Accord de traitement des données

Cet Accord de traitement des données (« DPA ») est conclu entre l'organisateur d'événements (« Responsable du traitement », « vous ») et ChetsApp UG, exploitant la plateforme EventMann (« Sous-traitant », « nous »). Ce DPA complète l'Accord organisateur et les Conditions d'utilisation.

Les définitions suivantes s'appliquent dans l'ensemble de ce DPA :

• Responsable du traitement : L'organisateur d'événements qui détermine les finalités et les moyens du traitement des données personnelles des participants. Lorsque vous créez des événements et collectez des informations sur les participants via EventMann, vous êtes le Responsable du traitement.
• Sous-traitant : ChetsApp UG (EventMann), qui traite les données personnelles pour le compte du Responsable du traitement dans le cadre de la fourniture des services de la plateforme EventMann.
• Personne concernée : Une personne physique identifiée ou identifiable dont les données personnelles sont traitées. Dans le contexte d'EventMann, les Personnes concernées sont principalement les participants aux événements.
• Données personnelles : Toute information se rapportant à une Personne concernée, y compris les noms, adresses e-mail, informations de réservation et réponses aux questions personnalisées de paiement.
• Traitement : Toute opération effectuée sur des données personnelles, y compris la collecte, le stockage, la récupération, l'utilisation, la divulgation, la combinaison, l'effacement ou la destruction.
• Sous-traitant ultérieur : Un tiers engagé par le Sous-traitant pour traiter des données personnelles pour le compte du Responsable du traitement.

Ce DPA s'applique à tout traitement de données personnelles que ChetsApp UG effectue pour le compte du Responsable du traitement dans le cadre de la plateforme EventMann. Le Sous-traitant ne traite les données personnelles que sur instructions documentées du Responsable du traitement, sauf lorsque le traitement est requis par le droit de l'UE ou d'un État membre.

Le traitement couvert par ce DPA comprend :

• Le stockage et la gestion des données d'inscription et de réservation des participants
• Le traitement des achats de billets et des transactions de paiement (en conjonction avec Stripe)
• L'envoi d'e-mails transactionnels pour le compte du Responsable du traitement (confirmations de réservation, livraison de billets, mises à jour d'événements)
• La génération de rapports et d'analyses basés sur les données des participants et des réservations
• La facilitation des processus de contrôle d'entrée par validation de codes QR
• Le stockage et la livraison des réponses aux questions personnalisées de paiement définies par le Responsable du traitement

Le Sous-traitant ne traite les données personnelles à aucune autre fin que la fourniture des services de la plateforme EventMann tels que décrits dans ce DPA et l'Accord organisateur, sauf instruction explicite du Responsable du traitement ou obligation légale applicable.

Les catégories de données personnelles suivantes sont traitées dans le cadre de ce DPA :

Données d'identification des participants :

• Nom complet
• Adresse e-mail
• Numéro de téléphone (si fourni ou requis par le Responsable du traitement)

Données de réservation et de transaction :

• Numéros de référence de réservation
• Type et quantité de billets
• Date et heure d'achat
• Statut de paiement (confirmé, en attente, remboursé)
• Informations partielles de paiement (4 derniers chiffres de la carte, marque de la carte — reçues de Stripe)

Champs de données personnalisés :

• Réponses aux questions personnalisées de paiement définies par le Responsable du traitement (par ex., exigences alimentaires, nom de l'entreprise, besoins d'accessibilité)

Données techniques :

• Adresse IP au moment de la réservation
• Informations sur le navigateur et l'appareil
• Horodatages de contrôle d'entrée par code QR

Catégories spéciales de données : Le Sous-traitant ne collecte ni ne traite intentionnellement de catégories spéciales de données personnelles (par ex., données de santé, données biométriques, convictions religieuses). Si le Responsable du traitement configure des questions personnalisées de paiement qui suscitent de telles données, le Responsable du traitement est seul responsable de s'assurer d'une base juridique appropriée et de garanties adéquates.

Les données personnelles sont traitées exclusivement aux finalités suivantes :

• Exécution du contrat : Traitement des réservations, émission de billets, facilitation des paiements et gestion de la participation aux événements — le tout au service du contrat entre le Responsable du traitement (Organisateur) et la Personne concernée (Participant).
• Communication : Envoi d'e-mails transactionnels incluant les confirmations de réservation, la livraison de billets, les mises à jour d'événements et les avis d'annulation pour le compte du Responsable du traitement.
• Gestion d'événements : Activation de la fonctionnalité de contrôle d'entrée, gestion des listes de participants, traitement des demandes de remboursement et facilitation des transferts de billets selon la configuration du Responsable du traitement.
• Rapports : Génération de rapports agrégés et individuels sur les ventes de billets, la participation, les revenus et d'autres indicateurs pour les besoins de gestion d'événements du Responsable du traitement.
• Exploitation de la plateforme : Maintien de la sécurité, de la disponibilité et des performances de la plateforme EventMann, y compris la détection de fraude, la prévention des abus et le dépannage technique.

Le Sous-traitant n'utilise pas les données personnelles à ses propres fins marketing, de profilage ou à toute fin non liée à la fourniture des services de la plateforme EventMann. Les données anonymisées et agrégées qui ne peuvent être reliées à des Personnes concernées individuelles peuvent être utilisées par le Sous-traitant pour l'amélioration de la plateforme et l'analyse statistique.

Le Responsable du traitement autorise le Sous-traitant à engager les sous-traitants ultérieurs suivants aux fins décrites dans ce DPA :

• Stripe, Inc. — Traitement des paiements, gestion des transactions et facilitation des paiements. Stripe traite les données de carte de paiement directement et est indépendamment certifié PCI-DSS Niveau 1. Les conditions de traitement des données de Stripe s'appliquent à leur gestion des données de paiement. Localisation : États-Unis, avec capacités de traitement des données dans l'UE.
• Fournisseur d'hébergement : Hébergement d'infrastructure et stockage de données pour la plateforme EventMann. Toutes les données primaires sont hébergées au sein de l'Union européenne (Allemagne). Le fournisseur d'hébergement traite les données personnelles uniquement dans le but de fournir des services d'infrastructure et est lié par un accord de traitement des données avec ChetsApp UG.

Le Sous-traitant informera le Responsable du traitement avant d'ajouter ou de remplacer tout sous-traitant ultérieur. Le Responsable du traitement peut s'opposer à un nouveau sous-traitant ultérieur dans les 14 jours suivant la notification. Si le Responsable du traitement s'y oppose et que les parties ne parviennent pas à une résolution, le Responsable du traitement peut résilier les services concernés.

Le Sous-traitant s'assure que tous les sous-traitants ultérieurs sont liés par des obligations de protection des données au moins aussi protectrices que celles énoncées dans ce DPA. Le Sous-traitant reste pleinement responsable envers le Responsable du traitement des actes et omissions de ses sous-traitants ultérieurs.

Le Sous-traitant met en œuvre les mesures techniques et organisationnelles suivantes pour protéger les données personnelles, conformément à l'article 32 du RGPD :

Mesures techniques :

• Chiffrement en transit utilisant TLS 1.3 pour toutes les communications de données
• Chiffrement au repos pour les bases de données contenant des données personnelles
• Hachage sécurisé des mots de passe utilisant bcrypt avec des facteurs de coût appropriés
• Contrôle d'accès basé sur les rôles (RBAC) avec des permissions granulaires limitant l'accès aux données personnelles
• Limitation de débit et protection contre les attaques par force brute sur les points d'authentification
• Analyse automatisée des vulnérabilités et mises à jour des dépendances
• Correctifs de sécurité et mises à jour système réguliers

Mesures organisationnelles :

• L'accès aux données personnelles est limité au personnel autorisé selon le principe du besoin de savoir
• Tout le personnel ayant accès aux données personnelles est tenu par des obligations de confidentialité
• Journalisation d'audit de tous les accès et modifications des données personnelles
• Procédures de réponse aux incidents pour les événements de sécurité et les violations de données
• Examen et test réguliers des mesures de sécurité
• Analyses d'impact sur la protection des données pour les activités de traitement à haut risque

Ces mesures sont examinées et mises à jour périodiquement pour refléter les changements technologiques, les menaces et les exigences réglementaires. Le Responsable du traitement peut demander des informations sur des mesures de sécurité spécifiques à tout moment.

Le Sous-traitant assiste le Responsable du traitement dans l'accomplissement de ses obligations de répondre aux demandes des Personnes concernées au titre des articles 15 à 22 du RGPD, notamment :

• Droit d'accès (Art. 15) : Le Sous-traitant fournit au Responsable du traitement la possibilité d'exporter les données des participants dans un format structuré, couramment utilisé et lisible par machine.
• Droit de rectification (Art. 16) : Le Sous-traitant permet au Responsable du traitement de corriger les données personnelles inexactes via les fonctionnalités de gestion des participants de la plateforme.
• Droit à l'effacement (Art. 17) : Sur demande du Responsable du traitement, le Sous-traitant supprime les données personnelles de Personnes concernées spécifiques, sauf lorsque la conservation est requise par la loi (par ex., dossiers financiers en vertu du droit commercial allemand).
• Droit à la limitation (Art. 18) : Le Sous-traitant soutient le Responsable du traitement dans la limitation du traitement des données personnelles lorsque la Personne concernée conteste l'exactitude ou s'oppose au traitement.
• Droit à la portabilité des données (Art. 20) : Le Sous-traitant fournit une fonctionnalité d'export de données aux formats CSV et JSON pour faciliter la portabilité.
• Droit d'opposition (Art. 21) : Le Responsable du traitement est responsable du traitement des oppositions au traitement et de l'instruction du Sous-traitant en conséquence.

Si le Sous-traitant reçoit une demande directement d'une Personne concernée, le Sous-traitant en informe rapidement le Responsable du traitement et ne répond pas directement à la demande sauf s'il y est autorisé par le Responsable du traitement ou si la loi l'exige.

En cas de violation de données personnelles, le Sous-traitant notifie le Responsable du traitement sans retard injustifié et en tout état de cause dans les 72 heures suivant la prise de connaissance de la violation. Ce délai est conforme à l'obligation du Responsable du traitement de notifier l'autorité de contrôle en vertu de l'article 33 du RGPD.

La notification de violation comprend, dans la mesure du possible :

• Une description de la nature de la violation, y compris les catégories et le nombre approximatif de Personnes concernées et d'enregistrements affectés
• Le nom et les coordonnées du point de contact pour la protection des données du Sous-traitant
• Une description des conséquences probables de la violation
• Une description des mesures prises ou proposées pour remédier à la violation et en atténuer les effets

Le Sous-traitant coopère pleinement avec le Responsable du traitement dans l'investigation et la remédiation de la violation, notamment :

• Fournir des informations supplémentaires dès qu'elles deviennent disponibles
• Prendre des mesures immédiates pour contenir la violation et empêcher tout accès non autorisé supplémentaire
• Assister le Responsable du traitement dans les notifications aux Personnes concernées lorsque requis par l'article 34 du RGPD
• Préserver les preuves et les journaux pertinents pour l'investigation de la violation

Le Sous-traitant documente toutes les violations de données personnelles, y compris les faits, les effets et les mesures correctives prises, que la notification à l'autorité de contrôle soit requise ou non.

À la résiliation de l'Accord organisateur ou sur demande écrite du Responsable du traitement, le Sous-traitant doit :

• Restituer les données : Fournir au Responsable du traitement un export complet de toutes les données personnelles traitées pour son compte, dans un format structuré, couramment utilisé et lisible par machine (CSV ou JSON).
• Supprimer les données : Supprimer toutes les données personnelles des systèmes du Sous-traitant dans les 30 jours suivant la réception de la demande de restitution ou à la résiliation de l'accord, selon la première occurrence.
• Confirmer la suppression : Fournir une confirmation écrite de la suppression des données sur demande du Responsable du traitement.

Exceptions à la suppression : Le Sous-traitant peut conserver des données personnelles au-delà du délai de suppression lorsque le droit applicable l'exige, notamment :

• Dossiers de transactions financières requis par le droit commercial allemand (HGB §257) — conservés jusqu'à 10 ans
• Dossiers pertinents pour la fiscalité requis par le Code fiscal allemand (AO §147) — conservés jusqu'à 10 ans
• Données nécessaires à l'établissement, l'exercice ou la défense de droits en justice

Lorsque les données sont conservées en vertu d'une obligation légale, elles sont exclues de tout traitement ultérieur et protégées par des mesures de sécurité appropriées. Le Sous-traitant informe le Responsable du traitement de toute obligation légale de conservation qui empêche une suppression complète.

Les copies de sauvegarde contenant des données personnelles sont écrasées par le cycle normal de rotation des sauvegardes, qui ne dépasse pas 90 jours.

Cet Accord de traitement des données est régi par et interprété conformément aux dispositions du Règlement général sur la protection des données de l'UE (Règlement (UE) 2016/679), en particulier l'article 28, qui définit les exigences relatives aux accords de traitement des données entre responsables du traitement et sous-traitants.

Dans la mesure où le RGPD ne traite pas d'une question particulière, ce DPA est régi par les lois de la République fédérale d'Allemagne, y compris la Loi fédérale sur la protection des données (BDSG). Tout litige découlant de ce DPA sera soumis à la juridiction exclusive des tribunaux de Munich (München), Allemagne.

Si une disposition de ce DPA est jugée invalide ou inapplicable, les dispositions restantes restent pleinement en vigueur. La disposition invalide sera remplacée par une disposition valide qui atteint l'objectif initial aussi fidèlement que possible.

Ce DPA prend effet à la date à laquelle le Responsable du traitement crée un compte organisateur sur EventMann et reste en vigueur pendant la durée de l'Accord organisateur plus toutes les périodes de conservation des données applicables. Ce DPA peut être modifié par le Sous-traitant avec un préavis de 30 jours au Responsable du traitement. L'utilisation continue de la plateforme après la période de préavis constitue l'acceptation des conditions modifiées.

ChetsApp UG
Pecserstr 55, 70736 Fellbach, Allemagne