English (US)
Dansk
Norsk
Svenska
Suomi
English (UK)
Deutsch
Español
Français
Nederlands
Informations sur l’entreprise
- Entreprise
- Booking Board ApS
- Adresse
- Aabenraavej 44, 6100 Haderslev, Danemark
- Immatriculation
- CVR: DK43231952
Contexte de l’accord de traitement des données
Le présent accord définit les droits et obligations applicables lorsque Booking Board (le sous-traitant) traite des données à caractère personnel pour le compte d’un client (le responsable du traitement).
Le présent accord est conçu pour garantir la conformité à l’article 28(3) du Règlement général sur la protection des données (EU) 2016/679, qui fixe des exigences spécifiques quant au contenu d’un accord de traitement des données.
Le traitement de données à caractère personnel par le sous-traitant a lieu dans le cadre de l’utilisation du système Booking Board par le responsable du traitement, tel que décrit dans les conditions générales de Booking Board.
L’accord de traitement des données et les conditions générales de Booking Board sont interdépendants et ne peuvent être résiliés séparément. Toutefois, l’accord de traitement des données peut être remplacé par un autre accord de traitement valide sans affecter les conditions générales. En cas de modification, Booking Board doit en informer le responsable du traitement et fournir le nouvel accord.
Le présent accord de traitement des données prévaut sur toute disposition similaire contenue dans d’autres accords entre les parties, y compris les conditions générales de Booking Board.
Droits et obligations
Le responsable du traitement est en définitive responsable de veiller à ce que le traitement des données à caractère personnel soit effectué dans le cadre du Règlement général sur la protection des données et de la loi sur la protection des données.
Le sous-traitant doit toujours se conformer sans retard injustifié aux demandes raisonnables du responsable du traitement afin de garantir le respect du Règlement général sur la protection des données et de la loi sur la protection des données.
Le sous-traitant agit conformément aux instructions
- Le sous-traitant ne peut traiter les données à caractère personnel que conformément aux instructions documentées du responsable du traitement, sauf si le droit de l’UE ou le droit national l’exige. Dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation légale avant le traitement, sauf si la loi applicable interdit une telle notification pour des raisons importantes d’intérêt public.
- Le sous-traitant informe immédiatement le responsable du traitement si, à son avis, une instruction enfreint le Règlement général sur la protection des données ou les dispositions en matière de protection des données prévues par d’autres lois européennes ou nationales.
Confidentialité
Le sous-traitant veille à ce que seules les personnes ayant besoin d’un accès dans le cadre de leur travail pour Booking Board aient accès aux données à caractère personnel traitées pour le compte du responsable du traitement. L’accès aux données doit être immédiatement révoqué si la personne n’a plus besoin d’y accéder ou n’est plus affiliée à Booking Board.
Sécurité des données
Le sous-traitant met en œuvre toutes les mesures requises en vertu de l’article 32 du Règlement général sur la protection des données, en garantissant des mesures techniques et organisationnelles de sécurité appropriées en fonction du risque pour les droits et libertés des personnes physiques :
- Pseudonymisation et chiffrement des données à caractère personnel
- Capacité à garantir la confidentialité, l’intégrité, la disponibilité et la résilience continues des systèmes de traitement
- Capacité à rétablir la disponibilité et l’accès aux données à caractère personnel dans un délai raisonnable en cas d’incident physique ou technique
- Un processus de test, d’évaluation et d’appréciation réguliers de l’efficacité des mesures techniques et organisationnelles destinées à garantir la sécurité du traitement
Recours à des sous-traitants ultérieurs
Le sous-traitant doit remplir les conditions énoncées à l’article 28(2) et (4) du Règlement général sur la protection des données pour faire appel à un autre sous-traitant (sous-traitant ultérieur). Le sous-traitant ne peut faire appel à un sous-traitant ultérieur sans l’autorisation préalable spécifique ou générale écrite du responsable du traitement.
Transfert d’informations vers des pays tiers ou des organisations internationales
Le sous-traitant ne peut traiter les données à caractère personnel que conformément aux instructions documentées du responsable du traitement, y compris pour les transferts vers des pays tiers ou des organisations internationales, sauf si le droit de l’UE ou le droit national l’exige.
Assistance au responsable du traitement
Le sous-traitant aide le responsable du traitement à remplir son obligation de répondre aux demandes des personnes concernées relatives à l’exercice de leurs droits en vertu du chapitre 3 du Règlement général sur la protection des données.
Notification des violations de données
Le sous-traitant notifie le responsable du traitement sans retard injustifié dès qu’il a connaissance d’une violation de données à caractère personnel.
Suppression et restitution des données
À la fin des services liés au traitement, le sous-traitant doit, au choix du responsable du traitement, supprimer ou restituer toutes les données à caractère personnel au responsable du traitement et supprimer toute copie existante, à moins que le droit de l’UE ou le droit national n’exige la conservation des données à caractère personnel.
Supervision et audit
Le sous-traitant met à disposition toutes les informations nécessaires pour démontrer la conformité à l’article 28 du Règlement général sur la protection des données et au présent accord, et permet la réalisation d’audits ou d’inspections par le responsable du traitement.
Date d’entrée en vigueur et résiliation
Le présent accord prend effet lorsque le responsable du traitement commence à utiliser le système de Booking Board. L’accord reste en vigueur aussi longtemps que le traitement se poursuit et ne peut être résilié séparément des conditions générales de Booking Board.
Personne de contact chez le sous-traitant
Les demandes de renseignements relatives aux données à caractère personnel peuvent être adressées au contact suivant :
- Nom
- Casper S. Paulsen
- Associé/Développeur
- Téléphone
- 60534462
Annexe A : Informations sur le traitement
L’objet du traitement des données à caractère personnel par le sous-traitant pour le compte du responsable du traitement est le suivant :
- Permettre au responsable du traitement d’utiliser le système Booking Board, détenu et géré par le sous-traitant, afin de collecter et traiter les informations relatives aux membres du responsable du traitement.
Le traitement porte sur les types de données à caractère personnel suivants concernant les personnes concernées :
- Nom, adresse e-mail, numéro de téléphone, adresse, date de naissance, type d’abonnement, inscription et présence aux cours du responsable du traitement.
Le traitement concerne les catégories de personnes concernées suivantes :
- Les personnes ayant créé un profil auprès du responsable du traitement via Booking Board.
Le traitement des données à caractère personnel par le sous-traitant pour le compte du responsable du traitement peut débuter après l’entrée en vigueur du présent accord. Le traitement n’est pas limité dans le temps et se poursuit jusqu’à la résiliation ou l’annulation de l’accord par l’une des parties.
Annexe B : Sous-traitants ultérieurs
B.1 Conditions de recours aux sous-traitants ultérieurs
Le sous-traitant dispose de l’autorisation générale du responsable du traitement pour recourir à des sous-traitants ultérieurs. Toutefois, le sous-traitant doit informer le responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement de sous-traitants ultérieurs, afin de permettre au responsable du traitement de s’y opposer.
Cette notification doit parvenir au responsable du traitement au moins un mois avant la mise en œuvre du changement. Si le responsable du traitement s’y oppose, il doit en informer le sous-traitant dans un délai de 14 jours. Le responsable du traitement ne peut s’opposer que pour des motifs raisonnables et spécifiques.
B.2 Sous-traitants ultérieurs approuvés
Le responsable du traitement a, au moment de l’entrée en vigueur de l’accord, approuvé le recours aux sous-traitants ultérieurs suivants :
| Nom | Description du traitement |
|---|---|
| Twilio | Gère l’envoi de messages SMS depuis le système. |
| Mailgun | Gère l’envoi d’e-mails depuis le système. |
| DigitalOcean | Fournit l’infrastructure informatique pour l’exploitation du système. |
| Hetzner | Fournit l’infrastructure informatique pour l’exploitation du système. |
| Scaleway | Fournit l’infrastructure informatique pour l’exploitation du système. |
| OneSignal | Gère l’envoi de notifications push depuis le système. |
| Sentry | Gère la journalisation des erreurs des événements dans le système. |
Le responsable du traitement a spécifiquement approuvé le recours aux sous-traitants ultérieurs susmentionnés pour le traitement exact décrit. Le sous-traitant ne peut, sans l’approbation spécifique et écrite du responsable du traitement, utiliser un sous-traitant ultérieur pour un type de traitement différent ni autoriser un autre sous-traitant ultérieur à effectuer le traitement décrit.
Annexe C : Instructions relatives au traitement
C.1 Objet du traitement / Instructions
Le traitement des données à caractère personnel par le sous-traitant pour le compte du responsable du traitement s’effectue comme suit : gestion des données des clients du responsable du traitement dans le cadre de l’utilisation de Booking Board par le responsable du traitement pour gérer les cours, les formations, les paiements, etc.
C.2 Sécurité des données
Le niveau de sécurité doit refléter le fait que les données traitées comprennent des informations personnelles de base sur les personnes concernées ainsi que des détails sur leurs achats et leur utilisation des produits du responsable du traitement, mais généralement pas de catégories particulières de données à caractère personnel telles que décrites à l’article 9 du Règlement général sur la protection des données.
Le sous-traitant est par conséquent autorisé et tenu de décider quelles mesures techniques et organisationnelles de sécurité sont nécessaires pour garantir le niveau de sécurité requis pour les données.
C.3 Durée de conservation / Procédure de suppression
Les données à caractère personnel sont conservées par le sous-traitant jusqu’à ce que le responsable du traitement demande la suppression ou la restitution des données.
De plus, les comptes de membres inactifs depuis plus de 24 mois sont automatiquement anonymisés par le système, à condition qu’ils ne disposent d’aucun abonnement actif, de paiements en attente ou d’autre activité en cours.
Lorsqu’un utilisateur individuel est supprimé du système, toutes les informations directement identifiables sont supprimées, y compris le nom, l’adresse, l’e-mail, la date de naissance et tout commentaire descriptif. Il subsiste un utilisateur anonymisé, permettant au responsable du traitement de continuer à extraire des rapports.
C.4 Procédures de supervision
Le responsable du traitement supporte tous les coûts liés à la supervision physique. Toutefois, le sous-traitant est tenu de mettre à disposition les ressources nécessaires pour permettre au responsable du traitement d’effectuer la supervision.