Politique de confidentialité – RGPD

Politique de confidentialité | RGPD

Dans le cadre de son activité d’association (loi 1901), l’APCRPM (Association pour la Promotion de la Culture Rock dans le Pays de Montbéliard) représentée par la présidente Marine Granjon, est amenée à collecter et traiter les données personnelles de ses visiteurs. Les activités pour lesquelles la société est amené à traiter des données sensibles sont les suivantes :

• Vente de billets avec la création d’un compte client (nom/prénom, coordonnées postales, email, tél, coordonnées bancaires dans les cas de paiement par CB). Ces données sont nécessaires au traitement de la commande et à la gestion de nos relations commerciales.
• Campagne d’emailing (newsletter) avec formulaire d’abonnement pour les internautes souhaitant y adhérer.
• Analyse statistiques de données : pour étude de marché et reporting.
• Réponse aux prises de contact avec un formulaire présent sur la page « contact » du site web.
  La présente politique de confidentialité a pour vocation de fournir aux internautes une information synthétique et globale sur les traitements de données à caractère personnel opérés par la société de commerce. En accédant à notre site Web et en utilisant nos services, vous reconnaissez avoir lu et compris la présente Politique de confidentialité, ainsi que les pratiques de recueil et de traitement des informations décrites dans ce document.

Ce document a été mis à jour pour la dernière fois le 05/05/2021. L’APCRPM se réserve le droit de faire évoluer la présente Politique de confidentialité afin de se conformer aux modifications des lois et règlementations en vigueur. Veuillez donc le consulter régulièrement afin de rester informé(e).

Définitions

L’APCRPM accorde une importance particulière au respect de la vie privée des Utilisateurs et de la confidentialité de leurs données personnelles, et s’engage ainsi à traiter les données dans le respect des lois et règlementations applicables, et notamment la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (la “Loi Informatique et Liberté”), et le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (le “RGPD”).

• Donnée à caractère personnel : constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou identifiable, c’est-à-dire qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.
• Traitement de données à caractère personnel : constitue un traitement de données à caractère personnel toute opération portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.
• Cookie : un cookie est une information déposée sur le disque dur d’un internaute par le serveur du site qu’il visite. Il contient plusieurs données : le nom du serveur qui l’a déposé, un identifiant sous forme de numéro unique, éventuellement une date d’expiration. Ces informations sont parfois stockées sur l’ordinateur dans un simple fichier texte auquel un serveur accède pour lire et enregistrer des informations.

Responsable légal et responsable du traitement des données

APCRPM – Association pour la Promotion de la Culture Rock dans le Pays de Montbéliard
Représenté(e) par : Marine GRANJON (présidente)
Adresse : Avenue Gambetta BP 444 • 25211 MONTBÉLIARD Cedex (France)
Tél. : +33 (0)6 87 04 47 90
E-mail : adesmoles.presse@gmail.com
Association Loi 1901 – Non assujettie à TVA – N° SIRET : 50407063200000014
Entreprise de spectacle – Licences N°1-1001667/N°3-10016

 

Recueil des informations collectées

L’APCRPM recueille des informations vous concernant dans les cas de figure suivants :

Billetterie pour concerts et événements :

Le site web de l’APCRPM, ainsi que l’application mobile de réservation, intègrent la solution de paiement en ligne Weezevent. Aucune donnée personnelle n’est stockée sur les serveurs du site et de l’application. La création d’un compte client (nom/prénom, coordonnées postales, email, tél, coordonnées bancaires dans les cas de paiement par CB) n’est PAS obligatoire pour l’achat de billets en ligne. C’est vous et vous seul qui décidez si vous souhaitez nous communiquer ou pas vos données personnelles, en d’autres termes ces indications nous sont communiquées par vos soins sur une base volontaire. Pour les données collectées en ligne, les communications sur la partie cliente sont cryptées entre le poste de l’internaute et nos serveurs (zone sécurisée HTTPS). Les données sont ensuite transférées sur la plateforme Weezevent qui se charge du suivi de votre commande. Vos données personnelles sont sauvegardées sur les serveurs de Weezevent (https://weezevent.com/fr/ ).

Inscription à la newsletter :

L’APCRPM propose à ces internautes, via l’intermédiaire d’un formulaire d’inscription sécurisé, de s’inscrire à leur newsletter. Ladite inscription n’est pas obligatoire pour la bonne consultation du site web. Les internautes sont clairement informés de la finalité de cette inscription (rappel de la programmation, actualités, etc.) et peuvent se désinscrire à tout moment grâce à un lien en bas de chaque email envoyé. Les données récoltées sont les suivantes : nom, prénom, adresse mail, la date d’inscription et l’IP de connexion (pour la géolocalisation). Ces informations sont sauvegardées sur la plateforme Sendinblue (https://fr.sendinblue.com/) qui est responsable de la sécurisation des données personnelles.

Prise de contact volontaire via le formulaire :

L’APCRPM propose à ces internautes, via l’intermédiaire d’un formulaire de contact sécurisé, de prendre contact avec l’association. Ladite prise de contact n’est pas obligatoire pour la bonne consultation du site web, un email et un numéro de téléphone sont indiqués.

Protection des mineurs :

Les mineurs ne doivent pas transmettre de données individuelles à des sites Internet à but commercial sans l’autorisation de leurs parents. L’APCRPM ne collectera en aucun cas délibérément les données individuelles d’enfants, ni ne les utilisera, ni ne les mettra à disposition, ni ne les transmettra à quiconque sans y être autorisé.

Utilisation de vos données personnelles

Dans le cadre de la vente en ligne, vos données personnelles seront utilisées pour finaliser votre commande. Dans le cas de vos coordonnées bancaires :

• Carte bancaire : elles ne seront sauvegardées qu’à votre demande sinon elles seront supprimées après finalisation de la commande sur Weezevent.
• Paypal : vos logins de connexion ne seront pas conservés sur notre plateforme. Ils vous incombent de les sauvegarder ou non sur votre navigateur.
  Dans la cadre de la newsletter, vos données personnelles (nom, prénom, adresse mail) seront utilisées pour vous envoyer de manière mensuelle (1-4 fois par mois selon les cas) une newsletter d’information contenant les dates de concerts du mois suivant, les événements (Mon Baby Blues Festival, Fête de la musique, etc.), les actualités importantes de l’association.

Tiers avec lesquels nous partageons vos données personnelles

Les données à caractère personnel collectées sont destinées aux services commerciaux et webmarketing de l’APCRPM. Les données sont seulement communiquées, dans la mesure du nécessaire, afin d’exécuter votre commande et pour gérer les flux d’entrées les jours de concerts.

Dans le cas de l’inscription à la newsletter, elles sont sauvegardées sur la plateforme Sendinblue (https://fr.sendinblue.com/) qui est responsable de leur sécurisation. Weezevent ne sauvegarde vos données pour la création d’un compte uniquement à votre demande.

Durée de conservation de vos données

Illimité, ou plus précisément nous conserverons vos données tant que vous ne supprimez pas votre compte-client dans le cadre de la vente en ligne. L’APCRPM sauvegardera vos emails tant que la société utilisera la plateforme Sendinblue pour la diffusion de sa newsletter. En cas de suppression de l’outil, vos informations seront définitivement supprimées de la plateforme. Il en va de même pour Weezevent.

Vous pouvez à tout moment faire appel à votre droit à l’oubli ou à votre droit d’opposition (voir paragraphe suivant).

Vos droits en tant qu’adhérent à notre site web

En tant qu’internaute, vous avez des droits en termes de protection et d’accès à vos données personnelles.

• Droit de rectification : vous pouvez nous contacter à tout moment pour modifier les données vous concernant. Vos informations seront modifiées dans un délai de 48h maximum.
• Droit à l’oubli : sur votre demande, nous nous engageons à effacer définitivement toutes données vous concernant dans un délai de 30 jours.
• Droit à la portabilité : si vous nous le demandez, nous nous engageons à exporter toutes vos données et à vous les transférer sous un format sécurisé (protégé par le mot de passe de votre choix).
• Droit d’opposition : vous pouvez à tout moment vous désinscrire à la newsletter. Le lien se trouve en bas de l’email. L’action est immédiate mais demande une confirmation de votre part. Vous pouvez vous réinscrire à tout moment également.
• Droit d’accès : nous sommes transparents sur les données que nous collectons et l’usage que nous en faisons.

Gestion des cookies

Le site de l’APCRPM utilise des cookies qui ont pour finalité de faciliter la navigation sur le site, de mesurer l’audience du site ou encore de permettre le partage de pages du site. Les cookies que nous collectons sont les suivants :

• Les cookies analytiques : Ces cookies permettent de connaître l’utilisation et les performances du site et d’en améliorer le fonctionnement en procédant à des analyses de fréquentation des pages d’information, en effectuant un suivi des taux d’ouverture, des taux de clics et des taux de rebond au niveau individuel.
• Les cookies de boutons de partage : Ces cookies sociaux permettent aux utilisateurs de partager des pages et du contenu sur les réseaux sociaux tiers via les boutons sociaux de partage.

Les internautes ont la possibilité d’accepter ou de refuser les cookies sur le site ou de les refuser une fois pour toutes en paramétrant leur navigateur. Si l’internaute choisit de refuser l’ensemble des cookies, la navigation accédant à certaines pages du site sera réduite.

Maîtriser les cookies de son navigateur (site de la CNIL) : https://www.cnil.fr/fr/cookies-les-outils-pour-les-maitriser

Comment OVH sécurise vos données personnelles ?

Pour les données collectées en ligne, les communications sur la partie cliente sont cryptées entre le poste de l’internaute et nos serveurs (zone sécurisée HTTPS). Les données sont ensuite sauvegardées sur nos serveurs sécurisés hébergés chez OVH. Ce fournisseur d’hébergement s’engage à ne pas réutiliser les données personnelles stockées sur les serveurs sécurisés de leurs clients. OVH vous garantit qu’il ne traite pas vos informations en dehors de l’Union européenne ou de tout pays reconnu par la Commission européenne comme disposant d’un niveau de protection des données à caractère personnel suffisant (au regard de la protection de la vie privée, des libertés et droits fondamentaux des personnes, ainsi qu’à l’égard de l’exercice des droits correspondants).

Pour l’ensemble de ses services, OVH s’engage à mettre en place :

• Des mesures de sécurité physique afin d’empêcher l’accès aux infrastructures par des personnes non autorisées ;
• Un personnel de sécurité chargé de veiller à la sécurité physique de nos locaux 24 heures sur 24 et 7 jours sur 7 ;
• Un système de gestion des permissions permettant de limiter l’accès aux locaux et aux données aux seules personnes habilitées, dans le cadre de leurs fonctions et de leurs périmètres d’activité ;
• Un système d’isolation physique et/ou logique (selon les services) des clients entre eux ; • des processus d’authentification forts des utilisateurs et administrateurs grâce, notamment, à une politique stricte de gestion des mots de passe et au déploiement de certaines mesures de double authentification comme YubiKey ;
• Des processus et dispositifs permettant de tracer l’ensemble des actions réalisées sur notre système d’information et d’effectuer, conformément à la réglementation en vigueur, des rapports en cas d’incident affectant les données de nos clients.

Comment la plateforme Sendinblue sécurise vos données personnelles ?

La plateforme Sendinblue a mis en application toutes les infrastructures nécessaires à la bonne sauvegarde et protection de vos données personnelles. La plateforme est transparente qu’en aux mesures mises en application : https://help.sendinblue.com/hc/fr/categories/360000229110-RGPD

Les serveurs d’hébergement sont exclusivement situés au sein de l’Union Européenne, sur leurs propres serveurs, sur Google Cloud ou sur AWS. L’ensemble des données sont répliquées trois fois dans au moins deux géographies différentes. SendinBlue effectue également régulièrement des sauvegardes de vos données (1 fois par semaine minimum). Celles-ci sont chiffrées avant d’être stockées sur un Cloud Storage (AWS ou Google Cloud). Par ailleurs, la Plateforme a mis en place une traçabilité de ces données tout au long des traitements réalisés grâce à un système de suivi et d’identifications des logs. L’archivage est réalisé uniquement pour des raisons légales, les bases étant ensuite purgées à l’issue du délai de conservation.

Tous les centres de données sont équipés d’un modèle de sécurité multi-niveaux (cartes d’accès électroniques nominatives conçues, alarmes, barrières et clôtures de sécurité, détecteurs de métaux et technologies biométriques). Dans le cadre de leur protocole de sécurité, les ingénieurs s’authentifient à l’aide de certificats de clés publiques personnels à courte durée de vie.

Pour finir, Sendinblue travaille avec un cabinet de conseil spécialisé en cyber-sécurité qui les a complimentés sur la difficulté d’intrusion de leurs systèmes.

Comment la plateforme Weezevent sécurise vos données personnelles ?

Weezevent est une société française de forme juridique SAS (Société par Actions Simplifiée) au capital de 72 212 euros. Son siège social est à Dijon et ses bureaux sont situés à Saint-Denis. Concernant les fonds résultant de la vente de billets, ceux-ci sont sécurisés sur un compte bancaire dédié chez CIC. Ce compte dédié, ne sert qu’à encaisser l’argent des ventes de tickets, et à payer les organisateurs d’événements de façon bi-mensuelle sur la base des factures/redditions.

En matière de sécurité informatique, des audits de sécurité interne et externe sont pratiqués régulièrement et Weezevent veille à utiliser tous les standards de sécurité en : https, 3DSecure, SSL… Le certificat utilisé (Certificats SSL avec Extended Validation pour serveur Web ) chiffre la connexion avec un cryptage de 256 bits, ce qui est la norme d’authentification d’identité la plus stricte à l’heure actuelle. Ce protocole de sécurité utilise également la norme HTTPS (au lieu du HTTP). Notre TPE sécurisé qui permet les paiements en ligne par carte bancaire, est hébergé par la plateforme technique de la banque CIC : Monetico Paiement. Monetico Paiement garantit un paiement sécurisé sur Internet grâce au protocole SSL pour la sécurisation des transactions des boutiques en ligne.

Le traitement des données personnelles et confidentielles stockées par Weezevent ont, conformément à la loi « Informatique et Libertés », fait l’objet d’une déclaration auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) sous le numéro de récépissé 1291474.

Moyens mis à disposition pour nous contacter

APCRPM – Association pour la Promotion de la Culture Rock dans le Pays de Montbéliard
Représenté(e) par : Marine GRANJON (présidente)
Adresse : Avenue Gambetta BP 444 • 25211 MONTBÉLIARD Cedex (France)
Tél. : +33 (0)6 87 04 47 90
E-mail : ademoles.presse@gmail.com
Association Loi 1901 – Non assujettie à TVA – N° SIRET : 50407063200000014
Entreprise de spectacle – Licences N°1-1001667/N°3-10016