Eventbrite

Pages d'aide

Addendum sur le traitement des données (ATD) pour les Processeurs et les Sous-processeurs

Dernière mise à jour : 25 août 2021. Pour obtenir plus de renseignements sur les termes juridiques d'Eventbrite, cliquez ici.

En este artículo

  • Aperçu.
  • 1. Définitions.
  • 2. Fonction des Parties et nature des Données personnelles
  • 3. Conformité du Vendeur.
  • 4. Transferts internationaux de données.
  • 5. Garanties supplémentaires pour le Transfert et le Traitement de Données personnelles en provenance de l'EEE, de la Suisse et du Royaume-Uni.  
  • 6. Confidentialité et sécurité
  • 7. Sous-traitement de données.
  • 8. Coopération et Droits des personnes concernées.
  • 9. Audit.
  • 10. Violation des données.
  • 11. Suppression ou Retour des Données.
  • 12. Indemnisation.
  • 13. Divers.

Aperçu.

Le présent Addenda sur le Traitement des données (« ATD ») doit régir tous les services fournis à Eventbrite, Inc. et ses Affiliés (« Eventbrite ») par vous (« Vous », « Vos », ou « Vendeur ») en tant que Sous-traitant ou Sous-traitant ultérieur (conformément à ce qui est défini ci-dessous) (les « Services »). Vous et Eventbrite devez être tous les deux nommés dans le présent document individuellement en tant que « Partie » et collectivement en tant que « Parties ». Ces suppléments à l'ATD, sont incorporés dans, et resteront en vigueur jusqu'au terme de tout accord entre les Parties, y compris mais sans se limiter à tout accord exécuté ou accepté via un clic ou, le cas échéant, les Conditions générales d'utilisation de l'API d'Eventbrite (« l'Accord »), la durée des Services, ou le traitement des Données d'Eventbrite, en retenant la dernière échéance (le « Terme »). Sans limiter la généralité de ce qui précède, l’objet, la nature et les fins du traitement en vertu du présent ATD sont la fourniture des services conformément à l’Accord, et les catégories de données personnelles ainsi que les catégories de personnes concernées sont celles prérequises pour fournir les Services dans le cadre de l'Accord tel que décrit intégralement dans ce dernier.

1. Définitions.

Les principaux termes utilisés mais non définis dans le présent ATD auront les mêmes définitions que celles mentionnées dans l'Accord, le cas échant. Aux fins du présent ATD :

1.1 « Affilié(s) » désigne toute personne ou entité qui contrôle, est contrôlée par, ou est sous contrôle commun de ladite entité, à la date d'entrée en vigueur de l'Accord ou ultérieurement. Aux fins du présent ATD, « contrôle » désigne la propriété ou le contrôle, direct ou indirect, de plus de 20 % des actions émises et assorties du droit de vote d'une entité ou dans le cas contraire, le pouvoir d'orienter la direction et les politiques.

1.2  « Lois en vigueur sur la protection de la vie privée » désigne toutes les lois et tous les règlements en vigueur sur la vie privée et la protection des données partout dans le monde, y compris, le cas échéant, le Règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des Données personnelles et à la libre circulation desdites données (Règlement général sur la protection des données) (« RGPD »), la Directive 2002/58/CE sur la confidentialité et les communications électroniques (dans tous les cas, conformément à ce qui est modifié, annulé ou remplacé) et la Loi californienne sur la protection de la vie privée des consommateurs, code civil de Californie § 1798.100 et suivants et ses règlements d'application (« CCPA »).

1.3  « Responsable du traitement de données » désigne la personne physique ou morale ou l'entité juridique qui détermine les fins et les moyens de traitement de Données personnelles. Le Responsable du traitement de données est également une « Entreprise » conformément à ce qui est définit dans la CCPA.

1.4 « Violation des données » désigne une violation de la sécurité conduisant à la destruction illégale ou accidentelle, ou la perte accidentelle, à la modification, à la divulgation ou à l'accès non autorisé(e) et à toute autre forme illégale de traitement de Données d'Eventbrite.

1.5 « Données d'Eventbrite » désigne toutes les données y compris les Données personnelles qui sont fournies au Vendeur, ou collectées autrement et/ou accessibles par le Vendeur au nom d'Eventbrite et/ou ses Affiliés pour la livraison des Services dans le cadre de l'Accord. Toutes les Données Eventbrite qui sont des Données personnelles sont nommées dans le présent document les « Données personnelles d'Eventbrite ».

1.6 « Nouvelles CCT de l'UE » désigne les Clauses contractuelles types émises en vertu de la Décision de mise en œuvre de la Commission (UE) 2021/914 du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données personnelles à des pays tiers, en vertu du Règlement (UE) 2016/679 du Parlement européen et du Conseil.

1.7 « Anciennes CCT de l'UE » désigne les clauses contractuelles types émises en vertu de la Décision de la Commission de l'UE du 5 février 2010 relative aux clause contractuelles types pour le transfert de données personnelles à des sous-traitants de données établis dans des pays tiers en vertu de la Directive 95/46/CE du Parlement européen et du Conseil (disponible à la date d'entrée en vigueur sur : http://data.europa.eu/eli/dec/2010/87/2016-12-17)).

1.8« Données personnelles » désigne toutes les informations associées à une personne physique identifiée ou identifiable ; une personne identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification, ou à un ou plusieurs facteurs spécifiques à son identité physique, psychologique, mentale, économique, culturelle ou sociale.

1.9 « Principes du Bouclier de protection » désigne les Principes cadres du Bouclier de protection (conformément à ce qui a été complété par les Principes complémentaires) contenus dans l'Annexe II de la Décision de la Commission européenne du 12 juillet 2016 en vertu de la Directive 95/46/CE du Parlement européen et du Conseil sur l'adéquation de la protection fournie par le Bouclier de protection (conformément aux éventuelles modifications, annulations ou remplacements), dont les détails sont disponibles sur www.privacyshield.gov/eu-us-framework.

1.10 « Sous-traitant de données » désigne une entité qui traite des Données personnelles pour le compte et conformément aux instructions d'un Responsable du traitement de données.

1.11 « Sous-traitant ultérieur de données » désigne une entité engagée par un Sous-traitant de Données personnelles exclusivement destinées aux activités de traitement à effectuer dans le cadre des Services.

1.12 « Vendeur » désigne la personne ou l'entité qui a conclu l'Accord avec Eventbrite.

2. Fonction des Parties et nature des Données personnelles

2.1 Aux fins du présent ATD, Eventbrite peut agir en tant que Responsable du traitement de données ou en tant que Sous-traitant de données de l'un de ses clients. Par conséquent, le Vendeur reconnaît qu'il peut agir en tant que Sous-traitant ou Sous-traitant ultérieur de données d'Eventbrite. Si Eventbrite agit en tant que Sous-traitant de données, Eventbrite est tenu par contrat et/ou conformément aux lois en vigueur sur la protection de la vie privée de transférer certaines obligations relatives à la protection des données à ses Sous-traitants ultérieurs de données désignés. Par conséquent, toutes les obligations confiées aux Sous-traitants de données dans le présent ATD doivent s'appliquer au Vendeur indépendamment du fait que le Vendeur agit en tant que Sous-traitant ou Sous-traitant ultérieur de données.

2.2 La nature, l'objectif et les thèmes abordés des activités de traitement des données du Vendeur effectuées dans le cadre des Services sont définis dans l'Accord. Les Données personnelles pouvant être traitées peuvent se rapporter aux organisateurs d'événements, aux participants, aux salariés, aux prestataires de services et aux contrats et peuvent inclure le nom, l'adresse e-mail, les informations de facturation et de paiement, les événements réservés, organisés et ayant eu lieu, et toute autre Donnée personnelle qui peut être traitée en vertu de l'Accord.

3. Conformité du Vendeur.

3.1Le Vendeur garantit et s'engage à traiter les Données personnelles d'Eventbrite uniquement aux fins limitées et spécifiées définies dans l'Accord et/ou sauf instructions contraires d'Eventbrite formulées par écrit en toute légalité (par e-mail ou autrement), sauf disposition contraire de la loi en vigueur. Le Vendeur informera immédiatement Eventbrite, si selon lui, une instruction constitue une violation des Lois en vigueur sur la protection de la vie privée.

3.2 Le Vendeur ne vendra pas les Données personnelles d'Eventbrite ou ne traitera pas les Données personnelles d'Eventbrite autrement qu'aux fins spécifiques mentionnées dans le présent document et conformément aux Lois en vigueur sur la protection de la vie privée. Pour éviter tout doute, le Vendeur ne traitera pas les Données personnelles d'Eventbrite en dehors de la relation commerciale directe entre Eventbrite et le Vendeur. Aux fins du présent paragraphe, « vendre » a le sens défini dans les Lois en vigueur sur la protection de la vie privée.

3.3 Le Vendeur certifie qu'il comprend les restrictions et obligations énoncées dans le présent ATD et qu'il s'y conformera.

4. Transferts internationaux de données.

4.1 Eventbrite autorise le Vendeur et ses Sous-traitants ultérieurs de données à effectuer des transferts internationaux de données personnelles d'Eventbrite conformément au présent ATD tant que les Lois en vigueur sur la protection de la vie privée pour de tels transferts sont respectées. En acceptant le présent ATD, le Vendeur accepte également les Nouvelles CCT de l'UE, qui ont été pré-signées par Eventbrite.

4.2 En ce qui concerne les Données personnelles d'Eventbrite transférées du Royaume-Uni pour lesquelles la législation du Royaume-Uni (et non la législation de tout pays de l'Espace économique européen) régit la nature internationale du transfert, et une telle législation permet l'utilisation des Anciennes CCT de l'UE mais pas l'utilisation des Nouvelles CCT de l'UE, les Anciennes CCT de l'UE font partie du présent ATD et priment sur le reste dudit ATD tel que défini dans les Anciennes CCT de l'UE, jusqu'à ce que le Royaume-Uni adopte les Nouvelles clauses contractuelles types, auquel cas, les Nouvelles Clauses contractuelles types seront applicables.  Aux fins des Anciennes CCT de l'UE, elles doivent être considérées achevées comme suit :

  1. Les « exportateurs » et les « importateurs » sont les Parties et leurs Affiliés dans la mesure où l'un(e) d'entre ou elles ou eux est impliqué(e) dans un tel transfert, y compris celles ou ceux qui sont énoncé(e)s dans l'Annexe I.A des Nouvelles CCT de l'UE.  

  2. La clause 9 des Anciennes CCT de l'UE précise que la législation britannique régira les Anciennes CCT de l'UE.

  3. Le contenu de l'Appendice 1 des Anciennes CCT de l'UE figure dans l'Annexe I.B des Nouvelles CCT de l'UE.

  4. Le contenu de l'Appendice 2 des Anciennes CCT de l'UE figure dans l'Annexe II des Nouvelles CCT de l'UE.

4.3 En ce qui concerne les Données personnelles transférées depuis la Suisse pour lesquelles la législation suisse (et la législation de tout pays de l'Espace économique européen) régit la nature internationale du transfert, les références au RGPD dans la Clause 4 des Nouvelles CCT de l'UE sont, dans la mesure exigée par la loi, modifiées pour faire référence à la loi fédérale suisse sur la protection des données ou à la loi qui lui succède, et le concept d'autorité de surveillance inclut le Commissaire fédéral suisse à la protection des données et à l'information.

4.4  En ce qui concerne les Données personnelles transférées depuis l'Espace économique européen, les Nouvelles CCT de l'UE incorporées dans le présent ATD s'appliquent, font partie du présent ATD et priment sur le reste du présent ATD tel que défini dans les Nouvelles CCT de l'UE.  

  1. Lorsque le Vendeur agit en tant que Sous-traitant de données d’Eventbrite, le Module deux des Nouvelles CCT de l’UE s’applique  

  2. Lorsque le Vendeur agit en tant que Sous-traitant ultérieur de données d’Eventbrite, le Module trois des Nouvelles CCT de l’UE s’applique.

5. Garanties supplémentaires pour le Transfert et le Traitement de Données personnelles en provenance de l'EEE, de la Suisse et du Royaume-Uni.  

Dans la mesure où le Vendeur traite les Données personnelles d'Eventbrite des personnes concernées situées dans ou soumises aux Lois en vigueur sur la protection la vie privée de l'Espace économique européen, de la Suisse ou du Royaume-Uni, le Vendeur accepte les garanties suivantes pour protéger lesdites données à un niveau équivalent à celui des Lois en vigueur sur la protection de la vie privée :

5.1 Le Vendeur et Eventbrite doivent chiffrer tous les transferts de Données personnelles entre eux, et le Vendeur doit chiffrer tous les transferts ultérieurs desdites données personnelles qu'il effectue, afin d'empêcher l'acquisition de telles données par des tiers, tels que les autorités gouvernementales qui peuvent avoir un accès physique aux mécanismes de transmission (par exemple, les fils et les câbles) lors de la transmission des données.

5.2 Le Vendeur déclare et garantit que :

  1. à la date du présent contrat, il n'a reçu aucune directive en vertu de la Section 702 de la Foreign Intelligence Surveillance Act, une loi américaine codifiée au Titre 50 du Code des États-Unis § 1881a (« Section 702 FISA »).

  2. Il n'est pas dans l'obligation de fournir des informations, des facilités ou de l'aide en vertu de la Section 702 de la loi américaine FISA ; ou si aucun tribunal n'a établi que le Vendeur était le type d'entité admissible à recevoir le processus délivré en vertu de la Section 702 de la FISA : (i) un « fournisseur de services de communication électronique » au sens du Titre 50 du Code des États-Unis § 1881(b)(4), ou (ii) un membre de l'une des catégories d'entités décrites dans cette définition.

  3. Il n'est pas le type de fournisseur qui est éligible pour être soumis à la collecte en amont (« collecte en bloc ») en vertu de la Section 702 de la FISA, comme décrit dans les paragraphes 62 et 179 de l'arrêt rendu par la Cour de justice de l'UE dans l'affaire C-311/18, Commissaire à la protection des données contre Facebook Ireland Limited et Maximillian Schrems (« Schrems II »), et que, par conséquent, le seul processus de la Section 702 de la FISA qu'il pourrait être éligible à recevoir, s'il s'agit d'un « fournisseur de services de communication électronique » au sens du Titre 50 du Code des États-Unis § 1881(b), se baserait sur un « sélecteur ciblé » spécifique, c'est-à-dire un identificateur unique au point de terminaison ciblé des communications soumises à la surveillance.

  4. Le Vendeur ne se conformera jamais à une demande de surveillance en bloc en vertu de la Section 702 de la FISA, c'est-à-dire une demande de surveillance selon laquelle un identificateur de compte ciblé n'est pas identifié au moyen d'un « sélecteur ciblé » spécifique (un identificateur unique au point de terminaison ciblé des communications soumises à la surveillance).

  5. Le Vendeur utilisera tous les mécanismes juridiques raisonnablement disponibles pour contester toute demande d'accès aux données par le biais du processus de sécurité nationale qu'il reçoit ainsi que toute disposition de non-divulgation qui y est jointe. 

  6. Le Vendeur ne prendra aucune mesure en vertu de l'Ordre exécutif américain 12333.

  7. Tous les 6 mois ou plus souvent si la loi le permet, le Vendeur créera un rapport sur la transparence qu'il mettra à la disposition d'Eventbrite indiquant les types de demandes juridiques contraignantes pour les données personnelles qu'il a reçues, y compris les ordres et directives de sécurité nationale, qui engloberont tout processus délivré en vertu de la Section 702 de la FISA. 

  8. Le Vendeur informera rapidement Eventbrite si le Vendeur ne peut plus se conformer aux Clauses Contractuelles Types applicables ou aux clauses de ladite Section.  Le Vendeur n'est pas tenu de fournir à Eventbrite des informations spécifiques sur les raisons pour lesquelles il ne peut plus se conformer, si la fourniture de telles informations est interdite par la loi en vigueur. Un tel avis donne à Eventbrite le droit de résilier l’Accord (ou, au choix d’Eventbrite, les énoncés de travail, les formulaires de commande et les documents similaires concerné en vertu dudit Accord) et de recevoir rapidement un remboursement au prorata des montants payés à l'avance en vertu dudit Accord.  Cela est sans préjudice des autres droits et recours d’Eventbrite en cas de violation de l’Accord.

6. Confidentialité et sécurité

6.1 Le Vendeur doit s'assurer que toute personne autorisée par lui à traiter les Données d'Eventbrite (y compris le personnel, les agents et les sous-traitants du Vendeur) est soumise à l'obligation de confidentialité.

6.2 Le Vendeur doit s'assurer d'implémenter et de maintenir pendant toute la durée de l'Accord, ou la durée de ses services apportés à Eventbrite en tant que Sous-traitant ou Sous-traitant ultérieur de données, des mesures techniques et organisationnelles appropriées pour protéger les Données d'Eventbrite, y compris la protection contre les Violations des données. Lesdites mesures comprennent, au minimum, les mesures spécifiées dans l'Annexe II sur les Nouvelles CCT de l'UE.

7. Sous-traitement de données.

Le Vendeur doit avertir Eventbrite s'il utilise des Sous-traitants ultérieurs en ce qui concerne les Données personnelles d'Eventbrite, et le Vendeur doit :

  1. s'assurer que tout Sous-traitant ultérieur de données est lié par un contrat écrit pour fournir au moins le même niveau de protection que celui qui est exigé par le présent ATD et respecte les Lois en vigueur sur la protection de la vie privée ;

  2. être entièrement responsable à l'égard d'Eventbrite des actes et des omissions de tout Sous-traitant ultérieur comme si ces actes et ces omissions étaient ceux et celles du Vendeur ; et

  3. fournir à Eventbrite les détails de tout Sous-traitant ultérieur désigné, sur demande.

8. Coopération et Droits des personnes concernées.

Le Vendeur fournira toute l'assistance raisonnablement requise par Eventbrite pour permettre à Eventbrite de :

  1. répondre, respecter ou le cas échéant résoudre toute demande, question ou réclamation relative aux droits, reçue par Eventbrite (ou un client d'Eventbrite) et émanant de :

    1. toute personne physique dont les Données personnelles sont traitées par le Vendeur au nom d'Eventbrite ; ou

    2. toute autorité en vigueur officiellement désignée et en charge de la protection des données ; et

  2. de respecter (et prouver sa conformité à) ses obligations conformément aux Lois en vigueur sur protection la vie privée. Si une telle demande, question ou réclamation dans le cadre de la présente Section 5 est déposée directement auprès du Vendeur, le Vendeur devra informer Eventbrite en fournissant tous les détails de cette dernière.

9. Audit.

Sous réserve d'un préavis écrit raisonnable, le Vendeur accepte de fournir à Eventbrite (ou à ses auditeurs désignés) toutes les informations qu'Eventbrite considère comme raisonnablement nécessaires pour qu'Eventbrite puisse effectuer un audit de la conformité du Vendeur aux conditions du présent ATD, y compris la réalisation de questionnaires d'audit, la fourniture de politiques de sécurité et de résumés des évaluations de la conformité respectant les normes de l'industrie (comme la norme ISO 27001, SSAE 16 SOC II), des tests de pénétration et des analyses de vulnérabilité.

10. Violation des données.

En cas de Violation des données, le Vendeur prendra uniquement les mesures suivantes (sauf autre autorisation accordée par Eventbrite) 

:10.1 informer rapidement Eventbrite dans les meilleurs délais (et au plus tard dans les 48 h après avoir constaté la Violation des données) et fournir à Eventbrite une description raisonnablement détaillée de la Violation des données, le type de données impliquées dans la Violation des données et l'identité de chaque personne affectée dès que ces informations peuvent être collectées ou sont disponibles, ainsi que toute autre information qu'Eventbrite peut raisonnablement demander concernant la Violation des donnée ; et

10.2 mener rapidement une enquête sur la Violation des données (et la commencer au moins dans les 48 h après avoir constaté la Violation des données), fournir des efforts raisonnables pour atténuer les effets et le préjudice de la Violation des données conformément à ses obligations définies dans la Section 3 (Confidentialité et Sécurité) ci-dessus, et fournir toute l'assistance jugée raisonnablement nécessaire par Eventbrite concernant la Violation des données.

11. Suppression ou Retour des Données.

À la résiliation ou à l'expiration du présent APD, le Vendeur doit (selon le choix d'Eventbrite) détruire ou retourner à Eventbrite toutes les Données d'Eventbrite (y compris toutes les copies des Données d'Eventbrite) qui sont en sa possession ou son contrôle (y compris toutes les Données d'Eventbrite dont le traitement est sous-traité à un tiers), sauf si une loi en vigueur oblige le Vendeur à conserver les Données d'Eventbrite.

12. Indemnisation.

Le Vendeur indemnisera, tiendra indemne et dégagera de toute responsabilité Eventbrite, ses clients, dirigeants, administrateurs, salariés, agents, représentants et Affiliés (chacun étant une « Partie indemnisée ») vis-à-vis de toute perte tierce, tout tort, coût (y compris les honoraires et frais juridiques raisonnables), dépense et responsabilité qu'une Partie indemnisée peut subir ou dont elle peut faire l'objet en raison de la non-conformité du Vendeur aux conditions du présent ATD.

13. Divers.

Sauf modifications apportées par le présent ATD, l'Accord et/ou tous les autres accords liés aux Services demeurent sans changement et pleinement en vigueur.

En ce qui concerne les dispositions concernant le traitement des Données personnelles, en cas de conflit entre l'Accord et le présent ATD, les dispositions du présent ATD prévaudront. En cas de conflit entre le présent ATD et toute autre disposition de l'Accord entre vous et nous, le présent ATD prévaudra ; sauf si vous et Evenbrite avez négocié de façon individuelle des conditions du traitement des données qui diffèrent du présent ATD et qui répondent aux exigences des Lois en vigueur sur la protection de la vie privée dans leur intégralité, dans ce cas, ces conditions négociées prévaudront.

Vous avez encore des questions ?