Skip to main content
PassPass

Accord de traitement des données (DPA)

Annexe aux Conditions Générales d'Utilisation de PassPass

Dernière mise à jour : 23 juin 2026

Préambule

Le présent Accord de traitement des données (le « DPA ») fait partie intégrante des Conditions Générales d'Utilisation acceptées par l'Organisateur (les « CGU ») et en précise les conditions relatives au traitement des données à caractère personnel. Il est conclu entre l'Organisateur, agissant en qualité de responsable du traitement au sens de l'article 4, 7) du RGPD pour les données de ses Participants, et TLJ SRL, exploitant le service sous le nom commercial PassPass, dont le siège social est établi Tienne du Sarment 8, 1300 Wavre (Belgique), inscrite à la Banque-Carrefour des Entreprises sous le numéro BE 1008.206.815, agissant en qualité de sous-traitant au sens de l'article 4, 8) du RGPD.

Le présent DPA a pour objet de définir les conditions dans lesquelles PassPass traite, pour le compte et sur instruction de l'Organisateur, les données à caractère personnel nécessaires à la fourniture du service, conformément à l'article 28 du RGPD et à la loi belge du 30 juillet 2018. En cas de contradiction entre le présent DPA et les CGU sur une question de protection des données, le présent DPA prévaut.

Le présent DPA ne couvre que les traitements pour lesquels PassPass agit comme sous-traitant de l'Organisateur. Les traitements que PassPass réalise pour ses propres finalités, en qualité de responsable du traitement, sont régis par la Politique de confidentialité de PassPass et ne relèvent pas du présent DPA.

Article 1. Définitions

Les termes en majuscule non définis ici ont le sens que leur donnent les CGU. Les termes « données à caractère personnel », « traitement », « responsable du traitement », « sous-traitant », « personne concernée » et « violation de données à caractère personnel » ont le sens que leur donne l'article 4 du RGPD. Le « RGPD » désigne le Règlement (UE) 2016/679. La « Loi » désigne la loi belge du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel.

Article 2. Objet, nature et finalité du traitement

PassPass traite les données à caractère personnel des Participants pour le compte de l'Organisateur aux seules fins de fournir le service de billetterie et les services associés décrits dans les CGU. L'objet, la nature, la finalité du traitement, les catégories de données et de personnes concernées, ainsi que la durée, sont décrits à l'Annexe A.

L'Organisateur demeure seul responsable de la licéité du traitement, de la base légale appropriée, de l'information des personnes concernées et, le cas échéant, du recueil de leur consentement.

Article 3. Instructions documentées

PassPass ne traite les données à caractère personnel que sur la base des instructions documentées de l'Organisateur, y compris en matière de transfert vers un pays tiers, sauf obligation légale à laquelle PassPass est soumis. Dans ce dernier cas, PassPass informe l'Organisateur de cette obligation juridique avant le traitement, sauf si le droit applicable l'interdit pour des motifs d'intérêt public.

Les CGU, le paramétrage des Événements réalisé par l'Organisateur sur la Plateforme et le présent DPA constituent les instructions documentées de l'Organisateur. Toute instruction complémentaire est communiquée par écrit. Si PassPass estime qu'une instruction constitue une violation du RGPD ou de la Loi, il en informe l'Organisateur sans délai.

Article 4. Durée

Le présent DPA s'applique pendant toute la durée de fourniture du service au titre des CGU. Les obligations qui, par leur nature, doivent survivre à son terme demeurent en vigueur après la fin de la relation contractuelle, notamment celles relatives à la confidentialité et au sort des données.

Article 5. Confidentialité

PassPass veille à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à en respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité. L'accès aux données est limité aux membres du personnel et prestataires qui en ont besoin pour la fourniture du service, selon le principe du besoin d'en connaître.

Article 6. Sécurité

PassPass met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD. Ces mesures sont décrites à l'Annexe B. PassPass peut les faire évoluer pendant la durée du contrat, à condition de ne pas abaisser le niveau de sécurité.

Article 7. Sous-traitants ultérieurs

L'Organisateur autorise de manière générale PassPass à recourir à des sous-traitants ultérieurs pour la fourniture du service. La liste des sous-traitants ultérieurs en vigueur figure à l'Annexe A.

PassPass impose à chaque sous-traitant ultérieur, par contrat, des obligations de protection des données équivalentes à celles du présent DPA, et demeure pleinement responsable envers l'Organisateur de l'exécution par ce sous-traitant de ses obligations.

PassPass informe l'Organisateur de tout projet d'ajout ou de remplacement de sous-traitant ultérieur, laissant ainsi à l'Organisateur la possibilité d'émettre des objections légitimes dans un délai raisonnable. En cas d'objection légitime non résolue, l'Organisateur peut résilier le service conformément aux CGU.

Article 8. Transferts hors Union européenne

Les données sont en principe traitées au sein de l'Union européenne. Lorsqu'un sous-traitant ultérieur traite des données en dehors de l'Union européenne, PassPass veille à ce que ce transfert soit encadré par un mécanisme valable au sens du chapitre V du RGPD, notamment une décision d'adéquation, les clauses contractuelles types de la Commission européenne, ou tout autre mécanisme reconnu. Les sous-traitants concernés et les mécanismes applicables sont identifiés à l'Annexe A.

Article 9. Assistance pour les droits des personnes concernées

Compte tenu de la nature du traitement, PassPass aide l'Organisateur, par des mesures techniques et organisationnelles appropriées et dans la mesure du possible, à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées : droit d'accès, de rectification, d'effacement, d'opposition, de limitation et de portabilité. Si une personne concernée adresse directement à PassPass une telle demande, PassPass la transmet à l'Organisateur sans délai et n'y répond pas lui-même, sauf instruction de l'Organisateur.

Article 10. Assistance pour la sécurité, les violations et les analyses d'impact

Compte tenu des informations à sa disposition, PassPass aide l'Organisateur à garantir le respect de ses obligations en matière de sécurité du traitement, de notification des violations de données, de communication des violations aux personnes concernées, d'analyse d'impact relative à la protection des données et de consultation préalable de l'autorité de contrôle, conformément aux articles 32 à 36 du RGPD.

Article 11. Notification des violations de données

PassPass notifie à l'Organisateur toute violation de données à caractère personnel le concernant sans retard injustifié après en avoir pris connaissance, par voie électronique. Cette notification est accompagnée des informations utiles permettant à l'Organisateur, le cas échéant, de notifier la violation à l'autorité de contrôle compétente et aux personnes concernées. Il appartient à l'Organisateur, en sa qualité de responsable du traitement, de procéder à ces notifications.

Article 12. Sort des données en fin de contrat

Au terme de la fourniture du service, PassPass, selon le choix de l'Organisateur, supprime ou restitue les données à caractère personnel traitées pour son compte, et détruit les copies existantes, sauf obligation légale de conservation. À défaut d'instruction de l'Organisateur dans un délai raisonnable, PassPass procède à la suppression des données dans les conditions de l'Annexe A.

Article 13. Audits et inspections

PassPass met à la disposition de l'Organisateur les informations nécessaires pour démontrer le respect des obligations du présent DPA et permet la réalisation d'audits, y compris des inspections, par l'Organisateur ou un auditeur qu'il mandate. Les audits sont réalisés à des intervalles raisonnables, sur préavis raisonnable, dans le respect de la confidentialité et de la sécurité des autres clients de PassPass, et sans perturber de manière disproportionnée son activité. PassPass peut satisfaire à cette obligation par la production de certifications ou de rapports d'audit existants.

Article 14. Registre

PassPass tient un registre des catégories d'activités de traitement effectuées pour le compte de l'Organisateur, conformément à l'article 30, paragraphe 2 du RGPD.

Article 15. Responsabilité

La responsabilité de chaque Partie au titre du présent DPA est régie par les dispositions des CGU, sans préjudice des dispositions impératives du RGPD relatives à la responsabilité et aux sanctions.

Annexe A. Description du traitement

Objet du traitement : fourniture d'une plateforme de billetterie en ligne permettant la vente de Billets et la gestion de la relation avec les Participants pour le compte de l'Organisateur.

Nature des opérations : collecte, enregistrement, organisation, conservation, consultation, communication, mise à disposition et suppression des données, via la Plateforme.

Finalités : gestion de la vente des Billets et des inscriptions ; contrôle d'accès aux Événements ; communication d'informations pratiques aux Participants ; exécution, le cas échéant, des services de communication et de gestion de la relation participant configurés par l'Organisateur.

Catégories de personnes concernées : Participants et acheteurs de Billets aux Événements de l'Organisateur.

Catégories de données : données d'identification et de contact (nom, prénom, adresse électronique, numéro de téléphone) ; données relatives à la commande et au Billet ; données collectées via les champs de formulaire définis par l'Organisateur lors du paramétrage ; données techniques de connexion (adresse IP) ; référence de paiement. PassPass ne collecte pas de catégories particulières de données, sauf si l'Organisateur en configure la collecte, sous sa seule responsabilité.

Durée de conservation : les données sont conservées pour la durée nécessaire à la fourniture du service, puis, après la fin de l'Événement ou la clôture du compte, pour la durée requise par les obligations légales applicables à l'Organisateur. À l'issue de ces durées, elles sont supprimées ou restituées conformément à l'Article 12.

Lieu du traitement : Union européenne, sous réserve des sous-traitants ultérieurs identifiés ci-dessous.

Sous-traitants ultérieurs :

  • Brevo, envoi de communications et emailing, traitement en France (UE).
  • Hetzner, hébergement et stockage des données, traitement en Allemagne (UE).

Cette liste est établie sur la base des sous-traitants effectivement utilisés. Elle est tenue à jour par PassPass et toute modification est communiquée à l'Organisateur conformément à l'Article 7.

Annexe B. Mesures techniques et organisationnelles de sécurité

Conformément à l'article 32 du RGPD, PassPass met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, en tenant compte de l'état des connaissances, des coûts de mise en œuvre, de la nature, de la portée et du contexte du traitement, ainsi que des risques pour les droits et libertés des personnes concernées. Les mesures suivantes sont en place :

  • Antivirus et antimalware installés et mis à jour sur les postes et serveurs ;
  • Sauvegardes régulières et mesures de prévention contre la perte de données ;
  • Accès au système par identifiant unique et authentification sécurisée pour chaque utilisateur ;
  • Authentification à deux facteurs (2FA) disponible et configurable par l'Organisateur pour la protection de son compte ;
  • Politique de mots de passe robuste et protection des mots de passe stockés ;
  • Accès aux données limité selon le principe du besoin d'en connaître ;
  • Connexion HTTPS et chiffrement des données en transit ;
  • Chiffrement des postes de travail et des appareils mobiles ;
  • Mise à jour systématique des logiciels et configuration limitant les vulnérabilités ;
  • Journalisation des accès, distinguant les rôles utilisateur et administrateur ;
  • Sécurité physique et accès contrôlé aux environnements de stockage, assurés via les sous-traitants d'hébergement ;
  • Suppression sécurisée et irréversible des données en fin de conservation ;
  • Sensibilisation du personnel à la protection des données.

PassPass révise et fait évoluer ces mesures de manière continue afin de maintenir un niveau de sécurité approprié.