Accord de sous-traitance de données Eventtia

Le présent accord de traitement des données (« Accord ») est conclu entre Eventtia, constituée aux États-Unis en qualité de Sous-traitant (« Sous-traitant »), et le Client, en qualité de Responsable du traitement des données (« Responsable du traitement »), dans le cadre de la fourniture de services de gestion d'événements par Eventtia.

1. Objet et portée

Eventtia est autorisée à traiter les données personnelles uniquement aux fins de la fourniture des services suivants :

  • Fourniture d'une plateforme de gestion d'événements ;
  • Collecte, stockage et gestion des données personnelles des participants à l'événement ;
  • Communication aux participants ;
  • Activités de support et de maintenance nécessaires au fonctionnement de la plateforme.

Types de données personnelles traitées : Données d'identification, données de contact, réponses aux questionnaires, commentaires et données de connexion.

Catégories de personnes concernées : les personnes participant aux événements du Client.

Durée : pour la durée du contrat de service sous-jacent, sauf disposition légale contraire.

2. Obligations générales d'Eventtia

Eventtia doit :

  • Traiter les données personnelles uniquement conformément aux instructions documentées du responsable du traitement ;
  • S'assurer que le personnel autorisé est tenu à la confidentialité et formé à la protection des données ;
  • Mettre en œuvre des mesures de sécurité techniques et organisationnelles appropriées ;
  • Assister le responsable du traitement des demandes relatives aux droits des personnes concernées et aux obligations réglementaires, le cas échéant ;
  • Notifier le responsable du traitement de toute violation de données personnelles dans un délai de 72 heures.

3. Sous-processeurs

Eventtia peut faire appel à des ressources, des filiales ou des sous-traitants indépendants situés principalement en France, Espagne, Colombie, Mexique et Madagascar, ainsi que les fournisseurs de services tiers (par exemple, l'hébergement, le routage des e-mails, l'analyse et le support technique).

Eventtia tiendra à jour une liste de ses sous-traitants. Le responsable du traitement peut s'opposer à la nomination d'un nouveau sous-traitant avec une notification faite dans les 15 jours, à condition que l'objection soit raisonnable. Eventtia s'assurera que tous les sous-traitants sont soumis à des obligations de protection des données équivalentes à celles du présent accord.

4. Transferts internationaux de données

Les données personnelles traitées dans le cadre du présent accord peuvent être consultées par les ressources d’Eventtia ou par ses sous-traitants situés dans différentes juridictions, selon les besoins de la prestation de services.

  • Eventtia veille à ce que tout transfert international de données personnelles soit effectué avec les garanties appropriées pour protéger la confidentialité, l'intégrité et la disponibilité des données.
  • Eventtia s'engage à respecter les principes internationaux généralement acceptés en matière de protection de la vie privée, notamment ceux énoncés dans les Principes directeurs de l'OCDE relatifs à la protection de la vie privée, le Cadre de protection de la vie privée de l'APEC et les principes fondamentaux du Règlement général sur la protection des données (RGPD) de l'UE.

5. Mesures de sécurité

Eventtia mettra en œuvre, au minimum, les mesures suivantes :

  • Chiffrement des données en transit et au repos ;
  • Installations sécurisées pour l'hébergement de données ;
  • Tests d'intrusion réguliers, analyses de vulnérabilité et surveillance ;
  • Stockage des mots de passe chiffrés ;
  • Procédures de gestion des changements et de revue de code ;
  • Mesures de reprise après sinistre garantissant le rétablissement de l'accès dans les 24 heures.

6. Assistance et audit

Eventtia fournira la documentation nécessaire pour démontrer sa conformité. Le contrôleur peut demander un audit une fois par an, à ses propres frais, limité au sujet de la protection des données.

7. Résiliation et restitution des données

À la résiliation du contrat sous-jacent, Eventtia devra, au choix du Contrôleur :

  • Renvoyer toutes les données personnelles dans un format couramment utilisé ; ou
  • Détruire toutes les données personnelles (à l'exception des données anonymisées conservées à des fins statistiques).
  • Eventtia fournira une confirmation écrite de la destruction.

8. Droit applicable

Le présent accord sera interprété conformément aux lois sur la protection des données et la confidentialité applicables dans les juridictions où les services sont fournis, y compris, mais sans s'y limiter, les lois des États-Unis, de l'Union européenne, du Canada et de l'Amérique latine.