Contrat

de

traitement de données en vertu de l’Article 28 du RGPD 

Le Sous-traitant :

Eversports GmbH
Heiligenstädterstrasse 31,
Stiege 2/501, 1190 Vienne

(ci-après dénommé le « Mandataire » et « Eversports »)

Le Responsable du traitement :

Partenaire contractuel d’Eversports
(ci-après dénommé le « Mandant »)

  1.  OBJET DU CONTRAT
    1.1. L ’objet du présent contrat est l’exécution des tâches suivantes :
    ▪ La conservation, la mise à jour, le transfert et la suppression des données relatives aux clients, membres et/ou employés
    ▪ Le transfert (importation) des données relatives aux clients, membres et/ou employés ainsi que des données produits le cas échéant
    ▪ La gestion des produits
    ▪ La gestion des ressources (administration des salles)
    ▪ La gestion des activités
    ▪ La gestion des formateurs et enseignants
    ▪ Le traitement des demandes d’assistance
    ▪ L’exportation ou l’importation des données clients

    Aux fins de la réalisation des objectifs suivants :
    ▪ Gestion de la clientèle
    ▪ Traitement des réservations
    ▪ Traitement des transactions
    ▪ Analyse
    ▪ Contrôle de la conformité de la caisse enregistreuse
    ▪ Communication client (inscription aux newsletters)

Le présent contrat doit être considéré comme un avenant au contrat Eversports Corporation conclu entre le Mandataire et le Mandant.

1.2. Les catégories de données devant être traitées sont les suivantes :
▪ Coordonnées (prénom, nom, adresse, e-mail, numéro de téléphone)
▪ Informations client (numéros et groupes clients)
▪ Données de compte (date de création)
▪ Date de naissance
▪ Sexe
▪ Données images (image de profil)
▪ Coordonnées bancaires (SEPA, carte de crédit)
▪ Données de réservation
▪ Données de commande (produits, date d’achat)
▪ Données de facturation
▪ Inscription aux newsletters

1.3. Les catégories de personnes concernées par le traitement des données sont les suivantes :
▪ Clients
▪ Membres
▪ Employés
▪ Formateurs externes
▪ Administrateurs

2. DUREE DU CONTRAT
Le présent contrat est conclu pour une durée indéterminée et peut être résilié par l’une ou l’autre des parties, en respectant la durée du préavis indiquée dans les Conditions générales d’Eversports. Le présent contrat prendra fin lors de la cessation complète du contrat de coopération Eversports, sans qu’il soit nécessaire de faire des déclarations séparées.

La possibilité de demander une résiliation extraordinaire pour un motif valable n’en sera pas affectée. En tout état de cause, et nonobstant les modalités de résiliation convenues dans le présent contrat, le préavis de résiliation extraordinaire s’appliquera de la même manière au contrat de coopération Eversports pour toutes les questions également couvertes par le présent contrat. Le contrat Eversports Corporation ne se poursuivra conformément aux clauses restantes que pour les éléments n’entrant pas dans le cadre du présent contrat (qui peuvent, d’un point de vue économique, être raisonnablement distingués).

3. RESPONSABILITES DU MANDANT

3.1. Le Mandant s’engage à obtenir le consentement des personnes concernées relativement aux données fournies au Mandataire en vue du traitement, dans les cas où ce traitement ne serait pas indispensable à l’exécution du contrat, ou qu’il ne serait pas légitime en vertu d’un autre fondement juridique de l’Article 6 du RGPD.
3.2. Le Mandant s’engage notamment à ne traiter les données des catégories spéciales (données médicales) dans le cadre des informations clients que sur la base du consentement exprès préalable de la personne concernée. Le Mandataire décline toute responsabilité concernant le contenu saisi par le Mandant dans les champs de saisie libre.
3.3. Le Mandant s’engage à ne pas traiter, reproduire ou publier les photographies du client, quelles qu’elles soient, qui auraient été transmises par Eversports dans le cadre d’une réservation, sans l’accord préalable de la personne concernée.
3.4. Le Mandant sera seul responsable de la préparation et de la réalisation de la suppression des données en temps voulu.
3.5. Toute décision relative à la limitation, à la suppression ou à la correction des jeux de données faisant l’objet du présent contrat est prise exclusivement par le Mandant. Le Mandataire agira donc exclusivement selon les instructions expresses et documentées du Mandant. Dans l’éventualité où, à cet égard, les personnes concernées prendraient contact directement avec le Mandataire, celui-ci transmettra ces demandes au Mandant.
3.6. Le Mandant n’inclura dans la liste d’envoi de sa newsletter les clients ayant réservé via la plateforme Eversports (app, marketplace ou widget) qu’après avoir obtenu leur consentement exprès. Dans ce contexte, les termes du paragraphe 107 de la loi autrichienne sur les télécommunications (Telekommunikationsgesetz) ou toute prévision ultérieure à cet égard doit être respectée.

4. RESPONSABILITE DU MANDATAIRE

4.1. Le Mandataire s’engage à traiter exclusivement les données et les résultats du traitement dans le cadre autorisé en vertu des instructions du Mandant. Dans l’éventualité où le Mandataire recevrait l’ordre officiel de fournir les données du Mandataire, alors, dans la mesure permise par la loi, il devra en informer immédiatement le Mandant et orienter l’autorité en question vers le Mandant. De la même manière, tout traitement de données à des fins propres au Mandataire doit faire l’objet d’une autorisation écrite.
4.2. Le Mandataire déclare sur une base juridiquement contraignante qu’il a soumis toutes les personnes à qui le traitement des données a été confié à un accord de confidentialité avant le commencement de leurs travaux, ou que lesdites personnes sont soumises à une obligation légale de confidentialité raisonnable. L’obligation de confidentialité qui incombe aux personnes chargées du traitement des données restera notamment en vigueur au terme de leur contrat et après leur départ de la société du Mandataire.
4.3. Le Mandataire déclare, sur une base juridiquement contraignante, qu’il a pris toutes les mesures requises pour assurer la sécurité du traitement, en vertu de l’article 32 du RGPD (pour plus de détails, voir l’annexe 1).
4.4. Le Mandataire s’engage à prendre toutes les mesures techniques et organisationnelles nécessaires pour que le Mandant soit, à tout moment, en mesure d’accéder aux demandes des personnes concernées d’exercer leurs droits en vertu du Chapitre 3 du RGPD (droit d’information, droit d’accès, droit de correction et d’effacement, droit à la portabilité des données, droit d’opposition et de prise de décision individuelle automatisée) dans les délais prévus par la loi, et s’engage à fournir au Mandant toutes les informations requises à cet égard. Si une requête relative à ces droits est adressée au Mandataire et s’il s’avère que, pour l’activité de traitement effectuée, le requérant considère à tort que le Mandataire est le Mandant, le Mandataire doit immédiatement transmettre la demande au Mandant et en informer le requérant.
4.5. Le Mandataire s’engage à aider le Mandant à répondre aux critères de conformité des Articles 32 à 36 du RGPD (relatifs à la sécurité du traitement, à la notification à l’autorité de contrôle d’une violation de données à caractère personnel, à la communication à la personne concernée d’une violation de données à caractère personnel, à l’analyse d’impact relative à la protection des données et à la consultation préalable). Le Mandataire pourra facturer au Mandant tout coût supplémentaire en résultant, pour le cas où de tels coûts ne seraient pas prévus dans le contrat de base.
4.6. Dans le cadre du traitement des données qu’il a transférées, le Mandant se verra octroyer le droit d’inspecter et de contrôler les infrastructures de traitement. Le Mandataire s’engage à fournir au Mandant, sur demande, toute information requise à des fins de vérification du respect des obligations prévues dans le présent contrat.
4.7. Au terme du présent contrat, le Mandataire sera soumis à une obligation d’anonymisation de tous les résultats du traitement et des documents contenant des données à caractère personnel. Le Mandataire devra recevoir une autorisation expresse pour continuer à conserver et à analyser les données anonymisées.
4.8. Le Mandataire s’engage à informer le Mandant immédiatement s’il considère qu’une instruction du Mandant, quelle qu’elle soit, viole la législation sur la protection des données de l’Union européenne ou des Etats membres.
4.9. Le Mandataire s’engage à supprimer les données des supports de stockage locaux, suite à l’importation des données à partir d’outils externes et à leur intégration à la base de données Eversports.

5. LIEU D’EXECUTION DU TRAITEMENT DES DONNEES

Les activités de traitement des données sont entreprises au moins partiellement en dehors de l’UE/EEE, à savoir aux États-Unis et au Canada. Un niveau de protection des données raisonnable est assuré en vertu d’une décision d’adéquation de la Commission européenne, conformément à l’Article 45 du RGPD

6. SOUS-TRAITANTS

6.1. Le Mandataire est autorisé à faire appel à des sous-traitants.
Il devra obtenir les consentements requis de la part du sous-traitant, au sens de l’Article 28 (4) du RGPD. Dans ce contexte, il sera nécessaire de s’assurer que le sous-traitant est soumis aux mêmes obligations que celles qui incombent au Mandataire en vertu du présent contrat. Dans le cas où le sous-traitant ne répondrait pas à ses obligations en matière de protection des données, le Mandataire serait responsable du respect des obligations du sous-traitant vis-à-vis du Mandant.
6.2. Le Mandataire a le droit d’engager d’autres sociétés affiliées du groupe comme sous-traitants et le Mandant y consent d’avance par le présent contrat. Pour être plus précis, ces derniers sont aujourd’hui : …

7. RESPONSABILITE

7.1. Les parties au présent accord seront responsables en principe uniquement et sans restriction de toutes les conséquences préjudiciables d’un manquement aux obligations de protection des données dans le cadre de leur champ de responsabilité contractuelle et/ou légale et doivent, en cas de réclamation de tiers, indemniser l’autre partie concernée et la tenir à couvert.
7.2. Cette obligation d’indemnisation comprend notamment, dans la mesure où la loi le permet, les amendes pécuniaires infligées par les autorités à l’une des parties au présent contrat pour un comportement imputable à l’autre partie respective.
7.3. La responsabilité du Mandataire est limitée à deux fois la valeur annuelle (honoraires) prévue par le contrat Eversports Corporation d’une part et aux cas de négligence grave ou de préméditation d’autre part. La responsabilité pour négligence mineure et la responsabilité pour dommages consécutifs sont exclues.

8. DISPOSITIONS FINALES

8.1. Dans le cas où des parties au présent contrat seraient nulles ou le deviendraient, la validité du reste des dispositions du présent contrat demeurera inchangée. Toute disposition nulle doit être remplacée par un terme admissible/valable qui se rapproche le plus possible de l’intention économique et de l’objectif poursuivi par les parties.
8.2. Sauf stipulation contraire dans le contrat de base, le présent contrat de traitement de données est soumis exclusivement au droit matériel autrichien ainsi qu’aux dispositions du droit communautaire régissant la matière concernée, en particulier le RGPD. Le tribunal compétent est le tribunal de Vienne.

Vienne,

Pour le Mandant :

Vienne,

Pour le Mandataire :

…………………………………………….

[Nom et fonction exercée]

…………………………………………….

[Nom et fonction exercée]