Traitement des données personnelles
La présente ANNEXE Traitement
des données personnelles régit les rapports entre d’une part, la société MOBILACTIF,
société par actions simplifiée, au capital de 57 850 euros, immatriculée
au registre du commerce et des sociétés de Paris sous le numéro 480956747, dont
le siège social est situé 60 avenue du capitaine Glarner
93 400 Saint Ouen. (ci-après « MOBILACTIF ») et d’autre part, tout
organisateur d’événement à visée professionnelle (ci-après
l’ « Organisateur ») utilisant les logiciels en ligne développés
par MOBILACTIF et les applications associées pour l’organisation de ses
événements.
DÉFINITIONS
« Personne concernée » et «
Traitement » ont chacun la signification précisée par le RGPD.
« Données à caractère
personnel » ou « Données Personnelles » correspondent à la définition
donnée par le RGPD et comprennent les données personnelles traitées par le
Prestataire, pour le compte du Client, dans le cadre de l’exécution de la prestation
de services objet de l’accord principal.
« Services » signifie les
services rendus par le Prestataire pour le Client tels que prévus dans l'Accord
Principal et qui incluent des Traitements de Données Personnelles objets du
présent Accord.
« Sous-traitant » signifie tout
tiers engagé par le Prestataire (soumis aux conditions du présent Accord) pour
fournir des Services pour le compte du Prestataire incluant des traitements de
Données Personnelles objets du présent Accord.
« Violation de données »
signifie tout traitement non-autorisé ou illégal de Données Personnelles ainsi
que toute perte, altération, divulgation ou destruction accidentelle ;
toute violation des systèmes de sécurité de l'information ou tentative de pénétrer
de tels systèmes qui compromettrait ou pourrait raisonnablement compromettre
les Données Personnelles.
« Accord principal » désigne un
contrat en cours conclu ou toute relation contractuelle ou commerciale continue
entre le Client et le Prestataire, et pour lesquels ce présent Accord a valeur
d’avenant.
Les majuscules ou minuscules
n’ont pas d’effet particulier sur les termes employés et leur définition.
1. OBJET
Dans le cadre de l’exécution de
l’Accord Principal, le Prestataire s’engage, à l’égard du client, à respecter
la réglementation en vigueur applicable au traitement des données à caractère
personnel, et en particulier la loi n° 78-17 du 6 janvier 1978 relative à
l'informatique, aux fichiers et aux libertés et le règlement européen nᵒ
2016/679, dit règlement général sur la protection des données.
A ce titre, le Prestataire
déclare et garantit qu’il propose les prestations objet de l’accord principal
dans le respect des obligations lui incombant en application de la Législation
applicable en matière de la protection des données à caractère personnel.
2. DÉLÉGUÉ A LA PROTECTION DES DONNEES
Le Prestataire a nommé un
Délégué à la protection des Données : dont les coordonnées sont les suivantes :
Nom : CROCHET
Prénom : Thibaut
Poste : Président
Adresse e-mail : tcrochet@mobilactif.fr
3. TRAITEMENTS EFFECTUÉS PAR LE PRESTATAIRE
Le Prestataire s'engage à :
1.
Traiter
les données uniquement pour la ou les seule(s) finalité(s) définies en Annexe
1 des présentes
2.
Traiter
les données conformément
aux instructions documentées du Client. Si le
sous-traitant considère qu’une instruction constitue
une violation du règlement européen
sur la protection des données ou de toute autre
disposition du droit de l’Union ou du droit des Etats membres relative à la
protection des données, il en informe immédiatement le Client.
Le Prestataire tient à la
disposition du client sa « Politique de sécurité du système d'information ».
4. SECURITE ET CONFIDENTIALITE
Le Prestataire doit mettre en
place et maintenir toutes les mesures techniques et opérationnelles appropriées
pour garantir le maintien en condition de
sécurité des Données Personnelles du
client qu'elle héberge et traite, des ressources du client qu'elle maintient ou
de ses propres ressources mises à disposition du client pendant toute la durée
des prestations. Ces mesures techniques et opérationnelles sont décrites sur le
document suivant :
Les mécanismes
de sécurité mis en œuvre doivent évoluer pour prendre en compte des nouvelles
menaces, un nouveau contexte technologique ou des nouvelles exigences
réglementaires. Toute évolution d’une mesure de sécurité doit aller dans le
sens d’une amélioration du niveau de sécurité.
Le Prestataire tiendra des registres complets et exacts des traitements de
données qu’il effectue conformément à la loi et au RGPD. Il les tiendra à la
disposition du Client et de toute Autorité administrative ou judiciaire à toute
demande de leur part.
5. PERSONNEL
Le Prestataire s'engage à
: veiller à ce que les salariés
autorisés à traiter les Données
Personnelles en vertu du présent contrat
:
- S’engagent à
respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité
- Reçoivent la formation nécessaire
en matière de protection des données
à caractère personnel.
Le Prestataire limitera l'accès aux Données
Personnelles aux membres de son personnel qui ont strictement besoin d'un tel
accès pour satisfaire aux obligations pour réaliser la prestation demandée par
le Client. Ces membres n’auront pas accès à plus de Données que nécessaire pour
la réalisation de la prestation.
Le Prestataire élabore et met à jour
régulièrement une liste des personnels autorisés à accéder aux données du
client et/ou à intervenir sur les ressources du client ainsi que leur niveau
d’habilitation (types d’accès et ressources concernées du client). Cette liste
est tenue à la disposition du client.
Le Prestataire aide dans la mesure du possible le
Client pour la réalisation éventuelle
d’analyses d’impact relative à la protection des données
6. SOUS-TRAITANTS
Le Prestataire s’assure que les
éventuels sous-traitants sont soumis aux mêmes obligations en matière de
protection des Données personnelles que celles prévues par le présent Accord.
Le Prestataire reste en toute
circonstance garant vis-à-vis du Client de la bonne exécution du Contrat par
ses sous-traitants ultérieurs. Ainsi, si le sous-traitant ultérieur ne remplit
pas ses obligations en matière de protection des données à caractère personnel,
le Sous-Traitant demeure pleinement responsable devant le Client.
Le Prestataire est pleinement
responsable auprès du Client dans le cas où un sous-traitant ne respecte pas
les termes du présent Accord.
7. DURÉE ET FIN DU TRAITEMENT DES DONNÉES PERSONNELLES
Les Données personnelles ne
sont traitées et conservées par le Prestataire que pendant le temps nécessaire
à la réalisation de la prestation objet de l’Accord principal.
Cette durée a pour limite 30
mois pour les données d’inscription à compter de la date de création de
l’événement sur la plateforme ayant permis la collecte de ces données.
Cette limite est portée à 36
mois suivant le dernier contact commercial pour ce qui concerne les données de
CRM.
Toutes Données Personnelles
fournies par le Client au Prestataire et traitées par le Prestataire
directement ou indirectement au cours de l'exécution des Services objets de
l’accord principal demeurent la propriété du Client.
Le Client peut à tout moment
procéder à la modification, le transfert ou la suppression des Données
personnelles via le l’interface utilisateur de l’application.
8. DROITS DE LA PERSONNE CONCERNÉE
Dans le cas où une personne
concernée exercerait ses droits au sujet des données le concernant, tels que :
le droit à la portabilité des données, le droit d'accès, le droit de
rectification, le droit de suppression / droit d’effacement, le droit à la limitation
du traitement, le droit de s'opposer au traitement et le droit de ne pas être
assujetti au profilage automatisé, le Prestataire s’engage à assister le Client
dans la satisfaction de la requête de la Personne concernée par le Traitement
au titre des articles 12 à 23 du RGPD. Le Prestataire se doit de fournir les
informations et documents et de réaliser les actions nécessaires à la
satisfaction de la requête dans les 8 jours.
Le Prestataire informe, dès la
réception de la requête, le Client lorsqu’une personne concernée demande
l’application de ses droits, et effectue au plus vite le nécessaire afin de
satisfaire cette requête. Il s’assure également que les informations prévues
aux articles 13 et 14 du RGPD ont bien été communiquées à la Personne
concernée, selon les modalités requises.
9. TRANSFERTS INTERNATIONAUX DE DONNÉES PERSONNELLES
Si le Prestataire est tenu de procéder
à un transfert de données vers un pays tiers ou à
une organisation internationale, en vertu du droit de l’Union ou du droit de
l’Etat membre auquel il est soumis, il doit informer le Client de cette
obligation juridique avant le traitement, sauf si le droit concerné interdit une
telle information pour des motifs importants d'intérêt
public.
Le Prestataire s’engage par principe à ne pas transférer les données
personnelles en dehors de l’Union Européenne. Néanmoins, à titre exceptionnel, le Prestataire pourra réaliser un tel transfert aux deux conditions suivantes
:
- Le transfert devra comporter une des garanties
prévues aux articles 45 à 49 du RGPD
;
- Le Prestataire informera son Client moyennant un préavis
de 10 jours ouvrés du projet de transfert de données personnelles hors de l’Union Européenne.
Cette information comportera le type de données concernées, le contexte, le pays de destination et la
preuve que le transfert est assorti desdites.
A défaut de garanties valables, le Client est en
droit de s’opposer au transfert de données
personnelles hors UE.
10. VIOLATION DES DONNÉES PERSONNELLES
En cas d’atteinte à la sécurité ou à la confidentialité des Données
personnelles ou de risque avéré d’atteinte, le Prestataire s’engage à en
informer le Client dans un délai d’un jour ouvré maximum après prise de
connaissance de l’incident ou du risque. Le Prestataire communique au minimum
les informations suivantes : nature de la violation des Données Personnelles,
nombre approximatif de personnes concernées, conséquences probables,
description des mesures prises ou envisagées d’être prises pour remédier à la
violation.
Suite à un incident ou un
risque avéré concernant la sécurité ou la confidentialité des Données
personnelles, le Prestataire prend toutes les mesures correctives appropriées
qu’il est en capacité d’appliquer afin d’éviter l’altération ou l’accès par un
tiers à ces Données personnelles.
Le Prestataire n'informe aucun
tiers sans le consentement écrit préalable du Client. Si une telle divulgation
est exigée par la loi, le Prestataire travaillera avec le Client sur le contenu
de la divulgation afin de minimiser tout impact négatif potentiel sur le
traitement du sujet.
11. AUDITS
Le Client peut, à ses frais,
réaliser ou faire réaliser par un tiers de son choix un audit, une vérification
ou un contrôle chez le Prestataire ou les éventuels sous-traitants, après en
avoir informé le Prestataire 5 jours à l’avance, conformément à l’article
28(3)(h) du RGPD.
Le Prestataire s’engage à
collaborer avec le Client lors de la réalisation d’un contrôle, vérification ou
audit externe. Tout temps passé par le prestataire à assister le client pour la
mise en place de l’audit fera l’objet d’un devis et d’une facturation envers le
Client.
Dans le cas où le Prestataire
procède à un audit interne, il en informe le Client et garde à disposition du
Client une copie de cet audit.
12. ASSISTANCE ET COOPÉRATION
Le Prestataire s’engage à
porter assistance au Client afin de répondre à toute demande d’information
émanant d’autorités de contrôle, administrations ou juridictions habilitées à
formuler une telle demande. Si une telle demande est effectuée directement
auprès du Prestataire, celui-ci s’engage à en informer le Client au maximum dans les 48h après réception
, sauf disposition légale contraire.
Le Prestataire met à
disposition du Client les éléments nécessaires pour démontrer la conformité de
ses pratiques à la législation en vigueur ainsi qu’à ce que prévoient le
présent Accord et l’accord principal.
En cas de modification de sa
politique en matière de sécurité des Données personnelles, le Prestataire doit
au préalable en informer et obtenir l’accord du Client, sans quoi celui-ci peut
résilier l’accord principal sans pénalités.
Le Prestataire s’engage à aider
le Client à se conformer à ses propres obligations en termes de protection des
Données personnelles.
Le Prestataire s’engage à
informer le Client si une demande de ce dernier viole la législation en
vigueur.
Le Prestataire est en capacité
de mettre à la disposition du client, sur demande, tout ce qui prouve le
respect du présent Accord.
13. RESPONSABILITE
Le Prestataire demeure
pleinement responsable du respect des obligations prévues au titre de la
présente annexe et garantit le Client à ce titre.
Etant entendu entre les
Parties, que toute éventuelle limitation de responsabilité du Prestataire qui
serait stipulée dans le Contrat, ne serait pas applicable aux obligations
découlant de la présente annexe.
14. DROIT APPLICABLE ET TRIBUNAUX COMPETENTS
Les Parties conviennent que
l’Accord est régi par les dispositions légales et réglementaires applicables en
France.
Les Parties conviennent de soumettre tous litiges liés à leurs relations
contractuelles à la juridiction exclusive des tribunaux français compétents.
15. DOCUMENTS CONTRACTUELS
L’
Accord
est composé de clauses contractuelles principales et d’une annexe ayant valeur
contractuelle.
Annexes
Annexe 1 : Spécification des
Traitements de Données à caractère personnel
|
Objet et finalité du
traitement |
Données nécessaires afin de
gérer les inscriptions et suivi de la présence des inscrits aux évènements
organisés par les clients, et notamment pour : · Éditer un site web de l'événement · Editer les emails (invitations, confirmation,
relances) · Éditer les formulaires d'inscription/billetterie · Gérer une Base de données
de participants · Enregistrer les checkins
(émargement et scan de QR code avec application
iOS) · Éditer les badges des visiteurs · Réaliser un reporting · Proposer du paiement en ligne · Proposer de la messagerie entre participants · Proposer de
l’interactivité · Editer des codes promo/ invitations · Réaliser des relais avec d’autres outils en ligne via
une API |
|
Nature du traitement |
· Hébergement des données
personnelles · Structuration des données
personnelles · Extraction des données
personnelles · Effacement des données
personnelles |
|
Catégories des Personnes
concernées |
Participants inscrits aux évènements,
exposants des salons, prospects.
|
|
Catégories de Données
personnelles traitées |
· Données d’identification exemple : nom, prénom, adresse, téléphone · Données Internet exemple : cookie, IP, donnée comportementale · Données liées à la vie
professionnelle exemple : fonction, CV, diplôme · Données financières et
patrimoniales exemple : Information de facturation · Données de connexion exemple : email |
|
Durée de conservation des
Données |
Suppression des données 28 mois après la
création de l’événement. |
Annexe 2 : Coordonnées du
Délégué à la Protection des Données Personnelles
Thibaut
CROCHET
tcrochet@mobilactif.fr