POLITIQUE DE
CONFIDENTIALITE

1. INTRODUCTION

La presente Politique de Confidentialite a pour objet d’informer les utilisateurs du site sxpress.fr (ci-apres « le Site ») et les participants au SXPRESS (ci-apres « le Festival ») des modalites de collecte, de traitement et de protection de leurs donnees a caractere personnel.

Elle est etablie conformement aux dispositions :

• ◆ Du Reglement (UE) 2016/679 du Parlement europeen et du Conseil du 27 avril 2016 relatif a la protection des personnes physiques a l’egard du traitement des donnees a caractere personnel (ci-apres « RGPD »)
• ◆ De la loi n° 78-17 du 6 janvier 1978 modifiee relative a l’informatique, aux fichiers et aux libertes (ci-apres « loi Informatique et Libertes »)
• ◆ Des recommandations et lignes directrices de la Commission Nationale de l’Informatique et des Libertes (CNIL)

[NOM DE LA SOCIETE] (ci-apres « l’Organisateur » ou « nous ») s’engage a respecter la vie privee des utilisateurs et a proteger les donnees personnelles qui lui sont communiquees.

2. RESPONSABLE DU TRAITEMENT

Le responsable du traitement des donnees a caractere personnel collectees sur le Site et dans le cadre du Festival est :

3. DONNEES COLLECTEES

Dans le cadre de l’exploitation du Site et de l’organisation du Festival, nous collectons et traitons les categories de donnees personnelles suivantes :

a) Donnees relatives a la billetterie

• ◆ Nom et prenom
• ◆ Adresse e-mail
• ◆ Numero de telephone
• ◆ Adresse postale
• ◆ Date de naissance (verification d’age)
• ◆ Details de la commande (type de billet, quantite, prix)
• ◆ Donnees de facturation et de paiement (traitees exclusivement par notre prestataire de paiement securise)

b) Donnees relatives au systeme cashless

• ◆ Identifiant du support cashless (bracelet / carte NFC)
• ◆ Historique des rechargements et transactions
• ◆ Solde du compte cashless
• ◆ Donnees de remboursement (coordonnees bancaires pour le virement du solde residuel)

c) Donnees d’inscription a la newsletter

• ◆ Adresse e-mail
• ◆ Preferences de communication

d) Donnees du formulaire de contact

• ◆ Nom et prenom
• ◆ Adresse e-mail
• ◆ Objet et contenu du message

e) Donnees du formulaire de benevolat

• ◆ Nom et prenom
• ◆ Adresse e-mail
• ◆ Numero de telephone
• ◆ Date de naissance
• ◆ Disponibilites et competences
• ◆ Toute information communiquee volontairement dans le formulaire

f) Donnees de navigation et donnees techniques

• ◆ Adresse IP
• ◆ Type et version du navigateur, systeme d’exploitation
• ◆ Pages visitees, date et heure de connexion, duree de visite
• ◆ Donnees de cookies et traceurs (voir article 10)

g) Donnees relatives au droit a l’image

• ◆ Photographies et videos d’ambiance captees lors du Festival

4. FINALITES DU TRAITEMENT

Les donnees personnelles collectees sont traitees pour les finalites suivantes :

5. BASE LEGALE DES TRAITEMENTS

Conformement a l’article 6 du RGPD, chaque traitement de donnees personnelles repose sur l’une des bases legales suivantes :

a) Consentement (art. 6.1.a)

L’utilisateur a donne son consentement libre, specifique, eclaire et univoque au traitement de ses donnees pour une ou plusieurs finalites determinees. Ce consentement peut etre retire a tout moment. Application : inscription newsletter, candidature benevole, cookies non essentiels.

b) Execution du contrat (art. 6.1.b)

Le traitement est necessaire a l’execution d’un contrat auquel la personne concernee est partie ou a l’execution de mesures precontractuelles. Application : gestion de la billetterie, gestion du systeme cashless, gestion de la relation client.

c) Interet legitime (art. 6.1.f)

Le traitement est necessaire aux fins des interets legitimes poursuivis par l’Organisateur, a condition que ces interets ne prevalent pas sur les droits et libertes fondamentaux de la personne concernee. Application : statistiques d’audience, amelioration du Site, securisation, reponse aux demandes de contact.

d) Obligation legale (art. 6.1.c)

Le traitement est necessaire au respect d’une obligation legale a laquelle l’Organisateur est soumis. Application : conservation des donnees de facturation et de comptabilite pendant 10 ans, conservation des logs de connexion pendant 1 an.

6. DUREE DE CONSERVATION

Les donnees personnelles sont conservees pendant une duree proportionnee a la finalite pour laquelle elles ont ete collectees :

• ◆ Donnees clients billetterie : 3 ans apres le dernier contact
• ◆ Donnees cashless : 13 mois apres l’evenement (obligations comptables)
• ◆ Newsletter : jusqu’au desabonnement + 3 ans en archive
• ◆ Formulaire de contact : 3 ans apres le dernier echange
• ◆ Benevolat : 3 ans apres l’evenement
• ◆ Cookies : 13 mois maximum (recommandation CNIL)
• ◆ Donnees comptables : 10 ans (obligation legale)
• ◆ Logs de connexion : 1 an (obligation reglementaire)

A l’expiration de ces durees, les donnees sont supprimees ou anonymisees de maniere irreversible.

7. DESTINATAIRES DES DONNEES

Les donnees personnelles sont accessibles aux seuls membres habilites de l’equipe de l’Organisateur, dans la limite de ce qui est necessaire a l’accomplissement de leurs missions.

Elles peuvent egalement etre communiquees aux sous-traitants suivants, agissant pour le compte et sur les instructions de l’Organisateur :

• ◆ Prestataire de paiement en ligne : [NOM DU PRESTATAIRE] — traitement securise des transactions bancaires
• ◆ Prestataire cashless : [NOM DU PRESTATAIRE] — gestion du systeme de paiement dematerialise
• ◆ Prestataire d’envoi d’e-mails : [NOM DU PRESTATAIRE] — gestion et envoi de la newsletter
• ◆ Hebergeur web : OVH SAS, 2 rue Kellermann, 59100 Roubaix, France
• ◆ Prestataire d’analyse d’audience : [NOM DU PRESTATAIRE] — mesure de frequentation du Site
• ◆ Prestataire de billetterie : [NOM DU PRESTATAIRE] — emission et gestion des billets

Chaque sous-traitant est lie par un contrat conforme a l’article 28 du RGPD, garantissant un niveau de protection adequat des donnees personnelles.

Les donnees peuvent egalement etre communiquees aux autorites competentes pour repondre a une obligation legale, reglementaire ou judiciaire.

8. TRANSFERTS HORS UNION EUROPEENNE

L’Organisateur privilegie le stockage et le traitement des donnees personnelles au sein de l’Union europeenne (UE) ou de l’Espace economique europeen (EEE). Le Site est heberge par OVH SAS dont les datacenters sont situes en France.

Dans l’hypothese ou certains sous-traitants seraient situes en dehors de l’UE/EEE, l’Organisateur s’assure que des garanties appropriees sont mises en place conformement au chapitre V du RGPD, notamment :

• ◆ Decision d’adequation de la Commission europeenne (article 45 du RGPD)
• ◆ Clauses contractuelles types (CCT) adoptees par la Commission europeenne (article 46.2.c du RGPD)
• ◆ Regles d’entreprise contraignantes (BCR) approuvees par les autorites de controle (article 47 du RGPD)

Vous pouvez obtenir une copie des garanties mises en place en nous contactant a l’adresse : contact@sxpress.fr.

9. DROITS DES UTILISATEURS

Conformement au RGPD et a la loi Informatique et Libertes, vous disposez des droits suivants sur vos donnees personnelles :

a) Droit d’acces (article 15 du RGPD)

Vous avez le droit d’obtenir la confirmation que vos donnees personnelles sont ou ne sont pas traitees et, lorsqu’elles le sont, d’obtenir l’acces a ces donnees ainsi qu’aux informations relatives au traitement (finalites, categories de donnees, destinataires, duree de conservation).

b) Droit de rectification (article 16 du RGPD)

Vous avez le droit d’obtenir la rectification de vos donnees personnelles inexactes ou incompletes dans les meilleurs delais.

c) Droit a l’effacement (article 17 du RGPD)

Vous avez le droit d’obtenir l’effacement de vos donnees personnelles lorsque celles-ci ne sont plus necessaires au regard des finalites pour lesquelles elles ont ete collectees, lorsque vous retirez votre consentement, lorsque vous exercez votre droit d’opposition ou lorsque le traitement est illicite. Ce droit ne s’applique pas lorsque le traitement est necessaire au respect d’une obligation legale.

d) Droit a la limitation du traitement (article 18 du RGPD)

Vous avez le droit d’obtenir la limitation du traitement de vos donnees lorsque vous contestez l’exactitude des donnees, lorsque le traitement est illicite, lorsque nous n’avons plus besoin des donnees mais qu’elles vous sont necessaires pour la defense de droits en justice, ou lorsque vous exercez votre droit d’opposition.

e) Droit a la portabilite (article 20 du RGPD)

Vous avez le droit de recevoir les donnees personnelles que vous nous avez fournies dans un format structure, couramment utilise et lisible par machine, et de les transmettre a un autre responsable de traitement, lorsque le traitement est fonde sur le consentement ou l’execution d’un contrat et qu’il est effectue a l’aide de procedes automatises.

f) Droit d’opposition (article 21 du RGPD)

Vous avez le droit de vous opposer a tout moment, pour des raisons tenant a votre situation particuliere, au traitement de vos donnees personnelles fonde sur l’interet legitime. Vous disposez d’un droit d’opposition absolu et sans motif au traitement de vos donnees a des fins de prospection commerciale.

g) Droit de retrait du consentement

Lorsque le traitement est fonde sur votre consentement, vous pouvez le retirer a tout moment, sans que cela ne remette en cause la liceite du traitement effectue avant le retrait.

h) Droit d’introduire une reclamation aupres de la CNIL

Si vous estimez que vos droits ne sont pas respectes ou que le traitement de vos donnees n’est pas conforme a la reglementation, vous avez le droit d’introduire une reclamation aupres de la CNIL (voir article 15).

10. COOKIES ET TRACEURS

Un cookie est un petit fichier de texte stocke sur votre terminal (ordinateur, tablette, smartphone) lors de la consultation du Site. Conformement a l’article 82 de la loi Informatique et Libertes et aux lignes directrices de la CNIL du 17 septembre 2020, le depot de cookies non strictement necessaires est soumis a votre consentement prealable.

a) Cookies strictement necessaires

Indispensables au fonctionnement du Site (session, securite, preferences de consentement). Ils ne necessitent pas le consentement de l’utilisateur.

b) Cookies analytiques / de mesure d’audience

Permettent de mesurer la frequentation du Site et de comprendre le comportement des visiteurs. Donnees collectees de maniere anonyme ou pseudonymisee. Duree de conservation : 13 mois maximum (recommandation CNIL).

c) Cookies fonctionnels

Ameliorent la fonctionnalite et la personnalisation du Site (memorisation de la langue, preferences d’affichage). Duree de conservation : 13 mois maximum.

d) Cookies marketing / publicitaires

Peuvent etre installes par nos partenaires pour creer un profil de vos centres d’interet et vous proposer des publicites pertinentes. Duree de conservation : 13 mois maximum.

11. SECURITE DES DONNEES

L’Organisateur met en œuvre des mesures techniques et organisationnelles appropriees pour garantir la securite et la confidentialite des donnees personnelles. Ces mesures incluent notamment :

• ◆ Chiffrement des donnees en transit (protocole HTTPS / SSL-TLS)
• ◆ Chiffrement des donnees sensibles stockees
• ◆ Restriction des acces selon le principe du moindre privilege
• ◆ Authentification a double facteur pour les acces administrateurs
• ◆ Mise a jour reguliere des logiciels et systemes
• ◆ Sauvegardes regulieres et securisees
• ◆ Pare-feu et systemes de detection d’intrusion
• ◆ Audits de securite periodiques

12. NOTIFICATION DE VIOLATION

En cas de violation de donnees a caractere personnel susceptible d’engendrer un risque pour les droits et libertes des personnes concernees, l’Organisateur s’engage a :

• ◆ Notifier la violation a la CNIL dans un delai de 72 heures apres en avoir pris connaissance, conformement a l’article 33 du RGPD
• ◆ Informer les personnes concernees dans les meilleurs delais lorsque la violation est susceptible d’engendrer un risque eleve pour leurs droits et libertes, conformement a l’article 34 du RGPD

13. MODIFICATION DE LA POLITIQUE

L’Organisateur se reserve le droit de modifier la presente Politique de Confidentialite a tout moment afin de l’adapter aux evolutions legislatives et reglementaires ou aux modifications de ses pratiques de traitement.

Toute modification substantielle sera portee a la connaissance des utilisateurs par :

• ◆ La mise a jour de la date de « derniere mise a jour » figurant en tete du present document
• ◆ Un bandeau d’information sur le Site
• ◆ Le cas echeant, un e-mail d’information aux utilisateurs concernes

Les utilisateurs sont invites a consulter regulierement la presente Politique de Confidentialite.

14. CONTACT

Pour toute question relative a la presente Politique de Confidentialite ou au traitement de vos donnees personnelles, vous pouvez nous contacter :

15. RECLAMATION AUPRES DE LA CNIL

Si vous estimez, apres nous avoir contactes, que vos droits en matiere de protection des donnees ne sont pas respectes ou que le traitement de vos donnees n’est pas conforme a la reglementation, vous avez le droit d’introduire une reclamation aupres de l’autorite de controle competente :