Skip to main content

Des solutions sur mesure pour vos défis

Demander une démo →
Monétiser votre base de données
Générez des revenus récurrents entre les éditions
Segmenter votre audience
Multipliez par 3 votre conversion grâce à une segmentation avancée
Fidéliser les participants
Passez de 20 % à 60 % de participants récurrents
Communication omnicanale
Email + SMS + WhatsApp unifiés dans un seul CRM
Augmenter la fréquentation
Remplissez votre jauge grâce à des stratégies pilotées par la data
Gagner une portée ciblée
Répliquez vos meilleurs participants en paid media
Gérer plusieurs événements
CRM centralisé pour les promoteurs multi-événements

La plateforme tout-en-un de CRM et marketing

Demander une démo →
Nevent AI
Discutez avec vos données dans Claude et ChatGPT
CRM pour événements
Gérez et segmentez votre audience d'événements
Email Marketing
Campagnes email pilotées par IA qui vendent des billets
SMS Marketing
SMS personnalisés avec 98 % de taux d'ouverture
WhatsApp Marketing
Messages multimédias avec 99 % de taux d'ouverture
Push Marketing
Push notifications avec 90 % de visibilité
Chatbot IA
Répondez à des milliers de participants avec l'IA 24/7
Analytics
Pilotez le chiffre d'affaires et la performance de tous vos événements
Attribution marketing
Découvrez quel canal vend vos billets
Paid Media
Gérez Meta, Google et TikTok Ads
Superapp
Application mobile tout-en-un pour gérer vos événements
Intégrations
Connectez-vous à vos outils favoris

Solutions de CRM et marketing par secteur

Demander une démo →
Festivals
CRM et marketing pour festivals de musique
Salles et clubs
Logiciel pour boîtes de nuit et salles de concert
Promoteurs
Gestion professionnelle multi-événements
Sports
CRM pour clubs et événements sportifs
Spectacles
CRM pour théâtres et productions scéniques
Conférences
CRM pour conférences et événements professionnels

Ressources pour faire grandir vos événements

Demander une démo →
Blog
Articles sur le CRM, le marketing et les événements
Nouveautés produit
Dernières nouveautés et améliorations de la plateforme
Calculateur de revenus
Estimez le potentiel de revenus de votre festival
Programme Partenaires
Rejoignez le programme partenaires de Nevent
Centre d'aide
Guides et documentation pour tirer le meilleur de Nevent
Connect API
Billetterie, cashless et e-commerce envoient leurs données à Nevent
Audience API
Exportez vos données d'audience vers votre BI, paid media ou data warehouse
Presse et médias
Nevent dans les médias
Contact
Demandez des informations ou réservez une démo
🇪🇸ESEspañol🇬🇧ENEnglish🇫🇷FRFrançais
Se connecter Demander une démo

Accord de traitement des données (DPA)

Ce document régit le traitement des données à caractère personnel lorsque Nevent agit en qualité de sous-traitant.
⚠️ Traduction en cours de révision juridique. Cette version française est fournie à titre informatif. La version anglaise prévaut en cas de litige.

Dernière mise à jour : 13 janvier 2024
Version : 1.0
Applicable depuis le : 13 janvier 2024
Hash : 3d65f700ebe85a715dce1359d78194a327a6f577a33ea22e5f59c3eceba32a14

Le présent Accord de traitement des données (le « DPA ») fait partie intégrante du contrat applicable conclu entre Neventech, S.L.Nevent », « nous ») et le client qui souscrit ou utilise les services de Nevent (« Client », « vous ») (le « Contrat »).

Le présent DPA s'applique lorsque Nevent traite des Données à caractère personnel pour le compte du Client afin de fournir les Services.

Si vous n'acceptez pas le présent DPA, vous ne devez pas utiliser les Services.

1. Définitions

Sauf définition expresse dans le présent document, les termes commençant par une majuscule ont la signification qui leur est attribuée dans le Contrat ou dans la Législation sur la protection des données.

  • « Législation sur la protection des données » : RGPD, réglementation espagnole applicable (notamment la Loi Informatique et Libertés (loi n° 78-17 du 6 janvier 1978 modifiée) lorsqu'elle s'applique au Client français, et la LOPDGDD espagnole) et, le cas échéant, le UK GDPR et la réglementation suisse.
  • « Données à caractère personnel », « Traitement », « Responsable du traitement », « Sous-traitant », « Sous-traitant ultérieur », « Violation de données à caractère personnel » : selon la définition du RGPD et de la réglementation équivalente applicable.
  • « Données du Client » : Données à caractère personnel traitées par Nevent pour le compte du Client dans le cadre des Services.
  • « Données de compte » : Données à caractère personnel nécessaires à la création et à la gestion du compte du Client (par ex. utilisateur administrateur, identifiants, données de facturation/contractuelles, contacts de support).
  • « Données agrégées/anonymisées » : données dérivées des Données du Client qui n'identifient aucune personne (ni directement ni indirectement) et qui sont utilisées à des fins d'analytique globale/statistique/amélioration du service.

2. Rôles des Parties et champ d'application

2.1 Nevent en tant que sous-traitant (Données du Client)

S'agissant des Données du Client, le Client agit en qualité de responsable du traitement et Nevent en qualité de sous-traitant.

2.2 Nevent en tant que responsable du traitement (Données de compte)

S'agissant des Données de compte, Nevent peut agir en qualité de responsable du traitement (par ex. gestion des utilisateurs administrateurs, facturation, sécurité, prévention de la fraude). Ces traitements sont régis par la Politique de confidentialité de Nevent et non par le présent DPA.

2.3 Client en tant que sous-traitant

Si le Client agit en qualité de sous-traitant pour le compte d'un tiers (par ex. une marque), Nevent agira en qualité de sous-traitant ultérieur, et le présent DPA s'appliquera en conséquence.

2.4 Articulation avec le Contrat et entités affiliées

Le présent DPA complète le Contrat et, en cas de conflit en matière de protection des données, prévaut sur celui-ci.

Le Client peut conclure le présent DPA au nom de ses entités affiliées qui utilisent les Services. Dans ce cas :

  • Le Client est autorisé à agir au nom desdites entités affiliées.
  • Le Client est désigné comme point de contact principal pour faire respecter les termes du présent DPA au nom de l'ensemble des entités affiliées.
  • Les notifications adressées au Client satisferont aux exigences de notification à l'égard des entités affiliées.
  • Chaque entité affiliée sera responsable de ses propres obligations au titre du présent DPA s'agissant des Données du Client qu'elle traite.

3. Objet, durée, nature et finalités

3.1 Objet

Fourniture des Services conformément au Contrat.

3.2 Durée

Pendant la durée du Contrat et la période de conservation décrite à la section 13.

3.3 Nature et finalités

Telles que décrites à l'Annexe 1 (Détails du traitement).

4. Instructions du Client

4.1 Nevent traitera les Données du Client exclusivement conformément aux instructions documentées du Client, incluant :

  • le présent DPA,
  • le Contrat, et
  • l'utilisation normale des fonctionnalités du Service selon la configuration du Client.

4.2 Toute instruction supplémentaire devra être raisonnable, formulée par écrit, et pourra faire l'objet d'une facturation si elle implique un travail substantiel.

4.3 Si Nevent estime qu'une instruction enfreint la Législation sur la protection des données, elle en informera le Client, sauf interdiction légale.

4.4 Obligation légale : si une norme oblige Nevent à traiter les Données du Client d'une autre manière, Nevent en informera le Client lorsque cela est légalement possible.

5. Confidentialité et personnel autorisé

5.1 Nevent garantit que les personnes autorisées à traiter les Données du Client :

  • sont soumises à des obligations de confidentialité (contractuelles ou légales), et
  • reçoivent une formation raisonnable en matière de sécurité et de confidentialité lorsque cela est approprié.

5.2 Nevent limitera l'accès aux Données du Client conformément au principe du moindre privilège.

6. Mesures de sécurité (art. 32 du RGPD)

6.1 Nevent met en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque.

6.2 Un résumé de ces mesures est décrit à l'Annexe 2 (Mesures de sécurité).

6.3 Nevent peut mettre à jour les mesures de sécurité tout en maintenant un niveau de protection équivalent ou supérieur.

6.4 Sur demande raisonnable du Client, Nevent pourra fournir des informations complémentaires sur les mesures de sécurité, sous réserve de confidentialité.

7. Sous-traitants ultérieurs

7.1 Qu'est-ce qu'un sous-traitant ultérieur

Un sous-traitant ultérieur est un prestataire externe engagé par Nevent qui traite des Données du Client pour le compte de Nevent afin de fournir les Services (par exemple, infrastructure cloud, analytique, messagerie, ou IA lorsque le Client active cette fonctionnalité).

Important : Nevent ne considérera un prestataire comme « sous-traitant ultérieur » que lorsqu'il traite des Données du Client (données à caractère personnel traitées par Nevent au nom du Client). Si un prestataire ne traite que des Données de compte (par ex. facturation, utilisateurs administrateurs), il sera régi par les conditions/politique de confidentialité applicables et non nécessairement par le présent DPA.

7.2 Autorisation générale

Le Client accorde à Nevent une autorisation générale de recourir à des sous-traitants ultérieurs lorsque cela est nécessaire à la fourniture des Services.

7.3 Liste des sous-traitants ultérieurs

Nevent tiendra à jour une liste des sous-traitants ultérieurs à l'Annexe 3 du présent DPA.

Cette liste comprendra, au minimum, le nom, le type de service, la localisation principale du traitement et, le cas échéant, les garanties pour les transferts internationaux.

7.4 Modifications des sous-traitants ultérieurs (notification)

Nevent notifiera au Client les ajouts ou remplacements de sous-traitants ultérieurs par :

  • la mise à jour de la liste, et/ou
  • un avis raisonnable par e-mail et/ou via le tableau de bord.

7.5 Droit d'opposition du Client

Le Client peut s'opposer à un nouveau sous-traitant ultérieur pour des motifs raisonnables liés à la protection des données, en le notifiant par écrit dans un délai de 15 jours à compter de la notification.

En cas d'opposition valable :

  1. Nevent et le Client coopéreront de bonne foi pour proposer une alternative raisonnable.
  2. Si cela n'est pas possible sans impact disproportionné ou sans dégradation substantielle du Service, Nevent pourra :
    • suspendre ou résilier la fonctionnalité/partie du Service concernée, et/ou
    • permettre au Client de résilier la partie concernée conformément au Contrat.

7.6 Obligations contractuelles avec les sous-traitants ultérieurs (« flow-down »)

Nevent signera avec chaque sous-traitant ultérieur un accord écrit imposant des obligations de protection des données au moins aussi protectrices que celles du présent DPA, incluant au minimum :

  • traitement uniquement sur instructions documentées,
  • confidentialité du personnel,
  • mesures techniques et organisationnelles appropriées (art. 32 du RGPD),
  • assistance pour les droits des personnes concernées et la conformité,
  • notification des violations de données à caractère personnel,
  • suppression ou restitution des données à la fin du contrat,
  • audit/preuve raisonnable lorsque cela est approprié.

7.7 Responsabilité concernant les sous-traitants ultérieurs

Nevent demeurera responsable vis-à-vis du Client du respect des obligations de ses sous-traitants ultérieurs dans la mesure exigée par la Législation sur la protection des données.

7.8 Sous-traitants ultérieurs « conditionnels » (fonctionnalités optionnelles)

Certains sous-traitants ultérieurs ne s'appliquent que si le Client active ou utilise des fonctionnalités spécifiques (par exemple, le SMS ou l'IA). Dans ces cas, lesdits prestataires agiront comme sous-traitants ultérieurs uniquement lorsqu'ils traitent des Données du Client pour le compte de Nevent en lien avec cette fonctionnalité.

7.9 Sous-traitants ultérieurs d'urgence

Dans des cas exceptionnels (par exemple, incidents de sécurité, continuité du service ou défaillances critiques), Nevent pourra engager temporairement un sous-traitant ultérieur non répertorié pour restaurer ou maintenir le Service, en le notifiant au Client dans les meilleurs délais raisonnablement possibles et en mettant la liste à jour.

8. Assistance au Client

8.1 Responsabilité exclusive du Client et assistance de Nevent

Le Client a la responsabilité exclusive de répondre aux demandes d'exercice des droits des personnes concernées relatives aux Données du Client, incluant :

  • Droit d'accès
  • Droit de rectification
  • Droit à l'effacement
  • Droit d'opposition
  • Droit à la limitation du traitement
  • Droit à la portabilité
  • Droits relatifs aux décisions automatisées et au profilage (le cas échéant)

Nevent assistera raisonnablement le Client pour répondre à ces demandes au moyen de :

  • Fonctionnalités en libre-service disponibles dans le Service (par ex. export de données, suppression).
  • Assistance technique raisonnable dans le cadre du support standard du Service.

L'assistance sera fournie dans la mesure où elle est applicable aux Services et techniquement possible. Toute assistance supplémentaire au-delà du support standard (par ex. demandes complexes, développements personnalisés) pourra faire l'objet de frais additionnels, qui seront communiqués au Client avec un préavis raisonnable.

8.2 Demandes reçues par Nevent

Si Nevent reçoit une demande directement d'une personne concernée relative aux Données du Client :

  • elle la transmettra au Client sans retard injustifié et sans y répondre de sa propre initiative, sauf obligation légale, et
  • fournira une assistance raisonnable si le Client en fait la demande, conformément à la section 8.1.

8.3 AIPD et consultation préalable

Nevent fournira, de manière raisonnable, les informations nécessaires pour soutenir :

  • les analyses d'impact relatives à la protection des données (AIPD), et
  • les consultations préalables auprès des autorités,

dans la mesure où cela est pertinent pour les Services et sous le contrôle de Nevent.

9. Coopération avec les autorités et réquisitions

9.1 Nevent coopérera raisonnablement avec les autorités de contrôle lorsque cela est nécessaire au respect du DPA et de la Législation sur la protection des données, en tenant compte de son rôle de sous-traitant.

9.2 Si Nevent reçoit une réquisition légale contraignante (par ex. ordonnance judiciaire) concernant les Données du Client, elle en informera le Client lorsque cela est légalement possible et prendra des mesures raisonnables pour limiter la divulgation.

10. Violations de données à caractère personnel (Data Breach)

10.1 Nevent notifiera au Client, sans retard injustifié, toute violation de données à caractère personnel affectant les Données du Client dont elle aurait connaissance.

10.2 La notification comprendra, dans la mesure du possible :

  • la nature de l'incident,
  • les catégories et le volume approximatif de personnes concernées/données affectées,
  • les mesures prises ou proposées,
  • le point de contact,
  • toute autre information raisonnable permettant au Client de remplir ses obligations.

10.3 Nevent coopérera raisonnablement pour enquêter, atténuer et remédier à l'incident, sans préjudice des limitations liées à la sécurité, à la confidentialité ou à une enquête en cours.

10.4 Absence de reconnaissance de responsabilité : La notification d'une violation de données à caractère personnel au titre de la présente section ne constituera pas une reconnaissance de faute ou de responsabilité de la part de Nevent concernant ladite violation.

11. Audit et preuve de conformité (art. 28.3 du RGPD)

11.1 Sur demande raisonnable, Nevent mettra à disposition les informations permettant de démontrer sa conformité, telles que :

  • documentation relative à la sécurité,
  • réponses à des questionnaires raisonnables sur la confidentialité,
  • rapports/certifications de tiers s'ils existent (sans obligation de les obtenir).

11.2 Certifications en lieu et place d'audit : Si le périmètre de l'audit est couvert par une certification ISO 27001, SOC 2 Type II ou toute autre certification de sécurité pertinente en vigueur au cours des 12 derniers mois, le Client acceptera ces conclusions en lieu et place d'un audit sur site.

11.3 Les audits sur site ne seront autorisés que lorsque ce qui précède est insuffisant et qu'il existe un besoin justifié :

  • préavis d'au moins 2 semaines (14 jours calendaires),
  • l'auditeur doit être indépendant, qualifié et non concurrent de Nevent,
  • périmètre limité au traitement des Données du Client,
  • pendant les heures ouvrées,
  • soumis à la confidentialité et aux mesures de sécurité,
  • pas plus d'une fois par an, sauf incident grave ou réquisition d'autorité,
  • les coûts raisonnables sont à la charge du Client, incluant le remboursement du temps du personnel de Nevent à des tarifs raisonnables.

11.4 Nevent peut proposer un audit par un tiers indépendant et fournir les résultats comme alternative équivalente.

12. Transferts internationaux

12.1 Clauses contractuelles types (CCT)

Lorsque les Données du Client sont transférées en dehors de l'EEE/du Royaume-Uni/de la Suisse vers un pays sans décision d'adéquation et que le Data Privacy Framework n'est pas disponible ou applicable selon le champ d'application du RGPD, Nevent appliquera les Clauses contractuelles types (CCT) de l'UE 2021/914, incorporées par référence :

  • Module 2 (Responsable du traitement → Sous-traitant) : Client = Exportateur ; Nevent = Importateur.
  • Module 3 (Sous-traitant → Sous-traitant ultérieur) : si le Client agit en qualité de sous-traitant pour le compte d'un tiers.
  • UK Addendum : si le UK GDPR s'applique, conformément à l'Annexe 5.
  • Swiss Addendum : si la législation suisse s'applique, conformément à l'Annexe 5.

12.2 Data Privacy Framework (DPF)

Nevent s'auto-certifie au titre du Data Privacy Framework (DPF) entre les États-Unis et l'UE/le Royaume-Uni/la Suisse, et respecte ses principes applicables. Le DPF sera utilisé comme mécanisme de transfert lorsqu'il est reconnu comme valable par les autorités compétentes en matière de protection des données.

Le DPF s'applique aux transferts de données à caractère personnel depuis l'EEE, le Royaume-Uni et la Suisse vers les États-Unis lorsque le DPF est reconnu par la législation applicable comme garantie adéquate pour les transferts internationaux.

12.3 Mesures supplémentaires et assistance pour les Data Transfer Impact Assessments

Nevent met en œuvre des mesures techniques, organisationnelles et contractuelles supplémentaires pour les transferts internationaux, telles que décrites à l'Annexe 4.

Nevent fournira une assistance raisonnable au Client pour la réalisation d'analyses d'impact sur les transferts de données (Data Transfer Impact Assessments, DTIA) lorsque cela est nécessaire. Toute assistance supplémentaire au-delà du support standard pourra faire l'objet de frais additionnels, qui seront remboursés par le Client.

13. Restitution et suppression à l'expiration du Contrat

13.1 Export et copie avant résiliation : Si le Client en fait la demande avant la résiliation du Contrat, Nevent fournira une copie de l'ensemble des Données du Client brutes (données à caractère personnel originales fournies au Service) dans un format couramment utilisé et lisible par machine (tel que CSV ou JSON), ou activera des fonctionnalités en libre-service permettant au Client de récupérer ces données. Les données enrichies (scores, prédictions, segmentations automatiques, agrégations) générées par les modèles de Nevent ne sont pas exportables conformément à la section 14.3.

13.2 Période de récupération post-résiliation : À la résiliation du Contrat, le Client pourra exporter les Données du Client brutes au moyen des fonctionnalités en libre-service du Service pendant 30 jours (période de récupération), sauf accord contraire. Les données enrichies cesseront d'être disponibles à la résiliation du Contrat.

13.3 Suppression complète : Dans les 90 jours suivant la résiliation du Contrat, Nevent supprimera ou anonymisera intégralement l'ensemble des Données du Client de tous ses systèmes, sauf :

  • conservation imposée par la loi applicable, ou
  • conservation nécessaire pour des contentieux en cours ou potentiels, ou
  • conservation par les cycles normaux de sauvegarde/journalisation telle que décrite à la section 13.4.

13.4 Sauvegardes : Les copies de sauvegarde peuvent perdurer jusqu'à leur rotation normale au-delà du délai de 90 jours ; tant qu'elles existent, elles resteront protégées conformément au présent DPA et ne seront pas utilisées activement. Nevent n'est pas tenue de supprimer les Données du Client des sauvegardes tant que lesdites copies n'ont pas été éliminées conformément aux cycles de rotation normaux.

14. Données agrégées/anonymisées

14.1 Nevent peut générer et utiliser des Données agrégées/anonymisées à des fins d'analytique globale, d'amélioration du service, de sécurité et de reporting interne, dès lors que ces données n'identifient aucune personne.

14.2 Ces données ne sont pas considérées comme des Données du Client aux fins du présent DPA.

14.3 Propriété intellectuelle et données enrichies :

(a) Propriété de Nevent : Les modèles de machine learning, algorithmes, méthodologies, technologies sous-jacentes, savoir-faire et toute autre propriété intellectuelle développés ou utilisés par Nevent pour générer des données enrichies sont et demeureront la propriété exclusive de Nevent.

(b) Données enrichies du Client : Les données enrichies générées par Nevent (incluant les scores d'engagement, prédictions comportementales, segmentations automatiques, agrégations statistiques et autres insights calculés au moyen des modèles de Nevent) sont la propriété de Nevent et ne sont disponibles pour le Client qu'au sein du Service pendant la durée du Contrat. Le Client peut consulter et utiliser ces données enrichies exclusivement via l'interface du Service pour ses besoins commerciaux internes, mais ne peut pas les exporter, les extraire, les copier ni les transférer hors du Service.

(c) Amélioration du produit grâce à l'apprentissage agrégé : Nevent peut utiliser des schémas agrégés, des statistiques et des apprentissages non identifiables issus de l'utilisation du Service par plusieurs clients pour :

  • Améliorer la précision et la performance de ses modèles et algorithmes.
  • Développer de nouvelles fonctionnalités et capacités analytiques.
  • Proposer des benchmarks et statistiques sectoriels agrégés (sans identifier un Client spécifique).

(d) Restrictions :

  • Le Client ne pourra procéder à de l'ingénierie inverse, décompiler ou tenter d'extraire les modèles, algorithmes ou technologies sous-jacentes de Nevent.
  • Nevent ne vendra, ne concédera sous licence ni ne divulguera les données enrichies individuelles d'un Client à des tiers, sauf si elles sont entièrement anonymisées ou si cela est nécessaire à la fourniture du Service.

(e) Export et résiliation : Le Client peut exporter les Données du Client brutes (données à caractère personnel originales fournies au Service, telles que noms, e-mails, événements d'interaction, achats et autres informations directement fournies par le Client) conformément à la section 13. Les données enrichies (scores, prédictions, segmentations automatiques, agrégations) ne sont pas exportables et cesseront d'être disponibles après la résiliation du Contrat. Nevent conservera sa propriété intellectuelle et pourra continuer à utiliser les apprentissages agrégés obtenus.

15. Obligations du Client

Le Client déclare et garantit que :

  • il dispose d'une base légale valable pour traiter et transférer les Données du Client à Nevent,
  • il a informé les personnes concernées et obtenu les consentements lorsque cela est requis,
  • il n'intègre pas de catégories particulières (art. 9) ni de données relatives à des condamnations pénales (art. 10), sauf accord écrit,
  • il configure et utilise le Service conformément à la Législation sur la protection des données (par ex. cookies, consentement marketing, listes, désinscriptions, etc.).

16. Sécurité côté Client

16.1 Le Client est responsable de :

  • maintenir ses identifiants en sécurité,
  • gérer les accès des utilisateurs administrateurs,
  • configurer correctement les permissions, listes, consentements et segmentations,
  • relire les outputs/automatisations qu'il crée au sein du Service (par ex. règles de segmentation et envois).

17. Responsabilité

17.1 Les limitations et exclusions de responsabilité sont régies par le Contrat, sauf disposition contraire de la loi applicable.

17.2 Aucune stipulation du présent DPA ne limite la responsabilité lorsque celle-ci ne peut être légalement limitée.

18. Ordre de prévalence

En cas de conflit entre le présent DPA et le Contrat en matière de protection des données, le présent DPA prévaut.

19. Modifications du présent DPA

Nous pouvons mettre à jour le présent DPA pour refléter des évolutions juridiques, techniques ou liées au Service. Nous publierons la nouvelle version sur cette page et indiquerons la date de « Dernière mise à jour ».

Lorsque le changement est substantiel, nous ferons des efforts raisonnables pour le notifier (par ex. e-mail ou avis sur le tableau de bord).
L'utilisation continue du Service après l'entrée en vigueur vaut acceptation.

20. Contact

Pour toute question relative à la protection des données : dpo@eritiaprivacidad.com
Adresse : NEVENTECH S.L., Taibo – Carnoedo, 1 – 15169 Sada (A Coruña), Espagne

Annexe 1 — Détails du traitement

Partie 1 — Parties (aux fins des CCT)

Exportateur des données (Responsable du traitement) :

  • Identité : Le Client et ses entités affiliées qui utilisent les Services, situés dans l'Espace économique européen (EEE), au Royaume-Uni, en Suisse ou dans d'autres juridictions auxquelles s'applique le RGPD ou la législation suisse de protection des données.
  • Adresse : Telle que précisée dans le Contrat du Client.
  • Contact : Délégué à la protection des données ou point de contact du Client tel que précisé dans le Contrat.
  • Rôle : Responsable du traitement des Données du Client.

Importateur des données (Sous-traitant) :

  • Identité : NEVENTECH S.L.
  • Adresse : Taibo – Carnoedo, 1 – 15169 Sada (A Coruña), Espagne
  • Contact : dpo@eritiaprivacidad.com
  • Rôle : Sous-traitant des Données du Client ; ou sous-traitant ultérieur lorsque le Client agit en qualité de sous-traitant pour le compte d'un tiers.

Partie 2 — Description du transfert

Fréquence du transfert : Continue, selon la configuration du Service et l'utilisation par le Client.

Services : Nevent (email marketing, CRM/segmentation, analytique, automatisations, notifications et fonctionnalités liées aux événements).

Finalités (exemples) :

  • Gestion de la base de données des participants/utilisateurs.
  • Segmentation et enrichissement des champs de profil (selon la configuration du Client).
  • Envoi de communications (e-mail, push, WhatsApp/SMS le cas échéant).
  • Reporting et analytique de performance.
  • Intégrations billetterie/paiements/cashless (le cas échéant).
  • Support, maintenance, sécurité et prévention de la fraude/des abus.

Nature du traitement : collecte, structuration, conservation, consultation, utilisation, communication/transfert, suppression.

Catégories de personnes concernées :

  • Participants/acheteurs de billets.
  • Abonnés aux communications.
  • Utilisateurs d'applications associées à l'événement.
  • Personnel du Client (utilisateurs administrateurs).

Catégories de données à caractère personnel (exemples) :

  • Identifiants : nom, e-mail, téléphone.
  • Démographiques : ville, province, pays, langue, sexe (le cas échéant).
  • Activité : ouvertures/clics, événements de navigation/app, préférences déclarées.
  • Transactionnels : achats de billets, consommations cashless (si intégré), merchandising (le cas échéant).
  • Identifiants techniques : IP, identifiant d'appareil, cookies/identifiants publicitaires (selon configuration).
  • Données de support : communications avec le support, journaux techniques.

Catégories particulières (art. 9) : non prévues sauf accord exprès.
Données relatives à des condamnations pénales (art. 10) : non prévues sauf accord exprès.

Durée du traitement : durée du Contrat + conservation prévue à la section 13.

Partie 3 — Autorité compétente de protection des données

L'autorité de contrôle compétente dépendra de la localisation de l'Exportateur des données (Client) :

  • Exportateurs de l'Union européenne : L'autorité de protection des données de l'État membre de l'UE dans lequel l'Exportateur est établi (par exemple, la CNIL pour les exportateurs établis en France).
  • Exportateurs hors UE/hors UK avec représentant dans l'UE : L'autorité de protection des données de l'État membre de l'UE dans lequel le représentant de l'Exportateur est établi.
  • Royaume-Uni : Information Commissioner's Office (ICO).
  • Suisse : Federal Data Protection and Information Commissioner (FDPIC).
  • Autres exportateurs non précisés ci-dessus : L'Agence espagnole de protection des données (AEPD) sera l'autorité de contrôle compétente.

Annexe 2 — Mesures de sécurité (résumé)

A) Gouvernance, organisation et politiques

  • Politiques internes de sécurité et de confidentialité.
  • Gestion des risques et revues périodiques.
  • Formation raisonnable du personnel ayant accès aux systèmes.

B) Contrôle des accès

  • Accès par rôles (RBAC) et moindre privilège.
  • Gestion des identifiants et rotation des secrets lorsque cela s'applique.
  • MFA pour les comptes administratifs lorsque cela est possible.

C) Chiffrement

  • Chiffrement en transit (TLS) pour les communications.
  • Chiffrement au repos dans le stockage lorsque cela s'applique.
  • Protection des clés/secrets (par ex. services gérés / vault).

D) Journalisation et supervision

  • Journalisation des événements pertinents.
  • Supervision et alertes.
  • Contrôles raisonnables de détection des abus/de la fraude.

E) Résilience

  • Sauvegardes et procédures de restauration.
  • Plans de continuité/PRA dans la mesure raisonnable pour le Service.

F) Développement sécurisé

  • Environnements séparés (dev/stage/prod) lorsque cela s'applique.
  • Gestion des changements et revues.
  • Gestion des vulnérabilités et des correctifs.

G) Incidents

  • Procédure de réponse aux incidents.
  • Escalade interne et communication au Client conformément à la section 10.

H) Isolation multi-locataire

  • Contrôles logiques pour séparer les données entre clients.
  • Tests/contrôles raisonnables pour éviter les accès croisés.

Annexe 3 — Sous-traitants ultérieurs (Liste)

Dernière mise à jour : 13 janvier 2024

Cette liste identifie les prestataires (« sous-traitants ultérieurs ») que Nevent utilise pour fournir le Service et qui peuvent traiter des Données du Client.

1) Sous-traitants ultérieurs

Sous-traitant ultérieur Service Quand cela s'applique Finalité Données potentiellement traitées Localisation principale Transferts / garanties
Amazon Web Services, Inc. (AWS) Infrastructure cloud (hébergement, stockage, réseaux, services gérés) Toujours Exploitation de la plateforme (serveurs, stockage, sauvegardes, disponibilité et sécurité) Données du Client stockées/traitées par le Service ; métadonnées techniques et journaux UE (Irlande - eu-west-1) CCT ou autres garanties applicables en cas de traitement hors EEE
Google Cloud (Google LLC) Infrastructure cloud Toujours ou selon configuration Opérations techniques nécessaires au Service Données du Client stockées/traitées par le Service ; métadonnées techniques et journaux UE (selon configuration) CCT ou autres garanties applicables en cas de traitement hors EEE
SMS Publi Fournisseur de messagerie SMS Uniquement si le Client active le SMS Envoi et livraison de SMS Numéro de téléphone, contenu du message, métadonnées de livraison (statut, horodatages) Espagne (UE) N/A (prestataire UE)
OpenAI IA générative (API) Uniquement si le Client active les fonctionnalités d'IA (par ex. générateur de modèles) Génération de contenu / assistance Prompts et réponses ; peuvent inclure des données à caractère personnel si elles sont envoyées pour contextualisation États-Unis Transferts internationaux ; garanties selon le DPA/CCT du prestataire
Anthropic (Claude) IA générative (API) Uniquement si le Client active les fonctionnalités d'IA (par ex. générateur de modèles) Génération de contenu / assistance Prompts et réponses ; peuvent inclure des données à caractère personnel si elles sont envoyées pour contextualisation États-Unis Transferts internationaux ; garanties selon le DPA/CCT du prestataire

2) Notes sur l'IA

  • Les fournisseurs d'IA sont considérés comme sous-traitants ultérieurs uniquement lorsqu'ils traitent des Données du Client pour le compte de Nevent (par exemple, génération de modèles avec un contexte incluant des données à caractère personnel).
  • Nevent applique des mesures raisonnables de minimisation afin d'éviter d'envoyer des Données du Client inutiles aux fournisseurs d'IA.
  • Le Client ne doit pas saisir dans les prompts des catégories particulières de données (art. 9 du RGPD) ni des données relatives à des condamnations pénales (art. 10 du RGPD), sauf accord exprès et écrit.

3) Contact

Pour toute question relative aux sous-traitants ultérieurs : dpo@eritiaprivacidad.com

4) Sélection des clauses des CCT (Clauses contractuelles types)

Lorsque les Clauses contractuelles types (CCT) de l'UE 2021/914 s'appliquent conformément à la section 12.1 du DPA, les clauses suivantes sont complétées :

  • Modules appliqués :
    • Module 2 (Responsable du traitement → Sous-traitant) : lorsque le Client agit en qualité de responsable du traitement et Nevent en qualité de sous-traitant.
    • Module 3 (Sous-traitant → Sous-traitant ultérieur) : lorsque le Client agit en qualité de sous-traitant pour le compte d'un tiers et Nevent en qualité de sous-traitant ultérieur.
  • Clause 7 (clause d'adhésion / Docking clause) : Non applicable.
  • Clause 9(a) (Autorisation des sous-traitants ultérieurs) : Option 2 (autorisation générale par écrit) ; période de notification de 15 jours conformément à la section 7.4 du DPA.
  • Clause 11(a) (Résolution des litiges — arbitrage indépendant) : Non applicable.
  • Clause 17 (Droit applicable) : Droit de l'Espagne.
  • Clause 18 (Juridiction) : Tribunaux d'Espagne.
  • Annexes des CCT :
    • Annexe I (Parties et détails du transfert) : Annexe 1 du présent DPA (Parties 1 et 2).
    • Annexe II (Mesures techniques et organisationnelles) : Annexe 2 du présent DPA.
    • Annexe III (Liste des sous-traitants ultérieurs) : Annexe 3 du présent DPA (section 1).

Hiérarchie en cas de conflit : En cas de conflit entre les CCT et le présent DPA, les CCT prévaudront en ce qui concerne les transferts internationaux de données à caractère personnel.

Annexe 4 — Mesures supplémentaires pour les transferts internationaux

La présente annexe décrit les mesures supplémentaires que Nevent met en œuvre pour garantir un niveau de protection substantiellement équivalent à celui prévu au sein de l'EEE, du Royaume-Uni et de la Suisse lorsque des Données du Client sont transférées vers des pays tiers.

1. Mesures techniques

1.1 Chiffrement en transit

  • Chiffrement fort (TLS 1.2 ou supérieur) pour toutes les transmissions de données entre le Client et Nevent.
  • Chiffrement fort pour toutes les transmissions de données entre Nevent et ses sous-traitants ultérieurs.
  • Utilisation d'algorithmes de chiffrement conformes aux standards de l'industrie (par ex. AES-256).

1.2 Chiffrement au repos

  • Chiffrement des bases de données et des stockages contenant des Données du Client.
  • Gestion sécurisée des clés de chiffrement via des services gérés (par ex. AWS KMS, Google Cloud KMS).
  • Séparation logique des données entre clients (multi-locataire sécurisé).

2. Mesures organisationnelles

2.1 Gouvernance interne

  • Politiques internes de gouvernance pour la gestion des transferts internationaux.
  • Formation du personnel sur les procédures de réponse aux demandes d'accès aux données émanant d'autorités publiques.
  • Revue périodique des politiques et procédures relatives aux transferts internationaux.

2.2 Transparence

  • Rapports de transparence périodiques sur les demandes d'accès aux données par les autorités (lorsque la loi locale le permet).
  • Coopération avec les Délégués à la protection des données (DPO) et revue juridique des transferts internationaux.
  • Évaluation périodique de l'adéquation des mesures mises en œuvre.

3. Mesures contractuelles

3.1 Obligations de transparence

Nevent déclare que :

  • Elle n'a pas créé ni maintenu de portes dérobées intentionnelles dans ses systèmes qui permettraient un accès non autorisé aux Données du Client.
  • Elle n'a pas modifié ses processus métier de manière à faciliter l'accès aux Données du Client par les autorités publiques en violation de la Législation sur la protection des données.
  • Aucune obligation légale ou contractuelle en vigueur ne contraint Nevent à maintenir des portes dérobées ou à fournir des clés de chiffrement à des autorités publiques.

3.2 Vérification périodique

  • Nevent vérifie périodiquement la validité des déclarations du questionnaire du DPA.
  • Nevent signalera au Client tout changement substantiel de circonstances affectant les garanties de transfert.

3.3 Demandes des autorités publiques

Lorsque Nevent est légalement tenue de divulguer des Données du Client à des autorités publiques :

  • Nevent informera l'autorité requérante des conflits avec les garanties de transfert du RGPD et les obligations contractuelles envers le Client.
  • Nevent demandera à l'autorité de reconnaître ces conflits et d'envisager des alternatives minimisant l'impact sur les droits des personnes concernées.

3.4 Indemnisation des personnes concernées

Nevent accepte d'indemniser équitablement les personnes concernées pour les dommages matériels et immatériels résultant d'une divulgation non autorisée de leurs données à caractère personnel à des autorités publiques en violation de la Législation sur la protection des données, sous réserve des limitations suivantes :

  • Limité aux dommages reconnus par le RGPD (art. 82).
  • Exclut les dommages consécutifs, le manque à gagner et les dommages indirects.
  • Absence de double indemnisation : si la personne concernée a déjà été indemnisée par le Client ou par une autre voie, aucune indemnisation supplémentaire ne sera due au même titre.

4. Obligations en matière d'accès des autorités publiques

4.1 Notification immédiate avant divulgation

Si Nevent reçoit une demande légalement contraignante de divulgation de Données du Client émanant d'une autorité publique (par ex. ordonnance judiciaire, citation, demande de renseignement) :

  • Nevent notifiera le Client immédiatement et avant de divulguer les données, sauf interdiction légale.
  • La notification comprendra :
    • La description des données demandées.
    • L'identification de l'autorité requérante.
    • La base légale de la demande.
    • La date limite de réponse.
    • La réponse que Nevent propose de fournir.

4.2 Meilleurs efforts pour lever l'interdiction de notification

Si la loi interdit à Nevent de notifier le Client au sujet d'une demande :

  • Nevent mettra en œuvre ses meilleurs efforts pour obtenir une dérogation à cette interdiction.
  • Nevent documentera ces efforts et les mettra à disposition du Client lorsque cela sera légalement possible.

4.3 Contester les demandes illicites

Nevent s'engage à :

  • Contester les demandes d'accès aux données qui sont illicites, disproportionnées ou qui enfreignent la Législation sur la protection des données, lorsque la loi du pays de destination le permet.
  • Épuiser tous les recours procéduraux raisonnables disponibles avant toute divulgation de données.
  • Demander aux autorités de motiver suffisamment leurs demandes et de démontrer leur conformité aux standards de nécessité et de proportionnalité.

4.4 Divulgation minimale nécessaire

Lorsque Nevent est légalement tenue de divulguer des Données du Client après avoir épuisé les recours disponibles :

  • Nevent ne divulguera que les informations strictement minimales nécessaires pour répondre à la demande légale.
  • Nevent ne fournira pas d'accès direct à ses systèmes ni de clés de chiffrement, sauf décision judiciaire spécifique l'exigeant.

4.5 Traitement spécifique des demandes de surveillance de masse

Pour les demandes formulées au titre de lois de surveillance de masse (par ex. FISA 702, Executive Order 12333 des États-Unis ou équivalents) :

  • Nevent suivra des procédures spéciales pour minimiser l'accès aux Données du Client.
  • Nevent notifiera le Client dès que cela est légalement possible.
  • Nevent fournira des informations agrégées sur ces demandes dans ses rapports de transparence lorsque la loi le permettra.

4.6 Registres et audit

  • Nevent tiendra des registres de toutes les demandes d'accès aux données émanant d'autorités publiques pendant la durée du Contrat.
  • Ces registres seront mis à disposition des autorités de contrôle compétentes si elles l'exigent.
  • Nevent fournira au Client des informations raisonnables sur le volume et la nature des demandes reçues (sans violer les ordres de confidentialité).

5. Revue et actualisation continues

Nevent reverra et actualisera ces mesures supplémentaires de manière périodique (au moins annuellement) pour :

  • S'assurer qu'elles restent appropriées et efficaces.
  • Refléter les évolutions de la jurisprudence, les orientations des autorités de contrôle ou les évolutions techniques.
  • Répondre aux menaces émergentes ou aux faiblesses identifiées.

Toute modification substantielle sera notifiée au Client conformément à la section 19 du DPA.

Annexe 5 — Addendums pour le Royaume-Uni et la Suisse

Section 1 : UK Addendum

Si le UK GDPR s'applique, le UK Addendum (International Data Transfer Addendum to the EU Commission Standard Contractual Clauses, version B.1.0, UK Information Commissioner, 2 février 2022) est automatiquement incorporé en complément des CCT pour les transferts depuis le Royaume-Uni.

Le UK Addendum modifie les CCT conformément aux Mandatory Requirements (Section 18). Les Parties sont celles précisées à l'Annexe 1 du présent DPA. Les Modules et Clauses sont ceux décrits à la section 12.1 du DPA avec les modifications du UK Addendum.

En cas de conflit entre les CCT et le UK Addendum, le UK Addendum prévaut pour les transferts depuis le Royaume-Uni.

Section 2 : Swiss Addendum

Si la législation suisse de protection des données s'applique (Federal Data Protection Act de 1992 et son Ordonnance d'application de 1993, ou leurs versions révisées), les CCT seront interprétées avec les adaptations suivantes :

  • Les références au « RGPD » ou à la « réglementation de l'UE » sont remplacées par « législation suisse de protection des données ».
  • L'autorité de contrôle compétente est le Federal Data Protection and Information Commissioner (FDPIC) de Suisse.
  • Les tribunaux compétents sont les tribunaux suisses.
  • Jusqu'à l'entrée en vigueur de la révision de la loi suisse : les personnes morales bénéficient de la même protection que les personnes physiques.

Lorsque le RGPD et la législation suisse s'appliquent simultanément : le présent DPA s'appliquera dans son intégralité, puis les adaptations suisses s'appliqueront sans modifier la Clause 17 des CCT (droit applicable).

En cas de conflit, la garantie offrant une protection supérieure aux personnes concernées prévaudra.

Annexe 6 — Addendum relatif aux lois américaines de protection des données

La présente annexe s'applique lorsque le traitement des Données du Client est soumis à des lois fédérales ou étatiques de protection des données des États-Unis, notamment mais sans s'y limiter :

  • California Consumer Privacy Act (CCPA) / California Privacy Rights Act (CPRA)
  • Virginia Consumer Data Protection Act (VCDPA)
  • Colorado Privacy Act (CPA)
  • Connecticut Data Privacy Act (CTDPA)
  • Utah Consumer Privacy Act (UCPA)
  • Toutes autres lois étatiques ou fédérales de protection des données applicables

1. Interdictions applicables à Nevent

S'agissant du traitement des Données du Client soumises aux lois de protection des données des États-Unis, il est interdit à Nevent de :

1.1 Vente des Données du Client

Nevent ne vendra pas les Données du Client ni ne les divulguera à des tiers en échange d'une contrepartie monétaire ou d'une valeur, au sens des lois américaines applicables de protection des données.

1.2 Publicité comportementale inter-contextes (Cross-Context Behavioral Advertising)

Nevent ne partagera pas les Données du Client avec des tiers à des fins de publicité comportementale ciblée fondée sur l'activité du consommateur à travers différentes entreprises, sites web, applications ou services, sauf si le Client a expressément donné instruction d'un tel usage conformément à la loi applicable.

1.3 Limitation des finalités

Nevent ne conservera, n'utilisera ni ne divulguera les Données du Client que pour :

  • Les finalités commerciales spécifiques décrites dans le Contrat et à l'Annexe 1 du présent DPA.
  • Toute autre finalité autorisée par les lois américaines applicables de protection des données ne nécessitant pas le consentement du consommateur.

1.4 Limitation de la relation

Nevent n'utilisera pas les Données du Client en dehors du contexte de la relation commerciale directe entre Nevent et le Client, sauf autorisation des lois américaines applicables de protection des données.

1.5 Combinaison de données

Nevent ne combinera pas les Données du Client avec des données à caractère personnel reçues d'autres sources ou issues de ses propres interactions avec les consommateurs, sauf lorsque :

  • Le Client en a expressément donné instruction.
  • Cela est nécessaire à la fourniture des Services au Client.
  • Cela est autorisé par les lois américaines applicables de protection des données sans consentement additionnel.

2. Droits des consommateurs au titre des lois américaines

Nevent assistera raisonnablement le Client pour répondre aux demandes d'exercice des droits des consommateurs au titre des lois américaines, incluant :

  • Droit d'accès (right to know)
  • Droit de rectification
  • Droit à l'effacement
  • Droit à la portabilité
  • Droit d'opposition (opt-out) à la vente ou à la publicité ciblée
  • Droit de limiter l'utilisation des données sensibles

L'assistance sera fournie conformément à la section 8 du DPA, avec des fonctionnalités en libre-service lorsqu'elles sont disponibles.

3. Certification et conformité

Nevent certifie que :

  • Elle comprend les restrictions imposées par la présente annexe.
  • Elle respectera les obligations applicables au titre des lois américaines de protection des données.
  • Elle notifiera le Client si elle constate qu'elle ne peut pas respecter ses obligations au titre de la présente annexe.

4. Audit et preuve de conformité

Le Client a le droit de demander une preuve raisonnable du respect par Nevent de la présente annexe, conformément à la section 11 du DPA.

5. Sous-traitants ultérieurs

Lorsque Nevent engagera des sous-traitants ultérieurs qui traiteront des Données du Client soumises aux lois américaines, Nevent leur imposera des obligations contractuelles équivalentes à celles de la présente annexe, conformément à la section 7.6 du DPA.

6. Résiliation pour manquement

Si Nevent manque substantiellement aux obligations de la présente annexe et ne remédie pas au manquement dans un délai raisonnable après notification du Client, le Client pourra :

  • Demander la suppression immédiate des Données du Client concernées, et/ou
  • Résilier le Contrat en ce qui concerne le traitement des données soumises aux lois américaines, conformément aux conditions du Contrat.