Accord de Traitement des Données

VERSION N. 1.2 DEC 2020

Convious exploite une solution SaaS (logiciel en tant que service) qui peut être aisément intégrée au site Internet du Partenaire au moyen de JavaScript (ci-après, le « Logiciel »). Dans cet objectif, Convious traite des données personnelles pour le compte du Partenaire, des visiteurs de son site Internet et des clients. Aux termes du Règlement général sur la protection des données (« RGPD »), les Partenaires sont considérés comme des « responsables du traitement » s’agissant des données personnelles dont ils assurent le traitement et qui concernent leurs visiteurs (potentiels), et Convious opère en tant que « Sous-Traitant » de ces données personnelles. Dans le présent Accord de Traitement des Données (« ATD »), le Partenaire est par conséquent désigné sous l’appellation « Responsable du Traitement ». Le Responsable du Traitement et Convious peuvent également être désignés par le terme Partie ou Parties.

Le présent ATD s’applique au traitement des données personnelles assuré par Convious pour le compte du Responsable du Traitement, lequel traitement est nécessaire à la fourniture des services telle que décrite dans le Bon de Commande et dans les Conditions de Service de Convious. Le Bon de Commande, les Conditions de Service et le présent ATD forment ensemble l’intégralité de la convention conclue entre Convious et le Partenaire.

 

1. Définitions

 

1.1. Dans le présent Accord de Traitement des Données, « RGPD » désigne le Règlement (UE) 2016/679, également connu sous le nom de « Règlement général sur la protection des données », ainsi que l’ensemble des lois et règlements venant se substituer à l’avenir à ce règlement.

1.2. Les termes définis dans le RGPD ont la même signification dans le présent Accord de Traitement des Données, à moins qu’une définition différente ne soit apportée dans les présentes.

1.3. Les « Données à caractère personnel » désignent les données personnelles (telles que définies par le RGPD) se rapportant au Responsable du Traitement, à ses clients et/ou à ses autres contacts.

1.4. La « Violation de données à caractère personnel » désigne un manquement aux règles de sécurité conduisant à la destruction, la perte, la modification accidentelles ou illégales ou bien à la divulgation ou à l’accès non autorisés aux Données à caractère personnel.

1.5. Le « Prestataire » désigne une entité juridique ou une personne morale n’étant pas un employé de Convious, et que Convious engage ou engagera aux fins de la fourniture de services au Responsable du Traitement pour le compte de Convious, dans le cadre de laquelle la personne ou entité engagée est susceptible de recevoir ou de consulter des Données à caractère personnel.



2. ATD

 

2.1. Le présent ATD entre en vigueur à la date de signature du Bon de Commande par le Responsable du Traitement ou lorsque Convious entame le traitement des Données à caractère personnel, selon l’événement qui intervient en premier, et le restera pour toute la durée de l’Accord ou jusqu’à ce que le traitement des Données à caractère personnel prenne fin, selon l’événement qui intervient en dernier. La résiliation de l’Accord entraîne la résiliation automatique du présent ATD.

2.2. Aucune Partie n’est habilitée à résilier l’ATD de manière anticipée.

2.3. Les Annexes 1 et 2 sont des composantes indissociables du présent ATD.

2.4. Les Parties conviennent que lors de la résiliation du présent ATD, le Sous-Traitant devra, au choix du Responsable du Traitement, restituer l’intégralité des Données à caractère personnel qui ont été obtenues sur le fondement de l’Accord – sous réserve que ces données n’aient pas encore été supprimées en vertu du présent article – ainsi que leurs copies au Responsable du Traitement, ou détruire l’intégralité des Données à caractère personnel et certifier au Responsable du Traitement avoir procédé à cette destruction, à moins que la législation applicable au Sous-Traitant n’empêche ce dernier de restituer ou de détruire tout ou partie des Données à caractère personnel. En pareil cas, le Sous-Traitant garantit qu’il préservera la confidentialité des Données à caractère personnel et qu’il mettra un terme définitif à leur traitement.

 

3. Obligations du Sous-Traitant

 

Le Sous-Traitant convient et garantit :

3.1. de traiter les Données à caractère personnel exclusivement pour le compte du Responsable du Traitement, dans le respect de ses instructions et du présent ATD, et aux fins mentionnées dans l’Accord. S’il ne peut se plier à cette exigence pour quelque raison que ce soit, il convient d’informer sans délai le Responsable du Traitement de la situation, auquel cas le Responsable du Traitement est en droit de suspendre la fourniture des données et/ou de résilier l’Accord ;

3.2. de traiter les Données à caractère personnel de manière appropriée et avec soin, dans le respect du RGPD et de la législation applicable régissant le traitement et la destruction des Données à caractère personnel ;

3.3. de supprimer l’intégralité des Données à caractère personnel dès lors que leur conservation n’est plus nécessaire à la mise en œuvre de l’Accord et/ou exigée par le Responsable du Traitement ;

3.4. de n’avoir aucune raison de penser que la législation qui lui est applicable l’empêche de respecter les instructions reçues du Responsable du Traitement ainsi que ses obligations découlant de l’Accord, et qu’en cas d’évolution de la législation susceptible d’avoir une incidence substantiellement défavorable sur les garanties et obligations du présent ATD, il informera le Responsable du Traitement dès qu’il aura connaissance de cette évolution, auquel cas le Responsable du Traitement sera en droit de suspendre la fourniture des données et/ou de résilier l’Accord ;

3.5. avoir mis en œuvre les mesures de sécurité techniques et organisationnelles précisées à l’Annexe 2 avant de procéder au traitement des Données à caractère personnel ;

3.6. d’informer sans délai le Responsable du Traitement :

  • de toute requête juridiquement contraignante visant à la divulgation des Données à caractère personnel émise par une autorité répressive, à moins qu’une telle divulgation ne soit interdite, par exemple en vertu du droit pénal pour préserver la confidentialité d’une enquête de police,
  • de tout accès accidentel ou non autorisé, et
  • de toute requête reçue émanant directement des personnes concernées sans répondre à une telle requête, à moins d’y avoir été autorisé ;

3.7. de prendre en charge rapidement et comme il se doit toutes les demandes du Responsable du Traitement quant au traitement des Données à caractère personnel concernées par le transfert, ainsi que de respecter les conseils de l’autorité de contrôle s’agissant du traitement des Données à caractère personnel ;

3.8. à la demande du Responsable du Traitement, de soumettre ses installations de traitement des données à un audit portant sur les activités de traitement couvertes par l’ATD, lequel doit être assuré par le Responsable du Traitement ou par un organisme de contrôle composé de membres indépendants possédant les qualifications professionnelles requises et tenus par une obligation de confidentialité, que le Responsable du Traitement sélectionne, le cas échéant, en accord avec l’autorité de contrôle ;

3.9. qu’en cas de sous-traitance, il aura auparavant informé le Responsable du Traitement et obtenu son consentement écrit préalable ; que les services de traitement assurés par le prestataire respecteront le présent ATD, et qu’il transmettra sans délai une copie de tout accord de sous-traitance conclu avec un prestataire ;

3.10. de respecter toute obligation d’enregistrement, par exemple auprès d’une autorité de contrôle, si la loi l’exige ;

3.11. de coopérer dans le cadre de toute demande émanant d’une personne concernée et visant, par exemple, à consulter et/ou modifier sans frais ses Données à caractère personnel en vertu du RGPD.

 

4. Légalité du traitement et indemnisation

 

4.1. Le Responsable du Traitement garantit que le traitement (y compris le recueil et le transfert au bénéfice du Sous-Traitant) des Données à caractère personnel conformément au présent Accord intervient dans le respect du Règlement général sur la protection des données (RGPD) et de toute autre législation applicable en matière de protection des données. Le Responsable du Traitement indemnisera le Sous-Traitant s’agissant de toute revendication s’y rapportant, y compris quant aux revendications émanant des personnes concernées et/ou quant aux sanctions prononcées par l’autorité responsable.

4.2. Le Sous-Traitant indemnisera le Responsable du Traitement et l’exonérera de toute responsabilité s’agissant des sanctions et des demandes de dommages-intérêts exprimées par des tiers à l’encontre du Responsable du Traitement, si de telles sanctions et demandes de dommages-intérêts ont pour origine le non-respect, par le Sous-Traitant, du présent Accord ou de ses obligations légales. Le montant devant être versé par le Sous-Traitant en vertu de cette garantie et/ou indemnisation se limitera à la valeur de facture des produits et/ou services fournis dans le cadre de la Convention Principale.

 

5. Dispositions générales

 

5.1. Le Sous-Traitant n’exerce aucun contrôle sur l’objet, les fondements et les moyens mis en œuvre en vue du traitement des Données à caractère personnel. Sauf disposition contraire figurant dans le présent ATD, le Sous-Traitant n’adopte aucune décision quant à l’utilisation des Données à caractère personnel, leur communication à des tiers et leur durée de conservation.

5.2. Le Sous-Traitant met en œuvre les mesures techniques et organisationnelles appropriées en vue de protéger les Données à caractère personnel contre toute perte et/ou toute forme de traitement illégal. Ces mesures doivent garantir un niveau de sécurité adéquat au vu des techniques les plus récentes en la matière et des coûts de la mise en œuvre, et considération faite des risques liés au traitement et de la nature des Données à caractère personnel devant être protégées, comme précisé à l’Annexe 2. Le Sous-Traitant autorisera le Responsable du Traitement, à première demande de ce dernier, à contrôler les mesures prises.

5.3. Si le Sous-Traitant situé dans un autre État membre de l’Union européenne traite ou délègue le traitement des Données à caractère personnel du Responsable du Traitement, il lui appartient de respecter à cette occasion les lois et règlements de l’État membre concerné. Le traitement, par le Sous-Traitant, des Données à caractère personnel du Responsable du Traitement dans un pays extérieur à l’Union européenne requiert l’autorisation écrite préalable du Responsable du Traitement.

5.4. L’obligation de confidentialité faite au Sous-Traitant sur le fondement du RGPD ne peut être substituée que lorsqu’une obligation légale impose la divulgation des Données à caractère personnel ou lorsque le Sous-Traitant a informé le Responsable du Traitement de la nécessité de communiquer lesdites Données.

 

6. Violation de données

 

6.1. Il appartient au Sous-Traitant d’informer le Responsable du Traitement de tout incident ou de toute infraction à la sécurité (de quelque nature que ce soit) se rapportant effectivement ou potentiellement aux Données à caractère personnel (« fuite de données »), ce, dans les plus brefs délais et en toutes circonstances dans les 72 heures après avoir pris connaissance des faits.

6.1. En présence de l’événement décrit ci-avant au 5.1, le Sous-Traitant doit fournir au Responsable du Traitement au minimum les informations suivantes : (i) la nature de l’incident ou de la violation de la sécurité des données, (ii) les Données à caractère personnel effectivement ou potentiellement affectées, (iii) les conséquences établies et attendues de l’incident ou de la violation de la sécurité des données sur les Données à caractère personnel, et (iv) les mesures prises par le Sous-Traitant ou dont l’adoption est attendue de la part du Sous-Traitant.

6.1. Le Sous-Traitant doit adopter les mesures appropriées afin de juguler toute détérioration et/ou fuite/perte (potentielle) (future) de données (ou de Données à caractère personnel).

6.1. Le Sous-Traitant doit apporter son assistance au Responsable du Traitement, sur demande de ce dernier, s’agissant des notifications adressées aux personnes concernées et/ou aux autorités. Le Sous-Traitant s’abstient de notifier les personnes concernées et/ou les autorités avant d’avoir discuté de la question avec le Responsable du Traitement.

 

7. Juridiction

 

7.1. Le présent ATD est régi par le droit néerlandais, tout comme les divers actes (juridiques) découlant du présent accord. Le tribunal compétent d’Amsterdam connaîtra de manière exclusive de tout différend.



Annexe 1 – Traitement des données ; objet

 

La présente Annexe est une composante de l’ATD

Données à caractère personnel :

  • Nous recueillons les adresses de courrier électronique communiquées afin de pouvoir vous livrer des biens achetés sur Internet et de vous transmettre des factures, des rappels concernant les événements pour lesquels vous avez acquis des billets, ainsi que des offres personnalisées. Nous utilisons les adresses de courrier électronique pour assurer le service client et envoyer des messages de service ou d’assistance, des informations mises à jour ainsi que d’autres notifications. Nous utilisons par ailleurs les adresses de courrier électronique pour faciliter les invitations de parrains et pour détecter et prévenir les fraudes, les abus et les autres activités nuisibles.
  • Nous recueillons automatiquement les données de connexion des utilisateurs du Site géré par Convious. Ces informations comprennent la manière dont le Site géré par Convious est utilisé, l’adresse IP, les temps d’accès, des informations matérielles et logicielles, des informations concernant le dispositif des utilisateurs, des informations ayant trait à des événements relatifs au dispositif des utilisateurs (ex. : plantages, type de navigateur), les pages que les utilisateurs ont consultées ou avec lesquelles ils ont interagi. Nous recueillons également des données se rapportant aux transactions des clients sur le Site géré par Convious, dont la date et l’heure, le montant facturé, le type de paiement ainsi que d’autres renseignements relatifs à ces opérations. Nous ne recueillons pas les informations financières (comme par exemple les informations de compte bancaire ou de carte de crédit) ;
  • adresse URL de renvoi et domaine ;
  • pages visitées ;
  • langue de préférence utilisée pour afficher la page Web ;
  • date et heure d’accès aux pages du site Internet.
  • adresse IP
  • Nous consignons et analysons les communications sur le Site géré par Convious :
    • pour permettre aux clients d’accéder au logiciel de Convious et d’en faire usage
    • pour faire fonctionner, protéger, améliorer et optimiser le logiciel de Convious ainsi que l’expérience utilisateur
    • pour contribuer à l’instauration et à la préservation d’un environnement sécurisé et sûr (détection et prévention de la fraude, évaluation des risques, vérifications sur des bases de données publiques)
    • pour envoyer des messages administratifs, d’assistance et de service, des rappels, des avis techniques, des informations mises à jour, des alertes de sécurité ainsi que des renseignements sollicités par les clients
    • à des fins de développement de produit
    • à des fins de recherche et d’innovation de produit
    • à des fins de support client.

Par exemple, nous scrutons et analysons les messages de tchat afin d’améliorer et d’élargir notre offre de produits. L’examen, la scrutation et l’analyse des communications ne seront en aucun cas exploités pour envoyer des messages marketing de tierces parties.

 

Annexe 2 – Mesures de sécurité

 

La présente Annexe est une composante de l’ATD.

Les mesures de sécurité adoptées par Convious sont les suivantes :

  • l’accès aux informations stockées sur les serveurs de Convious est stratifié et limité aux employés de Convious selon les fonctions professionnelles nécessaires pour mener à bien leurs missions, aux utilisateurs désignés sur nos comptes Client, ainsi qu’aux tierces parties pouvant accéder aux données uniquement dans des circonstances précises et limitées avec une obligation de confidentialité. Tout accès aux données conservées par Convious est enregistré, consigné et vérifié par notre équipe de sécurité ;
  • les systèmes de traitement des données personnelles requièrent une autorisation ;
  • les données personnelles sont protégées contre leur perte ou destruction accidentelle ;
  • les serveurs de Convious sont protégés par : a) des pare-feu formant une barrière entre notre réseau interne sécurisé de confiance et l’Internet ; b) des restrictions par IP qui limitent l’accès à des adresses IP figurant sur liste blanche ; et c) une communication chiffrée entre services ;
  • un Client peut uniquement accéder aux informations qui concernent son propre Site Internet dont il effectue le suivi et les Utilisateurs finaux qui visitent ledit Site ;
  • nous utilisons le protocole HTTPS pour les services de Convious fournissant un transfert sécurisé de données afin de prévenir les attaques par branchement clandestin ou interception ;
  • Convious réexamine régulièrement ses pratiques en matière de collecte et de traitement d’informations, et révise et modifie en conséquence la présente Politique de confidentialité.

Le Sous-Traitant s’assure que les membres de son personnel autorisés à traiter pour son compte des Données à caractère personnel sont soumis à des obligations de confidentialité s’agissant desdites Données. L’engagement de confidentialité se poursuit après la fin des activités décrites ci-avant.