Evenda

La version officielle du document est en serbe.

Les traductions dans d'autres langues sont publiées uniquement à titre indicatif. En cas de divergence entre la traduction et la version serbe, la version serbe prévaut.

Accord sur le traitement des données (DPA)

Date d'entrée en vigueur: 01.03.2026
Dernière mise à jour: 01.03.2026

Le présent accord sur le traitement des données (« DPA ») fait partie intégrante de l'accord d'organisateur de la plateforme Evenda et régit le traitement des données à caractère personnel que la société ZURKA CE BITI DOO effectue pour le compte de l'organisateur dans le cadre de l'utilisation de la plateforme SaaS Evenda.

Le présent accord de partenariat de développement (APD) est conclu entre :

ZURKA CE BITI DOO
Numéro d'identification fiscale : 114432064
Numéro d'enregistrement : 22023195
Belgrade, Kraljice Natalije 11, Serbie
E-mail : [email protected]

(ci-après dénommée « Evenda » ou « le Responsable du traitement »)

et

la personne qui crée un compte d'organisateur, accepte le présent DPA ou utilise la plateforme Evenda en tant qu'organisateur d'un événement
(ci-après dénommée « l'Organisateur » ou « l'Opérateur »).

Si les parties ont conclu un accord écrit distinct relatif au traitement des données, celui-ci prévaut sur le présent ATD pour les questions qui y sont expressément régies.

1. Objet et champ d'application

1.1. Le présent accord sur le traitement des données (DPA) s'applique uniquement lorsque Evenda traite des données à caractère personnel pour le compte et sur instruction de l'Organisateur dans le cadre de l'utilisation de la plateforme Evenda.

1.2. Le présent accord sur le traitement des données (DPA) ne s'applique pas aux cas où Evenda agit en tant que responsable du traitement des données à caractère personnel, notamment :

  • les données du compte de l'Organisateur et de son équipe ;
  • les données relatives à l'abonnement, à la facturation et au paiement du SaaS ;
  • les données relatives aux demandes d'assistance ;
  • les données relatives à la sécurité, à la journalisation, à la prévention de la fraude et à la protection des droits d'Evenda ;
  • les données qu'Evenda est tenue de traiter en vertu de la loi.

1.3. Le présent accord sur le traitement des données (DPA) régit uniquement le traitement des données effectué par Evenda en tant que sous-traitant. Toutes les autres questions relatives à l'utilisation de la plateforme sont régies par le contrat d'organisateur (Organizer Agreement) et les autres documents applicables d'Evenda.

2. Définitions

Aux fins du présent accord sur le traitement des données (DPA), les termes suivants sont utilisés :

Le Responsable du traitement — L'Organisateur qui définit les finalités et les principaux paramètres du traitement des données à caractère personnel via la plateforme Evenda.
Le Sous-traitant — Evenda, qui traite les données à caractère personnel pour le compte du Responsable du traitement.
Législation applicable en matière de protection des données — la législation applicable en matière de protection des données à caractère personnel, y compris le RGPD lorsqu'il s'applique, ainsi que toute autre réglementation obligatoire régissant le traitement concerné.
Données à caractère personnel — toute information se rapportant à une personne physique identifiée ou identifiable.
Personne concernée — toute personne physique à laquelle se rapportent les données à caractère personnel.
Sous-traitant — tout sous-traitant engagé par Evenda qui traite des données à caractère personnel pour le compte de l'Opérateur dans le cadre de la prestation des services d'Evenda.
Violation de la sécurité des données à caractère personnel — toute violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé, accidentels ou illicites, à des données à caractère personnel.

Si un terme est utilisé dans le présent accord sur le traitement des données (DPA) et défini dans la législation applicable en matière de protection des données, il est interprété conformément à la définition qui y est donnée.

3. Objet, durée, nature et finalité du traitement

3.1. L'objet du présent accord sur le traitement des données (DPA) est le traitement par Evenda des données à caractère personnel pour le compte de l'Organisateur dans le cadre de la fourniture des fonctionnalités SaaS de la plateforme Evenda.

3.2. La durée du traitement commence dès qu’Evenda commence à traiter les données à caractère personnel pour le compte de l’Organisateur et se poursuit pendant toute la durée d’utilisation des fonctionnalités concernées de la plateforme, ainsi que pendant la durée de conservation, de suppression, de restitution ou de toute autre forme de cessation du traitement, conformément au présent ATD et à la législation applicable en matière de protection des données.

3.3. La nature du traitement peut inclure, en fonction des fonctionnalités de la plateforme utilisées :

  • collecte ;
  • enregistrement ;
  • organisation ;
  • structuration ;
  • conservation ;
  • adaptation ;
  • extraction ;
  • consultation ;
  • utilisation ;
  • transmission ;
  • mise à disposition ;
  • mise en correspondance ;
  • limitation ;
  • effacement ;
  • destruction ;
  • autres opérations nécessaires à la fourniture des services Evenda.

3.4. Les finalités du traitement sont déterminées par l'Organisateur et peuvent inclure :

  • la publication et la gestion des événements ;
  • la vente de billets ;
  • le traitement des commandes et des inscriptions ;
  • la gestion des participants ;
  • l'envoi de notifications de service, de billets et de codes QR ;
  • le traitement des formulaires, des champs et des données configurés par l'Organisateur ;
  • le soutien aux activités opérationnelles de l'Organisateur dans le cadre de l'utilisation de la plateforme.

3.5. Les catégories de personnes concernées, les catégories de données à caractère personnel et la description du traitement sont indiquées à l'annexe 1 du présent accord sur le traitement des données (DPA).

4. Les rôles des parties

4.1. L'Organisateur agit en tant que Responsable du traitement des données à caractère personnel qu'il télécharge, collecte, structure ou traite de toute autre manière via la plateforme Evenda dans le cadre de ses événements, commandes, billets, inscriptions et communications avec les acheteurs et les participants.

4.2. Evenda agit en tant que sous-traitant uniquement dans la mesure où elle traite ces données à caractère personnel pour le compte de l'Organisateur et conformément à ses instructions documentées.

4.3. L'organisateur confirme qu'il détermine lui-même les finalités du traitement et les principaux paramètres de celui-ci, notamment :

  • quelles données sont collectées ;
  • concernant quelles personnes ;
  • pendant combien de temps les données sont-elles utilisées dans le cadre des finalités de l'Organisateur ;
  • à qui l'accès aux données est-il accordé au sein du compte de l'Organisateur ;
  • quels formulaires, champs, notifications et scénarios sont utilisés.

5. Instructions de l'opérateur

5.1. Evenda traite les données à caractère personnel uniquement sur la base des instructions documentées de l'Organisateur, sauf disposition contraire de la législation applicable en matière de protection des données.

5.2. Le présent DPA, le Contrat d'organisateur, les paramètres du compte de l'Organisateur, les fonctionnalités sélectionnées de la plateforme, la configuration des événements, les formulaires, les champs, les droits d'accès et toute autre action de l'Organisateur dans l'interface Evenda sont considérés comme des instructions documentées de l'Opérateur.

5.3. L'organisateur est en droit de fournir des instructions écrites supplémentaires raisonnables, si celles-ci :

  • sont liées à l'utilisation du service ;
  • ne sont pas contraires à l'Organizer Agreement, au présent DPA et à la législation applicable en matière de protection des données ;
  • sont techniquement réalisables ;
  • ne nécessitent pas de modifications disproportionnées de la plateforme.

5.4. Si Evenda estime que les instructions de l'Organisateur enfreignent la législation applicable en matière de protection des données, Evenda est en droit d'en informer l'Organisateur et de suspendre l'exécution desdites instructions jusqu'à ce qu'elle reçoive des précisions ou une justification légale.

6. Obligations de l'Organisateur en tant qu'Opérateur

L'organisateur s'engage et garantit que :

6.1. dispose de bases légales pour le traitement des données à caractère personnel et pour confier ce traitement à Evenda ;

6.2. informe dûment les personnes concernées lorsque la loi l'exige ;

6.3. détermine de manière indépendante quelles données à caractère personnel sont collectées via la plateforme et ne confie pas à Evenda le traitement de données en violation de la loi ;

6.4. n'utilise pas la plateforme Evenda pour traiter des catégories particulières de données à caractère personnel, des données relatives au casier judiciaire ou d'autres données sensibles, à moins que ce traitement ne soit licite, nécessaire et dûment réglementé ;

6.5. est responsable de la légalité de ses activités, formulaires, champs, descriptions, notifications, scénarios de communication, droits d'accès de son équipe et autres paramètres ayant une incidence sur le traitement des données à caractère personnel ;

6.6. est responsable du traitement des demandes des acheteurs et des participants dans la mesure où il agit en tant qu'opérateur.

7. Obligations d'Evenda en tant que sous-traitant

Evenda s'engage à :

7.1. ne traitera les données à caractère personnel que conformément aux instructions documentées de l'Organisateur ;

7.2. s'engage à ne pas utiliser les données à caractère personnel à des fins propres incompatibles avec son rôle de sous-traitant ;

7.3. veiller à ce que les personnes autorisées à traiter des données à caractère personnel soient tenues par un engagement de confidentialité ou par une obligation légale de confidentialité appropriée ;

7.4. doit prendre les mesures de sécurité techniques et organisationnelles appropriées, conformément à la section 10 du présent DPA et aux exigences de la législation applicable en matière de protection des données ;

7.5. respecter les conditions relatives au recours à des sous-traitants énoncées à la section 8 ;

7.6. aider l'Organisateur, dans la mesure du possible, à s'acquitter de ses obligations en matière de réponse aux demandes des personnes concernées ;

7.7. aider l'Organisateur, dans la mesure du possible, à s'acquitter de ses obligations en matière de sécurité, de notification des violations, d'analyse d'impact relative à la protection des données et de consultation préalable, lorsque la loi l'exige ;

7.8. à la fin du traitement, supprimer ou restituer les données à caractère personnel conformément aux dispositions du présent DPA, sauf si la loi en dispose autrement ;

7.9. fournir à l'Organisateur les informations nécessaires pour démontrer le respect du présent ATD et faciliter les contrôles conformément aux dispositions du présent ATD.

8. Sous-traitants

8.1. L'Organisateur accorde à Evenda une autorisation générale écrite lui permettant de faire appel à des sous-traitants pour la prestation des services d'Evenda.

8.2. Evenda s'engage à tenir à jour la liste des sous-traitants et, sur demande, à la fournir à l'Organisateur ou à la publier sur le site web ou dans l'espace personnel de l'Organisateur, à un endroit accessible à ce dernier.

8.3. Si Evenda a l'intention d'ajouter un nouveau sous-traitant ou de remplacer un sous-traitant existant, elle en informe l'Organisateur à l'avance par des moyens appropriés, si ce changement est significatif pour le traitement des données à caractère personnel.

8.4. L'Organisateur est en droit de formuler une objection motivée à l'encontre d'un nouveau sous-traitant dans un délai raisonnable après notification, s'il dispose de motifs étayés par des documents lui permettant de considérer que ce changement présente un risque significatif de violation de la législation applicable en matière de protection des données.

8.5. Si les parties ne parviennent pas à régler cette contestation de manière raisonnable, Evenda est en droit de suspendre la partie concernée du traitement ou de proposer à l'Organisateur de cesser d'utiliser la fonctionnalité en question.

8.6. Evenda s'engage à conclure avec chaque sous-traitant un accord écrit lui imposant des obligations en matière de protection des données qui ne soient pas, sur le fond, moins strictes que celles prévues par le présent ATD, dans la mesure où elles s'appliquent aux services fournis.

8.7. Evenda est responsable des actes de ses sous-traitants dans les limites prévues par la législation applicable en matière de protection des données et par les accords conclus entre les parties.

9. Transfert international de données

9.1. Evenda n'effectue pas de transferts internationaux de données à caractère personnel en dehors de la juridiction applicable sans fondement juridique valable, si un tel fondement est requis par la législation applicable en matière de protection des données.

9.2. Si la prestation des services d'Evenda ou le recours à des sous-traitants nécessite un transfert international de données à caractère personnel, Evenda s'engage à utiliser un mécanisme de transfert admissible, y compris, le cas échéant :

  • décision relative au niveau de protection adéquat ;
  • clauses contractuelles types ;
  • autres mécanismes légaux autorisés par la législation applicable en matière de protection des données.

9.3. Sur demande raisonnable de l'Organisateur, Evenda fournit des informations générales sur les mécanismes de transfert international utilisés, le cas échéant.

10. Sécurité du traitement

10.1. Compte tenu de l'état de la technique, des coûts de mise en œuvre, de la nature, de l'étendue, du contexte et des finalités du traitement, ainsi que du risque pour les droits et libertés des personnes physiques, Evenda met en œuvre les mesures de sécurité techniques et organisationnelles appropriées.

10.2. Ces mesures peuvent inclure, le cas échéant :

  • délimitation des droits d'accès ;
  • authentification et gestion des comptes ;
  • gestion des rôles au sein de la plateforme ;
  • journalisation des actions et des événements ;
  • sauvegarde ;
  • protection des transmissions de données ;
  • protection de l'infrastructure et de l'environnement réseau ;
  • procédures de détection et de traitement des incidents ;
  • règles internes d'accès pour les employés et les sous-traitants ;
  • tests, évaluation et amélioration des mesures de sécurité ;
  • mesures visant à minimiser le risque d'accès non autorisé, de perte, de modification ou de divulgation des données.

10.3. L'organisateur reconnaît qu'aucun moyen de transmission ou de stockage de données ne peut garantir une sécurité absolue.

10.4. L'organisateur est également responsable des mesures de sécurité de son côté, notamment :

  • la gestion des droits d'accès de son équipe ;
  • la sécurité de ses propres appareils, navigateurs, boîtes mail et intégrations ;
  • la légalité et la sécurité des moyens de paiement qu'il connecte et des autres services tiers.

11. Demandes des personnes concernées

11.1. Compte tenu de la nature du traitement, Evenda apporte, dans la mesure du possible, une assistance raisonnable à l'Organisateur dans l'exécution de ses obligations en matière de réponse aux demandes des personnes concernées.

11.2. Si Evenda reçoit une demande d'une personne concernée relative à un traitement dont l'Organisateur est le responsable du traitement, Evenda est en droit de :

  • transmettre cette demande à l'Organisateur ;
  • informer la personne concernée que l'Organisateur est le responsable du traitement concerné ;
  • apporter à l'Organisateur une assistance raisonnable dans le traitement de la demande.

11.3. Sauf disposition légale contraire, Evenda n'est pas tenue de répondre de sa propre initiative au fond à une telle demande au nom de l'Organisateur sans instructions de sa part.

12. Aide à la mise en conformité avec la législation

12.1. Compte tenu de la nature du traitement et des informations dont dispose Evenda, Evenda apporte à l'Organisateur une assistance raisonnable pour garantir le respect des obligations liées à :

  • la sécurité du traitement ;
  • la notification des violations de la sécurité des données à caractère personnel ;
  • l'analyse d'impact relative à la protection des données ;
  • les consultations préalables avec l'autorité de contrôle, lorsque cela est requis.

12.2. Si l'assistance requise dépasse le cadre des fonctionnalités standard et de l'assistance habituelle d'Evenda, les parties peuvent convenir séparément des délais, des modalités et d'une rémunération raisonnable pour cette assistance, dans la mesure où la loi le permet.

13. Violation de la sécurité des données à caractère personnel

13.1. Evenda informe l'Organisateur sans retard injustifié dès qu'elle a connaissance d'une violation confirmée de la sécurité des données à caractère personnel affectant les données à caractère personnel qu'Evenda traite pour le compte de l'Organisateur.

13.2. Cette notification doit, dans la mesure du possible au moment de son envoi, inclure :

  • description de la nature de l'incident ;
  • catégories connues ou probables de données concernées ;
  • catégories connues ou probables de personnes concernées ;
  • conséquences connues ou probables ;
  • mesures déjà prises ou proposées pour remédier à l'incident et en atténuer les conséquences.

13.3. Evenda peut fournir les informations par étapes si l'ensemble des données n'est pas disponible au moment de la première notification.

13.4. L'Organisateur détermine de manière autonome s'il est nécessaire d'informer l'autorité de contrôle ou les personnes concernées, sauf disposition contraire de la législation applicable.

14. Contrôles et droit à l'information

14.1. Sur demande écrite raisonnable de l'Organisateur, Evenda fournit les informations nécessaires pour démontrer le respect du présent ATD.

14.2. L'organisateur est en droit de vérifier le respect du présent ATD au maximum une fois par année civile, sauf indication contraire :

  • en cas de violation de la sécurité des données à caractère personnel ;
  • à la demande d'une autorité compétente ;
  • en cas d'indices raisonnables laissant supposer une violation substantielle du présent accord ;

14.3. Dans la mesure du possible, la vérification doit être effectuée de manière à minimiser la charge pesant sur Evenda et les risques pour la sécurité, par exemple :

  • par le biais de réponses écrites ;
  • par la fourniture de documents ;
  • par la fourniture de rapports ;
  • par un contrôle à distance ;
  • par l'examen des certificats ou des descriptions des mesures de contrôle, le cas échéant.

14.4. Une vérification sur place n'est autorisée que si :

  • les autres moyens raisonnables s'avèrent insuffisants ;
  • l'organisateur a préalablement informé Evenda ;
  • la vérification ne présente pas de risques disproportionnés pour la sécurité, la confidentialité et le fonctionnement de la plateforme ;
  • la personne chargée de la vérification est soumise à des obligations de confidentialité.

14.5. L'organisateur prend en charge ses propres frais de vérification, sauf accord contraire entre les parties.

15. Restitution et suppression des données

15.1. À la cessation du traitement concerné ou sur demande motivée de l'Organisateur Evenda, au choix de l'Organisateur :

  • restitue les données à caractère personnel à l'Organisateur ; ou
  • supprime les données à caractère personnel, sauf si la législation applicable en matière de protection des données en dispose autrement.

15.2. Si, d'un point de vue technique, la restitution des données dans un format raisonnable n'est pas possible dans le cadre des fonctionnalités standard de la plateforme, Evenda est en droit de fournir les données dans un format couramment utilisé et disponible sur le service, ou de les supprimer conformément aux procédures standard.

15.3. Evenda est en droit de conserver les données à caractère personnel après la cessation du traitement dans la mesure où cela est nécessaire :

  • conformément à la loi ;
  • pour la sauvegarde dans le cadre d'un cycle de conservation limité ;
  • pour établir, faire valoir ou défendre des droits ;
  • pour assurer la sécurité, la journalisation et la conservation des preuves ;
  • sous réserve du respect des restrictions d'accès et de confidentialité applicables.

16. Confidentialité

16.1. Evenda veille à ce que les personnes habilitées à traiter des données à caractère personnel aient reçu les instructions nécessaires et soient tenues au secret professionnel.

16.2. Evenda ne divulgue pas de données personnelles à des tiers, sauf dans les cas suivants :

  • lorsque cela est nécessaire pour fournir les services d'Evenda conformément au présent ATD ;
  • lorsque cette divulgation est requise par la législation applicable en matière de protection des données ;
  • lorsque la divulgation est nécessaire pour protéger les droits d'Evenda, de l'Organisateur, des personnes concernées ou d'autres personnes dans les limites prévues par la loi.

17. Attestation de conformité

17.1. Evenda met en place et maintient les mesures, politiques et procédures raisonnablement nécessaires pour respecter ses obligations en tant que sous-traitant.

17.2. Sur demande raisonnable de l'Organisateur, Evenda fournit les informations dont elle dispose et qui sont suffisantes pour confirmer qu'elle s'acquitte des obligations du Sous-traitant au titre du présent ATD.

18. Responsabilité

18.1. Sauf disposition contraire expressément prévue dans le présent DPA, les questions relatives à la responsabilité des parties sont régies par l'Organizer Agreement.

18.2. Aucune disposition du présent accord ne dégage l'une ou l'autre des parties de sa responsabilité qui ne peut être exclue ou limitée en vertu de la législation applicable en matière de protection des données.

19. Priorité

19.1. En cas de contradiction entre le présent DPA et l'Organizer Agreement, les dispositions du présent DPA prévalent en ce qui concerne le traitement des données à caractère personnel d'Evenda pour le compte de l'Organisateur.

19.2. En cas de contradiction entre le présent DPA et un accord écrit distinct relatif à la protection des données signé par les parties, cet accord distinct prévaut pour les questions qu’il régit expressément.

20. Modification de la DPA

20.1. Evenda se réserve le droit de modifier périodiquement le présent DPA si cela s'avère nécessaire pour :

  • mise à jour du document conformément aux modifications législatives ;
  • prise en compte des changements au niveau du service, de l'infrastructure ou des sous-traitants ;
  • clarification des processus et des mesures de protection des données.

20.2. La version en vigueur des CGV est publiée sur le site web. Si les modifications sont importantes, Evenda s'efforcera d'en informer l'Organisateur par un moyen approprié, par exemple via le site web, par e-mail ou via l'espace personnel.

20.3. Le fait de continuer à utiliser Evenda après l'entrée en vigueur de la nouvelle version vaut acceptation de l'accord de traitement des données (DPA) mis à jour, sauf si la législation applicable en matière de protection des données l'interdit.

21. Droit applicable et litiges

21.1. Le présent accord sur la protection des données est régi et interprété conformément au droit de la République de Serbie, sauf disposition contraire de la législation applicable en matière de protection des données.

21.2. Tout litige, différend ou réclamation découlant du présent DPA ou s'y rapportant sera soumis à la compétence des tribunaux compétents de Belgrade, en République de Serbie, sauf disposition contraire prévue par les dispositions impératives de la législation applicable.

22. Coordonnées

Si vous avez des questions concernant la présente DPA, vous pouvez nous contacter à l'adresse suivante :

ZURKA CE BITI DOO
N° d'identification fiscale : 114432064
N° de TVA : 22023195
Belgrade, Kraljice Natalije 11, Serbie
[email protected]

Annexe 1. Description du traitement

1. Objet du traitement

Traitement des données à caractère personnel par Evenda pour le compte de l'Organisateur dans le cadre de l'utilisation de la plateforme Evenda pour la publication d'événements, la gestion des commandes, des billets, des inscriptions, des participants et des communications liées aux événements de l'Organisateur.

2. Délai de traitement

Pendant la durée d'utilisation par l'Organisateur des fonctionnalités concernées de la plateforme Evenda, puis pendant la période nécessaire au remboursement, à la suppression, à la conservation à des fins de sauvegarde, au respect de la loi et à la protection des droits d'Evenda ou de l'Organisateur, dans la mesure autorisée par la législation applicable en matière de protection des données.

3. Nature du traitement

Collecte, enregistrement, conservation, organisation, structuration, consultation, utilisation, transmission, mise à disposition, suppression, destruction et autres opérations nécessaires à la fourniture des services Evenda.

4. Finalités du traitement

  • création et publication d'événements ;
  • vente de billets et traitement des commandes ;
  • inscription des participants ;
  • génération et envoi de billets, de confirmations et de codes QR ;
  • gestion des commandes, des listes de participants et des communications associées ;
  • mise à disposition des fonctionnalités de la plateforme conformément aux instructions de l'Organisateur.

5. Catégories de personnes concernées

En fonction de la configuration de la plateforme et des actions de l'organisateur :

  • acheteurs de billets ;
  • participants aux événements ;
  • personnes remplissant des formulaires d'inscription ou de commande ;
  • destinataires de billets ;
  • personnes de contact ajoutées par l'Organisateur dans le cadre de l'événement ;
  • autres personnes dont l'Organisateur télécharge ou collecte les données via la plateforme dans le cadre de ses événements.

6. Catégories de données à caractère personnel

En fonction des paramètres définis par l'organisateur et des fonctionnalités utilisées :

  • nom et prénom ;
  • adresse e-mail ;
  • numéro de téléphone ;
  • données de la commande ;
  • données du billet ;
  • informations sur l'événement, la date, la séance, la catégorie, le lieu ;
  • champs supplémentaires créés par l'Organisateur ;
  • historique des statuts de la commande et du billet ;
  • données nécessaires à l'envoi de notifications de service ;
  • autres données à caractère personnel que l'Organisateur décidera de collecter de son propre chef via la plateforme.

7. Catégories particulières de données

Sauf accord contraire expressément convenu par écrit entre les parties, Evenda ne s'engage pas à traiter des catégories particulières de données à caractère personnel pour le compte de l'Organisateur. L'Organisateur ne doit pas utiliser la plateforme à cette fin sans disposer d'une base légale et de mesures de protection suffisantes.

8. Opérations de traitement

Fourniture de services d'hébergement, d'interfaces, de stockage, d'administration, de recherche, de structuration, d'exportation, d'envoi de notifications de service et d'autres opérations nécessaires au fonctionnement de la plateforme Evenda, conformément aux instructions de l'Organisateur.