Pour les données à caractère personnel liées à l’événement, le Client ou l’Organisateur d’événement est le responsable du traitement et Bewitt est le sous-traitant. Bewitt traite les Données à caractère personnel du Client uniquement sur instructions documentées du Client et exclusivement pour fournir et exploiter les services demandés.
Responsable du traitement et sous-traitant
L’organisateur contrôle les données de l’événement. Bewitt les traite pour fournir les inscriptions, l’accès, l’agenda, l’accueil, les communications, les retours, le reporting et les services associés.
Données d’événement couvertes
Les Données à caractère personnel du Client peuvent inclure des fiches participants, des références de billets ou de paiements, des choix d’agenda, des statuts d’accueil, des retours, des données d’intervenants, des contacts sponsors et des données de reporting.
Support pour les équipes juridiques
Les annexes décrivent les activités de traitement, les mesures de sécurité et les sous-traitants ultérieurs afin que les revues confidentialité et achats n’aient pas à deviner ce que Bewitt traite.
1. Parties
Le présent Accord de traitement des données (« DPA ») est conclu entre :
Client / Organisateur d’événement : l’entité juridique, l’organisation, l’association, l’université, l’entreprise, la communauté ou l’organisateur d’événement utilisant les services de Bewitt.
Bewitt : un fournisseur de logiciel en tant que service établi aux Pays-Bas.
Dans le présent DPA, le Client est le responsable du traitement et Bewitt est le sous-traitant pour les Données à caractère personnel du Client traitées via le Service.
2. Objet de l’Accord de traitement des données
Le présent DPA fait partie de l’Accord entre Bewitt et le Client et régit le traitement par Bewitt des Données à caractère personnel du Client pour le compte du Client dans le cadre de la plateforme SaaS de gestion d’événements dans le cloud de Bewitt.
La finalité du traitement est de fournir, exploiter, maintenir, sécuriser et prendre en charge les services demandés par le Client, y compris l’inscription aux événements, les opérations événementielles, les communications, l’analytique, le reporting et les fonctionnalités de plateforme associées.
3. Définitions
Accord désigne l’accord commercial, la commande, l’abonnement, le devis, les conditions de service ou tout autre arrangement en vertu duquel Bewitt fournit le Service au Client.
Données à caractère personnel du Client désigne les données à caractère personnel traitées par Bewitt pour le compte du Client via le Service.
Responsable du traitement, Sous-traitant, Données à caractère personnel, Traitement, Personne concernée, Violation de données à caractère personnel et Autorité de contrôle ont le sens qui leur est donné dans le RGPD.
RGPD désigne le règlement (UE) 2016/679, le Règlement général sur la protection des données.
Service désigne la plateforme SaaS de gestion d’événements dans le cloud de Bewitt et les services associés.
Sous-traitant ultérieur désigne un autre sous-traitant engagé par Bewitt pour traiter les Données à caractère personnel du Client pour le compte du Client.
4. Champ du traitement
Bewitt traitera les Données à caractère personnel du Client uniquement dans la mesure nécessaire pour fournir et exploiter le Service demandé par le Client.
Le traitement peut concerner les participants à l’événement, les organisateurs d’événements, le personnel de l’événement, les bénévoles, les intervenants, les sponsors, les invités, les clients et les autres personnes dont le Client soumet les données au Service.
Le détail des activités de traitement figure à l’Annexe A.
5. Nature du traitement
La nature du traitement peut inclure la collecte, l’enregistrement, l’organisation, la structuration, le stockage, l’hébergement, l’extraction, la consultation, l’utilisation, la transmission, la divulgation à des utilisateurs autorisés, le rapprochement ou l’interconnexion, la limitation, la suppression, l’exportation et tout autre traitement nécessaire pour fournir le Service.
Le traitement peut intervenir par l’intermédiaire de fonctionnalités comprenant les inscriptions, la gestion d’agenda, la participation aux sessions, les accueils par QR code, la collecte de retours, les quiz, la gamification, les récompenses, le networking, les boutiques, le reporting, l’analytique, les communications par e-mail, les domaines personnalisés et les intégrations API.
6. Catégories de personnes concernées
Les Données à caractère personnel du Client peuvent concerner :
- les participants à l’événement et les participants potentiels ;
- les organisateurs d’événements et le personnel de l’événement ;
- les bénévoles ;
- les intervenants ;
- les sponsors ;
- les invités ;
- les clients et représentants de clients ;
- les utilisateurs de la plateforme ; et
- les autres personnes incluses par le Client dans le Service.
7. Catégories de données à caractère personnel
Données d’identité
- nom ;
- nom d'utilisateur ;
- adresse e-mail ;
- numéro de téléphone.
Données de participation à l’événement
- inscriptions ;
- présence ;
- accueils ;
- la participation aux sessions ;
- interactions avec le programme ;
- les retours ;
- réponses aux quiz ;
- utilisations de récompenses ;
- interactions de networking ;
- activité de gamification.
Données techniques
- adresses IP ;
- informations sur l'appareil ;
- informations sur le navigateur ;
- historique de connexion ;
- journaux de sécurité.
Données commerciales
- enregistrements d'abonnement ;
- informations de facturation ;
- historique des transactions.
Le Client est responsable de veiller à ne pas soumettre au Service de données à caractère personnel inutiles ou illicites.
8. Instructions de traitement
Bewitt traitera les Données à caractère personnel du Client uniquement sur instructions documentées du Client, y compris en ce qui concerne les transferts de Données à caractère personnel du Client vers un pays tiers ou une organisation internationale, sauf si Bewitt est tenu de traiter ces données en vertu du droit de l’Union européenne ou du droit d’un État membre.
Les instructions documentées du Client comprennent le présent DPA, l’Accord, la configuration et l’utilisation du Service par le Client, les instructions écrites fournies par les canaux de support ou de compte autorisés, ainsi que les instructions raisonnablement nécessaires pour que Bewitt fournisse le Service.
Bewitt informera rapidement le Client si, selon Bewitt, une instruction enfreint le RGPD ou toute autre législation applicable de l’Union européenne ou d’un État membre en matière de protection des données, sauf interdiction légale.
Le Client reste responsable de déterminer les finalités et les moyens du traitement, de garantir l’existence d’une base légale, d’obtenir les consentements requis, de fournir les notices de confidentialité aux personnes concernées, de s’assurer que le contenu et les données de l’événement sont licites, de répondre aux demandes des personnes concernées et de respecter les obligations du responsable du traitement au titre de la législation applicable en matière de protection des données.
Bewitt n’est pas responsable de la licéité, de l’exactitude ou du contenu des données à caractère personnel, du contenu d’événement, des communications ou des éléments téléversés ou configurés par le Client.
9. Obligations de confidentialité
Bewitt veillera à ce que les personnes autorisées à traiter les Données à caractère personnel du Client soient soumises à des obligations de confidentialité appropriées, qu’elles soient contractuelles, légales ou professionnelles.
Bewitt limitera l’accès aux Données à caractère personnel du Client au personnel et aux prestataires qui ont besoin de cet accès pour fournir, sécuriser, prendre en charge ou maintenir le Service.
10. Mesures de sécurité
Compte tenu de l’état de l’art, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du traitement, ainsi que du risque pour les personnes physiques, Bewitt mettra en œuvre des mesures techniques et organisationnelles appropriées conçues pour protéger les Données à caractère personnel du Client.
Ces mesures peuvent inclure le chiffrement en transit, des contrôles d’accès, des autorisations fondées sur les rôles, des contrôles d’authentification, la journalisation et la surveillance, des procédures de sauvegarde, la gestion des vulnérabilités, des procédures de réponse aux incidents, des contrôles de sécurité de l’infrastructure, des pratiques d’accès selon le moindre privilège et des procédures de sécurité opérationnelle.
Des détails supplémentaires figurent à l’Annexe B. Le Client reconnaît que les mesures de sécurité peuvent évoluer au fil du temps, à condition que Bewitt ne réduise pas de manière substantielle le niveau global de protection des Données à caractère personnel du Client.
11. Sous-traitants ultérieurs
Le Client donne à Bewitt une autorisation générale de faire appel aux sous-traitants ultérieurs nécessaires pour fournir, exploiter, sécuriser, prendre en charge et améliorer le Service.
Bewitt tiendra à jour une Liste publique des sous-traitants ultérieurs décrivant les catégories actuelles de sous-traitants ultérieurs et, le cas échéant, les sous-traitants ultérieurs identifiés.
Bewitt imposera aux sous-traitants ultérieurs des obligations de protection des données substantiellement équivalentes à celles imposées à Bewitt au titre du présent DPA, notamment des obligations relatives à la confidentialité, à la sécurité et au traitement uniquement pour des finalités autorisées.
Bewitt reste responsable envers le Client de l’exécution des obligations de protection des données de ses sous-traitants ultérieurs, comme l’exige l’article 28 du RGPD.
12. Changements de sous-traitants ultérieurs
Bewitt notifiera le Client avant tout ajout ou remplacement substantiel de sous-traitants ultérieurs qui traitent les Données à caractère personnel du Client.
La notification peut être fournie par e-mail, par avis dans le produit, par publication sur une Liste des sous-traitants ultérieurs ou par tout autre moyen raisonnable.
Le Client peut s’opposer à un nouveau sous-traitant ultérieur pour des motifs raisonnables liés à la protection des données pendant le délai de notification indiqué par Bewitt ou, si aucun délai n’est indiqué, dans les 14 jours suivant la notification.
Si le Client formule une objection raisonnable, les parties travailleront de bonne foi afin de la résoudre. Si aucune solution raisonnable n’est disponible, le Client pourra résilier le Service concerné conformément à l’Accord.
13. Transferts internationaux
Bewitt ne transférera pas les Données à caractère personnel du Client en dehors de l’Espace économique européen, sauf si ce transfert respecte la législation applicable en matière de protection des données.
Lorsqu’un transfert nécessite des garanties au titre du chapitre V du RGPD, Bewitt utilisera des garanties appropriées, telles qu’une décision d’adéquation, les clauses contractuelles types adoptées par la Commission européenne, des mesures supplémentaires lorsque cela est requis, des analyses d’impact relatives au transfert lorsque cela est approprié, ou tout autre mécanisme de transfert licite.
Le cas échéant, les parties conviennent que les clauses contractuelles types de la Commission européenne pour les transferts internationaux, y compris la décision d’exécution (UE) 2021/914 de la Commission, peuvent s’appliquer aux transferts de Données à caractère personnel du Client vers des pays tiers.
Lorsque cela est pertinent pour les clauses entre responsable du traitement et sous-traitant, les parties peuvent également s’appuyer sur les clauses contractuelles types adoptées au titre de l’article 28 du RGPD, y compris la décision d’exécution (UE) 2021/915 de la Commission, dans la mesure où elles sont incorporées ou référencées par les parties.
14. Assistance pour les demandes des personnes concernées
Compte tenu de la nature du traitement, Bewitt aidera raisonnablement le Client, par des mesures techniques et organisationnelles appropriées et dans la mesure du possible, à satisfaire à son obligation de répondre aux demandes des personnes concernées.
Cela peut inclure les demandes relatives à l’accès, à la rectification, à l’effacement, à la limitation, à la portabilité, à l’opposition et, le cas échéant, au retrait du consentement.
Si Bewitt reçoit directement d’une personne concernée une demande relative aux Données à caractère personnel du Client, Bewitt peut transmettre la demande au Client et ne répondra pas de manière indépendante à cette demande, sauf si la loi l’exige ou si le Client l’instruit de le faire.
15. Assistance pour la conformité au RGPD
Compte tenu de la nature du traitement et des informations dont dispose Bewitt, Bewitt aidera raisonnablement le Client à satisfaire à ses obligations au titre des articles 32 à 36 du RGPD, notamment la sécurité du traitement, l’évaluation des violations de données à caractère personnel, les analyses d’impact relatives à la protection des données, la consultation préalable d’une autorité de contrôle lorsque cela est requis et les informations raisonnablement nécessaires pour démontrer la conformité.
Le Client reste responsable de déterminer si une analyse d’impact relative à la protection des données ou une consultation préalable est requise pour son utilisation du Service.
16. Notifications de violation de données à caractère personnel
Bewitt notifiera le Client sans délai injustifié après avoir pris connaissance d’une violation de données à caractère personnel affectant les Données à caractère personnel du Client.
La notification inclura, dans la mesure raisonnablement disponible, la nature de la violation, les catégories et le nombre approximatif de personnes concernées affectées, les catégories et le nombre approximatif d’enregistrements affectés, les conséquences probables, les mesures prises ou proposées pour remédier à la violation, les mesures destinées à atténuer les éventuels effets négatifs et un point de contact pour le suivi.
Bewitt peut fournir les informations par étapes à mesure qu’elles deviennent disponibles. Le Client est responsable de déterminer si une notification à une autorité de contrôle ou une communication aux personnes concernées est requise, sauf si la loi applicable impose une obligation directe à Bewitt.
17. Audits et inspections
Bewitt mettra à la disposition du Client les informations raisonnablement nécessaires pour démontrer le respect du présent DPA et de l’article 28 du RGPD.
Le Client peut demander un audit ou une inspection lorsque cela est raisonnablement nécessaire pour vérifier la conformité de Bewitt, sous réserve d’un préavis raisonnable, d’obligations de confidentialité, d’une portée et d’une durée raisonnables, de l’absence de perturbation des systèmes, de la sécurité ou des autres clients de Bewitt, du recours à un auditeur indépendant lorsque cela est approprié, du respect des exigences de sécurité de Bewitt et de l’absence d’accès aux données d’autres clients ou aux informations confidentielles de tiers.
Bewitt peut satisfaire aux demandes d’audit en fournissant, le cas échéant, de la documentation de sécurité, des certifications, des politiques, des synthèses, des rapports d’audit ou d’autres preuves de conformité. Le Client supportera ses propres coûts d’audit, sauf exigence contraire de la loi ou accord écrit contraire.
18. Restitution ou suppression des données
À la résiliation ou à l’expiration du Service, le Client peut demander l’exportation ou la suppression des Données à caractère personnel du Client, sous réserve des fonctionnalités du Service et de l’Accord.
Au choix du Client, Bewitt supprimera ou restituera les Données à caractère personnel du Client après la fin de la fourniture des services liés au traitement, sauf si le droit de l’Union européenne ou le droit d’un État membre exige la conservation des données à caractère personnel.
La suppression des sauvegardes peut intervenir selon le cycle de vie ordinaire des sauvegardes de Bewitt, à condition que les données de sauvegarde soient protégées contre tout traitement actif, sauf lorsque la restauration est nécessaire pour des raisons de sécurité, de continuité ou juridiques.
19. Conservation des données
Bewitt conservera les Données à caractère personnel du Client pendant la durée nécessaire pour fournir le Service et conformément aux instructions du Client, à l’Accord, au présent DPA et à la loi applicable.
La conservation peut dépendre du statut actif du compte, de la configuration de l’événement, des demandes d’exportation ou de suppression du Client, des cycles de sauvegarde, des obligations légales de conservation, des besoins de sécurité et de prévention de la fraude, du règlement des litiges et des exigences fiscales, comptables ou de conformité.
Le Client reste responsable de déterminer les durées de conservation des données à caractère personnel propres à l’événement.
20. Responsabilité
La responsabilité des parties au titre du présent DPA est régie par les dispositions de l’Accord relatives à la responsabilité, sauf exigence contraire de la législation applicable en matière de protection des données.
Aucune disposition du présent DPA ne limite la responsabilité lorsqu’une telle limitation est interdite par le RGPD ou par toute autre loi impérative. Chaque partie reste responsable de ses propres manquements à la législation applicable en matière de protection des données.
21. Droit applicable
Le présent DPA est régi par le droit des Pays-Bas, sauf exigence contraire d’une législation applicable impérative en matière de protection des données.
Les tribunaux compétents sont ceux indiqués dans l’Accord ou, à défaut d’indication, les tribunaux compétents aux Pays-Bas.
22. Coordonnées
Les notifications relatives à la confidentialité et à la protection des données au titre du présent DPA peuvent être envoyées à :
BewittPays-Bas
E-mail : [email protected]
Le Client doit fournir et tenir à jour des coordonnées exactes de compte, juridiques et de protection des données dans le Service ou l’Accord.
Annexe A : Détails des activités de traitement
Objet
Traitement des Données à caractère personnel du Client par Bewitt dans le cadre de la fourniture de la plateforme SaaS de gestion d’événements dans le cloud de Bewitt.
Durée
Pendant la durée de l’Accord puis uniquement dans la mesure nécessaire à des fins de suppression, de restitution, de cycle de vie des sauvegardes, de conservation légale, de sécurité, de règlement des litiges ou de conformité.
Finalité
Fournir, exploiter, maintenir, sécuriser, prendre en charge et améliorer le Service demandé par le Client, y compris la gestion d’événements et les fonctionnalités de plateforme associées.
Activités de traitement
- comptes utilisateurs ;
- inscriptions aux événements ;
- présence aux événements ;
- gestion d’agenda ;
- la participation aux sessions ;
- enregistrements à l'arrivée par code QR ;
- la collecte de retours ;
- les quiz ;
- gamification ;
- récompenses ;
- networking ;
- les boutiques événementielles ;
- reporting et analytique ;
- communications par e-mail ;
- domaines personnalisés ;
- intégrations API ;
- support et dépannage ;
- surveillance de la sécurité et prévention de la fraude ;
- fonctions de plateforme liées aux paiements.
Catégories particulières de données à caractère personnel
Le Service n’est pas destiné à exiger des catégories particulières de données à caractère personnel. Le Client ne doit pas soumettre de catégories particulières de données à caractère personnel sauf s’il dispose d’une base légale valable et a configuré les garanties appropriées.
Fréquence du transfert
Continue ou telle qu’initiée par le Client, les utilisateurs, les participants, les intégrations ou les fonctionnalités de la plateforme.
Lieu du traitement
Principalement au sein de l’EEE lorsque cela est raisonnablement disponible. Le traitement peut avoir lieu dans d’autres juridictions sous réserve des garanties de transfert applicables.
Annexe B : Mesures techniques et organisationnelles de sécurité
Chiffrement et sécurité de la transmission
- chiffrement en transit au moyen de protocoles sécurisés lorsqu’ils sont pris en charge ;
- gestion sécurisée des jetons d’authentification et de session ;
- protection contre les risques courants de sécurité web.
Contrôles d’accès
- contrôles d’accès fondés sur les rôles ;
- pratiques d’accès selon le moindre privilège ;
- accès limité au personnel et aux prestataires autorisés ;
- contrôles d’authentification des comptes ;
- contrôles d’autorisations pour les espaces de travail des organisateurs lorsqu’ils sont disponibles.
Journalisation, surveillance et sauvegardes
- journalisation de la sécurité, de l’authentification, des applications et de l’infrastructure ;
- surveillance des événements de sécurité pertinents, des erreurs et de la disponibilité, le cas échéant ;
- procédures de sauvegarde conçues pour soutenir la continuité ;
- protection des sauvegardes contre l’accès non autorisé et la suppression selon le cycle de vie des sauvegardes.
Gestion des vulnérabilités et réponse aux incidents
- processus raisonnables d’examen et de remédiation des vulnérabilités ;
- mises à jour de sécurité et correctifs lorsque cela est approprié ;
- procédures internes de réponse aux incidents et d’escalade ;
- procédures de documentation et de notification des clients en cas de violations de données à caractère personnel.
Contrôles des locataires et résilience
- séparation logique des espaces de travail et des données des clients, le cas échéant ;
- contrôles d’autorisation pour l’accès aux comptes et aux événements ;
- mesures d’infrastructure et opérationnelles conçues pour maintenir la disponibilité ;
- pratiques raisonnables de continuité d’activité.
Bewitt peut mettre à jour les mesures de sécurité de temps à autre afin de refléter l’évolution de la technologie, des menaces, de l’architecture du service et des besoins opérationnels, à condition que le niveau global de protection ne soit pas réduit de manière substantielle.
Annexe C : Catégories actuelles de sous-traitants ultérieurs
| Catégorie | Finalité |
|---|---|
| Fournisseurs d’hébergement cloud et d’infrastructure | Hébergement, stockage, calcul, réseau, base de données et infrastructure de plateforme. |
| Fournisseurs de diffusion de contenu, DNS et sécurité | DNS, mise en cache, filtrage de sécurité, protection DDoS, TLS et performance. |
| Prestataires de paiement | Paiement, statut de paiement, traitement des transactions, prévention de la fraude et reporting des paiements. |
| Fournisseurs d’e-mails et de notifications | Invitations à des événements, e-mails de compte, e-mails transactionnels et notifications. |
| Fournisseurs d’analytique | Analytique d’usage, analytique produit, reporting agrégé et amélioration du service, lorsque ces fonctionnalités sont activées. |
| Fournisseurs de surveillance des erreurs et d’observabilité | Suivi des erreurs, diagnostics, journaux, disponibilité, performance et investigation des incidents. |
| Outils de support client | Tickets de support, communications client, dépannage et assistance liée aux comptes. |
| Fournisseurs de services d’intégration et d’API | Intégrations configurées par le Client, fonctionnalités API et services connectés. |
| Fournisseurs de sauvegarde et de stockage | Sauvegarde, restauration, redondance de stockage et continuité des données. |
| Fournisseurs de services professionnels | Support juridique, comptable, d’audit, de conformité et de sécurité lorsque cela est requis. |
Bewitt tient à jour une Liste publique des sous-traitants ultérieurs identifiant les sous-traitants ultérieurs actuels ou les catégories de sous-traitants ultérieurs et notifiera les ajouts ou remplacements substantiels comme décrit dans le présent DPA.