Traitement des données personnelles

Définitions

Dans  les CGU, les termes et expressions identifiés par une majuscule ont la  signification indiquée ci-après, qu’ils soient employés au singulier ou  au pluriel.
«Evénements»  : désigne les manifestations à visée professionnelle (conférences,  soirées, forums, colloques, congrès, salons etc.) organisés par  l’Organisateur et auxquels participent les Invités;
«Invité» : désigne toute personne invitée par l’Organisateur à s’inscrire et participer à l’Evénement en utilisant le Service;
«Organisateur» : désigne la personne morale organisant un Evénement, auquel elle invite des Invités en utilisant le Service;
«Service» : désigne les logiciels en ligne d’EVENTMAKER SAS et les applications associées.
«Données»  : désigne les informations personnelles collectées en ligne sur les  invités, chargées dans le logiciel d’EVENTMAKER SAS par le client au  moyen d’imports automatisés, ou chargées par le client au moyen de  l’API.
«API» :  interface de programmation Machine à Machine proposé par EVENTMAKER pour  l’utilisation de ses logiciels et documentées sur  http://developers.eventmaker.io/
«Prestation» : l’ensemble du service commandé par l’Organisateur à EVENTMAKER et couvert par les CGU.
«Traitement»  : l’ensemble du procédé de collecte et d’utilisation des informations  personnelles des invités sur les plateformes EVENTMAKER pour  l’organisation de l’événement de l’organisateur, à titre indicatif en  voici la liste :
  • Inviter des “invités”
  • Imports des listes d’invitation
  • Envois des email d’invitations
  • Inscrire des “invités”
  • Formulaires d’inscription
  • Imports de de listes de participants
  • Inscription via API
  • Récolter des paiements en ligne
  • Confirmer des “Invités”
  • Envoyer des emails de confirmation d’inscription
  • Publier des documents de confirmation d’inscription
  • Publier des documents d’accréditation ( Badges) avec codes d’identification
  • Contrôler des “invités”
  • Scanner les codes d’identification des invités pour les identifier
  • Vérifier les autorisation d’accès.
  • Notifier l’organisateur
  • A chaque inscription d’invité
  • A chaque passage d’invité
  • Publier les données des invités
  • Publier sur le site de l’événement les informations des invités
  • Ouvrir des espaces utilisateurs pour les invités
  • Modification des données publiées
  • Faire participer les invités
  • Enregistrer et publier les commentaires des invités
  • Enregistrer et publier les votes des invités
  • Enregistrer et publier en ligne les photos des invités
  • Discuter avec les invités
  • Récupérer les messages de conversation via le chatbot DoYouBot
  • Répondre aux messages
  • Stocker les messages.


Informations relatives aux traitements

a) Respect des principes français et européen en matière de protection des données personnelles

Les  Parties s’engagent à collecter et à traiter toute donnée personnelle en  conformité avec toute réglementation en vigueur applicable au  traitement de ces données, et notamment à la loi n°78-17 du 6 janvier  1978 modifiée.
Au regard de cette loi, l’Organisateur est responsable du Traitement réalisé au titre du Contrat.

b) Existence d’un système de remontée des plaintes et des failles de sécurité
Le  Prestataire s’engage à communiquer au Client la survenance de toute  faille de sécurité ayant des conséquences directes ou indirectes sur le  Traitement, ainsi que toute plainte qui lui serait adressée par tout  individu concerné par le Traitement réalisé au titre du Contrat. Cette  communication devra être effectuée dans les plus brefs délais et au  maximum quarante-huit heures après la découverte de la faille de  sécurité ou suivant réception d’une plainte.

c) Moyens de traitement

Afin d’exécuter la Prestation, le Prestataire traitera les Données par le biais des moyens de traitement suivants :
  • Logiciel en ligne Eventmaker.io (Invitation, Inscription, badges, contrôle d’accès)
  • Logiciel en ligne Voxevent (Publication, espaces personnels, participation des invités)
  • Logiciel en ligne invitations (Invitations partenaires)
  • Logiciel en ligne doyoubot
Ces logiciels sont des applications Web développées en Ruby On Rails, avec des bases de données MongoDB :
  • Application iOS Eventmaker Checkin (Liste d’émargement et contrôle d’accès)
  • Application iOS et Android MobiNetwork (Gestion de contacts pour les partenaires)

Garanties mises en œuvre par le prestataire

a)  Durée de conservation des données limitée et raisonnable au regard des  finalités pour lesquelles les données ont été collectées
Le Prestataire offre au client la possibilité de supprimer à tout moment les Données sur ses interfaces.
Le  prestataire s’engage en tout état de cause à ne pas les conserver plus  de 30 mois après la fin de l’événement, ou plus tôt si l’organisateur le  lui demande.

b) Destruction et/ou restitution des données
A  tout moment pendant le contrat et pour une durée de 3 mois suite à la  rupture du contrat, le prestataire met à la disposition de  l’organisateur la possibilité de récupérer ses données selon les formats  d’exports et d’API disponibles dans le logiciel d’EVENTMAKER.

c) Devoir de coopération avec les autorités de protection des données compétentes
Les  Parties s’engagent à coopérer avec les autorités de protection des  données compétentes, notamment en cas de demande d’information qui  pourrait leur être adressée ou en cas de contrôle.

d) Audits
Le  Client se réserve le droit de procéder à toute vérification qui lui  paraîtrait utile pour constater le respect par le Prestataire de ses  obligations au titre du Contrat, notamment par le biais d’un audit. Le  Prestataire s’engage à répondre aux demandes d’audit du Client et  effectuées par le Client lui-même ou par un tiers de confiance qu’il  aura sélectionné, reconnu en tant qu’auditeur indépendant, c'est-à-dire  indépendant du Prestataire, ayant une qualification adéquate, et libre  de fournir les détails de ses remarques et conclusion d’audit au Client.  Les audits doivent permettre une analyse du respect du présent Contrat  et de la loi Informatique et Libertés, notamment : par la vérification  de l’ensemble des mesures de sécurité mises en œuvre par le Prestataire,  par la vérification des journaux de localisation des Données, de copie  et de suppression des Données, par l’analyse des mesures mises en place  pour supprimer les Données, pour prévenir toutes transmissions illégales  de Données à des juridictions non adéquates ou pour empêcher le  transfert de Données vers un pays non autorisé par le Client. L’audit  doit enfin pouvoir permettre de s’assurer que les mesures de sécurité et  de confidentialité mises en place ne peuvent être contournées sans que  cela ne soit détecté et notifié.
Le  temps du prestataire consacré au suivi de l’audit et aux réponses  effectuées sera comptabilisé par EVENTMAKER et facturé à l’organisateur  au tarif de 800 € HT la journée.

Localisation et transferts

a) Destinataires
Le  Prestataire devra fournir au Client toute information utile concernant  les destinataires des Données, afin que ce dernier soit en mesure  d’informer les personnes concernées par le Traitement et de répondre à  leurs demandes d’accès en vertu des articles 32 et 39 de la loi n°78-17  du 6 janvier 1978 modifiée.
b) Indication claire et exhaustive des pays hébergeant les serveurs du prestataire
Le Prestataire informe le Client que les Données seront hébergées dans des serveurs localisés dans les pays suivants : Irlande.
Formalités auprès de la CNIL
Le  Client s’acquittera des formalités déclaratives relatives au Traitement  auprès des autorités de protection des données à caractère personnel  compétentes. Le Prestataire s’engage à lui fournir toute information  utile afin de procéder à ces formalités.

Sécurité et confidentialité

a)  Indication des obligations incombant au prestataire en matière de  sécurité des données et précision qu’il ne peut agir que sur instruction  du client
Dans  le cadre de l’exécution du Contrat, le Prestataire agira uniquement sur  les instructions du Client. A ce titre, le Prestataire s’engage à ne pas  utiliser les Données pour son propre compte ou pour celui d’un tiers.  Conformément à l’article 34 de la loi Informatique et Libertés modifiée,  le Prestataire s’engage à prendre toutes précautions utiles afin de  préserver la sécurité des informations et notamment de les protéger  contre toute destruction accidentelle ou illicite, perte accidentelle,  altération, diffusion ou accès non autorisés, notamment lorsque le  Traitement comporte des transmissions de données dans un réseau, ainsi  que contre toute autre forme de traitement illicite ou communication à  des personnes non autorisées
b) Politique de sécurité et mesures de sécurité
Le  Prestataire fournit au Client la politique de sécurité des systèmes  d’information qu’il a mise en place et l’informe des évolutions de cette  politique. Il tient à la disposition du client les documents relatifs à  la sécurité de ses données comprenant notamment la documentation  technique nécessaire, les analyses de risques produites et la liste  détaillée des mesures de sécurité mises en œuvres. Les supports  informatiques et documents fournis par le Client au Prestataire restent  la propriété du Client. Les données contenues dans ces supports et  documents sont strictement couvertes par le secret professionnel  (article 226-13 du code pénal), il en va de même pour toutes les données  dont le Prestataire prend connaissance à l’occasion de l’exécution du  Contrat. Le Prestataire s’engage à respecter les obligations suivantes  et à les faire respecter par son personnel :
  • Ne  prendre aucune copie des documents et supports d’informations qui lui  sont confiés, à l’exception de celles nécessaires à l’exécution de la  présente prestation prévue au Contrat avec l’accord préalable du Client;
  • Ne pas utiliser les documents et informations traités à des fins autres que celles spécifiées au présent contrat;
  • Ne  pas divulguer ces documents ou informations à d’autres personnes, qu’il  s’agisse de personnes privées ou publiques, physiques ou morales;
  • Prendre  toutes mesures permettant d’éviter toute utilisation détournée ou  frauduleuse des fichiers informatiques en cours d’exécution du contrat.