Gestion des données personnelles

Avenant en application du réglement UE 2016/679 sur la protection des données personnelles « RGPD »

‍

Définitions

Nous désignerons par la suite :

• « Traitement de données personnelles » : Un « traitement de données personnelles » est une opération, ou ensemble d'opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement).
• « Contrat principal » : désigne le contrat en cours conclu ou toute relation contractuelle ou commerciale continue entre le Client et le Prestataire, et pour lesquels ce présent Contrat a valeur d’avenant.
• « Client » : désigne une personne morale ou physique souscrivant à l’une des offres proposées par le prestataire de services pour la solution « eventozor ».
• « Prestataire » : désigne la société « chroma.team » mettant à disposition la solution « eventozor » pour le Client tels que prévus dans le Contrat Principal incluent des Traitements de Données Personnelles objets du présent Avenant.
• « Sous-traitant » : désigne tout tiers engagé par le Prestataire (soumis aux conditions du présent Accord) pour fournir des Services pour le compte du Prestataire incluant des traitements de Données Personnelles objets du présent Accord.
• « Profil public » : Ensemble des informations renseignées par l’utilisateur sur son compte Eventozor et visibles par les autres utilisateurs ou les organisateurs, comme son nom, prénom, profession, entreprise, description, liens vers ses réseaux sociaux, et photo de profil. Les données privées, telles que l’email et le numéro de téléphone, n’en font pas partie sauf consentement explicite.

Objet

Dans le cadre de la mise en œuvre du Contrat, le Prestataire s'engage pour le Client à respecter la réglementation en vigueur pour le traitement des données personnelles et notamment la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et libertés et le règlement européen nᵒ 2016/679, dit règlement général sur la protection des données. (RGPD)

Par conséquent, le Prestataire déclare et garantit qu'il fournit les services couverts par le Contrat en cours dans le respect des obligations qui lui incombent en vertu des lois applicables en matière de protection des données personnelles.

Délégué de la protection des données

Le Prestataire a nommé le Délégué à la protection des Données suivant :
Nom : JOURDAIN
Prénom : Paul
Poste : CTO
Contacter : rgpd[at]eventozor.com

Traitements effectués par le prestataire

Le prestataire de services s'engage à :

• Informer le client immédiatement s’il considère qu'une directive d’un sous-traitant viole la réglementation européenne sur la protection des données ou toute autre disposition du droit de l'Union ou des États membres relative à la protection des données.
• Fournir la « Politique de sécurité du système d'information » aux clients.

But du traitement des données :

• La mise en ligne d’un site événementiel pouvant recueillir des informations d’inscriptions
• Permettre aux organisateurs d’envoyer des confirmations d’inscription, des informations relatives à l’événement, et de communiquer directement avec les participants dans un cadre strictement lié à l’événement.
• Créations de formulaires personnalisés
• Gestion de bases de données de participants
• Gestion de bases de données de contrôles d’accès par QRCode
• Échange de coordonnées par QRCode
• Impression / enregistrement de badge QRCode
• Reporting organisateurs
• Paiement en ligne
• Liaison avec des plateformes tierces via des API

Personnes concernées :

• Organisateurs
• Exposants
• Animateurs
• Participants

Données personnelles traitées :

• Données d’identifications : Nom, prénom, profession, entreprise, description de profil, liens vers les réseaux sociaux, photo de profil, adresse email (partagée avec l’organisateur uniquement dans le cadre de l’inscription à un événement), et numéro de téléphone (non partagé sauf via QR code).

• Données internet : cookies, IP, données comportementale (Actions, Pages visitées)
• Informations de facturations du client : Nom, Adresse, Code postal, Ville

Partage des données du profil public et données privées :

• Le profil public des utilisateurs est accessible aux organisateurs des événements auxquels ils s’inscrivent, afin de permettre la gestion des inscriptions et des interactions liées à l’événement.
• Lors de l’inscription à un événement, l’utilisateur peut choisir de rendre son profil public visible ou non pour les autres participants. Cette option est proposée sous forme de case à cocher dans le formulaire d’inscription.
• Les données privées, comme l’adresse email et le numéro de téléphone, restent strictement confidentielles et ne sont jamais accessibles via le profil public. Ces données ne peuvent être partagées avec d’autres participants qu’à travers la fonctionnalité de QR code, qui nécessite une action volontaire de l’utilisateur (scan ou partage de QR code).

Partage des données avec l’organisateur

• L’adresse email fournie par l’utilisateur lors de l’inscription est systématiquement partagée avec l’organisateur de l’événement auquel il s’inscrit. Cette donnée est essentielle pour permettre à l’organisateur d’assurer une gestion efficace des inscriptions, des communications (confirmation d’inscription, envoi d’informations pratiques), et d’éventuelles relances concernant l’événement.
• Les autres données privées, telles que le numéro de téléphone, ne sont pas partagées avec l’organisateur sauf consentement explicite ou action volontaire via des fonctionnalités spécifiques, comme le partage de coordonnées par QR code.
• L’adresse email n’est en aucun cas utilisée à des fins commerciales ou marketing par les organisateurs sans consentement explicite. Les autres données privées, telles que le numéro de téléphone, restent strictement confidentielles et ne sont partagées qu’en cas d’action volontaire via la fonctionnalité QR code.

‍

Sécurité et confidentialité

Le Prestataire doit adopter et maintenir toutes les mesures techniques et opérationnelles appropriées pour assurer le maintien de la sécurité des Données Personnelles des Clients qu'il collecte et traite. Les mesures techniques et opérationnelles sont décrites dans un document que vous pouvez télécharger à cette adresse : https://www.eventozor.com/technical-security-measures.pdf

Les mécanismes de sécurité déployés doivent évoluer pour tenir compte des nouvelles menaces, du nouveau paysage technologique ou des nouvelles exigences réglementaires. Tout développement d'une mesure de sécurité doit aller dans le sens d'une augmentation du niveau de sécurité.

Le prestataire de services conservera des enregistrements complets et exacts du traitement des données qu'il effectue conformément à la loi et au RGPD. Il les tient à la disposition du Client et de toute autorité administrative ou judiciaire à leur demande.

Les adresses email des participants sont accessibles uniquement par les organisateurs des événements auxquels ils s’inscrivent. Ces données ne sont pas transmises à des tiers ni utilisées à des fins marketing sans consentement explicite du participant.

Personnel

Le Prestataire veille à ce que ses collaborateurs autorisés à traiter les Données Personnelles dans le cadre de ce contrat :

• Bénéficient de la formation nécessaire sur la protection des données personnelles.
• Respectent la confidentialité et sont soumis à une obligation légale de confidentialité appropriée.
• N’aient pas accès à plus de Données que nécessaire à l'exécution du service.

L'accès aux Données Personnelles est limité aux membres de son personnel qui ont effectivement besoin d'un tel accès pour répondre aux obligations de service demandées par le Client.

Le prestataire établi et met régulièrement à jour une liste du personnel autorisé à accéder aux données Clients et/ou à interférer avec les ressources clients et leur niveau d'autorisation (types de droits d'accès et ressources clients associées). Cette liste est fournie au client sur demande.

Sous-traitants

Sous-traitants intervenants dans le traitement des données personnelles par le Prestataire :

• Amazon Web Service (Hébergeur)
  Localisation des données (région) : Irlande - Dublin (eu-west-1), France - Paris (eu-west-3)
  DPA : https://aws.amazon.com/fr/blogs/security/aws-gdpr-data-processing-addendum/
  Site web : https://aws.amazon.com/fr/
• STRIPE (Traitement des paiements)
  Localisation des données : Europe
  DPA : https://stripe.com/fr/legal/dpa
  Site web : https://stripe.com/fr
• Brevo (Relation client avec les Organisateurs)
  Localisation des données : Europe
  Privacy : https://www.brevo.com/legal/privacypolicy/
  Site web : https://www.brevo.com/

• Hubspot (Relation client avec les Organisateurs)
  Localisation des données : Europe
  Privacy : https://legal.hubspot.com/privacy-policy
  Site web : https://www.hubspot.com/

‍

Si le Prestataire souhaite faire appel à un nouveau sous-traitant, il s'engage à mettre à jour la liste des sous-traitants et à en informer les comptes utilisateurs du client par E-Mail dans un délai de 5 jours ouvrés à compter de la date d'envoi de l'avis d'opposition à ce changement.

Le Prestataire garantit que les éventuels sous-traitants sont soumis aux mêmes obligations en matière de protection des Données Personnelles que celles énoncées dans le présent Contrat.

En tout état de cause, le Prestataire reste responsable vis-à-vis du Client de la bonne exécution du Contrat par ses sous-traitants ultérieurs. Par conséquent, si le Sous-traitant ultérieur manque à ses obligations en matière de protection des données personnelles, le Sous-traitant ultérieur reste entièrement responsable envers le Client.

Le Prestataire est seul responsable vis-à-vis du Client en cas de non-respect par le sous-traitant des termes du présent Contrat.

Durée et fin du traitement des données personnelles

Les Données Personnelles ne sont traitées et conservées par le Prestataire que pendant la durée nécessaire à la réalisation de la prestation de services.

Les données de chaque participant à un événement sont conservées pendant 36 mois puis automatiquement supprimées si le participant ne se connecte pas à la plateforme Eventozor durant cette période (Les participants supprimés seront anonymisés dans les statistiques de l'événement). Ces données peuvent être effacées par l’organisateur manuellement depuis son interface utilisateur. Les comptes utilisateurs sont automatiquement supprimés 36 mois après la dernière connexion.

Toutes les Données Personnelles fournies par le Client au Prestataire et traitées directement ou indirectement par le Prestataire lors de l'exécution de la Prestation restent la propriété du Client. Le client peut modifier, transférer ou supprimer les données personnelles à tout moment via l'interface utilisateur de l’application.

Violation des données personnelles

En cas d'atteinte avérée ou de risque d'atteinte à la sécurité ou à la confidentialité des données personnelles, le Prestataire s'engage à avertir le Client dans les meilleurs délais après avoir pris connaissance de l'incident ou du risque. Le Prestataire de services fournira au moins les informations suivantes : une description de la nature de la Violation de données à caractère personnel, le nombre approximatif de personnes concernées, les conséquences attendues et les mesures prises ou prévues pour remédier à la Violation.

Après un incident ou un risque avéré lié à la sécurité ou à la confidentialité des Données Personnelles, le Prestataire prendra toutes les mesures correctives applicables pour empêcher toute manipulation ou accès à ces Données Personnelles par des tiers.

Audits

Le Client peut, à ses propres frais ou faire effectuer par un tiers, tout audit, vérification ou contrôle sur le Prestataire ou un sous-traitant après un préavis de dix (10) jours au Prestataire de services conformément à l'article 28(3)(h) du RGPD.

Le Prestataire s'engage à coopérer avec le Client pour effectuer des contrôles, vérifications ou audits externes. Le temps passé par le Prestataire à assister le Client dans la réalisation de l'audit sera facturé au Client et ne peut excéder deux (2) jours ouvrés.

Cette mission d'audit peut être réalisée par les auditeurs internes du Client ou peut être confiée à tout prestataire au choix du Client, non concurrent du Prestataire

Dans le cadre de l'audit, le Prestataire donnera accès à ses locaux, et d'une manière générale aux documents et aux personnes nécessaires afin que les auditeurs puissent conduire l'audit dans des conditions satisfaisantes. Il est entendu que cet audit ne doit pas avoir pour conséquence de perturber l'exploitation du Service.

Le rapport d'audit sera mis à la disposition du Prestataire par les auditeurs avant d'être finalisé, de telle sorte que le Prestataire puisse formuler toutes ses observations, le rapport final devant tenir compte et répondre à ces observations. Le rapport d'audit sera ensuite adressé au Client et fera l'objet d'un examen dans le cadre d'une réunion entre les Parties.

Au cas où le rapport d'audit final révèlerait des manquements aux engagements pris au titre de l'exécution du Service, le Prestataire devra proposer un plan d'actions correctives dans un délai de vingt (20) jours ouvrés maximum à compter de la réunion entre les Parties. Il est entendu qu'au sens de la présente clause, jour ouvré désigne un jour compris entre le lundi et le vendredi et qui n'est pas un jour férié en France métropolitaine.

Assistance et coopération

Le Prestataire s'engage à aider le Client à répondre aux demandes d'informations de toute autorité de contrôle, agence gouvernementale ou tribunal habilité à faire de telles demandes. Dans ce cas, le Prestataire de services s'engage à informer le Client dans les 72 heures suivant la réception de la demande, sauf disposition contraire de la loi.

Le Prestataire fournira au Client les éléments nécessaires pour démontrer le respect de la loi applicable, ainsi que des dispositions du présent Contrat et du Contrat principal. En cas de modification de la politique de sécurité des données personnelles, le prestataire doit préalablement en informer et obtenir le consentement du client. À défaut, ce dernier peut résilier le contrat principal sans pénalité.

Les Prestataires s'engagent à assister les Clients dans le respect de leurs obligations en matière de protection des données personnelles. Le Prestataire de services s'engage à informer le Client si la demande du Client enfreint la loi applicable. Sur demande, le Prestataire peut fournir au Client une preuve de conformité avec le présent Contrat.

Droit applicable et tribunaux compétents

Les deux parties conviennent que le présent Contrat est soumis aux dispositions des lois et réglementations applicables en France.

Les deux parties conviennent de soumettre tout litige contractuel à la compétence exclusive des tribunaux compétents de France.