Privacy policy

CONDITIONS GENERALES DE LA PROTECTION DES DONNEES A CARACTERE PERSONNEL

Dans le cadre de l’exécution des prestations que VENIO s’engage à fournir à l’UADF et/ou aux associations diocésaines ci-après l’« Organisateur », permettant notamment l’utilisation de la solution VENIO, ci-après les « Services », VENIO est amenée à traiter, pour le compte de l’Organisateur, des données des participants aux évènements qui constituent des données à caractère personnel au sens du l’article 4 du Règlement (UE) 2016/679 du 27 avril 2016.

Conformément aux dispositions de l’article 28 du Règlement, les présentes conditions générales ont pour objet de définir les conditions dans lesquelles VENIO, en sa qualité de sous-traitant, s’engage à effectuer pour le compte de l’Organisateur, en sa qualité de responsable du traitement, les opérations de traitement de données à caractère personnel objet des Services.

Les présentes clauses de sous-traitance pourront faire l’objet de tout complément afin de prendre en compte les évolutions ultérieures des textes applicables en application du Règlement ou autre disposition législative ou règlementaire applicable, ce que chacune des parties reconnaisse et accepte.

1 - Description du traitement faisant l’objet de la sous-traitance

Dans le cadre de l’exécution des Services décrits aux présentes Conditions générales d’utilisation, VENIO est autorisée à traiter pour le compte de l’Organisateur les données à caractère personnel nécessaires pour fournir les Services qui sont notamment :

  • Le stockage et l’hébergement des données collectées par l’Organisateur dans le cadre de l’utilisation du Logiciel ;
  • Le support technique et fonctionnel à l’utilisation et au paramétrage du Logiciel strictement limité aux opérations nécessaires à la maintenance, à la correction d’anomalies et à l’assistance des utilisateurs autorisés, à l’exclusion de tout autre traitement ou utilisation des données ;
  •  Le paramétrage du Logiciel, uniquement dans le cadre des instructions documentées de l’Organisateur et sous réserve que ces opérations soient réalisées par du personnel habilité, soumis à une obligation contractuelle de confidentialité;
  • La mise à disposition des données à l’Organisateur via un back-office sécurisé, accessible uniquement par authentification individuelle et conforme aux exigences de l’article 32 du RGPD (confidentialité, intégrité, disponibilité, traçabilité).

VENIO s’engage à ne pas accéder, consulter ou exploiter les données personnelles pour des finalités autres que celles expressément prévues par le présent accord, et à limiter les accès internes aux seules personnes strictement nécessaires à l’exécution des Services.

L’Organisateur indique à VENIO que les finalités du traitement sont (i) la gestion des évènements qu’il organise par l’intermédiaire du Logiciel, (ii) la gestion de ses participants à l’évènement, et (iii) l’analyse statistiques desdites données.

Les données à caractère personnel traitées dans le cadre des présentes sont les données des participants qui ont été collectées par l’Organisateur et sous sa responsabilité exclusive pour les besoins des évènements qu’il organise par l’intermédiaire du logiciel.

Les données collectées et traitées à ce titre sont l’ensemble des données renseignées par l’Organisateur relatifs aux évènements (ci-après les « Données »). Ces Données sont notamment des :

  • Données d’identification : nom, prénom, date de naissance, genre, photo d’identité, adresse postale, adresse email, responsable légal, numéro de téléphone, code tiers, fonction ;
  • Données de transport et voyage : document d’identité, date de naissance, ville de naissance, pays de naissance, nationalité, allergie et régime alimentaire, mobilité (besoin d’assistance pour les déplacements);
  • Données de facturation : numéros de carte bancaire, numéros BIC et IBAN en cas de prélèvement SEPA, numéros de référence du contrat, date et heure du paiement, moyen de paiement utilisé, date d’expiration du moyen de paiement, montant du paiement.
  • Autres données dans le cadre de l’organisation de l’évènement : identité de la personne avec laquelle le participant souhaite partager sa chambre, droit à l’image, note pour l’hôtel, données relatives à la voix (chorale).

Le traitement des données à caractère personnel par VENIO est autorisé pour la durée de l’ Accord d’essai] et des Services associés.

Trois échéances sont actuellement définies dans VENIO concernant la conservation des données liées aux inscriptions (Annexe A art .28 RGPD).

2 - Obligations de VENIO vis-à-vis de l’Organisateur

VENIO s’engage à respecter les dispositions suivantes :

2.1 – Traitement des Données par VENIO

  1. Traiter uniquement les Données pour les finalités qui font l’objet de la sous-traitance.
  2. Traiter les Données conformément aux instructions documentées de l’Organisateur, figurant dans tout document adressé par l’Organisateur à VENIO. Des instructions peuvent également être données ultérieurement par le responsable du traitement pendant toute la durée du traitement des données à caractère personnel. Ces instructions doivent toujours être documentées.

Si VENIO considère qu’une instruction constitue une violation de la législation en matière de protection des données personnelles, il s’engage à en informer immédiatement l’Organisateur. L’Organisateur reconnaît et accepte que dans une telle hypothèse, VENIO pourra, à sa libre discrétion, suspendre l’exécution des instructions litigieuses tant qu’elle estime que celle-ci n’est pas conforme à la Législation.

Dans l’hypothèse où VENIO serait tenue de procéder à un traitement de Données en vertu d’une disposition impérative résultant du droit communautaire ou du droit français, elle informera l’Organisateur de cette obligation juridique avant le traitement des Données, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public.

  1. Garantir la confidentialité des Données traitées dans le cadre des présentes.
  2. Veiller à n’accorder aux membres de son personnel l’accès aux données à caractère personnel faisant l’objet du traitement que dans la mesure strictement nécessaire à l’exécution, à la gestion et au suivi du contrat. Le sous-traitant veille à ce que les personnes autorisées à traiter les Données en vertu des présentes s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité et reçoivent la formation nécessaire en matière de protection des données à caractère personnel.
  3. Prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut.
  4. Appliquer des limitations spécifiques et/ou des garanties supplémentaire si le traitement porte sur des données sensibles au sens de l’article 9 du RGPD.

2.2 – Transfert des Données hors Union Européenne

En cas de transfert de tout ou partie des Données vers un pays tiers, hors Union européenne, ou vers une organisation internationale, VENIO devra obtenir l’accord préalable écrit de l’Organisateur.

Dans l’hypothèse d’un tel transfert, VENIO s’engage à :

  • informer préalablement l’Organisateur de la destination, de l’identité du destinataire et de la base juridique du transfert envisagé ;
  • coopérer avec l’Organisateur pour déterminer la mesure de protection appropriée, conformément aux articles 44 à 49 du RGPD (décision d’adéquation, clauses contractuelles types, règles d’entreprise contraignantes, etc.) ;
  • réaliser et documenter une évaluation du niveau de protection offert par le pays tiers (Transfer Impact Assessment), et la communiquer à l’Organisateur sur demande ;
  • ne pas conclure en son nom d’accords de transfert engageant l’Organisateur, sauf mandat écrit et limité à un transfert déterminé, expressément validé par ce dernier ; Dans ce cas, les Parties conviennent d’utiliser les clauses contractuelles types publiées par la Commission européenne pour encadrer les flux transfrontaliers de données à caractère personnel.
  • veiller à ce que ses propres sous-traitants ultérieurs respectent les mêmes obligations de protection et ne procèdent à aucun transfert sans l’accord préalable de l’Organisateur.

VENIO demeure responsable de tout transfert effectué en violation de la présente clause.

2.3 – Sous-traitance

VENIO est autorisé à faire appel aux sous-traitants ultérieurs autorisés figurant dans la liste jointe en annexe B « art. 28 RGPD » pour les besoins de l’exécution des Services.

En acceptant les présentes clauses de sous-traitance, l’Organisateur autorise expressément et de manière globale VENIO à recruter d’autres sous-traitants ultérieurs et/ou à procéder à tout changement concernant le remplacement de sous-traitants ultérieurs, sous réserve d’en avoir préalablement informé l’Organisateur par écrit et notamment par mise à disposition de la liste des sous-traitants mise à jour et accessible sur la plateforme Venio. La liste devra contenir les activités de traitement sous-traitées, l’identité et les coordonnées du sous-traitant et l’existence éventuelle d’un transfert des Données en dehors de l’Union européenne.

VENIO informera le client par écrit et, le cas échéant, mettra à jour la plateforme et fournira au client un mécanisme lui permettant d'être informé de cette mise à jour concernant tout nouveau sous-traitant au moins trente (30) jours ouvrés avant de donner à ce sous-traitant l'accès aux Données. L’Organisateur pourra émettre toutes observations dans un délai de trente (30) jours ouvrés à compter de la notification de la liste modifiée.

La sous-traitance ne pourra être effectuée dans l’hypothèse où l’Organisateur émettrait une objection pendant le délai ainsi convenu portant sur l’absence de garantie d’un niveau de sécurité suffisant par le sous-traitant ultérieur ou du non-respect des dispositions des présentes ou de la législation applicable. En cas d’opposition fondée de l’Organisateur, les Parties conviennent de rechercher une solution alternative dans un délai raisonnable.

La liste actualisée des sous-traitants sera tenue à disposition de l’Organisateur et mise à jour à chaque modification.

VENIO est responsable du respect par ses sous-traitants des obligations de VENIO dans le présent accord de traitement de données. Lorsqu'elle engage un sous-traitant, VENIO s'assure par contrat écrit que celui-ci ne peut accéder aux données personnelles et les utiliser que pour fournir les services pour lesquels VENIO l'a engagé, et qu'il lui est interdit d'utiliser ces données à d'autres fins. VENIO s'assurera que les sous-traitants sont liés par des accords écrits qui les obligent à fournir au moins le niveau de protection des données exigé de VENIO par le présent accord, y compris les restrictions relatives à la divulgation des données traitées. VENIO s'engage à superviser les sous-traitants afin de s'assurer que ces obligations contractuelles sont respectées.

 

2.4 – Droit d’information des personnes concernées

Il appartient à l’Organisateur , en sa qualité de responsable du traitement, de fournir aux personnes concernées les informations requises par les articles 13 et 14 du Règlement (UE) 2016/679, notamment sur les finalités, les destinataires et la durée de conservation des Données.

2.5 – Exercice des droits des personnes concernées

Dans la mesure du possible, VENIO doit aider l’Organisateur à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées, à savoir droit d’accès, de rectification, d’effacement et d’opposition, de limitation du traitement, de portabilité des Données et de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).

VENIO s’engage à coopérer avec l’Organisateur afin de lui permettre de satisfaire à cette obligation, notamment en lui fournissant, sur demande :

  • la description des opérations de traitement réalisées pour le compte de l’Organisateur ;
  • les informations relatives aux catégories de données traitées, aux destinataires éventuels, aux transferts hors UE et aux mesures de sécurité mises en œuvre ;
  • et, le cas échéant, les moyens techniques nécessaires pour afficher ou mettre à disposition les mentions d’information (par exemple, dans les formulaires de collecte).

Dans ce cadre, lorsque les personnes concernées exercent auprès de VENIO lesdites demandes, il doit adresser ces demandes dès réception à l’Organisateur par courrier électronique à l’adresse de notification renseignée par celui-ci dans le contrat et par notification sur la plateforme de mise à disposition des Données.

2.6 – Notification des violations de données à caractère personnel

En cas de violation de Données, entendue comme toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de Données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles Données, VENIO s’engage à :

Procéder à toutes investigations utiles sur les manquements aux règles de protection, afin d’y remédier dans les plus brefs délais et/ou de diminuer dans la mesure du possible, l’impact de tels manquements auprès des personnes dont les données ont été collectées ;

 

  • Notifier à l’Organisateur toute violation de données à caractère personnel dans un délai maximum de 48 heures après en avoir pris connaissance et par email ; y compris lorsque la violation résulte d’un incident subi par l’un de ses sous-traitants ultérieurs ;

 

  • Fournir à l’Organisateur toute documentation utile pour lui permettre pour lui permettre, le cas échéant, de notifier la violation à l’autorité de contrôle compétente et/ou aux personnes concernées ;

 

  • Documenter la violation (nature, causes, durée, catégories de données et personnes concernées, impacts identifiés, mesures correctives mises en œuvre) et conserver les éléments de preuve disponibles ;

 

  • Coopérer pleinement avec l’Organisateur, notamment en mettant à disposition les résultats de ses investigations, les journaux d’incidents, et les mesures correctives adoptées.

La notification doit contenir au moins :

  1. la description de la nature de la violation de Données y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de Données concernés ;
  2. le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
  3. la description des conséquences probables de la violation de Données;
  4. la description des mesures prises pour remédier à la violation de Données, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu.

2.7 – Aide de VENIO dans le cadre du respect par l’Organisateur de ses obligations

VENIO s’engage à aider l’Organisateur, dans la mesure du possible et compte tenu de la nature du traitement et des informations dont il dispose, à garantir le respect de ses obligations prévues aux articles 32 à 36 du Règlement (UE) 2016/679, notamment en ce qui concerne :

  • la mise en œuvre et la mise à jour des mesures de sécurité appropriées ;
  • la notification des violations de données à caractère personnel à l’autorité de contrôle et, le cas échéant, aux personnes concernées ;
  • la réalisation d’analyses d’impact relatives à la protection des données (AIPD) ;
  • la consultation préalable de l’autorité de contrôle lorsque celle-ci est requise.

Cette assistance comprend la fourniture des informations nécessaires, la mise à disposition des résultats d’audit ou d’évaluations internes, et toute coopération raisonnable permettant à l’Organisateur de remplir ses obligations légales.

Les prestations d’assistance supplémentaires non prévues par le présent accord pourront donner lieu à une facturation distincte, sous réserve qu’elles excèdent manifestement les obligations légales de VENIO et qu’elles fassent l’objet d’un accord écrit préalable de l’Organisateur.

2.8 – Mesures de sécurité

VENIO s’engage à mettre en œuvre et maintenir toutes mesures techniques et organisationnelles appropriées pour protéger les Données personnelles pendant toute la durée des Services, en fonction de l’état des connaissances, les coûts de mise en œuvre et la nature, la portée et les finalités du traitement, ainsi que les risques que représentent ledit traitement pour les droits et libertés des personnes physiques, afin de garantir un niveau de sécurité adapté. VENIO s’engage notamment à mettre en œuvre toutes mesures propres à empêcher toute déformation, altération, endommagement, destruction de manière fortuite ou illicite, perte, divulgation et/ou tout accès non autorisé par un tiers aux données personnelles transmises, stockées ou traitées d'une autre manière.

Dans ce cadre, VENIO s‘engage à prendre les mesures décrites dans la Politique de sécurité de la société, qu’elle tient à disposition de l’Organisateur sur simple demande, ainsi que les informations raisonnablement demandées par l'organisateur concernant les pratiques et politiques de sécurité VENIO.

Afin de garantir la protection des données personnelles, VENIO met notamment en œuvre les mesures organisationnelles et techniques suivantes :

    • Une politique de mise à jour de sécurité des applicatifs et des systèmes serveurs est appliquée afin de maintenir les systèmes à jour contre les vulnérabilités connues.
    • Les droits d’accès sont gérés de manière granulaire, en fonction des rôles et des événements, et assortis d’un principe de moindre privilège.
    • Des exigences renforcées s’appliquent aux mots de passe : complexité, contrôle contre les listes de mots de passe compromis.
    • Les comptes inactifs sont automatiquement désactivés, ainsi que les accès des gestionnaires aux événements archivés, afin de prévenir les risques liés aux comptes dormants.
    • L’authentification multifacteur (MFA) sera obligatoire à compter du 1er janvier 2026 pour les comptes administrateurs.
    • Des évaluations régulières de la sécurité sont réalisées, incluant un test d’intrusion programmé fin 2025, confié à une agence de cybersécurité indépendante.
    • Des journaux d’audit sont conservés et analysés afin de détecter les accès anormaux, l’ensemble étant complété par des sauvegardes sécurisées et des procédures de réponse aux incidents.

En cas de modification des mesures techniques mises en place pour assurer la sécurité et la confidentialité des Données, VENIO s’engage à les remplacer par des mesures n’emportant pas de régression du niveau de sécurité et à en informer l’Organisateur, dans les plus brefs délais, par écrit.

2.9 – Sort des Données

 

Conformément aux paramétrages réalisés par l’Organisateur dans le Logiciel Venio, certaines données à caractère personnel sont automatiquement supprimées ou anonymisées à l’issue de délais définis. Ces délais sont configurables par l’Organisateur et portent notamment sur :

Fermeture d’un événement :

À l’issue du nombre de jours défini après la date de fin de l’événement, celui-ci passe en statut "fermé", à cette date, une donnée marquée comme "sensible" par l’Organisateur dans les champs du formulaire, sera automatiquement effacée.

Archivage d’un événement :

Les événements sont automatiquement archivés au terme du délai paramétré par l’Organisateur, à cette date, les réponses aux questions personnalisées ainsi que les documents transmis par les inscrits sont supprimées de la base.

Suppression d’un contact CRM :

Tout contact inactif depuis le nombre d’années paramétré est automatiquement supprimé.

Par ailleurs, pendant la durée du contrat, certaines Données peuvent être automatiquement supprimées ou anonymisées conformément aux paramètres définis par l’Organisateur dans le Logiciel (fermeture ou archivage d’événements, suppression de contacts inactifs, etc.). VENIO veille à ce que ces fonctionnalités soient paramétrables, effectives et documentées.

VENIO s’engage à ne conserver aucune Donnée au-delà des durées paramétrées par l’Organisateur, sauf obligation légale ou réglementaire contraire.

À l’issue de la prestation ou à la clôture du contrat, pour quelque cause que ce soit, VENIO s’engage, sur instruction écrite de l’Organisateur, à :

  • restituer à l’Organisateur l’ensemble des Données à caractère personnel traitées pour son compte, dans un format structuré, couramment utilisé et lisible par machine ;
  • effacer définitivement toutes les copies desdites Données (y compris dans les environnements de sauvegarde et de test) dans un délai maximum de dix (10) jours suivant la restitution, sauf obligation légale contraire de conservation, dont VENIO informera l’Organisateur ;
  • attester par écrit de la bonne exécution de cette suppression.

 

2.10 – Délégué à la protection des données de VENIO

VENIO informe l’Organisateur avoir nommé un délégué à la protection qui répond à l’adresse suivante :

[email protected]

 

2.11 – Registre des catégories d’activité de traitement

 

VENIO déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte de l’Organisateur comprenant :

  1. le nom et les coordonnées de l’Organisateur pour le compte duquel il agit, des éventuels sous-traitants ultérieurs et, le cas échéant, du délégué à la protection des Données ;
  2. les catégories de traitements effectués pour le compte de l’Organisateur ;
  3. le cas échéant, les transferts de Données vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa du Règlement, les documents attestant de l'existence de garanties appropriées ;
  4. dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles, y compris entre autres, selon les besoins :
  • la pseudonymisation et le chiffrement des données;
  • des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
  • des moyens permettant de rétablir la disponibilité des données et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;
  • une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

2.12 - Documentation

VENIO met à la disposition de l’Organisateur la documentation nécessaire pour démontrer le respect de toutes ses obligations au titre des présentes clauses de sous-traitance, qu’il s’engage à fournir sur simple demande.

 

La preuve de ces mesures peut être fournie au moyen de certificats valides, de rapports ou d’extraits de rapports délivrés par des autorités indépendantes (telles qu’un auditeur, un chargé d’audit, un délégué à la protection des données, le département de sécurité informatique, les auditeurs chargés de la protection des données, les auditeurs qualité) ou d’une certification adaptée émanant de la sécurité informatique ou de l’audit sur la protection des données.

L’Organisateur ou tout auditeur tiers indépendant qu’il mandate peut réaliser des audits ou inspections pour vérifier le respect par VENIO de ses obligations légales et contractuelles, au maximum une fois par an, et également en cas d’incident de sécurité significatif ou sur demande motivée de l’autorité de contrôle.

L’Organisateur est tenu d’informer VENIO de toute opération de contrôle au moins quinze (15) jours ouvrés avant la date dudit contrôle. Les personnes chargées de réalisées cet audit par l’Organisateur s’engagent à protéger la confidentialité vis-à-vis de VENIO. Cette obligation de confidentialité doit satisfaire des exigences élevées de sécurité. Les personnes employées ne peuvent entretenir une quelconque relation avec un concurrent de VENIO.

VENIO s’engage à répondre aux demandes d’audit de l’Organisateur effectuées par lui-même ou par un tiers de confiance qu’il aura sélectionné, reconnu en tant qu’auditeur indépendant, c'est-à-dire indépendant de VENIO, ayant une qualification adéquate, et libre de fournir les détails de ses remarques et conclusion d’audit au responsable de traitement.

VENIO coopère pleinement à ces audits et met à disposition les informations, systèmes et locaux nécessaires. Les coûts normaux d’assistance à l’audit sont compris dans le prix des Services ; seuls les coûts exceptionnels feront l’objet d’un devis préalable accepté par l’Organisateur.

3 - Obligations de l’Organisateur vis-à-vis de VENIO

L’Organisateur s’engage à :

  • Fournir à VENIO les informations suivantes, afin de lui permettre d’établir son registre des traitements de sous-traitant :
        • Le nom et les coordonnées de l’Organisateur ou de tout autre responsable du traitement lorsque le traitement est opéré pour plusieurs responsables de traitement ;
        • Les coordonnées du Délégué à la protection des données de l’Organisateur.
  • Fournir à VENIO les Données nécessaires à l’exécution des Services ;
  • Documenter par écrit toute instruction concernant le traitement des données par VENIO.
  • Veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen ;
  • Superviser le traitement.

4 - Coopération en cas de contrôle

En cas de contrôle d’une autorité compétente, les Parties s’engagent à coopérer entre elles et avec l’autorité de contrôle.

Dans le cas où le contrôle mené ne concernerait que les traitements mis en œuvre par VENIO en tant que responsable de traitement, VENIO fera son affaire du contrôle et s’interdira de communiquer ou de faire état des Données de l’Organisateur.

Dans le cas où le contrôle mené chez VENIO concernerait les traitements mis en œuvre au nom et pour le compte de l’Organisateur, VENIO s’engage à en informer immédiatement l’Organisateur et à ne prendre aucun engagement pour lui.

En cas de contrôle d’une autorité compétente chez l’Organisateur portant notamment sur les prestations délivrées par VENIO, ce dernier s’engage à coopérer avec l’Organisateur et à lui fournir toute information dont il pourrait avoir besoin ou qui s’avèrerait nécessaire.

La présente charte est entrée en vigueur le 1er décembre 2025.