Politique de confidentialité

PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL

OBLIGATION D'INFORMATION. En vertu des dispositions de la réglementation en vigueur en matière de protection des données, à savoir le RÈGLEMENT UE 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), les données à caractère personnel contenues dans le présent document seront traitées en régime de RESPONSABILITÉ CONJOINTE. Lorsque le service de réservation est prêté sous forme de marque de distributeur (avec le look & feel du PARTENAIRE) et de manière conjointe par TIXALIA et le PARTENAIRE, les données des utilisateurs sont traitées conjointement par TIXALIA et le PARTENAIRE, les parties étant toutes deux responsables de la base de données en résultant. Les parties s'engagent à respecter la réglementation sur la protection des données à caractère personnel en tant que responsables du traitement, dans le respect de toutes les obligations et devoirs stipulés dans le RGPD et ses règlements d'application. Les mesures prises par les deux parties dans le cadre du régime de responsabilité conjointe seront mises en Ĺ“uvre en conformité avec les dispositions de l'article 26 du RGPD.

Plus concrètement, les données des clients seront traitées par TIXALIA et le PARTENAIRE, en régime de responsabilité conjointe : le PARTENAIRE renverra la vente à la « billetterie de marque de distributeur » appartenant à TIXALIA, où la vente sera traitée.

Vos données à caractère personnel ne seront pas cédées à des tiers, sauf obligation légale de transmission des données ou nécessité de confier le traitement à un tiers pour bien gérer la relation entre les parties.

La licéité du traitement repose sur la relation contractuelle entre les parties au contrat. Vos données ne seront pas traitées à des fins autres que celles indiquées dans la présente clause.

De même, vous pouvez exercer vos droits d'accès, rectification, effacement, opposition, limitation et portabilité, dans les termes prévus par la loi en envoyant un e-mail à rgpd@tixalia.com ou un courrier à TIXALIA WORLDWIDE, S.L. Botiguers, número 3, oficina 4E, Paterna, via marketing@lovevalencia.com ou en vous adressant par écrit Love Valencia S.L. à l'adresse suivante : (2) en indiquant dans cette même communication le droit que vous souhaitez exercer, votre prénom et nom et en joignant une photocopie de votre CNI ou autre pièce d'identité équivalente. Vous avez également la possibilité de présenter une réclamation à l'Agence espagnole de protection des données.;

À cet effet, TIXALIA s'engage à mettre en place les mesures de sécurité adéquates et pertinentes, en accord avec l'analyse des risques exécutée et dans le respect de la réglementation en vigueur en matière de protection des données.

Dans cette modalité de contrat de service, le PARTENAIRE s'engage à respecter toutes les obligations prévues dans la réglementation sur la protection des données en tant que RESPONSABLE DU TRAITEMENT, en instaurant dans ses politiques de confidentialité les principes de consentement et de devoir d'information, sans préjudice du reste des devoirs et obligations prévus dans ladite réglementation, en dégageant dans le cas contraire TIXALIA de toute responsabilité.

En vertu des dispositions de l'article 28 du Règlement général sur la protection des données, TIXALIA ainsi que tout son personnel, en l'espèce en tant que sous-traitante du traitement, s'engage à :

a. Utiliser les données à caractère personnel faisant l'objet du traitement, recueillies en vue de leur inclusion, uniquement pour la finalité prévue dans ladite mission. Les données ne peuvent en aucun cas être utilisées à des fins propres.

b. Traiter les données conformément aux instructions du responsable du traitement. Si le sous-traitant du traitement estime qu'une instruction va à l'encontre du RGPD ou de toute autre disposition en matière de protection des données de l'Union ou des États membres, ce dernier est tenu d'en informer immédiatement le responsable.

c. Tenir un registre écrit de toutes les catégories d'activités de traitement menées à bien pour le compte du responsable, dans le cas d'avoir plus de 250 employés, ou si le traitement est susceptible de compromettre les droits et libertés des personnes concernées et n'est pas occasionnel, ou s'il inclut des catégories de données spéciales ou des données à caractère personnel relatives à des condamnations ou infractions pénales. Dans chaque registre doivent figurer au minimum les éléments suivants :

I. Le nom et les coordonnées du sous-traitant ou sous-traitants et de chaque responsable pour le compte duquel le sous-traitant intervient et, le cas échéant, du représentant du responsable ou du sous-traitant et du délégué à la protection des données.

II. Les catégories de traitement effectué pour le compte de chaque responsable.

III. Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou vers une organisation internationale, en identifiant le pays tiers ou de ladite organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, second alinéa du RGPD, les documents de garanties correspondants.

IV. Une description générale des mesures techniques et organisationnelles de sécurité relatives à :

1. L'anonymisation et le chiffrement des données à caractère personnel.

2. La capacité de garantir la confidentialité, l'intégrité, la disponibilité et la résilience permanentes des systèmes et services de traitement.

3. La capacité de rétablir rapidement la disponibilité et l'accès aux données à caractère personnel, en cas d'incident physique ou technique.

4. Le processus de vérification, évaluation ou examen réguliers de l'efficacité des mesures techniques ou organisationnelles afin de garantir la sécurité du traitement.

d. Ne pas transmettre les données à des tiers, à moins de disposer de l'autorisation expresse du responsable du traitement, dans les cas admis par la loi.

Le sous-traitant peut communiquer les données à d'autres sous-traitants du traitement du même responsable, si ce dernier donne des instructions dans ce sens. Dans ce cas de figure, le responsable identifiera, au préalable et par écrit, l'entité à laquelle communiquer les données, les données à communiquer et les mesures de sécurité à appliquer lors de ce processus.

Si le sous-traitant devait transférer des données à caractère personnel à un pays tiers ou à une organisation internationale en vertu du droit de l'Union ou des États membres qui lui est applicable, il devrait informer préalablement le responsable de cette exigence légale, sauf si cela est interdit par la loi pour des raisons importantes d'intérêt public.

e. Externalisation de la mission du sous-traitant

N'externaliser aucune des prestations comprises dans l'objet de ce contrat impliquant le traitement des données à caractère personnel, sauf les services auxiliaires nécessaires au fonctionnement normal des services du sous-traitant. S'il était nécessaire d'externaliser un traitement, il faudrait en informer le responsable au préalable et par écrit, en indiquant les traitements à externaliser et en identifiant clairement et sans équivoque l'entreprise à laquelle est confiée la mission et ses coordonnées. L'externalisation peut être réalisée si le responsable ne s'y oppose pas dans les délais prévus à cet effet. L'entreprise à laquelle la mission est confiée, qui aura également le statut de sous-traitant, sera également tenue au respect des obligations établies dans le présent document pour le sous-traitant et des consignes fournies par le responsable. Il revient au sous-traitant initial de réglementer la nouvelle relation de sorte à ce que le nouveau sous-traitant soit soumis aux mêmes conditions (consignes, obligations, mesures de sécurité...) et aux mêmes exigences de forme, en ce qui concerne le traitement des données à caractère personnel et la garantie des droits des personnes concernées. En cas de manquement de la part du sous-traitant ultérieur, le sous-traitant initial demeurera pleinement responsable du respect de ses obligations face au responsable.

f. Se conformer au devoir de secret relatif aux données à caractère personnel auxquelles il est susceptible d'avoir accès dans le cadre de la présente mission, même une fois son objet expiré.

g. Garantir que les personnes autorisées à traiter les données à caractère personnel s'engagent expressément par écrit à respecter leur confidentialité et à observer les mesures de sécurité correspondantes, dont elles doivent être dûment informées.

h. Mettre à la disposition du responsable les documents justifiant du respect de l'obligation décrite au point précédent.

i. Veiller à ce que les personnes autorisées à traiter les données à caractère personnel reçoivent la formation nécessaire en la matière.

j. Aider le responsable du traitement à fournir des réponses dans le cadre de l'exercice des droits suivants :

I. Accès, rectification, effacement et opposition

II. Limitation du traitement

III. Portabilité des données

IV. À ne pas faire l'objet de décisions individualisées automatisées

Lorsque les personnes concernées exercent les droits d'accès, rectification, effacement et opposition, limitation du traitement, portabilité des données, auprès du sous-traitant, celui-ci doit en informer le responsable du traitement. Cette communication doit être réalisée immédiatement, et en aucun cas plus tard que le jour ouvrable suivant la réception de la demande, en joignant, le cas échéant, les autres informations susceptibles d'être pertinentes en vue du traitement de la demande.

k. Droit d'information

Si le sous-traitant va effectuer des tâches de collecte de données à caractère personnel, il est tenu d'en informer la personne concernée au moment de la collecte, et ceci de la part du responsable, en suivant les consignes et en fournissant les informations indiquées par ce dernier.

l. Notification des violations de la sécurité des données

Le sous-traitant informera le responsable du traitement, sans retard injustifié, et dans tous les cas dans un délai maximum de 48 heures, à l'adresse e-mail indiquée par le responsable, des violations de la sécurité des données à caractère personnel placées sous sa responsabilité dont il a connaissance, en joignant toutes les informations pertinentes pour documenter cet incident et en informer. Cette notification n'est pas nécessaire lorsqu'il est improbable que cette violation de la sécurité entraîne un risque pour les droits et les libertés des personnes physiques.

Il convient de fournir au minimum les informations suivantes, dans le cas d'en disposer :

I. Description de la nature de la violation de la sécurité des données à caractère personnel, y compris, dès que possible, les catégories et le nombre approximatif de personnes concernées, et les catégories et le nombre approximatif de registres de données à caractère personnel concernés.

II. Le nom et les coordonnées du délégué à la protection des données ou un autre contact susceptible de fournir davantage d'informations.

III. Description des éventuelles conséquences de la violation de la sécurité des données à caractère personnel.

IV. Description des mesures adoptées ou proposées pour remédier à la violation de la sécurité des données à caractère personnel, y compris, le cas échéant, les mesures adoptées pour atténuer d'éventuels effets négatifs. S'il n'est pas possible de fournir toutes ces informations en même temps, celles-ci devront être fournies graduellement, sans retard injustifié.

m. Soutenir le responsable du traitement dans la réalisation des évaluations d'impact en matière de protection des données, le cas échéant.

n. Soutenir le responsable du traitement dans la réalisation des consultations préalables de l'autorité de contrôle, le cas échéant.

o. Mettre à la disposition du responsable toutes les informations nécessaires à démontrer le respect de ses obligations, ainsi que dans le cadre des audits ou des inspections menés par le responsable ou tout autre auditeur autorisé par ce dernier.

p. Mettre en place les mesures de sécurité indiquées par le responsable du traitement en aval d'une évaluation d'impact ou, dans tous les cas, implanter des mécanismes dans le cas du traitement automatisé, afin de :

I. Garantir la confidentialité, l'intégralité, la disponibilité et la résilience permanentes des systèmes et services de traitement.

II. Rétablir la disponibilité et l'accès aux données à caractère personnel de façon rapide, en cas d'incident physique ou technique.

III. Pseudonymiser et chiffrer les données à caractère personnel, le cas échéant.

Dans le cas du traitement des documents papier et lors de l'utilisation de nouvelles technologies :

Vérifier, évaluer et examiner régulièrement l'efficacité des mesures techniques et organisationnelles mises en place afin de garantir la sécurité du traitement.

q. Désigner un délégué à la protection des données et transmettre son identité et ses coordonnées au responsable, le cas échéant. À savoir, s'agissant d'un organisme public, dans le cas d'observer de manière habituelle et systématique des données à caractère personnel à grande échelle ou si l'activité principale du traitement consistait à manier des données appartenant à des catégories spéciales ou relatives à des condamnations et infractions pénales.

r. Destination des données

Rendre au responsable du traitement les données à caractère personnel et, le cas échéant, les supports sur lesquelles celles-ci figurent, au terme de la prestation de services.

La récupération des données doit inclure la suppression totale de celles stockées dans les équipements informatiques utilisés par le sous-traitant.

Toutefois, le sous-traitant peut en conserver une copie, avec les données dûment bloquées, tant qu'il est susceptible d'être soumis à une responsabilité en lien avec l'exécution de la prestation.