Addenda sur le Traitement des Données (ATD) pour les Organisateurs

• Aperçu et définitions.
• 1. Applicabilité de l'ATD et portée des activités de traitement des données.
• 2. Clauses de traitement des données.
• 3. Transferts transfrontaliers des données.

Aperçu et définitions.

Les modalités de cet ATD sont incorporées aux Conditions de services Eventbrite, à sa politique de confidentialité ou à tout autre accord de services applicable entre vous et Eventbrite (l'« Entente »).

Dans le respect des dispositions concernant le traitement des données personnelles, en cas de conflit entre l'Entente et cet ATD, les dispositions du présent ATD prévaudront. En cas d'un conflit entre cet ATD et toute autre disposition entre vous et nous, le présent ATD prévaudra; à l'exception des cas où l'Organisateur et Eventbrite ont individuellement négocié des modalités de traitement des données différentes de celles décrites dans cet ADT et qu'elles satisfont aux exigences des lois applicables en matière de protection des données, auquel cas ces modalités négociées prévaudront.

« CCPA » désigne la loi californienne sur la protection de la vie privée des consommateurs (telle qu'amendée par la loi californienne sur les droits à la vie privée) et les réglementations associées.

« Lois sur la protection des données » désigne toutes les lois ou réglementations applicables relatives à la vie privée, à la confidentialité et à la sécurité des Données personnelles.

« Entreprise », « Contrôleur de données », « Processeur de données », « Personne concernée », « Traitement », « Données personnelles »et « Fournisseur de services » ont les significations qui leur sont attribuées dans les Lois sur la protection des données applicables.

« Violation de la sécurité des données » désigne une violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé, accidentels ou illégaux, aux Données personnelles traitées par Eventbrite pour le compte de l'Organisateur dans le cadre de l'utilisation des Services par l'Organisateur.

« Nouvelles CCS de l'UE » désigne les Clauses contractuelles types publiées conformément à la Décision d'exécution (UE) 2021/914 de la Commission du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers conformément au Règlement (UE) 2016/679 du Parlement européen et du Conseil.

« Services » désigne tous les services fournis par Eventbrite à l'Organisateur, tels que définis dans les Conditions d'utilisation d'Eventbrite de tout autre accord de services applicable entre l'Organisateur et Eventbrite.

« Mesures de sécurité techniques et organisationnelles » désigne les mesures de sécurité raisonnables mises en œuvre par Eventbrite, appropriées au type de Données personnelles traitées au nom de l'Organisateur et aux Services fournis par Eventbrite, conçues pour protéger les Données personnelles contre tout Traitement non autorisé ou illégal et contre toute perte, destruction, dommage, altération ou divulgation accidentelle.

« UK SCC Addendum » désigne l'Addendum du Royaume-Uni sur le transfert international de données aux Clauses contractuelles types de la Commission européenne pour les transferts internationaux de données version B1.0 publié par le Commissaire à l'information du Royaume-Uni en vertu de la section 119A de la loi britannique sur la protection des données de 2018 et entrant en vigueur le 21 mars 2022, tel que mis à jour, modifié ou remplacé de temps à autre.

1. Applicabilité de l'ATD et portée des activités de traitement des données.

1.1 En utilisant les services d'Eventbrite, aux fins des Lois applicables sur la protection des données, l'Organisateur agit à titre d'Entreprise et est le Contrôleur des données personnelles associées à une personne qui utilise les Services Eventbrite, ou au nom de qui une personne utilise les Services Eventbrite, pour s'inscrire ou acheter un billet en vue d'assister à l'événement de cet Organisateur (le « Consommateur »). L'Organisateur déclare et garantit qu'il a fourni tous les avis nécessaires et, si nécessaire, qu'il a obtenu tous les consentements nécessaires liés à la collecte de ces Données personnelles auprès du Consommateur et que l'Organisateur a le droit de partager ces Données personnelles avec Eventbrite.

1.2 Lorsque Eventbrite traite les Données personnelles des Consommateurs pour le compte de l'Organisateur dans le cadre des Services, Eventbrite est un Processeur des données ou un Prestataire de services dans l'exécution de ce Traitement et l'Organisateur est le Contrôleur des données ou l'Entreprise. Cela inclut également les cas où Eventbrite obtient des Données personnelles du fait d'une prestation de ses services de billetterie de base (par exemple, si Eventbrite facilite la transmission de courriels aux Consommateurs à la demande des Organisateurs, traite les paiements ou fournit des rapports sur les événements et des outils pour permettre aux Organisateurs d'avoir une meilleure compréhension de l'efficacité des divers circuits de vente).

En ce qui concerne certains traitements de données personnelles des Consommateurs, Eventbrite peut agir à titre de Contrôleur de données, par exemple, lorsque les Consommateurs ont eu recours à des aspects liés aux applications d'Eventbrite dépassant ceux reliés à l'événement de l'Organisateur ou lorsque les Données personnelles des Consommateurs sont traitées par Eventbrite en vue de mener des recherches et des analyses pouvant améliorer ses produits et ses fonctions et fournir des recommandations ciblées. En ce qui concerne ce traitement de données personnelles, Eventbrite est un Contrôleur de données indépendant et non un Contrôleur de données associé à l'Organisateur.

Dans la mesure où Eventbrite traite les données personnelles à titre de Processeur de données personnelles au nom de l'Organisateur, la Section 2 de cet ATD doit s'appliquer; par contre, lorsqu'Eventbrite agit à titre de Contrôleur de données des données personnelles du client, le traitement d'Eventbrite ne doit pas être assujetti à cet ATD.

1.3 Les détails concernant les données personnelles qu'Eventbrite doit traiter et les activités de traitement à effectuer en vertu de l'Entente sont les suivants : (i) durée - comme établie dans l'Entente; (ii) la nature, l'objectif et le contenu - pour permettre à l'Organisateur d'organiser et de promouvoir les événements et de gérer la vente de billets en utilisant les services Eventbrite; (iii) les catégories de données - nom, courriel, renseignements de facturation et de paiement, renseignements reliés aux événements réservés et auxquelles les participants ont assisté, et toute autre donnée personnelle demandée par l'Organisateur à ses Consommateurs; (iv) les sujets de données - les Consommateurs.

2. Clauses de traitement des données.

2.1 Chaque fois qu'Eventbrite traite des données personnelles au nom de l'Organisateur, Eventbrite doit :

2.1.1 Traiter les données personnelles seulement selon les directives documentées de l'Organisateur, sauf obligation contraire de la loi en vigueur. Eventbrite doit informer l'Organisateur des exigences juridiques avant de traiter les données personnelles autrement que selon ses directives, à moins que la même loi interdise à Eventbrite de le faire pour des motifs importants d'intérêt public. L'Organisateur s’assurera que ses instructions sont conformes à toutes les lois, réglementations et règles applicables aux Données personnelles et que le traitement de ces Données personnelles par Eventbrite n’entraînera pas la violation d’une loi, d’une réglementation ou d’une règle applicable, y compris les lois sur la protection des données. Eventbrite informera l'Organisateur si, selon son opinion, une instruction enfreint les Lois en vigueur sur la protection des données. Par les présentes, l'Organisateur donne instruction à Eventbrite, et Eventbrite accepte par les présentes, de traiter les Données personnelles dans la mesure nécessaire à l'exécution des obligations d'Eventbrite en vertu de l'Entente et à aucune autre fin, sauf indication contraire dans cet ATD ou obligation de se conformer à la loi ou à une autre ordonnance gouvernementale contraignante. Dans le cas où le présent ATD ou toute mesure à prendre ou envisagée en exécution du présent ATD ne satisfait pas ou ne satisferait pas les obligations de l'une ou l'autre des parties en vertu des Lois sur la protection des données applicables, les parties doivent négocier de bonne foi une modification appropriée du présent ATD;

2.1.2 Se conformer à toutes les dispositions applicables des lois sur la protection des données et fournir le même niveau de protection des données personnelles que celui exigé de l'Organisateur en vertu des lois sur la protection des données.   Eventbrite traitera les données personnelles uniquement dans la mesure où cela est nécessaire pour exécuter les obligations d'Eventbrite dans le cadre de l'Accord, ou comme cela est autrement autorisé par les lois sur la protection des données. Sans limiter ce qui précède, Eventbrite ne (i) « vendra » pas ou ne « partagera » pas les Données personnelles, telles que ces termes sont définis dans la LPCC ; (ii) Eventbrite ne conservera pas, n'utilisera pas et ne divulguera pas ces données en dehors de la relation commerciale directe entre l'Organisateur et Eventbrite, sauf si les Lois sur la protection des données l'autorisent, ou (iii) ne conservera pas, n'utilisera pas et ne divulguera pas les Données personnelles à des fins autres que les objectifs commerciaux spécifiés dans le présent ATD ou autrement autorisés par les Lois sur la protection des données.   Eventbrite doit se conformer à toute restriction applicable en vertu des lois sur la protection des données concernant la combinaison des Données personnelles avec des données personnelles qu'Eventbrite reçoit de, ou au nom de, une ou plusieurs autres personnes, ou qu'Eventbrite collecte à partir de toute interaction entre lui et tout individu.

2.1.3 Mettre en place des mesures de sécurité techniques et organisationnelles qui incluent, mais ne sont pas limitées aux mesures décrites ici : https://www.eventbrite.ca/security/;

2.1.4 Notifier l'Organisateur en cas de violation de la sécurité des données sans délai excessif, sauf si la loi l'interdit ou si une autorité chargée de l'application de la loi ou de la protection des données le demande. Dans le cas d'une violation de la sécurité des données, Eventbrite, à sa seule discrétion, peut fournir une notification de violation de données aux personnes concernées directement. Si Eventbrite ne fournit pas une telle notification, Eventbrite fournira une assistance raisonnable, lorsque les lois applicables sur la protection des données l'exigent et à la demande de l'Organisateur, pour permettre à ce dernier de se conformer à ses obligations en matière de violation de données en tant que Contrôleur de données ou Entreprise;

2.1.5s'assurera que son personnel est soumis à des obligations contraignantes de confidentialité en ce qui concerne les Données personnelles des Consommateurs traitées par Eventbrite au nom de l'Organisateur;

2.1.6imposera à ses sous-traitants qui ont accès aux Données personnelles des Consommateurs traitées par Eventbrite pour le compte de l'Organisateur des obligations identiques ou équivalentes à celles énoncées dans le présent article 2 au moyen d'un contrat écrit, et restera entièrement responsable envers l'Organisateur de tout manquement d'un sous-traitant à ses obligations en ce qui concerne ces Données personnelles;

2.1.7 fournira une assistance raisonnable à l'Organisateur pour répondre aux demandes de droits individuels ou autres communications reçues en vertu des Lois sur la protection des données applicables de la part de toute autorité de protection des données ou de tout Consommateur qui fait l'objet de toute Donnée personnelle traitée par Eventbrite au nom de l'Organisateur. Si un Consommateur soumet une demande de suppression de Données personnelles à Eventbrite, l'Organisateur mandate et autorise par la présente Eventbrite à supprimer ou à anonymiser les Données personnelles du Consommateur pour le compte de l'Organisateur.  Si nécessaire, l'Organisateur doit informer Eventbrite de toute autre demande de droits individuels à laquelle Eventbrite doit se conformer, et fournir les informations nécessaires à Eventbrite pour se conformer à la demande;

2.1.8 Sur demande écrite de l'Organisateur, mettre à sa disposition tous les renseignements raisonnablement nécessaires pour démontrer qu'il se conforme aux obligations énoncées dans le présent article 2, fournir une aide raisonnable relativement aux évaluations des répercussions sur la vie privée et la protection des données et aux consultations connexes des autorités de protection des données, et permettre et collaborer à toute vérification. Toute vérification sur place sera : (i) autorisée uniquement sur préavis raisonnable à Eventbrite; (ii) soumise à des engagements de confidentialité appropriés; et (iii) limitée à une fois tous les trois (3) ans et uniquement afin d'évaluer une lacune spécifique suspectée après avoir épuisé tous les autres moyens raisonnables; et

2.1.9 À l'exception des Données personnelles à l'égard desquelles Eventbrite agit en tant que Contrôleur de données ou Entreprise, renvoyer, supprimer ou détruire (au choix de l'Organisateur) les Données personnelles des Consommateurs traitées au nom de l'Organisateur et les copies de celles-ci, à la demande de l'Organisateur (sauf si la loi applicable exige le stockage de ces Données personnelles).

2.2 Par les présentes, l'Organisateur autorise Eventbrite à divulguer ou à transférer des Données personnelles aux sous-processeurs actuels d'Eventbrite (c'est-à-dire ceux qui sont répertoriés sur le site Web d'Eventbrite à la Date d'entrée en vigueur du présent ATD ou de l'Entente, selon la date la plus tardive) (« Sous-processeurs actuels »), ou à leur permettre d'accéder aux Données personnelles, afin de traiter les Données personnelles pour le compte de l'Organisateur.

2.3 L'Organisateur consent par la présente à ce qu'Eventbrite nomme des sous-processeurs supplémentaires et de remplacement (« Sous-processeurs de remplacement ») pour traiter les Données personnelles au nom de l'Organisateur. Eventbrite notifiera l'Organisateur de l'identité des Sous-processeurs de remplacement prévus (i) par courriel, si l'Organisateur a choisi de recevoir de telles notifications par courriel, et (ii) par la mise à jour du site Eventbrite (l'Organisateur doit régulièrement vérifier et examiner le site Eventbrite pour tout changement). Les Organisateurs qui souhaitent recevoir un avis de remplacement de Sous-processeurs par courriel doivent s'inscrire et s'abonner à l'aide de ce formulaire (l'Organisateur est seul responsable de l'exactitude de ses coordonnées). Eventbrite donnera également la possibilité à l'Organisateur de s'opposer à des changements prenant place après l'entrée en vigueur de l'Entente, conformément aux termes indiqués ci-après à l'article 2.4 de cet Addenda.

Pour dissiper tout doute, les droits de résiliation disponibles dans la présente doivent s'appliquer seulement dans les cas d'objections aux Sous-processeurs de remplacement désignés après la Date d'entrée en vigueur de cet ATD qui ne représentent pas un recours selon les modalités décrites dans la présente, et ne doivent pas s'appliquer aux Sous-processeurs actuels.

2.4 L'Organisateur doit soulever toute objection à la réunion des Sous-processeurs de remplacement dans les dix (10) jours suivant la publication par Eventbrite des modifications apportées à son site Web. L'Organisateur doit envoyer son opposition à privacy@eventbrite.com avec l'objet « Opposition au Sous-traitant de remplacement ».

Sous réserve que l'opposition de l'Organisateur : (i) concerne l'aptitude du Sous-processeur de remplacement à permettre à Eventbrite de respecter matériellement ses obligations en matière de protection des données en vertu du présent ATD ; et (ii) inclut des détails suffisants pour soutenir son opposition et fournit des exemples spécifiques, Eventbrite déploiera alors des efforts commercialement raisonnables pour étudier l'opposition et répondre à l'Organisateur dans les trente (30) jours suivant la date de réception de l'opposition de l'Organisateur par le biais de la méthode d'accommodation déterminée par Eventbrite.

Si Eventbrite détermine, à sa seule discrétion, qu'il ne peut pas tenir compte de l'opposition de l'Organisateur, sur avis d'Eventbrite, l'Organisateur peut choisir de mettre fin à l'Entente en fournissant un avis écrit à Eventbrite, et se conformer aux modalités décrites dans la présente, qui doit être son seul et unique recours. Sans se limiter à ce qui précède, la résiliation de l'Organisateur en vertu de cet article 2.4 sera reconnue comme une résiliation additionnelle de l'Organisateur aux fins de l'article « Modalités et résiliation » de l'Entente (le cas échéant) et si elle est exercée, sera reconnue comme une résiliation selon cet article. Un tel avis doit être envoyé à legal@eventbrite.com et faire référence spécifiquement à l'Article 2.4 de l'ATD. Le jour où Eventbrite reçoit un avis de résiliation écrit de l'Organisateur en vertu de cet article 2.4 sera considéré comme la « Date d'opposition » dans cet ATD. Si l'Organisateur choisit de mettre fin à l'Entente en conséquence d'un Sous-processeur de remplacement, rien dans cet article 2 ne doit libérer l'Organisateur de ses paiements et/ou de ses obligations de repaiement à Eventbrite selon cette Entente.

Sans limiter les autres droits et recours d'Eventbrite, si l'Organisateur résilie l'Entente conformément à l'Article 2.4, alors, l'Organisateur paiera immédiatement à Eventbrite (1) tous les montants accumulés et dus à Eventbrite, y compris, mais sans s'y limiter, les obligations de payer et/ou de rembourser à Eventbrite les Frais, Paiements aux commanditaires, Avances et/ou paiements anticipés sur les Frais d'inscription à l'événement, conformément aux conditions définies dans l'Entente et uniquement dans la mesure applicable à l'Organisateur, (2) si l'Entente inclut un nombre minimal de billets que l'Organisateur devra vendre, un montant minimal de Frais d'inscription à l'événement ou de Frais de service Eventbrite devant être traités (chaque vente ou seuil de traitement, un « Seuil minimal »), et/ou une obligation de payer à Eventbrite la portion des Frais de service qu'Eventbrite aurait reçus si un seuil minimum avait été atteint, alors l'Organisateur accepte de payer à Eventbrite un montant égal à (x), montant qu'Eventbrite aurait reçu en Frais de Service si le seuil minimal avait été atteint lors de chaque terme jusqu'à la date de la résiliation (avec ledit Seuil minimal calculé au prorata pour toute année partielle du terme), moins (y) le montant qu'Eventbrite a déjà reçu en Frais de service imputables aux ventes de l'Organisateur pendant le Terme jusqu'à la date de ladite résiliation ; et (3) 80 % des Frais anticipés qu'Eventbrite aurait perçus lors du Terme restant si l'Entente n'avait pas été résiliée en rapport avec (x) événements en vente sur le Site à la Date de l'opposition, et (y) tous les événements futurs envisagés conformément à l'Entente et supposés être publiés dans les quatre-vingt-dix (90) jours suivant la Date d'opposition.

2.5 Eventbrite certifie par la présente qu'il comprend les restrictions et obligations énoncées dans le présent DPA et qu'il s'y conformera. Eventbrite informera l'Organisateur si Eventbrite détermine qu'il ne peut plus respecter ses obligations en vertu des lois sur la protection des données.

2.6 L'Organisateur a le droit, sur préavis de quatorze (14) jours ouvrables, de prendre des mesures raisonnables et appropriées pour arrêter et remédier à toute utilisation non autorisée des Données personnelles par Eventbrite.

3. Transferts transfrontaliers des données.

3.1 L'organisateur accepte qu'Eventbrite puisse transférer les données personnelles des consommateurs à divers lieux dans le cadre de la fourniture de services. Les transferts seront effectués conformément aux mécanismes de transfert légalement exécutoires lorsque les lois sur la protection des données en vigueur l'exigent. Le mécanisme de transfert exclusif Eventbrite pour les données exportées de l’Espace économique européen, du Royaume-Uni et de la Suisse est l’utilisation de Clauses contractuelles types, qui ont été pré-signées par Eventbrite pour les dossiers de conformité de l’Organisateur. Pour effectuer des transferts à partir du Royaume-Uni, Eventbrite a également incorporé l’Adenda des CCT du Royaume-Uni à la section 3.2 du présent ATD.

3.2 Transferts à partir du R-U. 3.2 En ce qui concerne les Données personnelles Eventbrite transférées du Royaume-Uni pour lesquelles la loi du Royaume-Uni (et non la loi de toute juridiction de l’EEE) régit le caractère international du transfert, l'Addenda des CCT du R.-U. fait partie du présent ATD et a préséance sur le reste du présent ATD tel qu’énoncé dans cet Addenda des CCT du R.-U., à moins que le Royaume-Uni ne publie des mises à jour de l’Addenda des CCT du R-U, auquel cas l’Addenda mis à jour des CCT du R-U prévaudra. Les termes non définis en majuscules utilisés dans la présente disposition désignent les définitions figurant dans l’Addenda des CCT du R-U. L'organisateur accepte par la présente de se conformer à l’Addenda aux CCT du R-U, incorporé dans le présent ATD par cette référence et rempli comme suit :

1. Dans le tableau 1, les détails des Parties désignent les parties énoncées à l’Annexe I des Nouvelles CCT de l’UE, telles que signées par les parties en vertu du présent ATD.

2. Dans le tableau 2, les CCT de l’UE approuvées sont les Nouvelles CCT de l’UE telles qu'exécutées par les parties en vertu du présent ATD.

3. Dans le tableau 3, l’annexe 1A et l’annexe 1B sont celles qui figurent à l’annexe I des Nouvelles CCT de l’UE telles qu’exécutées par les parties en vertu du présent ATD.

4. Le tableau 3 de l’annexe II doit figurer dans l’annexe II des Nouvelles CCT de l’UE telles qu’exécutées par les parties en vertu du présent ATD.

5. Dans le tableau 4, l’une ou l’autre des parties peut mettre fin au présent ATD, comme il est indiqué à l’article 19 de l’Addenda des CCT du R-U.

3.3. Transferts à partir de la Suisse. En ce qui concerne les Données personnelles transférées de Suisse, la loi suisse (et non le droit dans toute juridiction de l’EEE) régit le caractère international du transfert, (i) les références au RGPD dans la Clause 4 des Nouvelles CCT de l’UE sont, dans la mesure légale, modifiées pour faire référence à la Loi fédérale suisse sur la protection des données ou à son successeur, et le concept d’autorité de contrôle inclut le Commissaire fédéral suisse de la protection des données et de l’information; et (ii) telles que modifiées, les nouvelles CCT de l’UE sont incorporées par renvoi et s’appliquent, comme faisant partie du présent ATD, et prévalent sur le reste de cet ATD dans la mesure du conflit.

3.4. Transferts à partir de l'UE. En ce qui concerne les Données personnelles transférées de l’Espace économique européen, les Nouvelles CCT de l’UE incorporées aux présentes s’appliquent et font partie intégrante du présent ATD. En cas de conflit entre une disposition des Nouvelles CCT de l’UE et une disposition du présent ATD, les Nouvelles CCT de l’UE s'appliqueront.