Identification du Sous-traitant :

SEE TICKETS SAS, RCS Paris 453 942 948, 12 rue de Penthièvre – 75 008 Paris.

La présente Charte de Sous-traitance des Données Personnelles (ci-après, la « Charte ») a pour objet de définir l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, ainsi que les droits du Responsable du traitement et obligations du Sous-traitant.

DEFINITIONS

« Autorité de contrôle » : désigne l’autorité publique indépendante chargée de surveiller l’application du Droit applicable à la protection des données, afin de protéger les libertés et droits fondamentaux des personnes physiques à l’égard du traitement et de faciliter le libre flux des données au sein de l’Union européenne. En France, l’Autorité de contrôle est la Commission Nationale de l’Informatique et des Libertés (CNIL).
« Données personnelles » ou « Données à caractère personnel » désigne toute information collectée par le Responsable du traitement se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, notamment par référence à un identifiant, tel que nom, numéro d’identification, données de localisation, identifiant en ligne, ou éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
« Droit applicable à la protection des données » : désigne la législation protégeant les libertés et les droits fondamentaux des personnes, notamment le droit à la vie privée à l’égard du traitement des données à caractère personnel, et s’appliquant Responsable du traitement et au Sous-traitant. Le droit applicable à la protection des données comprend la loi n°78-17 du 6 janvier 1978 telle que modifiée par la loi n°2004-801 du 6 août 2004, la Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données entrant en vigueur le 25 mai 2018, et tout autre texte français ou européen relatif à la protection des données à caractère personnel qui viendrait les compléter ou les modifier.
« Responsable du traitement » désigne la personne physique ou morale qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement., tel qu’identifié en préambule.
« Sous-traitant » désigne la personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable du traitement, tel qu’identifié en préambule.
« Traitement » désigne le traitement de données personnelles effectué par le Sous-traitant à la demande du Responsable du traitement, ou dans le cadre de l’exécution du Contrat.
« Violation de données » désigne une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de Données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

ARTICLE 1 – RAPPELS

Le Sous-traitant s’engage à respecter l’ensemble des obligations légales qui s’imposent à lui en application du Droit applicable à la protection des données et à traiter les Données à caractère personnel qui lui sont confiées par le Responsable du traitement conformément à la Présente Charte.
Le Responsable du traitement demeure responsable du traitement des Données au sens du Droit applicable à la protection des données et en conserve l’entière maîtrise, le Sous-traitant n’agissant qu’en qualité de sous-traitant au sens du Droit applicable à la protection des données.

ARTICLE 2 –  CARACTERISTIQUES DU TRAITEMENT

Le Responsable du traitement autorise le Sous-traitant, pour la durée et les seuls besoins de leur collaboration, à procéder au Traitement des Données à caractère personnel requis par les prestations auxquelles il s’est engagé.
Dans ce cadre, le Sous-traitant s’engage à ne traiter les Données à caractère personnel que sur la base des instructions du Responsable du traitement stipulées au présent contrat et s’interdit d’utiliser tout ou partie des Données à caractère personnel, à quelque fin que ce soit, pour son propre compte ou le compte d’un tiers, que ce soit pendant la durée du présent contrat ou après son terme ;
Le Sous-traitant s’engage à tenir un registre de toutes les activités de traitements effectués pour le compte du Responsable du traitement conforme aux exigences du Droit applicable à la protection des données.

ARTICLE 3 –  SECURITE ET CONFIDENTIALITE DES DONNEES A CARACTERE PERSONNEL

Dans le cadre de la fourniture des prestations, le Sous-traitant s’engage à mettre en œuvre les mesures de protection physiques, logiques et d’organisation nécessaires pour préserver la sécurité des Données à caractère personnel, adaptées au risque que présente le Traitement et, notamment, empêcher qu’elles soient détruites, perdues, déformées, endommagées, ou que des tiers non autorisés y aient accès, de manière accidentelle ou illicite.
En l’espèce, le Sous-traitant s’engage a minima à mettre en œuvre les mesures suivantes et à les faire respecter par son personnel et les éventuels Sous-traitants ultérieurs :

• Veiller à ce que les personnes autorisées à traiter les Données à caractère personnel dans le cadre des prestations s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
• Veiller à ce que ses intervenants dans l’exécution des prestations soient sensibilisés, formés et organisés pour présenter les garanties suffisantes de sécurité et de confidentialité vis-à-vis des Données à caractère personnel ;
• Prendre toutes les mesures permettant d’éviter toute utilisation détournée ou frauduleuse des Données, documents et informations traités et notamment des mesures de : gestion des droits d’accès et habilitations, journalisation des événements, sécurisation des échanges et du stockage des Données à caractère personnel, sauvegarde des données, moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement, moyens permettant de rétablir la disponibilité des données et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique, etc.

ARTICLE 4 –  VIOLATION DE DONNEES

En cas de Violation de données ou si le Sous-traitant a tout lieu de croire qu’une Violation de données a eu lieu, le Sous-traitant doit, dans les meilleurs délais après en avoir pris connaissance, notifier au Responsable du traitement cette violation ou possible violation. A cette fin, le Sous-traitant doit transmettre par écrit au Responsable du traitement :

• La description de la nature de la Violation de données, y compris si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données concernés,
• Le nom et les coordonnées du délégué à la protection des données éventuel ou d’un autre point de contact auprès duquel des informations complémentaires peuvent être obtenues,
• La description des conséquences probables de la Violation des données,
• La description des mesures prises ou que le Sous-traitant propose de prendre pour remédier à la Violation de données, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Le Sous-traitant s’engage à coopérer pour permettre au Responsable du traitement de notifier la violation de données à l’Autorité de contrôle.
Le Sous-traitant supportera l’intégralité des coûts des mesures de réparation mises en œuvre pour corriger la Violation de données, dès lors que celle-ci a pour origine un acte, un manquement, une défaillance ou une omission du Sous-traitant, de ses employés, sous-traitants, ou Sous-traitants ultérieurs.

ARTICLE 5 –  SOUS-TRAITANTS

Le Sous-traitant garantit au Responsable du traitement que les contrats qu’il met en place avec ses éventuels sous-traitants, contiennent des engagements au moins aussi stricts que ceux prévus par la présente Charte, de façon à pouvoir assurer le respect de ses propres obligations au titre de cette dernière, en particulier pour ce qui est de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées.
Le Sous-traitant restera pleinement responsable envers le Responsable du traitement en cas de non-respect par le Sous-traitant de ses obligations en matière de protection des données.

ARTICLE 6 –  DROITS DES PERSONNES CONCERNEES

Le Sous-traitant s’engage à :

• communiquer au Responsable du traitement, dans les plus brefs délais et sans y répondre, toute demande de communication des Données à caractère personnel ou d’accès à celles-ci qui lui aurait été faite directement, quelle que soit l’autorité ou la personne dont elle émane, y compris lorsqu’elle émane d’une Personne concernée, sauf dans le seul cas où cette communication au Responsable du traitement lui est interdite par ladite autorité, et à assister et coopérer avec le Responsable du traitement pour satisfaire aux exigences légales relatives à la protection des données à caractère personnel,
• Aider le Responsable du traitement, par des mesures techniques et organisationnelles appropriées, à s’acquitter de son obligation de donner suite aux demandes dont les Personnes Concernées le saisissent en vue d’exercer leurs droits prévus par le Droit applicable à la protection des données ;
• Corriger, mettre à jour, modifier ou supprimer des Données à caractère personnel sur instruction du Responsable du traitement.

ARTICLE 7 –  INFORMATION ET ASSISTANCE

Le Sous-traitant s’engage à mettre à la disposition du Responsable du traitement toutes les informations nécessaires en sa possession pour démontrer le respect des obligations prévues par le Droit applicable à la protection des données. Le Sous-traitant s’engage notamment à informer immédiatement le Responsable du traitement si, selon lui, une instruction constitue une violation du Droit applicable à la protection des données.
Le Sous-traitant s’engage à aider le Responsable du traitement à garantir le respect de ses obligations prévues par le Droit applicable à la protection des données en matière de sécurité des données, compte tenu des informations à sa disposition.

ARTICLE 8 –  TRANSFERT DE DONNEES A CARACTERE PERSONNEL HORS DE L’UNION EUROPEENNE

Le Sous-traitant s’engage à informer le Responsable du traitement de toute modification du lieu à partir duquel sont réalisées les prestations ou à partir duquel un Sous-traitant ultérieur accède aux Données à caractère personnel. S’il s’agit d’un Pays Tiers, le Sous-traitant s’engage à mettre en œuvre, ou obtenir du Sous-traitant ultérieur qu’il mette en œuvre, les garanties appropriées pour encadrer un tel transfert tel que prévues par l’article 46 du Règlement (UE) 2016/679 du Parlement européen et du Conseil, notamment par la signature par le Sous-traitant et/ou le Sous-traitant ultérieur concerné, avec le Responsable du traitement de clauses types de protection des données adoptées par l’Autorité de contrôle compétente et approuvées par la Commission européenne.
 

ARTICLE 9 –  CONSEQUENCES DE LA FIN DU CONTRAT

En cas de cessation du présent contrat, quelle qu’en soit la cause, le Sous-traitant s’engage, selon le choix du Responsable du traitement:

• soit à procéder et à faire procéder par ses éventuels Sous-traitants ultérieurs à la suppression des Données à caractère personnel et à la destruction des documents et supports d’informations contenant ces Données à caractère personnel ainsi que tous fichiers manuels ou informatisés stockant les Données à caractère personnel ;
• soit à les restituer au Responsable du traitement, sous tout format structuré couramment utilisé et convenu avec le Responsable du traitement, sans que le Sous-traitant et les éventuels Sous-traitants ultérieurs n’en conservent aucune copie.

ARTICLE 10 – MANQUEMENT – RESPONSABILITE

Les Parties se garantissent mutuellement contre toute action ou réclamation d’une Personne concernée et contre toute amende administrative prononcée par une Autorité de contrôle, fondée sur le non-respect du Droit applicable à la Protection des données, qui aurait pour origine un manquement de l’une d’entre elles à ses propres obligations.