POLITIQUE DE
CONFIDENTIALITE

1. INTRODUCTION

La présente Politique de Confidentialité a pour objet d’informer les utilisateurs du site sxpress.fr (ci-après « le Site ») et les participants au SXPRESS (ci-après « le Festival ») des modalités de collecte, de traitement et de protection de leurs données à caractère personnel.

Elle est établie conformément aux dispositions :

• ◆ Du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (ci-après « RGPD »)
• ◆ De la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (ci-après « loi Informatique et Libertés »)
• ◆ Des recommandations et lignes directrices de la Commission Nationale de l’Informatique et des Libertés (CNIL)

[NOM DE LA SOCIÉTÉ] (ci-après « l’Organisateur » ou « nous ») s’engage à respecter la vie privée des utilisateurs et à protéger les données personnelles qui lui sont communiquées.

2. RESPONSABLE DU TRAITEMENT

Le responsable du traitement des données à caractère personnel collectées sur le Site et dans le cadre du Festival est :

3. DONNEES COLLECTEES

Dans le cadre de l’exploitation du Site et de l’organisation du Festival, nous collectons et traitons les catégories de données personnelles suivantes :

a) Données relatives à la billetterie

• ◆ Nom et prénom
• ◆ Adresse e-mail
• ◆ Numéro de téléphone
• ◆ Adresse postale
• ◆ Date de naissance (vérification d’âge)
• ◆ Détails de la commande (type de billet, quantité, prix)
• ◆ Données de facturation et de paiement (traitées exclusivement par notre prestataire de paiement sécurisé)

b) Données relatives au système cashless

• ◆ Identifiant du support cashless (bracelet / carte NFC)
• ◆ Historique des rechargements et transactions
• ◆ Solde du compte cashless
• ◆ Données de remboursement (coordonnées bancaires pour le virement du solde résiduel)

c) Données d’inscription à la newsletter

• ◆ Adresse e-mail
• ◆ Préférences de communication

d) Données du formulaire de contact

• ◆ Nom et prénom
• ◆ Adresse e-mail
• ◆ Objet et contenu du message

e) Données du formulaire de bénévolat

• ◆ Nom et prénom
• ◆ Adresse e-mail
• ◆ Numéro de téléphone
• ◆ Date de naissance
• ◆ Disponibilités et compétences
• ◆ Toute information communiquée volontairement dans le formulaire

f) Données de navigation et données techniques

• ◆ Adresse IP
• ◆ Type et version du navigateur, système d’exploitation
• ◆ Pages visitées, date et heure de connexion, durée de visite
• ◆ Données de cookies et traceurs (voir article 10)

g) Données relatives au droit à l’image

• ◆ Photographies et vidéos d’ambiance captées lors du Festival

4. FINALITES DU TRAITEMENT

Les données personnelles collectées sont traitées pour les finalités suivantes :

5. BASE LEGALE DES TRAITEMENTS

Conformément à l’article 6 du RGPD, chaque traitement de données personnelles repose sur l’une des bases légales suivantes :

a) Consentement (art. 6.1.a)

L’utilisateur a donné son consentement libre, spécifique, éclairé et univoque au traitement de ses données pour une ou plusieurs finalités déterminées. Ce consentement peut être retiré à tout moment. Application : inscription newsletter, candidature bénévole, cookies non essentiels.

b) Exécution du contrat (art. 6.1.b)

Le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles. Application : gestion de la billetterie, gestion du système cashless, gestion de la relation client.

c) Intérêt légitime (art. 6.1.f)

Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par l’Organisateur, à condition que ces intérêts ne prévalent pas sur les droits et libertés fondamentaux de la personne concernée. Application : statistiques d’audience, amélioration du Site, sécurisation, réponse aux demandes de contact.

d) Obligation légale (art. 6.1.c)

Le traitement est nécessaire au respect d’une obligation légale à laquelle l’Organisateur est soumis. Application : conservation des données de facturation et de comptabilité pendant 10 ans, conservation des logs de connexion pendant 1 an.

6. DUREE DE CONSERVATION

Les données personnelles sont conservées pendant une durée proportionnée à la finalité pour laquelle elles ont été collectées :

• ◆ Données clients billetterie : 3 ans après le dernier contact
• ◆ Données cashless : 13 mois après l’événement (obligations comptables)
• ◆ Newsletter : jusqu’au désabonnement + 3 ans en archive
• ◆ Formulaire de contact : 3 ans après le dernier échange
• ◆ Bénévolat : 3 ans après l’événement
• ◆ Cookies : 13 mois maximum (recommandation CNIL)
• ◆ Données comptables : 10 ans (obligation légale)
• ◆ Logs de connexion : 1 an (obligation réglementaire)

À l’expiration de ces durées, les données sont supprimées ou anonymisées de manière irréversible.

7. DESTINATAIRES DES DONNEES

Les données personnelles sont accessibles aux seuls membres habilités de l’équipe de l’Organisateur, dans la limite de ce qui est nécessaire à l’accomplissement de leurs missions.

Elles peuvent également être communiquées aux sous-traitants suivants, agissant pour le compte et sur les instructions de l’Organisateur :

• ◆ Prestataire de paiement en ligne : [NOM DU PRESTATAIRE] — traitement sécurisé des transactions bancaires
• ◆ Prestataire cashless : [NOM DU PRESTATAIRE] — gestion du système de paiement dématérialisé
• ◆ Prestataire d’envoi d’e-mails : [NOM DU PRESTATAIRE] — gestion et envoi de la newsletter
• ◆ Hébergeur web : OVH SAS, 2 rue Kellermann, 59100 Roubaix, France
• ◆ Prestataire d’analyse d’audience : [NOM DU PRESTATAIRE] — mesure de fréquentation du Site
• ◆ Prestataire de billetterie : [NOM DU PRESTATAIRE] — émission et gestion des billets

Chaque sous-traitant est lié par un contrat conforme à l’article 28 du RGPD, garantissant un niveau de protection adéquat des données personnelles.

Les données peuvent également être communiquées aux autorités compétentes pour répondre à une obligation légale, réglementaire ou judiciaire.

8. TRANSFERTS HORS UNION EUROPEENNE

L’Organisateur privilégie le stockage et le traitement des données personnelles au sein de l’Union européenne (UE) ou de l’Espace économique européen (EEE). Le Site est hébergé par OVH SAS dont les datacenters sont situés en France.

Dans l’hypothèse où certains sous-traitants seraient situés en dehors de l’UE/EEE, l’Organisateur s’assure que des garanties appropriées sont mises en place conformément au chapitre V du RGPD, notamment :

• ◆ Décision d’adéquation de la Commission européenne (article 45 du RGPD)
• ◆ Clauses contractuelles types (CCT) adoptées par la Commission européenne (article 46.2.c du RGPD)
• ◆ Règles d’entreprise contraignantes (BCR) approuvées par les autorités de contrôle (article 47 du RGPD)

Vous pouvez obtenir une copie des garanties mises en place en nous contactant à l’adresse : contact@sxpress.fr.

9. DROITS DES UTILISATEURS

Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants sur vos données personnelles :

a) Droit d’accès (article 15 du RGPD)

Vous avez le droit d’obtenir la confirmation que vos données personnelles sont ou ne sont pas traitées et, lorsqu’elles le sont, d’obtenir l’accès à ces données ainsi qu’aux informations relatives au traitement (finalités, catégories de données, destinataires, durée de conservation).

b) Droit de rectification (article 16 du RGPD)

Vous avez le droit d’obtenir la rectification de vos données personnelles inexactes ou incomplètes dans les meilleurs délais.

c) Droit à l’effacement (article 17 du RGPD)

Vous avez le droit d’obtenir l’effacement de vos données personnelles lorsque celles-ci ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées, lorsque vous retirez votre consentement, lorsque vous exercez votre droit d’opposition ou lorsque le traitement est illicite. Ce droit ne s’applique pas lorsque le traitement est nécessaire au respect d’une obligation légale.

d) Droit à la limitation du traitement (article 18 du RGPD)

Vous avez le droit d’obtenir la limitation du traitement de vos données lorsque vous contestez l’exactitude des données, lorsque le traitement est illicite, lorsque nous n’avons plus besoin des données mais qu’elles vous sont nécessaires pour la défense de droits en justice, ou lorsque vous exercez votre droit d’opposition.

e) Droit à la portabilité (article 20 du RGPD)

Vous avez le droit de recevoir les données personnelles que vous nous avez fournies dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable de traitement, lorsque le traitement est fondé sur le consentement ou l’exécution d’un contrat et qu’il est effectué à l’aide de procédés automatisés.

f) Droit d’opposition (article 21 du RGPD)

Vous avez le droit de vous opposer à tout moment, pour des raisons tenant à votre situation particulière, au traitement de vos données personnelles fondé sur l’intérêt légitime. Vous disposez d’un droit d’opposition absolu et sans motif au traitement de vos données à des fins de prospection commerciale.

g) Droit de retrait du consentement

Lorsque le traitement est fondé sur votre consentement, vous pouvez le retirer à tout moment, sans que cela ne remette en cause la licéité du traitement effectué avant le retrait.

h) Droit d’introduire une réclamation auprès de la CNIL

Si vous estimez que vos droits ne sont pas respectés ou que le traitement de vos données n’est pas conforme à la réglementation, vous avez le droit d’introduire une réclamation auprès de la CNIL (voir article 15).

10. COOKIES ET TRACEURS

Un cookie est un petit fichier de texte stocké sur votre terminal (ordinateur, tablette, smartphone) lors de la consultation du Site. Conformément à l’article 82 de la loi Informatique et Libertés et aux lignes directrices de la CNIL du 17 septembre 2020, le dépôt de cookies non strictement nécessaires est soumis à votre consentement préalable.

a) Cookies strictement nécessaires

Indispensables au fonctionnement du Site (session, sécurité, préférences de consentement). Ils ne nécessitent pas le consentement de l’utilisateur.

b) Cookies analytiques / de mesure d’audience

Permettent de mesurer la fréquentation du Site et de comprendre le comportement des visiteurs. Données collectées de manière anonyme ou pseudonymisée. Durée de conservation : 13 mois maximum (recommandation CNIL).

c) Cookies fonctionnels

Améliorent la fonctionnalité et la personnalisation du Site (mémorisation de la langue, préférences d’affichage). Durée de conservation : 13 mois maximum.

d) Cookies marketing / publicitaires

Peuvent être installés par nos partenaires pour créer un profil de vos centres d’intérêt et vous proposer des publicités pertinentes. Durée de conservation : 13 mois maximum.

11. SECURITE DES DONNEES

L’Organisateur met en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité et la confidentialité des données personnelles. Ces mesures incluent notamment :

• ◆ Chiffrement des données en transit (protocole HTTPS / SSL-TLS)
• ◆ Chiffrement des données sensibles stockées
• ◆ Restriction des accès selon le principe du moindre privilège
• ◆ Authentification à double facteur pour les accès administrateurs
• ◆ Mise à jour régulière des logiciels et systèmes
• ◆ Sauvegardes régulières et sécurisées
• ◆ Pare-feu et systèmes de détection d’intrusion
• ◆ Audits de sécurité périodiques

12. NOTIFICATION DE VIOLATION

En cas de violation de données à caractère personnel susceptible d’engendrer un risque pour les droits et libertés des personnes concernées, l’Organisateur s’engage à :

• ◆ Notifier la violation à la CNIL dans un délai de 72 heures après en avoir pris connaissance, conformément à l’article 33 du RGPD
• ◆ Informer les personnes concernées dans les meilleurs délais lorsque la violation est susceptible d’engendrer un risque élevé pour leurs droits et libertés, conformément à l’article 34 du RGPD

13. MODIFICATION DE LA POLITIQUE

L’Organisateur se réserve le droit de modifier la présente Politique de Confidentialité à tout moment afin de l’adapter aux évolutions législatives et réglementaires ou aux modifications de ses pratiques de traitement.

Toute modification substantielle sera portée à la connaissance des utilisateurs par :

• ◆ La mise à jour de la date de « dernière mise à jour » figurant en tête du présent document
• ◆ Un bandeau d’information sur le Site
• ◆ Le cas échéant, un e-mail d’information aux utilisateurs concernés

Les utilisateurs sont invités à consulter régulièrement la présente Politique de Confidentialité.

14. CONTACT

Pour toute question relative à la présente Politique de Confidentialité ou au traitement de vos données personnelles, vous pouvez nous contacter :

15. RECLAMATION AUPRES DE LA CNIL

Si vous estimez, après nous avoir contactés, que vos droits en matière de protection des données ne sont pas respectés ou que le traitement de vos données n’est pas conforme à la réglementation, vous avez le droit d’introduire une réclamation auprès de l’autorité de contrôle compétente :