Accord de Sous-Traitance — DPA

Le présent Accord de Sous-Traitance (ci-après « DPA ») est conclu conformément à l'article 28 du Règlement Général sur la Protection des Données (RGPD). Il s'applique automatiquement à tout Organisateur utilisant la plateforme Moovnt.

Moovnt traite des données personnelles pour le compte de l'Organisateur dans le cadre exclusif des services suivants :

• Collecte des informations d'inscription des acheteurs de billets (nom, email)
• Génération et délivrance des billets électroniques (QR codes)
• Fourniture de la liste des participants à l'Organisateur
• Scan et validation des billets à l'entrée de l'événement
• Gestion de la liste d'attente et des notifications associées
• Traitement des remboursements le cas échéant

Moovnt ne sollicite pas directement de données sensibles au sens de l'article 9 du RGPD (données de santé, opinions politiques, conviction religieuse, etc.). Toutefois, la nature des événements proposés sur la plateforme peut indirectement révéler des centres d'intérêt culturels ou des appartenances communautaires des participants. Ces informations ne font l'objet d'aucun traitement délibéré au titre de l'article 9 du RGPD et ne sont pas exploitées à des fins de profilage.

Moovnt s'engage à :

• Ne traiter les données personnelles que sur instruction documentée de l'Organisateur, dans le cadre exclusif de la fourniture du service de billetterie
• Garantir la confidentialité des données — seules les personnes habilitées et soumises à obligation de confidentialité y ont accès
• Mettre en œuvre les mesures de sécurité appropriées (chiffrement TLS, authentification, contrôle d'accès)
• Ne pas sous-traiter le traitement à un tiers sans accord préalable de l'Organisateur — les sous-traitants actuels sont listés à l'article 6
• Notifier l'Organisateur dans les 72 heures après avoir pris connaissance d'une violation de données le concernant
• Supprimer ou restituer les données à la fin de la relation contractuelle, selon le choix de l'Organisateur
• Fournir toute information nécessaire pour démontrer le respect du RGPD et permettre des audits

L'Organisateur s'engage à :

• Informer ses participants du traitement de leurs données (mentions d'information légales sur la page événement)
• Disposer d'une base légale valide pour le traitement (exécution du contrat / consentement)
• Ne transmettre à Moovnt que les données strictement nécessaires
• Ne pas utiliser les données des participants à des fins autres que la gestion de l'événement, sans leur consentement explicite
• Répondre aux demandes d'exercice de droits des participants (accès, rectification, effacement)
• Informer Moovnt de tout changement affectant le traitement des données

Moovnt fait appel aux sous-traitants suivants, auxquels des garanties contractuelles ont été imposées :

CCT = Clauses Contractuelles Types de la Commission européenne. DPF = Data Privacy Framework.

Les données traitées dans le cadre du service de billetterie sont conservées :

• Données de commande et billets : 5 ans à compter de la date de l'événement (prescription de droit commun)
• Données comptables : 10 ans (obligation légale art. L.123-22 Code de commerce)
• Liste de scan : supprimée 90 jours après l'événement
• Listes d'attente : supprimées 30 jours après la date de l'événement

À l'issue de la relation contractuelle, Moovnt conserve les données le temps légalement requis puis les supprime ou les anonymise.

Pour toute demande d'exercice de droits RGPD (accès, rectification, effacement, portabilité) de la part des participants :

• Les participants s'adressent en priorité à l'Organisateur, responsable de traitement
• L'Organisateur peut solliciter l'assistance de Moovnt via contact@moovnt.fr
• Moovnt répond aux demandes d'assistance dans un délai de 5 jours ouvrés

Pour toute question relative au présent accord ou pour demander un DPA signé en bonne et due forme :