POLITIQUE DE CONFIDENTIALITE VIP BOX

Mise à jour le 12 juillet 2022

Préambule : Notre engagement sur la protection de Vos Données

Amaury Sport Organisation (ci-après « A.S.O. »), société anonyme au capital de 61 200 240 € inscrite au RCS de Nanterre sous le numéro 383 160 348 dont le siège social se situe au 40 – 42 Quai du Point du Jour, 92100 Boulogne-Billancourt, collecte et traite des Données afin de permettre à ses équipes et aux entreprises ou administrations partenaires de Vous inviter aux programmes d’Hospitalité organisés dans le cadre des événements organisés par A.S.O. ou par un autre Organisateur.
A.S.O. agit en qualité de Responsable de traitement autonome des données de ses équipes et met à disposition des entreprises ou administrations partenaires qui Vous invitent l’outil VIPBOX pour leur permettre de Vous envoyer leurs invitations de manière sécurisée. Ainsi, les entreprises ou administrations partenaires Vous invitant sont les Responsables de Traitement de Vos Données, comme elles l’expliquent dans leur Politique de Confidentialité.
A.S.O. sait que Vous accordez de l’importance à la manière dont Vos Données à caractère personnel sont traitées et reconnait l’importance de la protection de Votre vie privée. La présente Politique de confidentialité (ci-après « la Politique ») explique comment A.S.O. collecte et traite Vos Données à caractère personnel sur l’application VIP BOX. Elle contient des informations sur les types de données que nous collectons, comment nous les traitons, pour quelles finalités, et les mesures que nous mettons en œuvre pour les traiter de la manière la plus sécurisée et adaptée à Vos besoins et attentes.
L’utilisation de VIP BOX implique que Vous acceptez que Vos données personnelles soient traitées comme indiqué dans cette Politique.
L’utilisation de VIP BOX implique que Vous acceptez les Conditions Générales d’Utilisation (CGU) de VIP BOX, consultables ICI.
La version française de cette Politique est la seule qui fasse foi et prévaut sur toute traduction.

Définitions

Dans la présente Politique, les mots ou expressions commençant par une majuscule renvoient aux termes tels que définis par l’article 4 du Règlement Général sur la Protection des Données n° 2016/679 (ci-après « RGPD »). Application : programme ou logiciel qui permet de mettre en œuvre un certain nombre de fonctionnalités. Dans le cadre de cette Politique, l’Application désigne l’outil qui permet aux Référents d’A.S.O. et à ceux des entreprises ou administrations partenaires de demander des invitations pour les Invités de leur Organisation.
Consentement : Désigne toute manifestation de volonté libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des Données à caractère personnel la concernant fassent l’objet d’un Traitement.
Destinataire : Désigne la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de Données à caractère personnel, qu’il s’agisse ou non d’un tiers.
Données à caractère personnel : Toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée ») ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
Entité (Invitant) : désigne la personne morale filiale du Référent qui dispose d’un quota d’invitations qu’elle distribuera à sa convenance à ses Invités.
Invité Relais : désigne une personne physique qui reçoit un quota de maximum dix (10) invitations dont il peut en disposer à sa convenance pour les distribuer à ses propres invités. L’invité relais aura le double rôle d’Invité et d’Invitant.
Référent : désigne l’entreprise, alliée commerciale d’A.S.O., qui invite les membres du personnel de son entreprise ou des clients aux événements organisés par A.S.O.
Règlementation applicable : Désigne la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés telle que modifiée par la loi n° 2018-493 du 20 juin 2018, le Règlement (UE) n° 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après « RGPD »), et abrogeant la directive 95/46/CE, ainsi que toute autre Réglementation applicable en matière de protection des Données à caractère personnel.
Responsable de traitement : Désigne la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du Traitement. Dans le cas présent, A.S.O. pourra être considéré comme Responsable de Traitement autonome des données de ses propres invités ainsi que les entreprises ou administrations Vous invitant seront les Responsables de traitement autonomes des Données de leurs invités.
Sous-traitant : Désigne la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui traite les Données à caractère personnel pour le compte du Responsable de Traitement.
Tiers : une personne physique ou morale, une autorité publique, un service ou un organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l'autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel.
Traitement de données : Désigne toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliqués à des Données ou des ensembles de Données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement, la destruction.
Traitement transfrontalier : Désigne un traitement de données à caractère personnel qui a lieu dans l'Union dans le cadre des activités d'établissements dans plusieurs États membres d'un responsable du traitement ou d'un sous-traitant lorsque le responsable du traitement ou le sous-traitant est établi dans plusieurs États membres; ou un traitement de données à caractère personnel qui a lieu dans l'Union dans le cadre des activités d'un établissement unique d'un responsable du traitement ou d'un sous-traitant, mais qui affecte sensiblement ou est susceptible d'affecter sensiblement des personnes concernées dans plusieurs États membres;
VIP BOX : Application hébergée en mode SaaS dans le Cloud, gérée par A.S.O. et mise à disposition de ses Référents afin qu’ils puissent inviter les membres de leur personnel ou des clients à des évènements organisés par A.S.O. ou par des organisateurs tiers.

I. Les Données et informations collectées

En utilisant VIP BOX, Vous êtes amené à Nous fournir directement un certain nombre d’informations Vous concernant, notamment lorsque Vous renseignez une fiche d’invitation ou que Vous en acceptez une. Certaines de ces Données permettent de Vous identifier, directement ou indirectement, et sont de ce fait des Données à caractère personnel. Lorsque Vous utilisez VIP BOX en tant qu’Invitant ou Invité, et selon le Programme d’Hospitalité qui Vous concerne, certaines Données à caractère personnel seront obligatoires pour qu’A.S.O. puisse confirmer Votre invitation. La caractère obligatoire ou facultatif de Vos réponses dépend du programme d’Hospitalité. Les Données obligatoires sont précédées par un astérisque (« * »). Dans l’hypothèse où une Donnée obligatoire n’aurait pas été renseignée par l’Invité ou l’Invitant, A.S.O. ne peut confirmer l’invitation et ne saurait en être tenu pour responsable.

I.1. Les Données obligatoires des Entités collectées par A.S.O.

Lorsque Vous utilisez VIP BOX en tant qu’Entité, Nous Vous informons qu’A.S.O. collecte et traite les Données suivantes :

  • Identifiant et mot de passe de connexion ;
  • Nom ;
  • Prénom ;
  • Adresse e-mail.

La communication de ces Données est nécessaire et obligatoire pour que A.S.O. puisse mettre à disposition des Invitants l’application sécurisée VIP BOX.

I.11. Les Données obligatoires des Invités collectées par A.S.O.

Lorsque Vous utilisez VIP BOX en tant qu’INVITE, Nous Vous informons qu’A.S.O. traite les Données qu’il Vous est demandé de renseigner, en tant qu’Invitant Référent, dans la fiche « invité », notamment :

  • Nom ;
  • Prénom ;
  • Adresse e-mail ;
  • Langue de contact ;
  • Société ;
  • Téléphone ;
  • Date et lieu de naissance ;
  • Nationalité ;
  • Consentement aux CGU, Politique de Confidentialité et Mentions Légales des référents ;

Lorsque Vous renseignez Votre fiche Invité, A.S.O. traite les Données énumérées en I.2 et qui sont obligatoires pour toute fiche Invité. Ces Données sont nécessaires et obligatoires pour qu’A.S.O. puisse valider l’invitation.

I.3. Les Données obligatoires des Invités/Invités relais collectées par A.S.O.

Dans certains cas, Vous pouvez être un « Invité Relais » : être à la fois invité à un événement tout en pouvant inviter Vous-même d’autres personnes, en respectant le maximum de dix (10) invitations qui Vous ont été attribuées par l’Entité et A.S.O. C’est l’Invitant qui désigne un de ses Invités comme « Invité Relais ». Dans ce cas, l’Invité relais devra à la fois compléter Son invitation ainsi que celles de ses propres Invités et devra renseigner les mêmes Données que celles listées en I.2

I.4. Les Données facultatives

Il s’agit de données à caractère personnel nécessaires uniquement si l’Invité bénéficie de certaines prestations spécifiques au Programme d’Hospitalité auquel Il est invité. S’y trouvent notamment :

  • La plaque d’immatriculation du véhicule lorsque l’Invité bénéficie d’une place de parking ;
  • La pièce d’identité et sa date d’expiration, lorsque l’Invité bénéficie du transport ;

I.5. Les données de connexion

Au travers de Votre utilisation de l’application VIP BOX, Nous sommes susceptibles de collecter, à des fins de sécurité :

  • Les identifiants de session

I.6. Données d’identification :

Nous sommes susceptibles de collecter et traiter les données suivantes :

  • Les informations que vous avez saisies lors de Votre visite sur la page de l’application.
  • Login compte référent qui s’est connecté

II. Utilisation de Vos Données à caractère personnel

II.1. Finalités d’utilisation

Certaines finalités du Traitement diffèrent selon Votre statut auprès de A.S.O. (Invitant ou Invité).

1. Lorsque Vous êtes l’Invitant, le traitement de Vos Données poursuit les finalités suivantes :

  • S’assurer du respect des dispositions légales et règlementaires applicables ainsi que de Nos Conditions d’utilisation accessibles à l’adresse : https://vip.aso.fr/cgu/fr
  • Mettre à Votre disposition l’application VIP BOX
  • Permettre la création, la gestion, et l’accès à Vos comptes
  • Assurer la conservation des Données relatives aux invitations
  • Vous permettre de réaliser, pour le compte de Vos entités, des invitations aux Programmes d’Hospitalité organisés par A.S.O.
  • Proposer des Services personnalisés au regard des informations renseignées sur Votre compte
  • Permettre toute autre finalité précisée lors de la collecte des Données et pour laquelle Votre Consentement sera demandé

2. Lorsque Vous êtes l’Invité, le traitement de Vos Données poursuit les finalités suivantes :

  • Vous permettre de valider Votre invitation à un Programme d’Hospitalité organisé par A.S.O.
  • Envoyer des e-mails ou SMS, conformément aux dispositions légales applicables, afin de :
    • Vous fournir des informations, annonces et mises à jour relatives au Programme d’Hospitalité auquel Vous êtes invité
    • Vous envoyer des notifications avec des informations relatives à Vos déplacements et/ou à la gestion de Votre accueil
  • Gérer Votre accueil sur les Programmes d’Hospitalité organisés par A.S.O.
  • Permettre toute autre finalité précisée lors de la collecte des Données et pour laquelle Votre Consentement sera demandé.

3. Lorsque Vous êtes Invité Relais, le traitement de Vos Données poursuit les finalités suivantes ;

  • Les Données que Vous renseignez en tant qu’Invité et que Vous invitez d’autres personnes, toutes les données sont traitées pour les mêmes finalités que pour tout autre Invité (Cf : II.1.1) ;

II.2. Destinataires des Données à caractère personnel

Conformément aux dispositions légales et règlementaires applicables, Nous sommes susceptibles de fournir certaines Données sur demande aux Autorités Judiciaires et aux Autorités Publiques. Si A.S.O. ou le Responsable de Traitement de Vos Données doit procéder à un transfert de Vos Données qui n’est pas prévu dans la présente Politique, Votre Consentement exprès Vous sera demandé, à l’exclusion des transferts rendus obligatoires par toute Législation applicable et ceux pour lesquels Votre Consentement n’est pas requis. Les Données collectées par A.S.O. permettent la validation et l’envoi d’invitations à des Invités pour des Programmes d’Hospitalité organisés par A.S.O. Ces Données peuvent être communiquées à des :

  • Organisateurs du Programme d’Hospitalité : cela permet de confirmer la participation de l’Invité au Programme et la bonne organisation de celui-ci.
  • Sous-traitants avec lesquels ASO travaille pour différents types de prestations de services, relatifs à l’hébergement de Vos Données et à Votre transport aérien, et à tout sous-traitant s’occupant de l’organisation du Programme d’Hospitalité auquel Vous êtes invité. Les sous-traitants agissent pour le compte et suivant les instructions d’A.S.O.
  • Des Administrations ou des Autorités publiques pour des besoins liés à la sécurité intérieure.

II.2.1. Le développeur de l’outil SaaS VIPBOX : Glucoz

A.S.O. s’assure, par des contrôles ponctuels que son hébergeur, en charge de la conservation de Vos Données, met en œuvre toute mesure organisationnelle et technique suffisante pour assurer la sécurité de Vos Données, conformément aux articles 32 à 36 du RGPD. Glucoz a garanti a A.S.O. la mise en place des mesures organisationnelles et techniques adéquates au traitement des données réalisé par lui, l’hébergement de Vos Données. Ainsi, Nous pouvons Vous garantir que Vos Données sont hébergées au sein de deux serveurs privés de Glucoz qui se trouvent dans des Data Center d’OVH, en France. Les Données de Partenaires utilisant l’outil VIPBOX ont accès uniquement à Leurs Données, les espaces étant parfaitement cloisonnés et privés. Chaque Responsable de traitement autonome accède uniquement à Ses Données. Glucoz est susceptible d’accéder aux Données des Invitants et Invités suivant une politique stricte d’habilitations.

II.2.2. Les Autorités Publiques : Préfectures de Police

A.S.O. est susceptible, pour certains événements, de transférer les Données des Invités aux Autorités de Police territorialement compétentes en matière de sécurité du grand public ou de sécurité du territoire, y compris lorsque ces Autorités se trouvent dans des pays considérés comme non-adéquats par la Commission Européenne. De tels transferts de Données n’entrent pas dans le champ d’application du RGPD, conformément à son article 49, 1.d, lequel dispose de dérogations pour des situations relatives à la sécurité publique. En vertu de l’article L. 211-11-1 du Code de la Sécurité intérieure, ce type de transfert est obligatoire et Votre Consentement n’est pas requis. Lorsque A.S.O. réalise ce type de transferts de Données, A.S.O. utilise les moyens mis à sa disposition par les autorités administratives de police compétentes et n’est pas responsable de tout incident de sécurité ou de violation de données pouvant survenir et pour lequel ce serait le système des autorités publiques qui serait mis en cause.

III. Votre consentement : la clé du traitement

Nous ne vendons ni ne louons aucune Donnée à des tiers. Nous utilisons Vos données en stricte conformité avec la loi de protection de données personnelles applicable. Vous demeurez seul maître de l’usage que nous faisons de vos Données à caractère personnel en donnant ou en retirant Votre consentement à tout moment. Notez qu’une absence de Consentement de Votre part ne nous permet pas de traiter Vos Données, et donc de Vous donner accès à l’Outil ou de confirmer l’Invitation que Vous envoyez. Une fois Votre Consentement donné au Traitement, Nous sommes dans l’obligation de traiter Vos Données, au moins jusqu’à la fin de Votre séjour sur l’événement et de celui de Vos Invités

IV. Conservation de Vos Données à caractère personnel

IV.1.1. Le cycle de vie de Vos Données

Vos Données à caractère personnel sont conservées pour une durée n’excédant pas trois (3) ans après la fin de l’évènement. Une fois la durée de trois (3) ans échus, Vos Données seront supprimées de l’application VIP BOX. Ainsi, après suppression de Votre compte, pour des raisons limitées et autorisées par la loi ou toute autre finalité précisée dans les CGU, Vos Données peuvent être conservées par A.S.O. sous format sécurisé accessible uniquement à une équipe très restreinte suivant une politique d’habilitations stricte. Passé ce délai d’archivage Vos Données seront supprimées, le cas échéant. En revanche, les données des Invités de Nos partenaires pourront être conservées moins de trois (3) ans si le partenaire, Responsable de traitement autonome des données de ses Invités, le décide ainsi.

IV.1.2. Où et comment sont conservées Vos Données ?

Les Données collectées sont conservées et hébergées par Glucoz, société développant et hébergeant en mode SaaS l’application VIP BOX. Les serveurs hébergeant vos données sont situés au sein de l’Espace Économique Européen, plus précisément en France. A.S.O. s’est assuré que Glucoz présente toutes les garanties pour protéger Vos Données en respect de toute loi en vigueur applicable au regard de la protection des Données à caractère personnel et de la cybersécurité.

V. Quels sont Vos droits en matière de protection de Vos Données ?

V.1.1. Vos droits dans le cadre des prestations fournies par VIP BOX

En application de la réglementation applicable en matière de protection des données à caractère personnelles et notamment de la loi n°78-17 relative à l'informatique, aux fichiers et aux libertés telle que modifiée par la loi N° 2018-493 du 20 juin 2018, et du Règlement (UE) 2016/679, Vous disposez des droits d'accès, de rectification, de suppression, de limitation du traitement, d’opposition et de portabilité de Vos Données, en conformité avec les articles 15 à 21 du RGPD. Vous pouvez aussi laisser des directives relatives au Traitement de Vos données après Votre décès, faisant valoir Votre Droit Post-Mortem. Droit d’accès : Vous pouvez demander l’accès à Vos Données et obtenir communication des Données Vous concernant que nous détenons, et ce sous une forme accessible et lisible. Droit de rectification : Vous avez la possibilité de demander la modification, la rectification ou la mise à jour de Vos Données qui seraient inexactes ou incomplètes. Vous avez la possibilité de modifier directement un certain nombre de Données Vous concernant en accédant à Votre invitation. Droit de suppression : Vous pouvez nous demander l’effacement ou la suppression de tout ou partie de Vos Données sans frais, dans la limite des obligations auxquelles nous sommes soumis conformément à la Réglementation applicable. Droit de limitation du traitement : Vous pouvez Nous demander la limitation du traitement de Vos Données dans des cas délimités par la loi. Droit d’opposition : Vous pouvez Vous opposer au Traitement de Vos Données ou de celles de Vos Invités, sachant que cette opposition pourra avoir comme conséquence que Vous ne puissiez pas utiliser VIPBOX pour la saisie et envoi de Vos invitations. Droit de Portabilité : Vous pouvez nous demander l’envoi de Vos Données sur un format compatible Homme-Machine. Droit Post-Mortem : Si la Règlementation sur la Protection des Données dont Vous dépendez le prévoit, Vous avez le droit de laisser des directives à vos ayant droit et/ou à vos héritiers afin qu’ils puissent accéder à Vos Données et prendre les décisions de conservation ou de suppression de Vos Données, suivant vos directives et souhaits.

V.1.1. Vos droits dans le cadre des prestations fournies par VIP BOX

En tant qu’Invité directement par A.S.O. à un Programme d’Hospitalité, Vous pouvez exercer Vos droits auprès du DPO d’A.S.O. en envoyant un mail à l’adresse : dpoaso@aso.fr, avec un document prouvant votre identité. De cette manière, Nous pourrons nous assurer que Vous n’avez été victime d’une usurpation d’identité. Vous pouvez aussi écrire à :

DATA PROTECTION OFFICER AMAURY SPORT ORGANISATION
40 – 42 Quai du Point du Jour
92100 Boulogne - Billancourt
France

Lorsque Vous êtes invité par une administration publique ou entité partenaires d’ASO, qui agissent en qualité de Responsable de traitement autonome de leurs Invités, Nous Vous invitons à effectuer Votre demande auprès de Votre Invitant, suivant leur politique de confidentialité que Vous aurez accepté en recevant l’invitation, A.S.O. ne pouvant s’immiscer dans les relations commerciales entre Vous et Vos Invitants. A.S.O. répondra à Votre demande d’exercice de droit dans le délai légal de trente (30) jours à la condition que Votre demande soit complète, conformément à l’article 12 du RGPD. Toute demande de Votre part qui ne Nous fournirait pas tous les éléments nécessaires pour la traiter dans le délai légal interrompra ce délai et le prorogera jusqu’à obtention de toutes les pièces et informations nécessaires. Vous disposez, enfin, du droit d’introduire une réclamation auprès de la Commission Nationale Informatique et Libertés (CNIL) si Vous estimez que Nous ne respectons pas Vos droits.

VI. Comment protégeons-nous Vos Données ?

Conformément à la Réglementation applicable en matière de protection des Données à caractère personnel, Nous prenons toutes les mesures techniques et organisationnelles appropriées afin de garantir la sécurité de Vos Données : cloisonnement de données des invités de chaque entité ou administration Vous invitant ; mots de passe forts suivant les recommandations de l’ANSSI et de la CNIL, accès aux donnés suivant une politique stricte d’habilitations de droits, etc. Nous imposons le même niveau de sécurité à nos Sous-traitants. En tant qu’Invitant, Vous êtes, de Votre côté, responsable de la confidentialité de l’identifiant et du mot de passe que Vous utilisez. En tant qu’Invité, Vous êtes responsable de la confidentialité des Données que Vous avez renseignées. A.S.O. ne saurait être tenu responsable de la divulgation, par Votre propre fait, de Vos Données.

VII. Modification de la politique de confidentialité

La présente Politique de confidentialité pourra faire l’objet de modifications. Ces modifications entreront en vigueur dès la publication de la nouvelle version de la Politique de confidentialité Nous Vous recommandons de la consulter régulièrement afin de prendre connaissance des éventuelles modifications

VIII. Contact

Pour toute demande relative à la présente Politique de confidentialité, Nous Vous invitons à adresser un courrier au :

DATA PROTECTION OFFICER AMAURY SPORT ORGANISATION
40 – 42 Quai du Point du Jour
92100 Boulogne - Billancourt
FRANCE

Ou à l’adresse e-mail dpoaso@aso.fr