0

Votre panier



TOTAL HT
TOTAL TTC

Données personnelles

Traitement des données personnelles


Définitions


« Personne concernée » et « Traitement » ont chacun la signification précisée par le RGPD.

« Données à caractère personnel » ou « Données Personnelles » correspondent à la définition donnée par le RGPD et comprennent les données personnelles traitées par le Prestataire, pour le compte du Client, dans le cadre de l’exécution de la prestation de services objet de l’accord principal.

« Services » signifie les services rendus par le Prestataire pour le Client tels que prévus dans l'Accord Principal et qui incluent des Traitements de Données Personnelles objets du présent Accord.

« Sous-traitant » signifie tout tiers engagé par le Prestataire (soumis aux conditions du présent Accord) pour fournir des Services pour le compte du Prestataire incluant des traitements de Données Personnelles objets du présent Accord.

« Violation de données » signifie tout traitement non-autorisé ou illégal de Données Personnelles ainsi que toute perte, altération, divulgation ou destruction accidentelle ; toute violation des systèmes de sécurité de l'information ou tentative de pénétrer de tels systèmes qui compromettrait ou pourrait raisonnablement compromettre les Données Personnelles.

« Accord principal » désigne un contrat en cours conclu ou toute relation contractuelle ou commerciale continue entre le Client et le Prestataire, et pour lesquels ce présent Accord a valeur d’avenant.

Les majuscules ou minuscules n’ont pas d’effet particulier sur les termes employés et leur définition.

Objet


Dans le cadre de l’exécution de l’Accord Principal, le Prestataire s’engage, à l’égard du client, à respecter la réglementation en vigueur applicable au traitement des données à caractère personnel, et en particulier la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et le règlement européen nᵒ 2016/679, dit règlement général sur la protection des données.

A ce titre, le Prestataire déclare et garantit qu’il propose les prestations objet de l’accord principal dans le respect des obligations lui incombant en application de la Législation applicable en matière de la protection des données à caractère personnel.

Délégué de la protection des données


Le Prestataire a nommé un Délégué à la protection des Données : dont les coordonnées sont les suivantes :
Nom : TURPLIN
Prénom : Marine
Poste : Quality & Production Manager
Adresse email : marine.turplin@eventmaker.com

Traitements effectués par le prestataire


Le Prestataire réalise uniquement les Traitements nécessaires à la réalisation de la prestation objet de l’Accord Principal.

Le Prestataire ne peut pas réaliser de traitement sur les Données Personnelles pour son propre compte ou pour celui d’un tiers.

Le Prestataire traite les Données Personnelles de manière loyale et licite, conformément aux principes prévus aux articles 5 et 6 du RGPD.
Le Prestataire tient à la disposition du client sa « Politique de sécurité du système d'information ».

Sécurité et confidentialité


Le Prestataire doit mettre en place et maintenir toutes les mesures techniques et opérationnelles appropriées pour garantir le maintien en condition de sécurité des Données Personnelles du client qu'elle héberge et traite, des ressources du client qu'elle maintient ou de ses propres ressources mises à disposition du client pendant toute la durée des prestations. Ces mesures techniques et opérationnelles sont décrites sur le document suivant :

Les mécanismes de sécurité mis en œuvre doivent évoluer pour prendre en compte des nouvelles menaces, un nouveau contexte technologique ou des nouvelles exigences réglementaires. Toute évolution d’une mesure de sécurité doit aller dans le sens d’une amélioration du niveau de sécurité.

Le Prestataire tiendra des registres complets et exacts des traitements de données qu’il effectue conformément à la loi et au RGPD. Il les tiendra à la disposition du Client et de toute Autorité administrative ou judiciaire à toute demande de leur part.

Personel


Le Prestataire garantit que tous les membres de son personnel ayant accès à des Données personnelles sont informés de la nature confidentielle de ces données ainsi que des dispositions relatives à la confidentialité prévues par le présent Accord et qu’il reçoivent la formation nécessaires en matière de protection des Données Personnelles.

Le Prestataire limitera l'accès aux Données Personnelles aux membres de son personnel qui ont strictement besoin d'un tel accès pour satisfaire aux obligations pour réaliser la prestation demandée par le Client. Ces membres n’auront pas accès à plus de Données que nécessaire pour la réalisation de la prestation.

Le Prestataire élabore et met à jour régulièrement une liste des personnels autorisés à accéder aux données du client et/ou à intervenir sur les ressources du client ainsi que leur niveau d’habilitation (types d’accès et ressources concernées du client). Cette liste est tenue à la disposition du client.

Sous-traitans


Le Prestataire communique au client la liste de ses sous-traitants, la liste est publiée sur l’URL :

Si le Prestataire tient à faire appel à un nouveau sous-traitant, il se tient de tenir à jour la liste des sous-traitants et de notifier les comptes utilisateurs du client par email qui aura un délai de 5 jours pour s’opposer à ce changement.

Le Prestataire s’assure que les éventuels sous-traitants sont soumis aux même obligations en matière de protection des Données personnelles que celles prévues par le présent Accord.

Le Prestataire reste en toute circonstance garant vis-à-vis du Client de la bonne exécution du Contrat par ses sous-traitants ultérieurs. Ainsi, si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données à caractère personnel, le Sous-Traitant demeure pleinement responsable devant le Client.

Le Prestataire est pleinement responsable auprès du Client dans le cas où un sous-traitant ne respecte pas les termes du présent Accord.

Durée et fin du traitement des données personnelles

Les Données personnelles ne sont traitées et conservées par le Prestataire que pendant le temps nécessaire à la réalisation de la prestation objet de l’Accord principal.

Cette durée a pour limite 30 mois pour les données d’inscription (notion de GUEST dans eventmaker) à compter de la date de création de l’événement sur la plateforme app.eventmaker.io ayant permis la collecte de ces données.

Cette limite est portée à 36 mois suivant le dernier contact commercial pour ce qui concerne les données de CRM (notion de CONTACT dans eventmaker).
Si le client souhaite supprimer ses données de manière anticipée, il en a la possibilité via le l’interface utilisateur de l’application.
Toutes Données Personnelles fournies par le Client au Prestataire et traitées par le Prestataire directement ou indirectement au cours de l'exécution des Services objets de l’accord principal demeurent la propriété du Client.

Le Client peut à tout moment procéder à la modification, le transfert ou la suppression des Données personnelles via le l’interface utilisateur de l’application.

Droits de la personne concernée


Dans le cas où une personne concernée exercerait ses droits au sujet des données le concernant, tels que : le droit à la portabilité des données, le droit d'accès, le droit de rectification, le droit de suppression / droit d’effacement, le droit à la limitation du traitement, le droit de s'opposer au traitement et le droit de ne pas être assujetti au profilage automatisé, le Prestataire s’engage à assister le Client dans la satisfaction de la requête de la Personne concernée par le Traitement au titre des articles 12 à 23 du RGPD. Le Prestataire se doit de fournir les informations et documents et de réaliser les actions nécessaires à la satisfaction de la requête dans les 8 jours.

Le prestataire met à disposition des personnes concernées une procédure d’accès et de suppression de données disponible sur l’url suivante : https://app.eventmaker.io/takeout.

Le Prestataire informe, dès la réception de la requête, le Client lorsqu’une personnes concernéedemande l’application de ses droits, et effectue au plus vite le nécessaire afin de satisfaire cette requête. Il s’assure également que les informations prévues aux articles 13 et 14 du RGPD ont bien été communiquées à la Personne concernée, selon les modalités requises.

Transferts internationaux de données personnelles


Si le Prestataire est tenu de procéder à un transfert de Données à caractère personnel vers un pays tiers ou à une organisation internationale, en vertu du droit de l'Union Européenne (UE) ou du droit français, il s’engage à informer le Client de cette obligation juridique 48h après la demande, sauf si le droit concerné interdit une telle information.

Le Prestataire déclare qu’il ne procédera à des transferts de Données personnelles qu’au sein de pays l’Union Européenne (UE) ou de pays hors Union Européenne (UE) ne bénéficiant pas de décision d’adéquation telle que prévue par l’article 45 du RGPD.

Aucun transfert ou traitement de Données personnelles ne sera effectué hors de l’Union Européenne (UE) sans le consentement préalable par écrit du Client. Si le transfert hors UE est autorisé préalablement par le Client, il devra être assorti des garanties prévues aux articles 45 à 49 du RGPD.

Violation des données personnelles


En cas d’atteinte à la sécurité ou à la confidentialité des Données personnelles ou de risque avéré d’atteinte, le Prestataire s’engage à en informer le Client dans un délai d’un jour ouvré maximum après prise de connaissance de l’incident ou du risque. Le Prestataire communique au minimum les informations suivantes : nature de la violation des Données Personnelles, nombre approximatif de personnes concernées, conséquences probables, description des mesures prises ou envisagées d’être prises pour remédier à la violation.

Suite à un incident ou un risque avéré concernant la sécurité ou la confidentialité des Données personnelles, le Prestataire prend toutes les mesures correctives appropriées qu’il est en capacité d’appliquer afin d’éviter l’altération ou l’accès par un tiers à ces Données personnelles.

Le Prestataire n'informe aucun tiers sans le consentement écrit préalable du Client. Si une telle divulgation est exigée par la loi, le Prestataire travaillera avec le Client sur le contenu de la divulgation afin de minimiser tout impact négatif potentiel sur le traitement du sujet.

Audits


Le Client peut, à ses frais, réaliser ou faire réaliser par un tiers de son choix un audit, une vérification ou un contrôle chez le Prestataire ou les éventuels sous-traitants, après en avoir informé le Prestataire 5 jours à l’avance, conformément à l’article 28(3)(h) du RGPD.

Le Prestataire s’engage à collaborer avec le Client lors de la réalisation d’un contrôle, vérification ou audit externe. Tout temps passé par le prestataire à assister le client pour la mise en place de l’audit fera l’objet d’un devis et d’une facturation envers le Client.

Dans le cas où le Prestataire procède à un audit interne, il en informe le Client et garde à disposition du Client une copie de cet audit.

Assistance et coopération


Le Prestataire s’engage à porter assistance au Client afin de répondre à toute demande d’information émanant d’autorités de contrôle, administrations ou juridictions habilitées à formuler une telle demande. Si une telle demande est effectuée directement auprès du Prestataire, celui-ci s’engage à en informer le Client au maximum dans les 48h après réception , sauf disposition légale contraire.

Le Prestataire met à disposition du Client les éléments nécessaires pour démontrer la conformité de ses pratiques à la législation en vigueur ainsi qu’à ce que prévoient le présent Accord et l’accord principal.
En cas de modification de sa politique en matière de sécurité des Données personnelles, le Prestataire doit au préalable en informer et obtenir l’accord du Client, sans quoi celui-ci peut résilier l’accord principal sans pénalités.

Le Prestataire s’engage à aider le Client à se conformer à ses propres obligations en termes de protection des Données personnelles.

Le Prestataire s’engage à informer le Client si une demande de ce dernier viole la législation en vigueur.
Le Prestataire est en capacité de mettre à la disposition du client, sur demande, tout ce qui prouve le respect du présent Accord.

Responsabilité


Le Prestataire demeure pleinement responsable du respect des obligations prévues au titre de la présente annexe et garantit le Client à ce titre.

Etant entendu entre les Parties, que toute éventuelle limitation de responsabilité du Prestataire qui serait stipulée dans le Contrat, ne serait pas applicable aux obligations découlant de la présente annexe.

Droit applicable et tribunaux compétents


Les Parties conviennent que l’Accord est régi par les dispositions légales et réglementaires applicables en France.

Les Parties conviennent de soumettre tous litiges liés à leurs relations contractuelles à la juridiction exclusive des tribunaux français compétents.

Documents contractuels


L’ Accord est composé de clauses contractuelles principales et d’une annexe ayant valeur contractuelle.


Annexes


Annexe 1 : Spécification des Traitements de Données à caractère personnel
  • - Objet et finalité du traitement : Inscription des participants sur un événement, et suivi de la présence des participants sur les événements.
  • - Nature du traitement : Recueil d’informations dans le cadre des différentes réservations faites par les participants permettant l’établissement de listes nécessaires à l’organisation des manifestations
  • - Catégories des Personnes concernées : Participants et exposants des salons ainsi que prospects.
  • - Catégories de Données personnelles traitées : Nom, prénom, téléphones, adresses, email ,et données comportementales ainsi que données de facturation.
  • - Durée de conservation des Données : Suppression des données 30 mois après la fin de l’événement.

Annexe 2 : Coordonnées du Délégué à la Protection des Données Personnelles
Marine TURPLIN
marine.turplin@eventmaker.com