Données personnelles

Traitement des données personnelles

 

Définitions

Dans les CGU, les termes et expressions identifiés par une majuscule ont la signification indiquée ci-après, qu’ils soient employés au singulier ou au pluriel.

«Evénements» : désigne les manifestations à visée professionnelle (conférences, soirées, forums, colloques, congrès, salons etc.) organisés par l’Organisateur et auxquels participent les Invités;

«Invité» : désigne toute personne invitée par l’Organisateur à s’inscrire et participer à l’Evénement en utilisant le Service;

«Organisateur» : désigne la personne morale organisant un Evénement, auquel elle invite des Invités en utilisant le Service;

«Service» : désigne les logiciels en ligne d’APPLIDGET SASet les applications associées.

«Données» : désigne les informations personnelles collectées en ligne sur les invités, chargées dans le logiciel d’APPLIDGET SAS par le client au moyen d’imports automatisés, ou chargées par le client au moyen de l’API.

«API» : interface de programmation Machine à Machine proposé par Applidget pour l’utilisation de ses logiciels et documentées sur http://developers.eventmaker.io/

«Prestation» : l’ensemble du service commandé par l’Organisateur à Applidget et couvert par les CGU.

«Traitement» : l’ensemble du procédé de collecte et d’utilisation des informations personnelles des invités sur les plateformes Applidget pour l’organisation de l’événement de l’organisateur, à titre indicatif en voici la liste :

  • Inviter des “invités”
    • Imports des listes d’invitation
    • Envois des email d’invitations
  • Inscrire des “invités”
    • Formulaires d’inscription
    • Imports de de listes de participants
    • Inscription via API
    • Récolter des paiements en ligne
  • Confirmer des “Invités”
    • Envoyer des emails de confirmation d’inscription
    • Publier des documents de confirmation d’inscription
    • Publier des documents d’accréditation ( Badges) avec codes d’identification
  • Contrôler des “invités”
    • Scanner les codes d’identification des invités pour les identifier
    • Vérifier les autorisation d’accès.
  • Notifier l’organisateur
    • A chaque inscription d’invité
    • A chaque passage d’invité
  • Publier les données des invités
    • Publier sur le site de l’événement les informations des invités
  • Ouvrir des espaces utilisateurs pour les invités
    • Modification des données publiées
  • Faire participer les invités
    • Enregistrer et publier les commentaires des invités
    • Enregistrer et publier les votes des invités
    • Enregistrer et publier en ligne les photos des invités
  • Discuter avec les invités
    • Récupérer les messages de conversation via le chatbot DoYouBot
    • Répondre aux messages
    • Stocker les messages.

 

Informations relatives aux traitements

a) Respect des principes français et européen en matière de protection des données personnelles

Les Parties s’engagent à collecter et à traiter toute donnée personnelle en conformité avec toute réglementation en vigueur applicable au traitement de ces données, et notamment à la loi n°78-17 du 6 janvier 1978 modifiée.

Au regard de cette loi, l’Organisateur est responsable du Traitement réalisé au titre du Contrat.

b) Existence d’un système de remontée des plaintes et des failles de sécurité

Le Prestataire s’engage à communiquer au Client la survenance de toute faille de sécurité ayant des conséquences directes ou indirectes sur le Traitement, ainsi que toute plainte qui lui serait adressée par tout individu concerné par le Traitement réalisé au titre du Contrat. Cette communication devra être effectuée dans les plus brefs délais et au maximum quarante-huit heures après la découverte de la faille de sécurité ou suivant réception d’une plainte.

c) Moyens de traitement

Afin d’exécuter la Prestation, le Prestataire traitera les Données par le biais des moyens de traitement suivants :

  • Logiciel en ligne Eventmaker.io (Invitation, Inscription, badges, contrôle d’accès)
  • Logiciel en ligne Voxevent (Publication, espaces personnels, participation des invités)
  • Logiciel en ligne invitations (Invitations partenaires)
  • Logiciel en ligne doyoubot

Ces logiciels sont des applications Web développées en Ruby On Rails, avec des bases de données MongoDB.

  • Application iOS Eventmaker Checkin (Liste d’émargement et contrôle d’accès)
  • Application iOS et Android MobiNetwork (Gestion de contacts pour les partenaires)

d) Sous-traitance

Le Prestataire informe le Client, qui l’accepte, qu’il fera sous-traiter l’exécution du Contrat par les sous-contractants suivants :

  • Amazon Web Service (Infrastructure as a Service, cloud)
  • Mailjet (emailing)
  • Zoho (facturation, CRM)
  • Ingenico (paiement)
  • Stripe (paiement)
  • Twilio (SMS)
  • Intercom (Live Chat)
  • Essendex (SMS)

Le Prestataire restera seul responsable vis-à-vis du Client de l’exécution de ses obligations contractuelles résultant de ce document.

e) Existence de procédures simples permettant de respecter les droits des personnes concernées vis-à-vis de leurs données

Le Prestataire s’engage à coopérer avec le Client et à l’aider à satisfaire aux exigences légales relatives à la protection des données à caractère personnel qui incombent à ce dernier, afin notamment de respecter les droits des personnes concernées en vertu des articles 38 à 43 de la loi n°78-17 du 6 janvier 1978 modifiée.

 

Garanties mises en œuvre par le prestataire

a) Durée de conservation des données limitée et raisonnable au regard des finalités pour lesquelles les données ont été collectées

Le Prestataire offre au client la possibilité de supprimer à tout moment les Données sur ses interfaces. Le prestataire s’engage en tout état de cause à ne pas les conserver plus de 30 mois après la fin de l’événement, ou plus tôt si l’organisateur le lui demande.

b) Destruction et/ou restitution des données

A tout moment pendant le contrat et pour une durée de 3 mois suite à la rupture du contrat, le prestataire met à la disposition de l’organisateur la possibilité de récupérer ses données selon les formats d’exports et d’API disponibles dans le logiciel d’Applidget.

c) Devoir de coopération avec les autorités de protection des données compétentes

Les Parties s’engagent à coopérer avec les autorités de protection des données compétentes, notamment en cas de demande d’information qui pourrait leur être adressée ou en cas de contrôle.

d) Audits

Le Client se réserve le droit de procéder à toute vérification qui lui paraîtrait utile pour constater le respect par le Prestataire de ses obligations au titre du Contrat, notamment par le biais d’un audit. Le Prestataire s’engage à répondre aux demandes d’audit du Client et effectuées par le Client lui-même ou par un tiers de confiance qu’il aura sélectionné, reconnu en tant qu’auditeur indépendant, c'est-à-dire indépendant du Prestataire, ayant une qualification adéquate, et libre de fournir les détails de ses remarques et conclusion d’audit au Client. Les audits doivent permettre une analyse du respect du présent Contrat et de la loi Informatique et Libertés, notamment : par la vérification de l’ensemble des mesures de sécurité mises en œuvre par le Prestataire, par la vérification des journaux de localisation des Données, de copie et de suppression des Données, par l’analyse des mesures mises en place pour supprimer les Données, pour prévenir toutes transmissions illégales de Données à des juridictions non adéquates ou pour empêcher le transfert de Données vers un pays non autorisé par le Client. L’audit doit enfin pouvoir permettre de s’assurer que les mesures de sécurité et de confidentialité mises en place ne peuvent être contournées sans que cela ne soit détecté et notifié.

Le temps du prestataire consacré au suivi de l’audit et aux réponses effectuées sera comptabilisé par Applidget et facturé à l’organisateur au tarif de 800 € HT la journée.

 

Localisation et transferts

a) Destinataires

Le Prestataire devra fournir au Client toute information utile concernant les destinataires des Données, afin que ce dernier soit en mesure d’informer les personnes concernées par le Traitement et de répondre à leurs demandes d’accès en vertu des articles 32 et 39 de la loi n°78-17 du 6 janvier 1978 modifiée.

b) Indication claire et exhaustive des pays hébergeant les serveurs du prestataire

Le Prestataire informe le Client que les Données seront hébergées dans des serveurs localisés dans les pays suivants : Irlande.

Formalités auprès de la CNIL

Le Client s’acquittera des formalités déclaratives relatives au Traitement auprès des autorités de protection des données à caractère personnel compétentes. Le Prestataire s’engage à lui fournir toute information utile afin de procéder à ces formalités.

 

Sécurité et confidentialité

a) Indication des obligations incombant au prestataire en matière de sécurité des données et précision qu’il ne peut agir que sur instruction du client

Dans le cadre de l’exécution du Contrat, le Prestataire agira uniquement sur les instructions du Client. A ce titre, le Prestataire s’engage à ne pas utiliser les Données pour son propre compte ou pour celui d’un tiers. Conformément à l’article 34 de la loi Informatique et Libertés modifiée, le Prestataire s’engage à prendre toutes précautions utiles afin de préserver la sécurité des informations et notamment de les protéger contre toute destruction accidentelle ou illicite, perte accidentelle, altération, diffusion ou accès non autorisés, notamment lorsque le Traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite ou communication à des personnes non autorisées

b) Politique de sécurité et mesures de sécurité

Le Prestataire fournit au Client la politique de sécurité des systèmes d’information qu’il a mise en place et l’informe des évolutions de cette politique. Il tient à la disposition du client les documents relatifs à la sécurité de ses données comprenant notamment la documentation technique nécessaire, les analyses de risques produites et la liste détaillée des mesures de sécurité mises en œuvres. Les supports informatiques et documents fournis par le Client au Prestataire restent la propriété du Client. Les données contenues dans ces supports et documents sont strictement couvertes par le secret professionnel (article 226-13 du code pénal), il en va de même pour toutes les données dont le Prestataire prend connaissance à l’occasion de l’exécution du Contrat. Le Prestataire s’engage à respecter les obligations suivantes et à les faire respecter par son personnel :

  • Ne prendre aucune copie des documents et supports d’informations qui lui sont confiés, à l’exception de celles nécessaires à l’exécution de la présente prestation prévue au Contrat avec l’accord préalable du Client;
  • Ne pas utiliser les documents et informations traités à des fins autres que celles spécifiées au présent contrat;
  • Ne pas divulguer ces documents ou informations à d’autres personnes, qu’il s’agisse de personnes privées ou publiques, physiques ou morales;
  • Prendre toutes mesures permettant d’éviter toute utilisation détournée ou frauduleuse des fichiers informatiques en cours d’exécution du contrat.