CONDITIONS GENERALES DE VENTE ET D’UTILISATION

CONDITIONS GENERALES DE VENTE ET D’UTILISATION

En vigueur à compter du 01 décembre 2019

-

ARTICLE 1ER – OBJET

Les présentes conditions générales de vente et d’utilisation ont pour objet de définir les termes et conditions ainsi que les modalités applicables à l'ensemble des services définis à l'article 2ème des présentes (ci-après désignés les « SERVICES ») mis à disposition par la solution de billetterie en ligne pixticket (ci-après désignée la « BILLETTERIE »), éditée par NAGA Consulting, SASU au capital de 26 500€, n° SIRET 880 369 228 00015, dont le siège social est situé au 13 résidence du cap. Michel 00000 Xxxxxxxxxx, immatriculée au RCS de Lille métropole (ci-après désigné la « SOCIETE ») pour le compte de l’organisateur (ci-après désigné l’« ORGANISATEUR ») d’un évènement (ci-après désigné l’« EVENEMENT ») sollicitant pour les besoins de la commercialisation et de la distribution de billets aux acheteurs (ci-après désignés les « ACHETEURS » ) ces SERVICES. Les présentes conditions générales de vente et d’utilisation forment le contrat (ci-après désigné le

« CONTRAT ») établi entre la SOCIETE et l’ORGANISATEUR (ci-après désignés les « PARTIES »). Les PARTIES se réservent la possibilité de collaborer ultérieurement sur la redéfinition d'un ou plusieurs articles du CONTRAT, dans le cadre d'un avenant au CONTRAT.

ARTICLE 2E ME – DEFINITION DES SERVICES

2.1 Billetterie en self-service – La SOCIETE met à disposition de l’ORGANISATEUR un service de BILLETERIE dématérialisée en self-service. Cette BILLETERIE permet l’édition et la commercialisation de billets pour l’EVENEMENT.

2.2 Espace organisateur - L’ORGANISATEUR s’inscrit en ligne et définit son couple email et mot de passe qui lui permet d’accéder à son espace organisateur (ci-après désigné l’« ESPACE »). Depuis cet ESPACE, l’ORGANISATEUR crée ses évènements en renseignant les caractéristiques de ces derniers (désignation, dates, emplacement, visuel de l’évènement, visuel des billets…) ainsi que les différents tarifs des billets mis en vente. Depuis cet ESPACE, l’ORGANISTEUR a notamment la possibilité d’envoyer les billets d’invitation aux destinataires de son choix.

L’ESPACE donne par ailleurs accès à l’ORGANISATEUR aux statistiques de vente en temps réel. L’ORGANISATEUR dispose également dans l’espace d’une visibilité sur les statistiques de contrôle des entrées le jour de l’EVENEMENT.

Le relevé de recettes visé à l’article 3.5 des présentes est également disponible depuis l’ESPACE.

2.3 Boutique en ligne – Lorsqu’il crée son EVENEMENT, l’ORGANISATEUR dispose immédiatement d’une boutique de vente en ligne de ses billets générée automatiquement. Il dispose de la possibilité d’ouvrir cette boutique aux internautes ou de ne pas la rendre visible sur l’Internet. Ce choix est effectué depuis son ESPACE.

2.4 Boutique intégrée - L’ORGANISATEUR dispose de la possibilité d’intégrer le service de vente en ligne directement dans son propre site Internet via un script d’intégration mis à disposition dans son ESPACE.

2.5 Programme fidélité – Depuis son ESPACE, l’ORGANISATEUR dispose de la possibilité d’activer le programme fidélité pour ses évènements. Ce programme permet à l’ACHETEUR de payer ses achats de billets auprès dudit ORGANISATEUR grâce aux points fidélité accumulés lors de ses précédents achats auprès du même ORGANISATEUR en numéraire. Le taux de transformation des achats en numéraire en points fidélité ainsi que la durée de validité des points fidélité sont définis par l’organisateur depuis son ESPACE.

2.6 Billets électroniques - L’ACHETEUR procède à l’achat des billets donnant accès à l’EVENEMENT sur la boutique en ligne (visée en article 2.3 des présentes) ou sur la boutique intégrée (visée en article 2.4 des présentes) et renseigne son adresse courriel. Il effectue pour le règlement de son achat un paiement électronique en ligne auprès du partenaire de la SOCIETE. Dès réception de la confirmation de paiement, ses billets électroniques sont automatiquement générés et lui sont envoyés par courriel à l’adresse renseignée lors de l’achat.

2.7 Point de vente physique – L’ORGANISATEUR dispose de la possibilité de vendre des justificatifs de billets sur support papier grâce au pack point de vente composé d’une tablette, d’un lecteur de carte bancaire (terminal de paiement électronique) et d’une imprimante thermique. La mise à disposition de ce point de vente sur demande de l’ORGANISATEUR est soumise à des frais de location mensuels pour chacun des points de vente convenus entre les PARTIES. L’ORGANISATEUR peut disposer d’autant de packs point de vente qu’il le souhaite. Les consommables de l’imprimante thermique sont fournis par la SOCIETE moyennant facture ou achetés directement par l’ORGANISATEUR selon les termes entendus entre les PARTIES.

2.8 Contrôle des billets – L’application mobile pixticket est mise à disposition de l’ORGANISATEUR pour effectuer les contrôles des billets à l’entrée de l’EVENEMENT. Cette application permet à l’ORGANISATEUR de scanner le code barre présent sur le billet dématérialisé ou sur le justificatif de billet émis depuis un point de vente physique et de s’assurer de la validité du billet par un contrôle en temps réel auprès du système centralisé. L’utilisation de l’application de contrôle nécessite de disposer d’un accès à l’Internet. Un mode dégradé permet toutefois de procéder au contrôle des billets en cas de coupure de la connexion Internet. Ce

mode dégradé ne permet pas de contrôler les billets vendus après la perte de connexion ni de s’assurer du contrôle du billet par un autre terminal de contrôle dans le cas de points de contrôle multiples.

ARTICLE 3E ME – OBLIGATIONS DE LA SOCIETE

3.1 Conservation des données – Conformément à la législation en vigueur, la SOCIETE s’engage à mettre tout en œuvre pour conserver les données relatives aux ventes de la BILLETERIE pour une durée de six (6) années.

3.2 Contrat – La création d’un EVENEMENT par l’ORGANISATEUR dans son ESPACE constitue une autorisation donnée par l’ORGANISATEUR à la SOCIETE pour l’édition et la commercialisation des billets donnant accès audit EVENEMENT. Lors de l’achat du billet, l’ACHETEUR contracte avec l’ORGANISATEUR.

3.3 Emission de billet – La SOCIETE a l’obligation, consécutivement à la commande d’un billet par l’ACHETEUR et à réception de la confirmation de paiement, d’émettre un billet dématérialisé à destination de l’ACHETEUR. Le billet est émis au format pdf et joint au courriel de confirmation envoyé à l’ACHETEUR à son adresse courriel renseignée lors de l’achat. Dans le cas d’un achat auprès d’un point d’un point de vente physique, un billet justificatif est imprimé sur support papier et remis à l’ACHETEUR. Ce justificatif devra être présenté à l’accès à l’évènement à des fins de contrôle.

3.4 Services - Il est convenu entre les PARTIES que la SOCIETE fournit à l’ORGANISATEUR l'ensemble des SERVICES définis à l’article 2ème des présentes.

3.5 Relevé de recettes – La SOCIETE met à disposition de l’ORGANISATEUR depuis son ESPACE un relevé des recettes des évènements. Ce relevé comptable indique le montant et le nombre de ventes relatives à l’EVENEMENT ainsi que sa ventilation par type de tarif.

ARTICLE 4E ME – OBLIGATIONS DE L’ORGANISATEUR

4.1 Informations – L’ORGANISATEUR s’engage à renseigner les informations relatives à son évènement depuis son ESPACE. Il est à cet égard entièrement responsable des informations renseignées et s’engage sur leur exactitude.

4.2 Capacité juridique – L’ORGANISATEUR certifie qu’il est juridiquement en capacité de contracter avec la SOCIETE et de procéder à la vente des billets pour l’EVENEMENT au regard de la législation en vigueur.

4.3 Droits d’auteur – L’ORGANISATEUR déclare être titulaire d’un droit de propriété ou d’utilisation des œuvres artistiques, de l’esprit, des dessins, graphiques, logos, musiques, photographies et d'une manière générale de tous les éléments de communication mis à disposition des SERVICES ainsi que tous les droits de propriétés incorporelles ou intellectuelles pouvant porter sur les données et que les présentes ne sont pas susceptibles de porter atteinte aux droits de tiers.

4.4 Situation fiscale – L’ORGANISATEUR certifie être en règle et mettre tout en œuvre pour le demeurer au regard de l’administration fiscale. Il est rappelé à cet égard que l’ORGANISATEUR a l’obligation de déclarer auprès de l’administration fiscale dont il dépend l’utilisation d’un logiciel de billetterie au plus tard le jour de la première utilisation conformément à l’article 50 sexies de l’annexe IV du code général des impôts.

4.5 Objet de l’évènement – L’ORGANISATEUR s’engage à ne pas utiliser les SERVICES pour l’organisation d’un EVENEMENT contrevenant aux lois en vigueur. La SOCIETE se réserve le droit de fermeture sans préavis de l’EVENEMENT ne respectant pas lesdites lois.

4.6 Organisation – L’ORGANISATEUR est seul responsable de l’organisation et du bon déroulement de son EVENEMENT. La SOCIETE n’intervenant qu’au stade de la commercialisation et de l’édition des billets, elle n’est aucunement responsable de l’organisation et du déroulement de l’EVENEMENT. L’ORGANISATEUR s’engage à organiser l’EVENEMENT conformément aux conditions renseignées dans son ESPACE et aux dispositions portées à la connaissance de l’ACHETEUR.

4.7 Conditions particulières – L’ORGANISATEUR s’engage à porter à la connaissance des ACHETEURS les conditions particulières éventuelles relatives à l’EVENEMENT depuis son ESPACE.

4.8 Responsabilité – L’ORGANISATEUR garantit la SOCIETE contre tout recours engagé contre elle, étant rappelé que la SOCIETE intervient uniquement dans le processus de commercialisation en qualité d’intermédiaire pour le compte de l’ORGANISATEUR. L’ACHETEUR contracte avec l’ORGANISATEUR.

4.9 Impayés – L’ORGANISATEUR s’engage à prendre à sa charge les éventuels rejets de paiement qui ne sauraient être supportés par la SOCIETE qui n’agit qu’en simple intermédiaire entre l’ACHETEUR et l’ORGANISATEUR.

4.10 Conservation des données – Les opérations enregistrées par le système doivent être conservées pendant une durée de six (6) ans conformément à loi en vigueur. La SOCIETE met en œuvre tous les moyens de sauvegarde permettant la bonne œuvre de cette obligation conformément à l’article 3.1 des présentes. Il est toutefois rappelé que l’ORGANISATEUR est responsable de la conservation de ses données même en cas de défaillance du prestataire et qu’à ce titre il est encouragé à enregistrer les fichiers d’opérations disponibles depuis l’interface d’extraction du journal des opérations.

4.11 Contrôle des billets – La SOCIETE ne saurait en aucun cas être tenue pour responsable en cas de contrôle volontairement défaillant de la part des opérateurs de contrôle ou de billet illisible. Il est vivement conseillé à l’ORGANISATEUR d’apporter toute sa vigilance sur le processus de contrôle afin de se prémunir de tout cas de fraude, étant rappelé que le contrôle appliqué des billets est le seul garant de leur validité et de leur unicité.

4.11 Responsabilité du matériel – L’ORGANISATEUR est responsable du matériel qui lui est mis à disposition dans le cadre des SERVICES visé en article 2.7 des présentes. Le matériel demeure la propriété de la société et doit lui être restitué en fin de contrat. En cas de perte ou de détérioration du matériel, ce dernier serait facturé à l’ORGANISATEUR sur la base du prix d’achat neuf des éléments perdus ou détériorés.

ARTICLE 5E ME – EMISSION ET CONDITIONS D’UTILISATION DES BILLETS

5.1 Emission des billets – Les billets électroniques sont générés après la réception de la confirmation de paiement. Ils sont envoyés par courriel à l’adresse courriel renseignée par l’ACHETEUR lors de son achat.

5.2 Contrôle des billets – Lors de l’accès à l’EVENEMENT, le participant présente son billet ou justificatif de billet sur support papier propre et lisible ou sur support numérique (smartphone ou tablette) pour contrôle de validité. Le billet contrôlé est réputé utilisé.

5.3 Droit de rétractation – Les billets ne peuvent faire l’objet d’un droit de rétractation conformément aux dispositions de l’article L121-20-4 du code de la consommation. Toute commande est par conséquent juridiquement réputée ferme et définitive. Les billets ne peuvent être ni échangés ni revendus ni repris.

ARTICLE 6E ME – TARIFICATION

6.1 Tarification des billets – Le prix du billet est fixé par l’ORGANISATEUR. Les prix renseignés dans l’ESPACE sont toutes taxes comprises. Le taux de TVA applicable à l’EVENEMENT est renseigné par l’ORGANISATEUR lors de la saisie des tarifs relatifs depuis son ESPACE.

6.2 Tarification des services – La SOCIETE facture à l’ORGANISATEUR la mise à disposition des SERVICES sur une base forfaitaire relative au nombre de ventes de billets. Les tarifs en vigueur sont à disposition dans la section Tarif du site Internet xxxxxxxxx.xxx. Le coût des SERVICES est acquitté par l’ACHETEUR sous forme de frais de dossier.

ARTICLE 7E ME – MODALITES DE REGLEMENT

7.1 Règlement des billets – Les billets achetés sur la BILLETERIE sont payés par carte par l’intermédiaire du partenaire de paiement en ligne de la SOCIETE. Les données bancaires renseignées par l’ACHETEUR ne sont en aucun cas connues ni conservées par la SOCIETE.

7.2 Reversement des recettes – Les recettes générées par les achats de billets sont reversées à l’ORGANISATEUR deux fois par mois déduction faite des frais de dossier constitués de la rémunération du prestataire de paiement et de la SOCIETE. Le reversement des recettes est conditionné au renseignement par l’ORGANISATEUR de l’intégralité des informations requises (identité, données bancaires…). Le reversement des recettes est opéré par virement bancaire à destination du compte bancaire renseigné par l’ORGANISATEUR depuis son ESPACE.

7.3 Règlement de la SOCIETE – La SOCIETE émet mensuellement à destination de l’ORGANISATEUR une facture pour la location des SERVICES n’étant pas couverts par la retenue des frais de dossier sur les ventes en ligne (location du pack point de vente référencé en article 2.7 des présentes). Le règlement de la société est opéré par virement bancaire ou par chèque bancaire. Un relevé des opérations est également émis mensuellement à destination de l’ORGANISATEUR. Ce relevé recense les frais de dossier encaissés par l’ORGANISATEUR sur place pour le compte de la SOCIETE et constitue la référence des reversements dus par l’ORGANISATEUR à la SOCIETE.

ARTICLE 8E ME – REMBOURSEMENT

8.1 A la demande de l’ORGANISATEUR – L’ORGANISATEUR peut demander le remboursement d’un billet acheté en ligne grâce aux SERVICES. La SOCIETE prend les dispositions nécessaires pour procéder au remboursement demandé. En cas de remboursement, les charges induites et la rémunération de la SOCIETE restent dues par l’ORGANISATEUR à la SOCIETE.

8.2 A la demande de l’ACHETEUR – Lorsque l’ORGANISATEUR l’accepte, l’ACHETEUR pourra demander le remboursement de son billet. La SOCIETE procède au remboursement du billet. La rémunération de la SOCIETE restant due sur ce billet et les charges induites par le remboursement sont supportées par l’ORGANISATEUR. L’ORGANISATEUR peut définir une politique de tarification des remboursements que la SOCIETE appliquera en retenue des sommes remboursées à l’ACHETEUR.

ARTICLE 9E ME – ANNULATION OU MODIFICATION D’UN EVENEMENT

9.1 Modification – En cas de modification mineure de l’EVENEMENT à l’initiative exclusive de l’ORGANISATEUR, l’ORGANISATEUR communique les conditions à la SOCIETE qui procèdera à l’information de l’ACHETEUR.

9.2 Annulation – En cas d’annulation de l’évènement à l’initiative exclusive de l’ORGANISATEUR, la société procède au remboursement intégral de l’ACHETEUR au nom et pour le compte de l’ORGANISATEUR. En cas de trésorerie insuffisante, la SOCIETE se réserve le droit d’inviter les ACHETEURS à se rapprocher de l’ORGANISATEUR pour obtenir leur remboursement. Les charges induites par le remboursement sont supportées intégralement par l’ORGANISATEUR. La rémunération de la SOCIETE reste due en cas d’annulation. Il est rappelé que la modification substantielle de l’EVENEMENT (date, programmation, lieu…) est assimilée à une annulation de ce dernier.

ARTICLE 10E ME – DISPONIBILITE DES SERVICES

La SOCIETE s’engage à informer l’ORGANISATEUR des interruptions de service programmées dans un délai raisonnable et à positionner ces interruptions dans des créneaux horaires visant à minimiser les désagréments occasionnés. En cas d’interruption non programmée, la SOCIETE informe dès sa prise de connaissance l’ORGANISATEUR et s’engage à mettre tout en œuvre pour le rétablissement des SERVICES au plus vite. Une interruption des SERVICES non programmée et non fautive ne saurait engager la responsabilité de la SOCIETE ni engager des procédures de pénalités.

ARTICLE 11E ME - FORCE MAJEURE

La SOCIETE ne saurait en aucun cas être tenue pour responsable de l’indisponibilité ou de la défaillance des SERVICES survenue consécutivement à la survenance d'un cas de force majeure habituellement reconnu par la jurisprudence et notamment en cas de défaillance du réseau public de distribution d’électricité, grèves, guerres, tempêtes, tremblements de terre, défaillance du réseau public des télécommunications, pertes de connectivité Internet dues aux opérateurs publics ou privés et plus généralement en cas de survenue d'un événement extérieur, imprévisible et irrésistible.

ARTICLE 12E ME - ETHIQUE

La SOCIETE se réserve le droit de refuser la mise en ligne d’un évènement ou l'intégration de tout document, texte, son ou image, contraire à son éthique, aux bonnes mœurs ou non conforme à la législation en vigueur. En cas de constat de non-respect de ces dispositions, la SOCIETE se réserve le droit de fermeture sans préavis de l’EVENEMENT ne respectant pas lesdites dispositions.

ARTICLE 13E ME - SECURITE

La responsabilité de la SOCIETE ne saurait être engagée en cas d'introduction malveillante dans l’ESPACE de l’ORGANISATEUR ou dans les systèmes informatiques de la SOCIETE et ce, malgré toutes les mesures de sécurité prises par la SOCIETE et l'hébergeur des SERVICES. Il est rappelé à cet égard à l’ORGANISATEUR qu’il est responsable de la sécurité de conservation de ses identifiants et du matériel qui lui est confié dans le cadre des SERVICES.

ARTICLE 14E ME – CLAUSE LIMITATIVE DE RESPONSABILITE

Il est convenu entre les PARTIES qu'en cas de manquement de la part de la SOCIETE à l'un de ses engagements définis dans les présentes, le montant des dommages et intérêts pouvant être réclamé par le CLIENT ne saurait être supérieur au montant total déjà payé par l’ORGANISATEUR pour la fourniture des SERVICES.

ARTICLE 15E ME – DONNEES PERSONNELLES

15.1 Traitement de données à caractère personnel – L’ORGANISATEUR et la SOCIETE souscrivent aux conditions de respect de la réglementation en vigueur applicable au traitement de données à caractère personnel conformément à l’avenant 1 – Protection des données des présentes.

15.2 Droit d’accès et de rectification – Toute personne dispose d’un droit d’accès, de modification et de suppression des données la concernant conformément à la Loi n° 78-17 du 6 janvier 1978 et des modifications ultérieures relative à l'informatique, aux fichiers et aux libertés ainsi qu’au regard du règlement européen 2016/679 relatif à la protection des données. L’ORGANISATEUR et l’ACHETEUR peuvent faire valoir ce droit par simple demande depuis la page Contact du site Internet xxxxxxxxx.xxx.

15.3 Transmission des données – L’ACHETEUR autorise la SOCIETE à communiquer les informations renseignées lors de l’achat à l’ORGANISATEUR. La SOCIETE ne saurait être tenue pour responsable de l’utilisation faite par l’ORGANISATEUR desdites données.

ARTICLE 16E ME – LOI APPLICABLE

Les présentes conditions générales de vente et d’utilisation sont régies par le droit français.

ARTICLE 17E ME – LITIGE ET COMPETENCE D'ATTRIBUTION

En cas de litige entre les PARTIES, celles-ci s’engagent à rechercher préalablement une solution amiable. En cas de manquement grave de l’une des PARTIES à l'une de ses obligations, qui rend impossible la poursuite des relations contractuelles ou en cas de violation par l'une des PARTIES de ses obligations contractuelles, l'autre PARTIE lui adressera un pli recommandé lui demandant de remédier à ce manquement ou cette violation dans un délai de trente jours (30 jours) francs. A défaut de solution amiable à l'issue de ce délai de trente jours (30 jours), tout litige résultant de l'exécution ou de l'interprétation du CONTRAT sera soumis, à l'initiative de la PARTIE la plus diligente, à une procédure d'arbitrage.

ARTICLE 18E ME – MORALITE ET RESPECT DES LOIS, DES REGLEMENTS ET DES DROITS DES TIERS

Il est convenu entre les PARTIES que si l’ORGANISATEUR divulgue par l’intermédiaire des SERVICES des éléments immoraux, en apparente violation des lois, règlements ou des droits des tiers la SOCIETE se réserve le droit d’interrompre immédiatement la mise à disposition des SERVICES. Dans les cas graves (pédophilie, trafic ou vente de produits ou substances illégales ou de marchandises interdites ou hors commerce…) la SOCIETE aura la possibilité sans délai d'avertir les services de police et cela sans qu’aucune demande d’indemnité ou de dommages et intérêts ne puisse lui être réclamée sous quelque forme que ce soit. Les sommes dues au titre du CONTRAT seront alors immédiatement exigibles. En cas de litige sur l’appréciation des faits ayant donné lieu à l’arrêt de l’exécution du CONTRAT, l’ORGANISATEUR s’adressera au juge des référés afin que soit éventuellement ordonnée la reprise de l’exécution des présentes après contrôle par l’autorité judiciaire. Même en cas de mise en conformité de l’ORGANISATEUR, la SOCIETE pourra refuser de poursuivre ses relations contractuelles avec l’ORGANISATEUR sans qu’aucune demande de dommages et intérêts ne puisse être réclamée par l’ORGANISATEUR, et sans qu’il puisse y être contraint. Les PARTIES rappellent à cet égard qu’elles établissent le CONTRAT sur la base de rapports de confiance mutuelle et qu’en cas de violation de la moralité, des lois ou des droits des tiers, la rupture de confiance justifie un arrêt immédiat et définitif des relations contractuelles existantes entre les PARTIES, lesquelles ne pourront être renouées qu’avec l’accord expresse des deux PARTIES et sur des bases contractuelles nouvelles.

ARTICLE 19E ME – CLAUSE DE DIVISIBILITE CONTRACTUELLE

Si l’une des clauses du CONTRAT était contraire à une loi d’ordre public nationale ou internationale, seule la clause en question sera annulée, le CONTRAT demeurant valable pour le surplus. Les PARTIES négocieront de bonne foi la rédaction d’une nouvelle clause destinée à remplacer celle réputée nulle.

ARTICLE 20E ME – MODIFICATION DES CONDITIONS GENERALES DE VENTE ET D’UTILISATION

La SOCIETE se réserve le droit de modifier les présentes conditions générales de vente et d’utilisation sans préavis. Les conditions générales de vente et d’utilisation modifiées entreront en vigueur à compter du moment de leur mise en ligne sur le site Internet pixticket : xxxxx://xxx.xxxxxxxxx.xxx. Elles seront applicables à tous les achats opérés par les ACHETEURS ainsi qu’à toutes les ventes opérées par les ORGANISATEURS consécutivement à leur mise en ligne. En cas de modification des présentes et de non acceptation des nouvelles conditions de vente et d’utilisation par l’ORGANISATEUR, les conditions générales de vente et d’utilisation en vigueur à l’inscription de l’ORGANISATEUR s'appliquent.

AVENANT 1 - PROTECTION DES DONNEES

En vigueur à compter du 1er décembre 2019

-

PREAMBULE

L’organisateur d’un évènement sollicitant pour les besoins de la commercialisation et de la distribution de billets aux acheteurs (ci-après, « le responsable de traitement ») d'une part, ET NAGA Consulting (éditeur de la solution pixticket), SASU au capital de 26 500€, n° SIRET 880 369 228 00015, dont le siège social est situé au 13 résidence du cap. Michel 00000 Xxxxxxxxxx, immatriculée au RCS de Lille métropole (ci-après, « le sous- traitant ») d’autre part,

ARTICLE 1ER – OBJET

Les présentes clauses ont pour objet de définir les conditions dans lesquelles le sous-traitant s’engage à effectuer pour le compte du responsable de traitement les opérations de traitement de données à caractère personnel définies ci-après. Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le règlement européen sur la protection des données »).

ARTICLE 2E ME – DESCRIPTION DU TRAITEMENT FAISANT L’OBJET DE LA SOUS-TRAITANCE

Le sous-traitant est autorisé à traiter pour le compte du responsable de traitement les données à caractère personnel nécessaires pour fournir les services de commercialisation et de distribution de billets. La nature des opérations réalisées sur les données est un traitement automatique permettant la réalisation des services. La finalité du traitement est une utilisation de l’adresse email renseignée lors de l’achat pour l’envoi de billet électronique ainsi que d’éventuelles informations relatives à l’évènement pour lequel l’achat a été. Les nom et prénom renseignés lors de l’achat sont utilisés à des fins de recherche de billet sur le point de vente physique en cas de perte ou d’oubli du billet électronique. Les adresses postales et numéros de téléphone éventuellement collectés lors du processus d’adhésion ne sont pas utilisés dans le cadre des services dispensés par le sous- traitant. Les données à caractère personnel traitées sont l’adresse email et le nom. Pour l’exécution du service objet du présent contrat, le responsable de traitement met à la disposition du sous-traitant l’ensemble des informations sus mentionnées, nécessaires à l’exécution des services.

ARTICLE 3EME – DUREE DU CONTRAT

Le présent contrat entre en vigueur à compter de la souscription du responsable de traitement aux services proposés par le sous-traitant et ce jusqu’à la rupture du contrat à l’initiative de l’une ou l’autre des parties.

ARTICLE 4EME – OBLIGATIONS DU SOUS-TRAITANT VIS-A-VIS DU RESPONSABLE DE TRAITEMENT

Le sous-traitant s'engage à :

1. traiter les données uniquement pour la seule finalité qui fait l’objet de la sous-traitance ;

2. traiter les données conformément aux instructions documentées du responsable de traitement figurant au besoin en annexe du présent contrat. Si le sous-traitant considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le responsable de traitement. En outre, si le sous-traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public ;

3. garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent contrat ;

4. veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat :

 s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité

 reçoivent la formation nécessaire en matière de protection des données à caractère personnel

5. prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut

6. Sous-traitance

Le sous-traitant peut faire appel à un autre sous-traitant (ci-après, « le sous-traitant ultérieur ») pour mener des activités de traitement spécifiques. Dans ce cas, il informe préalablement et par écrit le responsable de traitement de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants. Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées du sous-traitant et les dates du contrat de sous-traitance. Le responsable de traitement dispose d’un délai minium de 7 jours à compter de la date de réception de cette information pour présenter ses objections. Cette sous- traitance ne peut être effectuée que si le responsable de traitement n'a pas émis d'objection pendant le délai convenu.

Le sous-traitant ultérieur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions du responsable de traitement. Il appartient au sous-traitant initial de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en oeuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable de traitement de l’exécution par l’autre sous-traitant de ses obligations.

7. Droit d’information des personnes concernées

Choisir l’une des deux options

Le sous-traitant, au moment de la collecte des données, doit fournir aux personnes concernées par les opérations de traitement l’information relative aux traitements de données qu’il réalise. La formulation et le format de l’information doit être convenue avec le responsable de traitement avant la collecte de données.

8. Exercice des droits des personnes

Dans la mesure du possible, le sous-traitant doit aider le responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).

Le sous-traitant doit répondre, au nom et pour le compte du responsable de traitement et dans les délais prévus par le règlement européen sur la protection des données aux demandes des personnes concernées en cas d’exercice de leurs droits, s’agissant des données faisant l’objet de la sous-traitance prévue par le présent contrat.

9. Notification des violations de données à caractère personnel

Le sous-traitant notifie au responsable de traitement toute violation de données à caractère personnel dans un délai maximum de 24 heures après en avoir pris connaissance et par courrier électronique à l’adresse renseignée pour l’accès aux services. Cette notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.

Après accord du responsable de traitement, le sous-traitant notifie à l’autorité de contrôle compétente (la CNIL), au nom et pour le compte du responsable de traitement, les violations de données à caractère personnel dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.

La notification contient au moins :

 la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ;

 le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;

 la description des conséquences probables de la violation de données à caractère personnel ;

 la description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu.

Après accord du responsable de traitement, le sous-traitant communique, au nom et pour le compte du responsable de traitement, la violation de données à caractère personnel à la personne concernée dans les meilleurs délais, lorsque cette violation est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique.

La communication à la personne concernée décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins :

 la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ;

 le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;

 la description des conséquences probables de la violation de données à caractère personnel ;

 la description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

10. Aide du sous-traitant dans le cadre du respect par le responsable de traitement de ses obligations

Le sous-traitant aide le responsable de traitement pour la réalisation d’analyses d’impact relative à la protection des données.

Le sous-traitant aide le responsable de traitement pour la réalisation de la consultation préalable de l’autorité de contrôle.

11. Mesures de sécurité

Le sous-traitant s’engage à mettre en œuvre les mesures de sécurité suivantes :

 le chiffrement des données à caractère personnel transitant sur le réseau ;

 les moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;

 les moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles- ci dans des délais appropriés en cas d'incident physique ou technique ;

 une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

Le sous-traitant est responsable de la sécurité des données hébergées dans le cadre des services. Il est entendu que le responsable des données est responsable de la sécurisation des données qu’il aurait extraites et conservées en local.

12. Sort des données

Au terme de la prestation de services relatifs au traitement de ces données, le sous-traitant s’engage à : Au choix des parties :

 détruire toutes les données à caractère personnel ou

 à renvoyer toutes les données à caractère personnel au responsable de traitement ou

 à renvoyer les données à caractère personnel au sous-traitant désigné par le responsable de traitement

Le renvoi doit s’accompagner de la destruction de toutes les copies existantes dans les systèmes d’information du sous-traitant. Une fois détruites, le sous-traitant doit justifier par écrit de la destruction.

13. Délégué à la protection des données

Le sous-traitant communique au responsable de traitement le nom et les coordonnées de son délégué à la protection des données, s’il en a désigné un conformément à l’article 37 du règlement européen sur la protection des données.

14. Registre des catégories d’activités de traitement

Le sous-traitant déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable de traitement comprenant :

 le nom et les coordonnées du responsable de traitement pour le compte duquel il agit, des éventuels sous-traitants et, le cas échéant, du délégué à la protection des données ;

 les catégories de traitements effectués pour le compte du responsable du traitement ;

 le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa du règlement européen sur la protection des données, les documents attestant de l'existence de garanties appropriées ;

 dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles, y compris entre autres, selon les besoins :

o la pseudonymisation et le chiffrement des données à caractère personnel ;

o des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;

o des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;

o une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

15. Documentation

Le sous-traitant met à la disposition du responsable de traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d'audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits.

ARTICLE 5EME – OBLIGATIONS DU RESPONSABLE DE TRAITEMENT VIS-A-VIS DU SOUS-TRAITANT

Le responsable de traitement s’engage à :

1. fournir au sous-traitant les données visées à l’article 2ème des présentes clauses

2. documenter par écrit toute instruction concernant le traitement des données par le sous-traitant

3. veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen sur la protection des données de la part du sous-traitant

4. superviser le traitement, y compris réaliser les audits et les inspections auprès du sous-traitant