais avec d’autres outils en ligne via une API et Zappier
- Nature du traitement :
  • Hébergement des données personnelles
  • Structuration des données personnelles
  • Extraction des données personnelles
  • Effacement des données personnelles
- Catégories des Personnes concernées :Participants inscrits aux évènements, exposants des salons, prospects. - Catégories de Données personnelles traitées :
  • Données d’identification
exemple : nom, prénom, adresse, téléphone
  • Données Internet
exemple : cookie, IP, donnée comportementale
  • Données liées à la vie professionnelle
exemple : fonction, CV, diplôme
  • Données financières et patrimoniales
exemple : Information de facturation
  • Données de connexion
exemple : email - Durée de conservation des Données :Suppression des données 28 mois après la création de l’événement.


Annexe 2 : Coordonnées du Délégué à la Protection des Données Personnelles Théo RANNOU