Eventbrite

Centre d'assistance

Addendum sur le traitement des données (ATD) pour les Processeurs et les Sous-processeurs

Dernière mise à jour : 25 août 2021. Pour obtenir plus de renseignements sur les politiques juridiques d'Eventbrite, cliquez ici.

Dans cet article

  • Aperçu
  • 1. Définitions.
  • 2. Rôle des Parties et nature des données personnelles
  • 3. Conformité du vendeur
  • 4. Transferts internationaux de données
  • 5. Garanties supplémentaires pour le transfert et le traitement des données à caractère personnel de l’EEE, de la Suisse et du Royaume-Uni.  
  • 6. Confidentialité et sécurité.
  • 7. Procédure.
  • 8. Collaboration et droits des personnes concernées.
  • 9. Vérification.
  • 10. Violation des données.
  • 11. Suppression ou retour des données
  • 12. Indemnité
  • 13. Divers

Aperçu

Cet Addendum de traitement des données (« ATD ») régit tous les services fournis à Eventbrite, Inc. et ses Affiliés (« Evenbrite ») par vous ( « vous », « votre », ou « vendeur ») à titre de Processeur ou de Sous-processeur (comme défini ci-dessous) (les « Services »). Vous et Eventbrite sont chacun désignés dans les présentes comme une « Partie » et ensemble comme les« Parties » Cet ATD constitue un ajout, est intégré à, et demeurera en vigueur pendant le terme de tout accord entre les Parties, y compris, mais sans s'y limiter, tout accord en ligne par clic ou exécuté ou, si applicable, les Conditions d’utilisation des API Eventbrite ( l'« Entente »), la durée des Services, ou le traitement des données Eventbrite, le « terme ») le plus tardif étant retenu. Sans restreindre la portée générale de ce qui précède, l’objet, la nature et le but du traitement en vertu de cet ATD est la fourniture de services en vertu de l’accord, et les catégories de données personnelles ainsi que les catégories de personnes concernées sont celles nécessaires à la fourniture de services dans le cadre de l'Entente et tel que décrit intégralement dans celle-ci.

1. Définitions.

Les termes en majuscules utilisés, mais non définis dans cet ATD, doivent avoir la même signification que ceux établis dans l'Entente, si applicable. Aux fins de cet ATD :

1.1 Le terme « Affiliés » désigne toute personne ou entité qui contrôle, est contrôlée par, ou est sous un contrôle commun avec cette entité, à la date d'entrée en vigueur de l'Entente ou ultérieurement. Aux fins du présent ATD, le terme « Contrôle » désigne la propriété ou le contrôle, direct ou indirect, de plus de 20 % des actions émises et assorties du droit de vote d'une entité ou dans le cas contraire, le pouvoir d'orienter la direction et les politiques.

1.2  Le terme « Lois en vigueur sur la confidentialité » désigne toutes les lois et tous les règlements en vigueur sur la confidentialité et la protection des données partout dans le monde, y compris, le cas échéant, le Règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des Données personnelles et à la libre circulation desdites données (Règlement général sur la protection des données) (« RGPD »), la Directive européenne sur la vie privée et les communications électroniques 2002/58/CE (dans tous les cas, conformément à ce qui est modifié, annulé ou remplacé), et la « California Consumer Privacy Act (CCPA) ». Civ. Le Code § 1798.100 et suivants et ses règlements d’application (« CCPA »).

1.3 Le terme « Contrôleur » désigne la personne physique ou morale ou l’entité qui détermine les finalités et les moyens du traitement des données personnelles du Contrôleur qui est également une « entreprise », tel que ce terme est défini dans le CCPA.

1.4 Le terme « Violation de données » désigne une atteinte à la sécurité entraînant une destruction accidentelle ou illicite ou une perte accidentelle, une altération, une divulgation ou un accès non autorisés, et toutes autres formes illégales de traitement des données Eventbrite.

1.5 Le terme « Données Eventbrite » désigne toutes les données, y compris les données personnelles, qui sont fournies au Vendeur ou autrement collectées et/ou accessibles au Vendeur au nom d’Eventbrite et/ou de ses Affiliés dans le cadre de la fourniture des Services en vertu de l'Entente. Toute Donnée Eventbrite qui est une donnée personnelle est par le présent ATD dénommée « Données personnelles Eventbrite ».

1.6 Le terme « Nouvelles CCS de l’UE » désigne les clauses contractuelles types publiées en vertu de la décision d’exécution (UE) 2021/914 de la Commission du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu du Règlement (UE) 2016/679 du Parlement européen et du Conseil.

1.7 Le terme « Anciennes CCS de l’UE » désigne les clauses contractuelles types publiées en vertu de la décision de la Commission européenne du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu de la Directive 95/46/EC du Parlement européen et du Conseil (accessible à la date de mise en vigueur à http://data.europa.eu/eli/dec/2010/87/2016-12-17).

1.8 Les termes « Données à caractère personnel », « Données personnelles » ou « Renseignements personnels » désignent toute information relative à une personne physique identifiée ou identifiable; une personne identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs facteurs spécifiques à son physique, à son identité physiologique, mentale, économique, culturelle ou sociale.

1.9 Le terme « Principes du bouclier de protection des données » désigne les Principes-cadres du bouclier de protection des données (complétés par les principes supplémentaires) figurant à l’annexe II de la décision de la Commission européenne du 12 juillet 2016 en vertu de la Directive 95/46/CE du Parlement européen et du Conseil relative à l’adéquation de la protection assurée par le bouclier de protection des données (telle que modifiée, remplacée ou remplacée), dont les détails se trouvent à www.privacyshield.gov/eu-us-framework.

1.10 Le terme « Processeur » désigne une entité qui traite les Données à caractère personnel pour le compte et conformément aux instructions d’un Contrôleur.

1.11 Le terme « Sous-processeur » désigne une entité désigne une entité engagée par un Processeur qui accepte de recevoir des Données à caractère personnel du Sous-processeur exclusivement destinées aux activités de traitement à réaliser dans le cadre des Services.

1.12 Le terme « Vendeur » désigne la personne ou l’entité qui a conclu l’Entente avec Eventbrite.

2. Rôle des Parties et nature des données personnelles

2.1 Aux fins du présent ATD, Eventbrite peut agir en tant que Contrôleur ou en tant que Processeur d’un de ses clients. En conséquence, le Vendeur reconnaît qu’il peut agir en tant que Processeur d’Eventbrite ou de Sous-Processeur d’Eventbrite. Lorsqu’Eventbrite agit en tant que Processeur, Eventbrite est tenu par contrat et/ou en vertu des Lois sur la confidentialité applicables de transmettre certaines obligations liées à la protection des données à ses Sous-processeurs désignés. Par conséquent, toutes les obligations imposées aux Processeurs dans le présent ATD s’appliquent au Vendeur, que le Vendeur agisse ou non en tant que Processeur ou Sous-processeur.

2.2 La nature, le but et l’objet des activités de traitement des données du Vendeur effectuées dans le cadre des Services sont énoncés dans l'Entente. Les données personnelles pouvant être traitées peuvent concerner les organisateurs d’événements, les participants, les employés, les entrepreneurs et les contacts et peuvent inclure le nom, l’adresse électronique, les informations de facturation et de paiement, les événements réservés, organisés et passés et toutes autres données à caractère personnel pouvant être traitées conformément à l'Entente.

3. Conformité du vendeur

3.1 Le Vendeur garantit et s'engage à traiter les données personnelles Eventbrite uniquement pour les objectifs spécifiés et limités établis dans l'Entente et/ou autrement tout usage décrit légalement par Eventbrite par écrit (courriel ou autrement), à l'exception autrement requis par la loi applicable. Le Vendeur informera immédiatement Eventbrite si, selon son opinion, une directive se trouve dans une violation des Lois applicables sur la confidentialité.

3.2 Le Vendeur ne vendra ni ne traitera les Données personnelles Eventbrite à d’autres fins que pour celles spécifiques énoncées dans les présentes et conformément aux Lois de confidentialité applicables. Pour éviter toute ambiguïté, le Vendeur ne traitera pas les Données personnelles Eventbrite en dehors de la relation commerciale directe entre Eventbrite et le Vendeur. Aux fins du présent paragraphe, « vendre » a la signification énoncée dans les lois applicables sur la protection des données à caractère personnel.

3.3 Le Vendeur certifie comprendre ses restrictions et obligations énoncées dans le présent ATD et s’y conformer.

4. Transferts internationaux de données

4.1 Eventbrite autorise le Vendeur et ses Sous-processeurs à effectuer des transferts internationaux des Données personnelles Eventbrite conformément au présent ATD, tant que les Lois de confidentialité applicables à ces transferts sont respectées. En acceptant l'ATD, le Vendeur accepte également les Nouvelles CCS de l’UE, qui ont été pré-signées par Eventbrite.

4.2 En ce qui concerne les Données personnelles Eventbrite transférées du Royaume-Uni pour lesquelles la loi du Royaume-Uni (et non la loi de toute juridiction de l’EEE) régit le caractère international du transfert, or cette loi permet l’utilisation des Anciennes CCS de l’UE, mais non l’utilisation des Nouvelles CCS de l’UE, les Anciennes CCS de l’UE font donc partie de cet ATD et ont préséance sur le reste de cet ATD tel qu’il est énoncé dans les Anciennes CCS de l’UE, jusqu’à ce que le Royaume-Uni adopte de nouvelles clauses contractuelles types, auquel cas celles-ci prévaudront. Aux fins des Anciennes CCS de l’UE, elles doivent ête considérées et complétées comme suit :

  1. Les « exportateurs » et « importateurs » sont les Parties et leurs Affiliés dans la mesure où ils sont impliqués dans un tel transfert, y compris ceux énoncés dans l'Annexe I.A des Nouvelles CCS EU.  

  2. La Clause 9 des Anciennes CCS de l’UE précise que la loi du Royaume-Uni régira les Anciennes CCS de l’UE.

  3. Le contenu de l’Annexe 1 des Anciennes CCS de l’UE figure à l’Annexe I.B des Nouvelles CCS de l'UE du présent document.

  4. Le contenu de l’Annexe 2 des Anciennes CCS de l’UE figure à l’Annexe II des Nouvelles CCS de l'UE du présent document.

4.3 En ce qui concerne les Données à caractère personnel transférées de Suisse pour lesquelles le droit suisse (et non le droit de toute juridiction de l’EEE) régit le caractère international du transfert, les références au RGPD dans la Clause 4 des Nouvelles CCS de l’UE sont, dans la mesure légalement requise, modifiées pour faire référence à la Loi fédérale suisse sur la protection des données ou à son successeur, et le concept d’autorité de contrôle inclut le Commissaire fédéral suisse à la protection des données et à l’information.

4.4 En ce qui concerne les Données à caractère personnel transférées de l’EEE, les Nouvelles CCS de l’UE incorporés aux présentes s’appliquent, font partie du présent ATD et ont préséance sur le reste du présent ATD, comme indiqué dans les Nouvelles CCS de l’UE.  

  1. Lorsque le Vendeur agit en tant que Processeur d’Eventbrite, le Module deux des Nouvelles CCS de l’UE s’applique.  

  2. Lorsque le Vendeur agit en tant que Sous-processeur d’Eventbrite, le Module trois des Nouvelles CCS de l’UE s’applique.

5. Garanties supplémentaires pour le transfert et le traitement des données à caractère personnel de l’EEE, de la Suisse et du Royaume-Uni.  

Dans la mesure où le Vendeur traite les Données à caractère personnel Eventbrite des personnes concernées situées ou soumises aux Lois de confidentialité applicables de l’EEE, de la Suisse ou du Royaume-Uni, Le Vendeur accepte les mesures de protection suivantes pour protéger ces données à un niveau équivalent aux lois applicables sur la protection des renseignements personnels :

5.1 Le Vendeur et Eventbrite cryptent tous les transferts de Données personnelles entre eux, et le Vendeur crypte tout transfert ultérieur qu’il effectue de ces données personnelles, afin d’empêcher l’acquisition de ces données par des tiers, comme les autorités gouvernementales qui peuvent avoir un accès physique aux mécanismes de transmission (p. ex., fils et câbles) durant la transmission des données.

5.2 Le Vendeur déclare et garantit que :

  1. à la date du présent contrat, n'avoir reçu aucune directive en vertu de l’article 702 de la « Foreign Intelligence Surveillance Act » des États-Unis, codifié à 50 U.S.C. § 1881a (« FISA Section 702 »).

  2. ne pas être admissible à être tenu de fournir des renseignements, des installations ou de l’aide en vertu de l’article 702 de la FISA; ou qu’aucun tribunal n’a conclu qu’un Vendeur est le type d’entité admissible à recevoir un processus émis en vertu de l’article 702 de la FISA : (i) un « fournisseur de services de communication électronique » au sens de l’alinéa 1881(b)(4) ou (ii) du C. É.-U. un membre de l’une des catégories d’entités décrites dans cette définition.

  3. ne pas être un prestataire pouvant faire l’objet d’une collecte en amont (« en vrac ») en vertu de l’article 702 de la FISA, tel que décrit aux paragraphes 62 et 179 de l’arrêt de la Cour de justice de l’Union européenne dans le litige C-311/18, Commissaire chargé de la protection des Données versus Facebook Ireland Limited et Maximillian Schrems (« Schrems II »), et que par conséquent le seul processus FISA Section 702 qu’il pourrait recevoir, s’il est un « fournisseur de services de communication électronique » au sens de l’article 50 U.S.C § 1881b)(4) serait fondé sur un « sélecteur ciblé » précis, c’est-à-dire un identificateur propre au paramètre ciblé des communications faisant l’objet de la surveillance.

  4. Le Vendeur ne se conformera jamais à une demande en vertu de l’article 702 de la FISA pour la surveillance en bloc, c. à d. une demande de surveillance selon laquelle un identificateur de compte ciblé n’est pas identifié au moyen d’un « sélecteur ciblé » particulier (un identificateur unique au point final ciblé des communications faisant l’objet de la surveillance).

  5. Le Vendeur utilisera tous les mécanismes juridiques raisonnablement disponibles pour contester toute demande d’accès aux données par le biais du processus de sécurité nationale qu’elle reçoit, ainsi que toute disposition de non-divulgation qui y est jointe. 

  6. Le Vendeur ne prendra aucune mesure conformément au décret 12333 des États-Unis.

  7. À des intervalles de six mois, ou plus si la loi le permet, le Vendeur créera un rapport aux fins de transparence indiquant les types d’exigences légales contraignantes pour les données personnelles qu’il a reçues, y compris les ordonnances et directives de sécurité nationale, comprenant tout processus émis en vertu de l’article 702 de la FISA, rapport qu’il mettra à la disposition d’Eventbrite. 

  8. Le Vendeur informera rapidement Eventbrite s'il ne peut plus se conformer aux Clauses contractuelles types applicables ou aux clauses de cette Section.  Le Vendeur n’est pas tenu de fournir à Eventbrite des informations spécifiques sur les raisons pour lesquelles il ne peut plus se conformer, si la fournir ces informations est interdit par la loi applicable.  Cet avis donnera à Eventbrite le droit de résilier le Contrat (ou, au choix d’Eventbrite, les énoncés de travail concernés, les formulaires de commande et les documents similaires) et de recevoir un remboursement rapide au prorata de tous les montants prépayés en vertu de celui-ci.  Ceci est sans préjudice des autres droits et recours d’Eventbrite en ce qui concerne une violation de l’Accord.

6. Confidentialité et sécurité.

6.1 Le Vendeur doit s’assurer que toute personne qu’il autorise à traiter les Données Eventbrite (y compris le personnel, les agents et les sous-traitants du Vendeur) est soumise à une obligation de confidentialité.

6.2 Le Vendeur s’assure qu’il met en œuvre et maintient pendant toute la durée du Contrat, ou la durée de ses services à Eventbrite en tant que Processeur ou Sous-processeur, les mesures techniques et organisationnelles appropriées pour protéger les Données Eventbrite, y compris la protection contre les Violations de Données.  Ces mesures comprennent, au minimum, les mesures spécifiées à l’annexe II des Nouvelles CCS de l’Union européenne.

7. Procédure.

Le Vendeur notifiera à Eventbrite tout Sous-processeur qu’il utilise à l’égard des Données Personnelles Eventbrite, et le Vendeur :

  1. s’assurera que tout Sous-processeur est contractuellement tenu par écrit de fournir au moins le même niveau de protection que celui exigé par le présent ATD et se conforme aux lois applicables sur la protection des données;

  2. sera entièrement responsable envers Eventbrite des actes et omissions de tout Sous-processeur comme s’il s’agissait d’un acte ou d’une omission du Vendeur; et

  3. fournira à Eventbrite les détails des Sous-processeurs nommés, sur demande.

8. Collaboration et droits des personnes concernées.

Le Vendeur fournira toute l’assistance raisonnablement requise par Eventbrite pour permettre à Eventbrite de :

  1. répondre à toute demande, question ou plainte reçue par Eventbrite (ou un client Eventbrite) venant de :

    1. toute personne en vie dont les Données à caractère personnel sont traitées par le Vendeur au nom d’Eventbrite ; ou

    2. toute autorité de protection des données officiellement désignée; et

  2. se conformer à ses obligations (et le démontrer) en vertu des lois applicables sur la protection des renseignements personnels. Si une telle demande, question ou plainte en vertu de la présente section 5 est adressée directement au Vendeur, ce dernier en informera Eventbrite en fournissant tous les détails à ce sujet.

9. Vérification.

Sur préavis écrit raisonnable, le Vendeur accepte de fournir à Eventbrite (ou ses vérificateurs désignés) tous les renseignements qu'Eventbrite juge nécessaire pour vérifier la conformité du Vendeur aux exigences de cet ATD, y compris l'achèvement des questionnaires de vérification, la disposition des politiques de sécurité et les résumés des évaluations sur la conformité aux normes standard de l'industrie (comme ISO 27001, SSAE 16 SOC II), les tests de pénétration et les analyses de vulnérabilité.

10. Violation des données.

En cas de Violation de données, le Vendeur accomplira uniquement les actions suivantes (sauf autorisation d’Eventbrite) :

10.1 notifier rapidement Eventbrite sans retard injustifié (et au plus tard dans les 48 heures après avoir appris la Violation de données) et fournir à Eventbrite une description raisonnablement détaillée de la Violation de données, du type de données concernées et de l’identité de chaque personne concernée dès la collection ou l'accessibilité de ces informations, ainsi que toute autre information qu’Eventbrite peut raisonnablement demander concernant la Violation de données; et

10.2 rapidement (et au plus tard dès 48 heures après la prise de connaissance de la Violation de données) enquêter sur la Violation de données, faire des efforts raisonnables pour atténuer ses effets et le préjudice causé, conformément à ses obligations en vertu de la Section 3 (Confidentialité et Sécurité) ci-dessus, et fournir toute autre assistance qu’Eventbrite peut raisonnablement demander concernant la Violation de données.

11. Suppression ou retour des données

À la fin ou à l'expiration de cet ATD, le Vendeur doit (au choix d'Eventbrite) détruire ou retourner à Eventbrite toutes les données Eventbrite (y compris toutes les copies des données Eventbrite) en sa possession ou sous son contrôle (y compris toutes les données Eventbrite sous-traitées à une tierce partie à des fins de traitement), à moins que la loi applicable oblige le Vendeur à retenir les données Eventbrite.

12. Indemnité

Le Vendeur dédommagera, continuera à indemniser et ne tiendra pas responsable Eventbrite, ses clients, cadres, directeurs, employés, agents, représentants et Affiliés (chacun étant considéré comme une « Partie indemnisée ») contre toute tierce perte, tout tiers dommage, tout tiers coût (incluant les frais et les dépenses légales raisonnables), toute dépense et responsabilité dont une Partie indemnisée pourrait souffrir ou encourir en conséquence de la non-conformité du Vendeur aux exigences de cet ATD.

13. Divers

À l'exception des modifications apportées à cet ATD, l'Entente et/ou tout autre accord relié aux Services demeurent inchangés et pleinement en vigueur.

Dans le respect des dispositions concernant le traitement des données personnelles, en cas de conflit entre l'Entente et cet ATD, les dispositions du présent ATD prévaudront. Dans le cas d'un conflit entre cet ATD et toute autre disposition entre vous et nous, le présent ATD prévaudra; à l'exception des cas où vous et Eventbrite ont individuellement négocié des modalités de traitement des données différentes de celles décrites dans cet ADT et qui satisfont entièrement aux exigences des lois applicables en matière de protection des données, dans lequel cas ces modalités négociées prévaudront.

Vous avez encore des questions ?