« Personne concernée » et « Traitement » ont chacun la signification précisée par le RGPD.
« Données à caractère personnel » ou « Données Personnelles » correspondent à la définition donnée par le RGPD et comprennent les données personnelles traitées par le Prestataire, pour le compte du Client, dans le cadre de l’exécution de la prestation de services objet de l’accord principal.
« Services » signifie les services rendus par le Prestataire pour le Client tels que prévus dans l'Accord Principal et qui incluent des Traitements de Données Personnelles objets du présent Accord.
« Sous-traitant » signifie tout tiers engagé par le Prestataire (soumis aux conditions du présent Accord) pour fournir des Services pour le compte du Prestataire incluant des traitements de Données Personnelles objets du présent Accord.
« Violation de données » signifie tout traitement non-autorisé ou illégal de Données Personnelles ainsi que toute perte, altération, divulgation ou destruction accidentelle ; toute violation des systèmes de sécurité de l'information ou tentative de pénétrer de tels systèmes qui compromettrait ou pourrait raisonnablement compromettre les Données Personnelles.
« Accord principal » désigne un contrat en cours conclu ou toute relation contractuelle ou commerciale continue entre le Client et le Prestataire, et pour lesquels ce présent Accord a valeur d’avenant.
Les majuscules ou minuscules n’ont pas d’effet particulier sur les termes employés et leur définition.
Dans le cadre de l’exécution de l’Accord Principal, le Prestataire s’engage, à l’égard du client, à respecter la réglementation en vigueur applicable au traitement des données à caractère personnel, et en particulier le règlement européen nᵒ 2016/679, dit règlement général sur la protection des données. (RGPD)
A ce titre, le Prestataire déclare et garantit qu’il propose les prestations objet de l’accord principal dans le respect des obligations lui incombant en application de la Législation applicable en matière de la protection des données à caractère personnel.
Responsable du traitement des données
Nom : Tronçon
Prénom : Perrine
Adresse email : contact@welcom.eu
Le Prestataire s'engage à :
Traiter les données uniquement pour la ou les seule(s) finalité(s) définies en Annexe 1 des présentes
Traiter les données conformément aux instructions documentées du Client. Si le prestataire considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le Client.
Le Prestataire doit mettre en place et maintenir toutes les mesures techniques et opérationnelles appropriées pour garantir le maintien en condition de sécurité des Données Personnelles du client qu'elle héberge et traite, des ressources du client qu'elle maintient ou de ses propres ressources mises à disposition du client pendant toute la durée des prestations.
Les mécanismes de sécurité mis en oeuvre doivent évoluer pour prendre en compte des nouvelles menaces, un nouveau contexte technologique ou des nouvelles exigences réglementaires. Toute évolution d’une mesure de sécurité doit aller dans le sens d’une amélioration du niveau de sécurité.
Le Prestataire tiendra des registres complets et exacts des traitements de données qu’il effectue conformément à la loi et au RGPD. Il les tiendra à la disposition du Client et de toute Autorité administrative ou judiciaire à toute demande de leur part.
Le Prestataire s'engage à :
Veiller à ce que les salariés autorisés à traiter les Données Personnelles en vertu du présent contrat : S’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité
Reçoivent la formation nécessaire en matière de protection des données à caractère personnel.
Le Prestataire limitera l'accès aux Données Personnelles aux membres de son personnel qui ont strictement besoin d'un tel accès pour satisfaire aux obligations pour réaliser la prestation demandée par le Client.
Ces membres n’auront pas accès à plus de Données que nécessaire pour la réalisation de la prestation.
Le Prestataire élabore et met à jour régulièrement une liste des personnels autorisés à accéder aux données du client et/ou à intervenir sur les ressources du client ainsi que leur niveau d’habilitation (types d’accès et ressources concernées du client). Cette liste est tenue à la disposition du client.
Le Prestataire aide dans la mesure du possible le Client pour la réalisation éventuelle d’analyses d’impact relative à la protection des données.
Le Prestataire communique au client la liste de ses sous-traitants. Si le Prestataire tient à faire appel à un nouveau sous-traitant, il se tient de tenir à jour la liste des sous-traitants et de notifier les comptes utilisateurs du client par email qui aura un délai de 5 jours ouvrés à compter de l’envoi de la notification pour s’opposer à ce changement.
Le Prestataire s’assure que les éventuels sous-traitants sont soumis aux même obligations en matière de protection des Données personnelles que celles prévues par le présent Accord.
Le Prestataire reste en toute circonstance garant vis-à-vis du Client de la bonne exécution du Contrat par ses sous-traitants ultérieurs. Ainsi, si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données à caractère personnel, le Prestataire demeure pleinement responsable devant le Client.
Le Prestataire est pleinement responsable auprès du Client dans le cas où un sous-traitant ne respecte pas les termes du présent Accord.
Les Données personnelles ne sont traitées et conservées par le Prestataire que pendant le temps nécessaire à la réalisation de la prestation objet de l’Accord principal. Cette durée a pour limite 30 mois pour les données d’inscription (notion d’invités ou de participants dans Welkom) à compter de la date de création de l’événement ayant permis la collecte de ces données.
Cette limite est portée à 36 mois suivant le dernier contact commercial pour ce qui concerne les données de CRM (notion de CONTACT dans Welkom).
Toutes Données Personnelles fournies par le Client au Prestataire et traitées par le Prestataire directement ou indirectement au cours de l'exécution des Services objets de l’accord principal demeurent la propriété du Client.
Le Client peut à tout moment demander la modification, le transfert ou la suppression des Données personnelles en écrivant un email à contact@welkom.eu.
Dans le cas où une personne concernée exercerait ses droits au sujet des données le concernant, tels que : le droit à la portabilité des données, le droit d'accès, le droit de rectification, le droit de suppression / droit d’effacement, le droit à la limitation du traitement, le droit de s'opposer au traitement et le droit de ne pas être assujetti au profilage automatisé, le Prestataire s’engage à assister le Client dans la satisfaction de la requête de la Personne concernée par le Traitement au titre des articles 12 à 23 du RGPD. Le Prestataire se doit de fournir les informations et documents et de réaliser les actions nécessaires à la satisfaction de la requête dans les 8 jours.
Le Prestataire informe, dès la réception de la requête, le Client lorsqu’une personne concernée demande l’application de ses droits, et effectue au plus vite le nécessaire afin de satisfaire cette requête. Il s’assure également que les informations prévues aux articles 13 et 14 du RGPD ont bien été communiquées à la Personne concernée, selon les modalités requises.
Si le Prestataire est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le Client de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public.
Le Prestataire s’engage par principe à ne pas transférer les données personnelles en dehors de l’Union Européenne. Néanmoins, à titre exceptionnel, le Prestataire pourra réaliser un tel transfert aux deux conditions suivantes :
Le transfert devra comporter une des garanties prévues aux articles 45 à 49 du RGPD ;
Le Prestataire informera son Client moyennant un préavis de 10 jours ouvrés du projet de transfert de données personnelles hors de l’Union Européenne. Cette information comportera le type de données concernées, le contexte, le pays de destination et la preuve que le transfert est assorti desdites.
A défaut de garanties valables, le Client est en droit de s’opposer au transfert de données personnelles hors UE.
En cas d’atteinte à la sécurité ou à la confidentialité des Données personnelles ou de risque avéré d’atteinte, le Prestataire s’engage à en informer le Client dans un délai d’un jour ouvré maximum après prise de connaissance de l’incident ou du risque. Le Prestataire communique au minimum les informations suivantes : nature de la violation des Données Personnelles, nombre approximatif de personnes concernées, conséquences probables, description des mesures prises ou envisagées d’être prises pour remédier à la violation.
Suite à un incident ou un risque avéré concernant la sécurité ou la confidentialité des Données personnelles, le Prestataire prend toutes les mesures correctives appropriées qu’il est en capacité d’appliquer afin d’éviter l’altération ou l’accès par un tiers à ces Données personnelles.
Le Prestataire n'informe aucun tiers sans le consentement écrit préalable du Client. Si une telle divulgation est exigée par la loi, le Prestataire travaillera avec le Client sur le contenu de la divulgation afin de minimiser tout impact négatif potentiel sur le traitement du sujet.
Le Client peut, à ses frais, réaliser ou faire réaliser par un tiers de son choix un audit, une vérification ou un contrôle chez le Prestataire ou les éventuels sous-traitants, après en avoir informé le Prestataire 5 jours à l’avance, conformément à l’article 28(3)(h) du RGPD.
Le Prestataire s’engage à collaborer avec le Client lors de la réalisation d’un contrôle, vérification ou audit externe. Tout temps passé par le prestataire à assister le client pour la mise en place de l’audit fera l’objet d’un devis et d’une facturation envers le Client. Dans le cas où le Prestataire procède à un audit interne, il en informe le Client et garde à disposition du Client une copie de cet audit.
Le Prestataire s’engage à porter assistance au Client afin de répondre à toute demande d’information émanant d’autorités de contrôle, administrations ou juridictions habilitées à formuler une telle demande. Si une telle demande est effectuée directement auprès du Prestataire, celui-ci s’engage à en informer le Client au maximum dans les 48h après réception, sauf disposition légale contraire.
Le Prestataire met à disposition du Client les éléments nécessaires pour démontrer la conformité de ses pratiques à la législation en vigueur ainsi qu’à ce que prévoient le présent Accord et l’accord principal.
En cas de modification de sa politique en matière de sécurité des Données personnelles, le Prestataire doit au préalable en informer et obtenir l’accord du Client, sans quoi celui-ci peut résilier l’accord principal sans pénalités.
Le Prestataire s’engage à aider le Client à se conformer à ses propres obligations en termes de protection des Données personnelles.
Le Prestataire s’engage à informer le Client si une demande de ce dernier viole la législation en vigueur.
Le Prestataire est en capacité de mettre à la disposition du client, sur demande, tout ce qui prouve le respect du présent Accord.
Le Prestataire demeure pleinement responsable du respect des obligations prévues au titre de la présente annexe et garantit le Client à ce titre.
Étant entendu entre les Parties, que toute éventuelle limitation de responsabilité du Prestataire qui serait stipulée dans le Contrat, ne serait pas applicable aux obligations découlant de la présente annexe.
Les Parties conviennent que l’Accord est régi par les dispositions légales et réglementaires applicables au Luxembourg.
Les Parties conviennent de soumettre tous litiges liés à leurs relations contractuelles à la juridiction exclusive des tribunaux luxembourgeois compétents.
L’ Accord est composé de clauses contractuelles principales et d’une annexe ayant valeur contractuelle.
Spécification des Traitements de Données à caractère personnel
> Objet et finalité du traitement :
Données nécessaires afin de gérer les inscriptions et suivi de la présence des inscrits aux évènements organisés par les clients, et notamment pour :
Editer les emails (invitations, confirmation, relances)
Éditer les formulaires d'enregistrement/billetterie
Gérer une Base de données de participants
Enregistrer les checkins (émargement et scan de QR code avec application iOS/Android)
Éditer les badges/tickets des visiteurs
Réaliser un reporting
Proposer du paiement en ligne
Editer des codes promo/ invitations
Réaliser des relais avec d’autres outils en ligne via une API et Zappier
> Nature du traitement :
Hébergement des données personnelles
Structuration des données personnelles
Extraction des données personnelles
Effacement des données personnelles
> Catégories des Personnes concernées :
Participants/visiteurs inscrits aux évènements, exposants des salons, prospects.
> Catégories de Données personnelles traitées :
Données d’identification - exemple : nom, prénom, adresse, téléphone
Données Internet - exemple : cookie, IP, donnée comportementale
Données liées à la vie professionnelle - exemple : fonction, CV, diplôme
Données financières et patrimoniales - exemple : Information de facturation
Données de connexion - exemple : email
> Durée de conservation des Données :
Suppression des données 28 mois après la création de l’événement.