Addenda sur le Traitement des Données (ATD) pour les Organisateurs

• Aperçu et définitions.
• 1. Applicabilité de l'ATD et portée des activités de traitement des données.
• 2. Clauses relatives au traitement des données.
• 3. Transferts transfrontaliers.

Aperçu et définitions.

Les conditions de cet ATD sont incorporées aux Conditions générales du service d'Eventbrite, à la Politique de confidentialité ou à tout autre accord de services applicable entre vous et Eventbrite (« l'Accord »).

En ce qui concerne les dispositions concernant le Traitement des Données personnelles, en cas de conflit entre l'Accord et le présent ATD, les dispositions du présent ATD prévaudront. En cas de conflit entre le présent ATD et toute autre disposition de l'Accord entre vous et nous, le présent ATD prévaudra ; sauf si l'Organisateur et Evenbrite ont négocié de façon individuelle des conditions du traitement des données qui diffèrent du présent ATD et qui répondent aux exigences des Lois en vigueur sur la protection des données dans leur intégralité, dans ce cas, ces conditions négociées prévaudront.

« CCPA » signifie le California Consumer Privacy Act (tel que modifié par le California Privacy Rights Act) et les réglementations associées.

« Lois sur la protection des données » signifie toutes les lois ou réglementations applicables liées à la confidentialité et à la sécurité des Données personnelles.

« Entreprise », « Responsable du traitement des données », « Sous-traitant ultérieur des données », « Personne concernée », « Traitement », « Données personnelles » et « Fournisseur de services » ont le sens qui leur est attribué dans les Lois applicables sur la protection des données. «

 Violation de la sécurité des données » signifie une violation de la sécurité conduisant à la destruction accidentelle ou illégale, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé aux Données personnelles traitées par Eventbrite pour le compte de l'Organisateur. Les

« Nouvelles CCT de l'UE » désignent les clauses contractuelles types émises conformément à la Décision d'exécution (UE) 2021/914 de la Commission du 4 juin 2021 relative aux Clauses contractuelles types pour le transfert de données personnelles vers des pays tiers en vertu du Règlement (UE) 2016/679 du Parlement européen et du Conseil.

« Services » désigne tout service fourni par Eventbrite à l'Organisateur, tel que défini dans les Conditions générales du service d'Eventbrite ou tout autre accord de services applicable entre l'Organisateur et Eventbrite.

« Mesures de sécurité techniques et organisationnelles » désigne les mesures de sécurité raisonnables mises en place par Eventbrite en fonction du type de Données personnelles traitées pour le compte de l'Organisateur et les Services fournis par Eventbrite conçus pour protéger les Données personnelles contre le traitement non autorisé ou illégal et contre la perte, la destruction, l'endommagement, l'altération ou la divulgation accidentelle.

« Addenda sur les CCT du Royaume-Uni » signifie l'Addenda du Royaume-Uni pour le transfert international de données aux Clauses contractuelles types de la Commission européenne pour les transferts internationaux de données version B1.0 émises par le Commissaire à l'information du Royaume-Uni en vertu de la Section 119A du UK Data Protection Act de 2018 et entrant en vigueur le 21 mars 22, telles que mises à jour, modifiées ou remplacées de temps à autre.

1. Applicabilité de l'ATD et portée des activités de traitement des données.

1.1 En utilisant les Services Eventbrite, l'Organisateur agit comme une Entreprise et est un Responsable du traitement des Données personnelles associées à un individu utilisant les Services Eventbrite, ou à l'individu pour le compte duquel une personne utilise les Services Eventbrite, pour s'inscrire ou acheter un billet en vue de participer à l'événement de l'Organisateur. (« Consommateur ») L'Organisateur déclare et garantit qu'il a fourni tous les avis nécessaires et, si nécessaire, qu'il a obtenu tous les consentements nécessaires liés à la collecte de ces Données personnelles auprès du Consommateur et l'Organisateur a le droit de partager ces Données personnelles avec Eventbrite.

1.2 Lorsque Eventbrite traite les Données personnelles des Consommateurs pour le compte de l'Organisateur dans le cadre des services, Eventbrite est un Responsable du traitement des données ou un Prestataire de services chargé d'effectuer ce Traitement et l'Organisateur est le Contrôleur de données ou l'Entreprise. Cela inclut également les cas où Eventbrite obtient des Données personnelles du fait d'une disposition de ses services de billetterie de base (par exemple, si Eventbrite facilite la transmission d'e-mails aux Consommateurs à la demande des Organisateurs, traite des paiements ou fournit des rapports sur les événements et des outils pour permettre aux Organisateurs d'avoir une meilleure compréhension de l'efficacité des divers circuits de vente).

En ce qui concerne le traitement de certaines Données personnelles des consommateurs, Eventbrite peut agir en tant que Responsable du traitement des données ou Entreprise, par exemple, si les Consommateurs se sont engagés dans les aspects des Applications d'Eventbrite au-delà de ceux relatifs à l'événement de l'Organisateur ou si les Données personnelles des Consommateurs sont traitées par Eventbrite en vue de mener des recherches et des analyses permettant à Eventbrite d'améliorer ses produits et ses caractéristiques et de fournir les recommandations ciblées. En ce qui concerne ce traitement, Eventbrite est un Responsable du traitement des données indépendant et non un Responsable du traitement des données travaillant conjointement avec l'Organisateur.

Dans la mesure où Eventbrite traite des Données personnelles en tant que Responsable du traitement des données ou Prestataire de services pour le compte de l'Organisateur, la section 2 de cet ATD s'appliquera, cependant, lorsque Eventbrite agit en tant qu'Entreprise ou Responsable du traitement des données des Données personnelles des Consommateurs, le Traitement d'Eventbrite ne sera pas soumis à cet ATD.

1.3 Les détails relatifs aux Données personnelles qui doivent être traitées par Eventbrite et les activités de traitement qui doivent être menées conformément à l'Accord sont les suivants : (i) durée : telle que définie dans l'Accord ; (ii) nature, objectif et thème abordé : pour permettre à l'Organisateur d'organiser et de faire la promotion des événements, et de gérer la billetterie en utilisant les Services Eventbrite ; (iii) catégories de données : nom, adresse e-mail, informations de facturation et de paiement, informations relatives aux réservations et aux participations aux événements, relation avec l'Organisateur et toute autre Donnée à caractère personnel que l'Organisateur demande à ses Consommateurs ; (iv) Personnes concernées : les Consommateurs.

2. Clauses relatives au traitement des données.

2.1 Chaque fois qu'Eventbrite traite les Données personnelles au nom de l'Organisateur, Eventbrite doit :

2.1.1 Traiter les Données personnelles uniquement selon les instructions documentées de l'Organisateur, sauf indication contraire aux termes de la loi en vigueur. Eventbrite doit informer l'Organisateur de l'exigence légale avant de traiter les Données personnelles autrement que conformément aux instructions de l'Organisateur, à moins que la même loi interdise Eventbrite de le faire pour un motif d'intérêt public important. L'Organisateur s’assurera que ses instructions sont conformes à toutes les lois, réglementations et règles applicables aux Données personnelles et que le traitement de ces Données personnelles par Eventbrite n’entraînera pas la violation d’une loi, d’une réglementation ou d’une règle applicable, y compris les Lois sur la protection des données. Eventbrite notifiera l'Organisateur si nous pensons qu'une instruction enfreint les Lois en vigueur sur la protection des données. L'Organisateur mandate par la présente Eventbrite, et Eventbrite accepte par la présente, de traiter les Données personnelles si nécessaire pour s'acquitter des obligations d'Eventbrite en vertu de l'Accord et à aucune autre fin, sauf indication contraire du présent ATD ou obligation de se conformer à la loi ou à tout autre ordre gouvernemental contraignant. Si le présent ATD ou toute mesure à prendre ou envisagée dans l’exécution du présent ATD ne remplit pas ou est susceptible de ne pas remplir les obligations de l’une ou l’autre des parties en vertu des Lois en vigueur sur la protection des données, les parties devront négocier de bonne foi la modification appropriée du présent ATD ;

2.1.2 Se conformer à toutes les dispositions applicables des Lois sur la protection des données et fournir le même niveau de protection des Données personnelles que celui exigé de l'Organisateur en vertu des Lois sur la protection des données.  Eventbrite traitera les Données personnelles uniquement si cela est nécessaire pour remplir les obligations d'Eventbrite en vertu de l'Accord, ou si les Lois sur la protection des données le permettent. Sans limiter ce qui précède, Eventbrite ne (i) « vendra » pas ni ne « partagera » les Données personnelles, telles que définies dans le CCPA ; (ii) Eventbrite ne conservera pas, ni n'utilisera ou ne divulguera de telles données en dehors de la relation commerciale directe entre l’Organisateur et Eventbrite, sauf si les Lois sur la protection des données le permettent, (iii) ne conservera pas, ni n'utilisera ou ne divulguera les Données personnelles à des fins autres que les fins commerciales spécifiées dans le présent ATD ou autrement autorisées par les Lois sur la protection des données.  Eventbrite doit se conformer à toutes les restrictions applicables en vertu des Lois sur la protection des données sur la combinaison des Données personnelles avec les données personnelles qu'Eventbrite reçoit d'une autre personne ou de personnes, ou au nom d'une autre personne ou de personnes, ou qu'Eventbrite collecte à partir de toute interaction entre Eventbrite et toute personne.

2.1.3 Avoir mis en place des Mesures de sécurité techniques et organisationnelles qui comprennent, mais ne se limitent pas, aux mesures décrites ici : https://www.eventbrite.fr/security/; 

2.1.4 Notifier l'Organisateur en cas de violation de la sécurité des données sans retard injustifié, sauf disposition contraire de la loi ou instruction contraire d'une autorité chargée de l'application de la loi ou de la protection des données. En cas de violation de la sécurité des données, Eventbrite, à sa seule discrétion, peut fournir une notification de violation de données aux personnes concernées directement. Lorsque Eventbrite ne fournit pas une telle notification, Eventbrite fournira une assistance raisonnable, lorsque cela est requis par les lois applicables sur la protection des données et à la demande de l'Organisateur, pour permettre à l'Organisateur de se conformer à ses obligations en matière de violation de données en tant que Contrôleur de données ou Entreprise ;

2.1.5 S'assurer que son personnel est soumis à des obligations contraignantes de confidentialité en ce qui concerne les Données personnelles des Consommateurs traitées par Eventbrite au nom de l'Organisateur ;

2.1.6 Imposer des obligations à ses sous-traitants qui ont accès aux Données personnelles des Consommateurs traitées par Eventbrite pour le compte de l'Organisateur qui sont identiques ou équivalentes à celles énoncées dans la présente section 2 par le biais d'un contrat écrit, et demeurer entièrement responsables envers l'Organisateur pour tout non-respect par un sous-traitant de ses obligations relatives à ces Données personnelles ;

2.1.7 Fournir une assistance raisonnable à l'Organisateur pour répondre aux demandes relatives aux droits individuels ou à d'autres communications reçues en vertu des lois sur la protection des données applicables de toute autorité de protection des données applicable ou du Consommateur étant une Personne concernée pour toute Donnée à caractère personnel traitée par Eventbrite au nom de l'Organisateur. Si un Consommateur soumet une demande de suppression de Données personnelles à Eventbrite, l'Organisateur mandate et autorise par la présente Eventbrite de supprimer ou d'anonymiser les Données personnelles du Consommateur pour le compte de l'Organisateur.  Si nécessaire, l'Organisateur doit informer Eventbrite de toute autre demande de droits individuels à laquelle Eventbrite doit se conformer et fournir les informations nécessaires pour qu'Eventbrite se conforme à la demande.

2.1.8 À la demande écrite de l'Organisateur, mettre à la disposition de l'Organisateur toutes les informations raisonnablement nécessaires pour démontrer qu'il respecte les obligations énoncées à la présente Section 2, fournir une aide raisonnable pour les évaluations d'impact sur la confidentialité et la protection des données et les consultations associées des autorités chargées de la protection des données, et permettre et coopérer dans le cadre de tout audit. Tout audit sur site doit : (i) être autorisé uniquement sur préavis raisonnable à Eventbrite ; (ii) être réalisé sous réserve d'engagements de confidentialité appropriés ; et (iii) limité à une fois tous les trois (3) ans et uniquement pour évaluer une carence suspectée spécifique après avoir épuisé tous les autres moyens raisonnables ; et

2.1.9 À l'exception des Données personnelles pour lesquelles Eventbrite agit en tant que Contrôleur de données ou Entreprise, restituer, supprimer ou détruire (au choix de l'Organisateur) les Données personnelles des Consommateurs traitées au nom de l'Organisateur et les copies de celles-ci, à la demande de l'Organisateur (sauf si la loi applicable exige le stockage de ces Données personnelles).

2.2 Par la présente, l'Organisateur consent et autorise Eventbrite à divulguer ou transférer des Données personnelles à, ou à autoriser l'accès à des Données personnelles par les sous-traitants actuels d'Eventbrite (c'est-à-dire ceux qui sont répertoriés sur le site Web d'Eventbrite à la date d'entrée en vigueur de l'ATD ou de l'Accord, selon la dernière éventualité) (« Sous-traitants actuels ») pour traiter les Données personnelles au nom de l'Organisateur.

2.3 L'Organisateur consent par la présente à la nomination par Eventbrite de sous-traitants supplémentaires et de remplacement (« Sous-traitants de remplacement ») pour traiter les Données personnelles au nom de l'Organisateur. Eventbrite doit : notifier l'Organisateur de l'identité des Sous-traitants ultérieurs de remplacement prévus (i) par e-mail lorsque l'Organisateur a choisi de recevoir de telles notifications par e-mail et (ii) en mettant à jour le site web d'Eventbrite (l'Organisateur est responsable de vérifier et revoir régulièrement le site web d'Eventbrite pour de tels changements). Les Organisateurs qui souhaitent recevoir un e-mail de notification concernant les sous-traitants ultérieurs de replacement doivent l'autoriser et s'y inscrire à l'aide de ce formulaire (l'Organisateur est seul responsable de s'assurer que ses coordonnées demeurent exactes). Eventbrite doit également donner à l'Organisateur la possibilité de s'opposer aux changements qui auront lieu après la Date d'entrée en vigueur de l'Accord, conformément aux modalités qui suivent à la section 2.4 de cet ATD.

Afin de lever toute ambiguïté, tous les droits de résiliation mis à disposition par le présent document doivent s'appliquer uniquement en cas d'objections aux Sous-traitants de remplacement désignés après la Date d'entrée en vigueur du présent ATD qui ne sont pas corrigés conformément aux termes des présentes, et ne doivent pas s'appliquer aux Sous-traitants actuels.

2.4 L'Organisateur doit faire valoir toute objection à la désignation de Sous-traitants de remplacement dans les dix (10) jours suivant la publication des changements par Eventbrite sur son site web. L'Organisateur doit envoyer son objection à l'adresse privacy@eventbrite.com en indiquant dans la ligne de l'objet : « Objection to Replacement Sub-Processor » (Objection au Sous-traitant de remplacement).

Sous réserve que l'objection de l'Organisateur : (i) concerne l'aptitude du Sous-traitant de remplacement à permettre à Eventbrite de respecter matériellement ses obligations en matière de protection des données en vertu du présent ATD ; et (ii) inclut des détails suffisants pour soutenir son objection et fournit des exemples spécifiques, Eventbrite déploiera alors des efforts commercialement raisonnables pour étudier l'objection et répondre à l'Organisateur dans les trente (30) jours suivant la date de réception de l'objection de l'Organisateur par le biais de la méthode de communication déterminée par Eventbrite.

Si Eventbrite détermine à son entière discrétion qu'il n'est raisonnablement pas possible de tenir compte de l'objection de l'Organisateur, sur avis écrit d'Eventbrite, l'Organisateur peut choisir de résilier l'Accord en envoyant un avis écrit à Eventbrite et en respectant les conditions du présent document, ce qui constitue le seul et unique recours pour l'Organisateur. Sans restreindre la portée générale de ce qui précède, le droit de résiliation de l'Organisateur conformément à la présente Section 2.4 sera considéré comme un droit de résiliation supplémentaire de l'Organisateur conformément à la Section « Terme et résiliation » de l'Accord (le cas échéant) et s'il est exercé, il sera considéré comme une résiliation conforme à ladite section. Cet avis par écrit doit être envoyé à legal@eventbrite.com et doit faire spécifiquement référence à la présente Section 2.4 du présent ATD. Le jour de réception par Eventbrite de l'avis de résiliation par écrit d'un Organisateur conformément à la présente Section 2.4 sera désigné comme la « Date d'objection » dans le présent ATD. Si l'Organisateur choisit de résilier l'Accord en raison du Sous-traitant de remplacement, alors rien dans la présente Section 2 ne peut décharger l'Organisateur de ses obligations de paiement et/ou de remboursement à Eventbrite dans le cadre de l'Accord.

Sans limiter les autres droits et recours d'Eventbrite, si l'Organisateur résilie l'Accord conformément à la présente Section 2.4, alors, l'Organisateur paiera immédiatement à Eventbrite (1) tous les montants accumulés et dus à Eventbrite, y compris, mais sans s'y limiter, les obligations de payer et/ou de rembourser à Eventbrite les Frais, Paiements aux sponsors, Avances et/ou Paiements anticipés sur les Frais d'inscription à l'événement, conformément aux conditions définies dans l'Accord et uniquement dans la mesure applicable à l'Organisateur, (2) si l'Accord inclut un nombre minimal de billets que l'Organisateur devra vendre, un montant minimal de Frais d'inscription à l'événement ou de Frais de service Eventbrite devant être traités (chaque vente ou seuil de traitement, un « Seuil minimal »), et/ou une obligation de payer à Eventbrite la portion des Frais de service qu'Eventbrite aurait reçus si un seuil minimum avait été atteint, alors l'Organisateur accepte de payer à Eventbrite un montant égal à (x) le montant qu'Eventbrite aurait reçu en Frais de Service si le seuil minimal avait été atteint lors de chaque terme jusqu'à la date de la résiliation (avec ledit Seuil minimal calculé au prorata pour toute année partielle du terme), moins (y) le montant qu'Eventbrite a déjà reçu en Frais de service imputables aux ventes de l'Organisateur pendant le Terme jusqu'à la date de ladite résiliation ; et (3) 80 % des Frais anticipés qu'Eventbrite aurait perçus lors du Terme restant si l'Accord n'avait pas été résilié en rapport avec (x) événements en vente sur le Site à la Date de l'objection, et (y) tous les événements futurs envisagés conformément à l'Accord et supposés être publiés dans les quatre-vingt dix (90) jours suivant la Date d'objection.

2.5 Eventbrite certifie par le présent document comprendre les restrictions et obligations énoncées dans le présent ATD et s'y conformer. Eventbrite informera l'Organisateur si Eventbrite détermine être dans l'incapacité de respecter ses obligations en vertu des Lois sur la protection des données.

2.6L'Organisateur a le droit, après un préavis de quatorze (14) jours ouvrés, de prendre des mesures raisonnables et appropriées pour arrêter et corriger toute utilisation non autorisée des Données personnelles par Eventbrite.

3. Transferts transfrontaliers.

3.1 L'Organisateur accepte qu'Eventbrite puisse transférer les Données personnelles des Consommateurs vers divers endroits en relation avec la prestation des Services. Les transferts seront effectués conformément aux mécanismes de transfert légalement en vigueur, si les lois en vigueur en matière de protection des données l'exigent. Le mécanisme de transfert exclusif d’Eventbrite pour les données exportées depuis l’Espace économique européen, le Royaume-Uni et la Suisse est l’utilisation de Clauses contractuelles types, qui ont été présignées par Eventbrite pour les bilans de conformité de l’Organisateur. Pour réaliser des transferts depuis le Royaume-Uni, Eventbrite a aussi incorporé l'Addenda sur les CCT du Royaume-Uni dans la section 3.2 du présent ATD.

3.2 Transferts du Royaume-Uni. En ce qui concerne les Données personnelles d'Eventbrite transférées du Royaume-Uni pour lesquelles la législation du Royaume-Uni (et non la législation de tout pays de l'Espace économique européen) régit la nature internationale du transfert, l'Addenda sur les CCT du Royaume-Uni fait partie du présent ATD et prime sur le reste dudit ATD tel que défini dans l'Addenda sur les CCT du Royaume-Uni, à moins que le Royaume-Uni n'émette des mises à jour de l'Addenda sur les CCT du Royaume-Uni, auquel cas, l'Addenda sur les CCT du Royaume-Uni mis à jour sera applicable. Les termes en majuscules non définis qui sont utilisés dans cette disposition se rapporteront aux définitions figurant dans l'Addenda sur les CCT du Royaume-Uni. L'Organisateur accepte par la présente l'Addenda sur les CCT du Royaume-Uni, qui est incorporé dans cet ATD par cette référence et complété comme suit :

1. Dans le Tableau 1, les détails des Parties seront les Parties telles que stipulées dans l'Annexe I des Nouvelles CCT de l'UE telles qu'exécutées par les Parties conformément à cet ATD.

2. Dans le Tableau 2, les CCT de l'UE approuvées seront les Nouvelles CCT de l'UE telles qu’exécutées par les Parties conformément à cet ATD.

3. Dans le Tableau 3, l'Annexe 1A et l'Annexe 1B seront telles que stipulées dans l'Annexe I des Nouvelles CCT de l'UE telles qu’exécutées par les Parties conformément à cet ATD.

4. Le Tableau 3, Annexe II sera tel que stipulé dans l'Annexe II des Nouvelles CCT de l'UE telles qu’exécutées par les Parties conformément à cet ATD.

5. Dans le Tableau 4, une partie ou l'autre peut mettre fin à cet ATD tel que stipulé dans la Section 19 de l'Addenda sur les CCT du Royaume-Uni.

3.3. Transferts de la Suisse. En ce qui concerne les Données personnelles transférées depuis la Suisse pour lesquelles la législation suisse (et la législation de tout pays de l'Espace économique européen) régit la nature internationale du transfert, (i) les références au RGPD dans la Clause 4 des Nouvelles CCT de l'UE sont, dans la mesure exigée par la loi, modifiées pour faire référence à la loi fédérale suisse sur la protection des données ou à la loi qui lui succède, et le concept d'autorité de surveillance inclut le Commissaire fédéral suisse à la protection des données et à l'information ; et (ii) telles qu'ainsi amendées, les Nouvelles CCT de l'UE sont incorporées dans le présent ATD par référence et s'appliquent, font partie du présent ATD et priment sur le reste du présent ATD dans la mesure du conflit.

3.4. Transferts de l'EEE. En ce qui concerne les Données personnelles transférées depuis l'Espace économique européen, les Nouvelles CCT de l'UE  incorporées dans le présent ATD s'appliquent, font partie du présent ATD et priment sur le reste du présent ATD tel que défini dans les Nouvelles CCT de l'UE. En cas de conflit entre une disposition des Nouvelles CCT de l'UE et une disposition du présent ATD, les Nouvelles CCT de l'UE contrôleront l'étendue des conflits.