ANNEXE CONDITIONS GENERALES

ANNEXE CONDITIONS GENERALES

DE PROTECTION DES DONNEES A CARACTERE PERSONNEL

Dans le cadre de l’exécution des Services, SPYRIT est amenée à traiter, pour le compte de l’Organisateur, des données des participants aux évènements qui constituent des données à caractère personnel au sens du l’article 4 du Règlement (UE) 2016/679 du 27 avril 2016.

Conformément aux dispositions de l’article 28 du Règlement, les présentes conditions générales ont pour objet de définir les conditions dans lesquelles SPYRIT, en sa qualité de sous-traitant, s’engage à effectuer pour le compte de l’Organisateur, en sa qualité de responsable du traitement, les opérations de traitement de données à caractère personnel objet des Services.

Les présentes clauses de sous-traitance pourront faire l’objet de tout complément afin de prendre en compte les évolutions ultérieures des textes applicables en application du Règlement ou autre disposition législative ou règlementaire applicable, ce que chacune des parties reconnaisse et accepte.

1 - Description du traitement faisant l’objet de la sous-traitance

Dans le cadre de l’exécution des Services décrits aux présentes Conditions générales d’utilisation, SPYRIT est autorisée à traiter pour le compte de l’Organisateur les données à caractère personnel nécessaires pour fournir les Services et exécuter les opérations tels que décrits dans les Conditions générales d’utilisation, et qui sont notamment :

• Le stockage et l’hébergement des données collectées par l’Organisateur dans le cadre de l’utilisation du Logiciel ;

• Le support à l’utilisation et au paramétrage du Logiciel ;

• La mise à disposition de l’Organisateur desdites données via un backoffice.

L’Organisateur indique à SPYRIT que les finalités du traitement sont (i) la gestion des évènements qu’il organise par l’intermédiaire du Logiciel, (ii) la gestion de sa clientèle, et (iii) l’analyse statistiques desdites données.

Les données à caractère personnel traitées dans le cadre des présentes sont les données des participants aux évènements organisés par l’Organisateur par l’intermédiaire du Logiciel.

Les données collectées et traitées à ce titre sont l’ensemble des données renseignées par l’Organisation sur son backoffice et relatifs aux évènements (ci-après les « Données »). Ces Données sont notamment des :

• Données d’identification : nom, prénom, date de naissance, adresse postale, adresse email, numéro de téléphone ;

• Données de transport et voyage : document d’identité, date de naissance, ville de naissance, pays de naissance, nationalité, régime alimentaire, mobilité ;

• Données de facturation : numéros de carte bancaire, numéros BIC et IBAN en cas de prélèvement SEPA, numéros de référence du contrat, date et heure du paiement, moyen de paiement utilisé, date d’expiration du moyen de paiement, montant du paiement.

2 - Obligations de SPYRIT vis-à-vis de l’Organisateur

SPYRIT s’engage à respecter les dispositions suivantes :

2.1 – Traitement des Données par SPYRIT

(i) Traiter uniquement les Données pour les finalités qui font l’objet de la sous-traitance.

(ii) Traiter les Données conformément aux instructions documentées de l’Organisateur, figurant dans tout document adressé par l’Organisateur à SPYRIT, par tout moyen jugé utile. Il est précisé qu’à défaut d’instructions écrites, les Parties conviennent que toute opération réalisée par SPYRIT au titre de l’exécution des Services et conforme aux dispositions des présentes, constitue une instruction de l’Organisateur.

Si SPYRIT considère qu’une instruction constitue une violation de la Législation, il s’engage à en informer immédiatement l’Organisateur. L’Organisateur reconnaît et accepte que dans une telle hypothèse, SPYRIT pourra, à sa libre discrétion, suspendre l’exécution des instructions litigieuses tant qu’elle estime que celle-ci n’est pas conforme à la Législation.

Dans l’hypothèse où SPYRIT serait tenue de procéder à un traitement de Données en vertu d’une disposition impérative résultant du droit communautaire ou du droit français, elle informera l’Organisateur de cette obligation juridique avant le traitement des Données, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public.

(iii) Garantir la confidentialité des Données traitées dans le cadre des présentes.

(iv) Veiller à ce que les personnes autorisées à traiter les Données en vertu des présentes s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité et reçoivent la formation nécessaire en matière de protection des données à caractère personnel.

(v) Prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut.

2.2 – Transfert des Données hors Union Européenne

En cas de transfert de tout ou partie des Données vers un pays tiers, hors Union européenne, ou vers une organisation internationale, SPYRIT devra obtenir l’accord préalable écrit de l’Organisateur, par tout moyen jugé utile.

Le cas échéant, SPYRIT s’engage à coopérer avec l’Organisateur afin d’assurer :

• le respect des procédures permettant de se conformer à la règlementation locale ;

• si besoin, la conclusion d’un ou plusieurs contrats permettant d’encadrer les flux transfrontaliers de Données. SPYRIT s’engage en particulier, si nécessaire, à obtenir la conclusion de tels contrats par ses sous-traitants ultérieurs. Dans ce cadre, les Parties conviennent d’utiliser les clauses contractuelles types publiées par la Commission européenne pour encadrer les flux transfrontaliers de données à caractère personnel. L’Organisateur donne expressément mandat à SPYRIT pour conclure de tels contrats en son nom et pour son compte avec les sous-traitants ultérieurs.

2.3 – Sous-traitance

SPYRIT est autorisé à faire appel à la société Planet Service pour l’hébergement des Données collectées et traitées sur le Logiciel.

En acceptant les présentes clauses de sous-traitance, l’Organisateur autorise expressément et de manière globale SPYRIT à recruter d’autres sous-traitants ultérieurs et/ou à procéder à tout changement concernant le remplacement de sous-traitants ultérieurs, sous réserve d’en avoir préalablement informé l’Organisateur par tout moyen jugé utile et notamment par mise à disposition de la liste des sous- traitants mise à jour et accessible sur la plateforme Venio. La liste devra contenir les activités de traitement sous-traitées, l’identité et les coordonnées du sous-traitant et l’existence éventuelle d’un transfert des Données en dehors de l’Union européenne.

SPYRIT s’engage à notifier à l’Organisateur, par notification sur ladite plateforme, toute modification qui interviendrait dans la liste desdits sous-traitants et à tenir cette liste modifiée à sa disposition. L’Organisateur pourra émettre toutes observations dans un délai de quinze (15) jours calendaires à compter de la notification de la liste modifiée. La sous-traitance ne pourra être effectuée dans l’hypothèse où l’Organisateur émettrait une objection pendant le délai ainsi convenu portant sur l’absence de garantie d’un niveau de sécurité suffisant par le sous-traitant ultérieur ou du non-respect des dispositions des présentes ou de la législation applicable. Toute autre objection sera étudiée par SPYRIT qui reste libre de poursuivre ou non la sous-traitance.

L’Organisateur reconnaît et accepte que SPYRIT reste libre de choisir à sa libre convenance, sans contestation possible de l’Organisateur, tout sous-traitant ultérieur intervenant pour la réalisation de prestations connexes aux Services, telles que notamment, les services de télécommunication, les services de messageries, les services de maintenance de sa plateforme en ligne ou de ses serveurs, les services de suppression des Données, ainsi que tous prestataires utilisés pour lui permettre la mise en place des mesures techniques prévues ci-après, et notamment toutes les mesures visant à garantir la confidentialité, la disponibilité, l’intégrité et la résistance du matériel et des logiciels nécessaires aux systèmes de traitement des Données. Néanmoins, la liste de ces sous-traitants sera mise à disposition de l’Organisateur dans les conditions détaillées ci-dessus.

Le sous-traitant ultérieur quel qu’il soit sera tenu de respecter les obligations des présentes Conditions générales pour le compte et selon les instructions de l’Organisateur. Il appartient à SPYRIT de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences de la Législation. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, SPYRIT demeure pleinement responsable devant l’Organisateur de l’exécution par l’autre sous-traitant de ses obligations.

2.4 – Droit d’information des personnes concernées

Il appartient à l’Organisateur de fournir l’information aux personnes concernées par les opérations de traitement à tout moment jugé utile et au plus tard au moment de la collecte des Données.

2.5 – Exercice des droits des personnes concernées

Dans la mesure du possible, SPYRIT doit aider l’Organisateur à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées, à savoir droit d’accès, de rectification, d’effacement et d’opposition, de limitation du traitement, de portabilité des Données et de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).

Dans ce cadre, lorsque les personnes concernées exercent auprès de SPYRIT lesdites demandes, il doit adresser ces demandes dès réception à l’Organisateur par courrier électronique à l’adresse de notification renseignée par celui-ci dans le contrat ou par tout autre moyen jugé utile et notamment par notification sur la plateforme de mise à disposition des Données.

2.6 – Notification des violations de données à caractère personnel

En cas de violation de Données, SPYRIT s’engage à procéder à toutes investigations utiles sur les manquements aux règles de protection, afin d’y remédier dans les plus brefs délais et/ou de diminuer dans la mesure du possible, l’impact de tels manquements auprès des personnes dont les données ont été collectées.

SPYRIT notifie à l’Organisateur toute violation de données à caractère personnel dans un délai maximum de 48 heures après en avoir pris connaissance et par email. Cette notification est accompagnée de toute documentation utile afin de permettre à l’Organisateur, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.

La notification doit contenir au moins :

(i) la description de la nature de la violation de Données y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de Données concernés ;

(ii) le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;

(iii) la description des conséquences probables de la violation de Données;

(iv) la description des mesures prises pour remédier à la violation de Données, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu.

2.7 – Aide de SPYRIT dans le cadre du respect par l’Organisateur de ses obligations

SPYRIT aide l’Organisateur pour la réalisation, si nécessaire, d’analyse d’impact relative à la protection des Données et pour la réalisation de la consultation préalable de l’autorité de contrôle le cas échéant, suivant des conditions financières à négocier au regard des services à fournir à cet effet.

Les Parties reconnaissent et acceptent que tout prestation d’assistance à ce titre, pourra être facturée à l’Organisateur, sur devis.

2.8 – Mesures de sécurité

SPYRIT s’engage à mettre en œuvre toutes mesures techniques et organisationnelles appropriées pour protéger les Données pendant toute la durée des Services, en fonction de l’état des connaissances, les coûts de mise en œuvre et la nature, la portée et les finalités du traitement, ainsi que les risques que représentent ledit traitement pour les droits et libertés des personnes physiques, afin de garantir un niveau de sécurité adapté.

SPYRIT s’engage notamment à mettre en œuvre toutes mesures propres à empêcher toute déformation, altération, endommagement, destruction de manière fortuite ou illicite, perte, divulgation et/ou tout accès non autorisé par un tiers.

Dans ce cadre, SPYRIT s‘engage à prendre les mesures décrites dans la Politique de protection de la société, qu’elle tient à disposition de l’Organisateur sur simple demande.

En cas de modification des mesures techniques mises en place pour assurer la sécurité et la confidentialité des Données, SPYRIT s’engage à les remplacer par des mesures n’emportant pas de régression du niveau de sécurité et à en informer l’Organisateur, dans les plus brefs délais, par tout moyen jugé utile.

SPYRIT s’engage à maintenir ces moyens tout au long de l’exécution des Services et, à défaut, à en informer immédiatement l’Organisateur.

2.9 – Sort des Données

SPYRIT reconnaît et accepte qu’il ne peut pas, de son propre chef, corriger, supprimer, ni restreindre le traitement des Données dans le cadre des Services. Il ne peut agir que sur instructions de l’Organisateur. Dans l’hypothèse où une personne prendrait contact avec SPYRIT pour l’une de ses actions, il s’engage à transmettre sans délai la demande à l’Organisateur.

SPYRIT s’engage à ne réaliser aucune copie ni aucun double des Données sans en avoir préalablement informé l’Organisateur. Ne sont pas concernées les copies jugées nécessaires à la réalisation des Services et à la garantie d’un traitement approprié des Données.

Au terme de la prestation de services relatifs au traitement des Données ou à la demande expresse de l’Organisateur, SPYRIT s’engage à restituer les Données, en intégralité, ainsi que toutes les copies desdites Données où à les détruire, sur instruction de l’Organisateur. Le registre de suppression est tenu à disposition de l’Organisateur sur simple demande.

L’Organisateur reconnaît et accepte que sont soustraites à l’obligation de destruction et de restitution les Données pour lesquelles SPYRIT a une obligation juridique de conservation.

2.10 – Délégué à la protection des données de SPYRIT

SPYRIT informe l’Organisateur avoir nommé un délégué à la protection des données dont le nom et les coordonnées sont les suivants :

Xxxxxx xx Xxxxxxxxx Xxxxxx.xxxxxxxxxxxx@xxxxxx.xxx 09 72 50 66 07

2.11 – Registre des catégories d’activité de traitement

SPYRIT déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte de l’Organisateur comprenant :

(i) le nom et les coordonnées de l’Organisateur pour le compte duquel il agit, des éventuels sous- traitants ultérieurs et, le cas échéant, du délégué à la protection des Données ;

(ii) les catégories de traitements effectués pour le compte de l’Organisateur ;

(iii) le cas échéant, les transferts de Données vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa du Règlement, les documents attestant de l'existence de garanties appropriées ;

(iv) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles, y compris entre autres, selon les besoins :

• la pseudonymisation et le chiffrement des Données;

• des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;

• des moyens permettant de rétablir la disponibilité des Données et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;

• une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

2.12 - Documentation

SPYRIT met à la disposition de l’Organisateur la documentation nécessaire pour démontrer le respect de toutes ses obligations au titre des présentes clauses de sous-traitance, qu’il s’engage à fournir sur simple demande.

La preuve de ces mesures peut être fournie au moyen de certificats valides, de rapports ou d’extraits de rapports délivrés par des autorités indépendantes (telles qu’un auditeur, un chargé d’audit, un délégué à la protection des données, le département de sécurité informatique, les auditeurs chargés de la protection des données, les auditeurs qualité) ou d’une certification adaptée émanant de la sécurité informatique ou de l’audit sur la protection des données.

L’Organisateur se réserve le droit de procéder à toutes vérifications qui lui paraissent utiles pour constater le respect des obligations précitées, et notamment en procédant à un audit auprès de SPYRIT ou directement auprès d’un sous-traitant ultérieur.

L’Organisateur est tenu d’informer SPYRIT de toute opération de contrôle au moins deux (2) semaines avant la date dudit contrôle. Les personnes chargées de réalisées cet audit par l’Organisateur s’engagent à protéger la confidentialité vis-à-vis de SPYRIT. Cette obligation de confidentialité doit satisfaire des

exigences élevées de sécurité. Les personnes employées ne peuvent entretenir une quelconque relation avec un concurrent de SPYRIT.

SPYRIT s’engage à répondre aux demandes d’audit de l’Organisateur effectuées par lui-même ou par un tiers de confiance qu’il aura sélectionné, reconnu en tant qu’auditeur indépendant, c'est-à-dire indépendant de SPYRIT, ayant une qualification adéquate, et libre de fournir les détails de ses remarques et conclusion d’audit au responsable de traitement.

Les audits visés doivent permettre une analyse du respect par SPYRIT de ses obligations visées par les présentes.

2.13 – Services complémentaires

Au titre des présentes, SPYRIT peut être amené à fournir aux Organisateurs, sur demande de ce dernier, des services qui ne sont pas initialement prévus dans le Contrat, relatifs à la protection des Données (ex : audit, soutien dans le cadre d’une enquête menée par des autorités de contrôle).

Ces services supplémentaires doivent être rémunérés en plus de la rémunération prévue pour les Services ne portant pas sur la protection des Données, spécifiés dans le Contrat, en fonction des dépenses réellement engagées dans chaque cas.

3 - Obligations de l’Organisateur vis-à-vis de SPYRIT

L’Organisateur s’engage à :

• Fournir à SPYRIT les informations suivantes, afin de lui permettre d’établir son registre des traitements de sous-traitant :

• Le nom et les coordonnées de l’Organisateur ou de tout autre responsable du traitement lorsque le traitement est opéré pour plusieurs responsables de traitement ;

• Les coordonnées du Délégué à la protection des données de l’Organisateur.

• Fournir à SPYRIT les Données nécessaires à l’exécution des Services ;

• Documenter par écrit toute instruction concernant le traitement des données par SPYRIT.

• Veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen ;

• Superviser le traitement.

4 - Coopération en cas de contrôle

En cas de contrôle d’une autorité compétente, les Parties s’engagent à coopérer entre elles et avec l’autorité de contrôle.

Dans le cas où le contrôle mené ne concernerait que les traitements mis en œuvre par SPYRIT en tant que responsable de traitement, SPYRIT fera son affaire du contrôle et s’interdira de communiquer ou de faire état des Données de l’Organisateur.

Dans le cas où le contrôle mené chez SPYRIT concernerait les traitements mis en œuvre au nom et pour le compte de l’Organisateur, SPYRIT s’engage à en informer immédiatement l’Organisateur et à ne prendre aucun engagement pour lui.

En cas de contrôle d’une autorité compétente chez l’Organisateur portant notamment sur les prestations délivrées par SPYRIT, ce dernier s’engage à coopérer avec l’Organisateur et à lui fournir toute information dont il pourrait avoir besoin ou qui s’avèrerait nécessaire.