---

• Conditions générales d'utilisation
• Politique de données personnelles
• Conditions générales de sous-traitance en matière de traitement de données personnelles

---

Conditions générales d'utilisation

ARTICLE PREMIER - CHAMP D'APPLICATION

Les présentes conditions générales d’utilisation s'appliquent aux services en ligne diffusés sous la marque BALOTILO (ci-après « les Services ») et fournis par APROBE, entreprise ayant son siège social, 8 rue des Dunes, 75019 PARIS, immatriculée au répertoire SIRENE sous le n° 893 770 073 00011, par le biais de son Site internet.

Les CGU s’appliquent à tous les Utilisateurs, quelle que soit leur situation géographique et pour le monde entier. Conformément aux articles L. 111-1 et L. 111-4 du Code de la consommation, les caractéristiques essentielles et les prix des Services proposés par APROBE par voie électronique sont disponibles sur le Site.

ARTICLE 2. OBJET

Les CGU ont pour objet de préciser les conditions générales de mise à disposition des fonctionnalités des Services permettant de réaliser des Elections à travers un Serveur applicatif, par le réseau internet.

En souscrivant aux services fournis par les Services, l’Utilisateur déclare avoir pris connaissance des CGU et les avoir intégralement acceptées, sans restriction ni réserve.

L’Utilisateur renonce, notamment, à se prévaloir de tout document contradictoire aux CGU, qui serait inopposable à APROBE.

L’Utilisateur reconnait avoir la capacité requise pour conclure le Contrat.

ARTICLE 3. DOCUMENTS CONTRACTUELS ET MODALITÉS DE CONCLUSION DU CONTRAT

3.1. DOCUMENTS CONTRACTUELS

Le contrat comprend les documents contractuels suivants, énoncés par ordre de priorité contractuelle décroissante :

- Les CGU,

- Les Annexes : Politique de données personnelles et Conditions générales de sous-traitance en matière de traitement de données personnelles Toute condition posée par l’Utilisateur ou toute certification, garantie ou autre mention non contenue dans les documents visés ci-dessus, est inopposable à APROBE. Il en est de même de tout accord antérieur au présent contrat, exprès ou tacite, quelle qu’en soit la forme et notamment par échange de courriels entre les Parties. Ces éventuels accords sont réputés non écrits.

3.2. SOUSCRIPTION AUX SERVICES

La souscription aux Services s’effectue par le biais du Site par la création d’un Compte Balotilo.

L’acceptation des CGU est faite en cochant la case prévue à cet effet sur la Page de souscription.

ARTICLE 4 : ENGAGEMENTS DES PARTIES

4.1. Engagements d’APROBE

APROBE s’engage à respecter, dans le cadre de l’exécution des présentes, les lois et règlements.

APROBE s'engage à préserver l'intégrité et la confidentialité des Données.

APROBE s'engage à stocker et héberger ses données dans l'Union européenne (AWS) conformément à la réglementation RGPD.

En cas de difficulté dans l’utilisation des Services, l’Utilisateur peut contacter APROBE par courrier électronique à l’adresse suivante : contact@balotilo.org

4.2. Engagements de l'Utilisateur

APROBE pratique la tolérance zéro en ce qui concerne les pourriels. En conséquence, pendant que l’Utilisateur utilise les Services, il lui est interdit :

- de pratiquer le pollupostage,

- d’héberger ou de collecter des informations à propos de qui que ce soit sans l’accord de l’intéressé, ceci incluant les adresses électroniques,

- de transmettre ou de proposer des supports publicitaires ou promotionnels non sollicités ou non autorisés de quelque nature que ce soit, des "courriers poubelle", "chaînes", "systèmes pyramidaux" ou quelque autre forme de sollicitation que ce soit.

APROBE se réserve le droit de suspendre le Contrat sans préavis si elle estime que l’Utilisateur pratique des activités non conformes à sa politique ANTI-POURRIELLE telle que décrite ci-dessus.

Il est également interdit à l'Utilisateur :

- de diffuser à travers les Services des contenus à caractère pornographique, obscène, offensant, menaçant, assimilable à du harcèlement, calomnieux, d’incitation à la haine, dommageable, diffamatoire, raciste, illégal ou discutable de quelque manière que ce soit ;

- d’utiliser une identité, une adresse électronique ou un en-tête faux ou falsifié, ou de tenter par quelque moyen que ce soit de tromper les autres quant à son identité ou l’origine de ses messages ;

- de transmettre, publier ou distribuer du matériel ou du contenu encourageant ou fournissant des instructions relativement à des activités illégales, ou encourageant l’atteinte physique ou la violence envers un groupe spécifique ;

- d’utiliser les Services pour envoyer des supports de quelque nature que ce soit, à des personnes âgées de moins de 18 ans, sauf s’il a pris et suivi toutes les mesures nécessaires pour respecter le droit applicable en la matière ;

- de télécharger ou distribuer par quelque moyen que ce soit des fichiers contenant des virus, chevaux de Troyes, vers, bombes à retardement, robots d’annulation, fichiers corrompus ou autres logiciels ou programmes susceptibles de nuire au bon fonctionnement de l’ordinateur de qui que ce soit d’autre, aux Services ou au Site ;

- de transmettre tout contenu portant atteinte aux droits d’auteur, marques commerciales, secrets commerciaux ou à la propriété intellectuelle de quiconque ;

- d’interférer avec ou d’interrompre les réseaux connectés aux Services ;

- de tenter d’obtenir un accès non autorisé à aux Services par subtilisation de mot de passe ou tout autre moyen.

Toute violation du présent article sera signalée aux autorités compétentes et entraînera la résiliation immédiate du Contrat.

D’autre part, lorsque l’Utilisateur souscrit à aux Services, il est tenu de fournir une adresse e-mail valide lors de la souscription, et mettre à jour ces informations si nécessaire.

L’Utilisateur s'engage à respecter les conditions normales d’utilisation des Services, à prendre connaissance et à appliquer strictement les instructions et consignes d’APROBE pour l’utilisation des Services.

Le respect par l’Utilisateur des stipulations ci-dessus constitue pour APROBE une condition essentielle du Contrat.

ARTICLE 5. PROPRIÉTÉ INTELLECTUELLE

5.1 Propriété de l’Utilisateur

L’Utilisateur reste propriétaire et seul responsable de l’ensemble des Elections conçus par ses soins et diffusés via les Services, des éléments tels qu’images, informations, insérés dans les Elections ainsi que toutes les données et Résultats recueillis via les Services.

5.2 Propriété de APROBE

5.2.1 APROBE reste en tout état de cause le titulaire exclusif des droits de propriété intellectuelle sur le Site et sur chacun des éléments composant les Services.

BALOTILO auquel il est fait référence sur le Site est une marque déposée par l'entreprise APROBE.

Par le présent contrat, l’Utilisateur dispose d’un droit d’utilisation des Services, droit d’utilisation non exclusif, non cessible et limité à la durée du Contrat.

APROBE se réserve expressément le droit exclusif d'intervenir sur les Services pour leur permettre d'être utilisés conformément à leur destination et notamment pour en corriger les erreurs.

L’Utilisateur s’engage à signaler à APROBE tout acte de contrefaçon et toute atteinte à ses droits de propriété intellectuelle afférents aux Services dont il aurait pu avoir connaissance.

Il appartiendra à APROBE seule de déterminer l’opportunité d’engager une action en justice à l’encontre des contrefacteurs présumés.

APROBE garantit qu’elle est l’auteure ou le titulaire des droits sur les Services et garantit en conséquence son utilisation paisible au profit de l’Utilisateur pendant la durée du Contrat.

En aucun cas APROBE ne supportera une quelconque responsabilité du fait d’une atteinte aux droits des tiers effectuée par l’Utilisateur en lien avec l’utilisation des Services.

5.2.2. APROBE concède à l’Utilisateur, qui l’accepte, un droit d’accès non exclusif aux Services, pour la durée prévue à l’article 10 des CGU.

L’utilisation par l’Utilisateur des Services doit être faite conformément à leur destination et pour ses besoins propres.

Ce droit d’accès est consenti à l’Utilisateur à titre strictement personnel et ne peut ni être cédé ni être transmis à un tiers à quelque titre que ce soit.

L’Utilisateur s'interdit d’autoriser l’accès à un tiers aux Services sans l'accord préalable et écrit de la société APROBE. L’Utilisateur ne pourra pas non plus concéder, même gratuitement, un droit d’usage, ni un droit d’accès aux Services à des tiers, de quelque manière et sous quelque forme que ce soit.

5.2.3 Restrictions

L’Utilisateur s’interdit de porter atteinte aux droits patrimoniaux et moraux de APROBE sur les Services et tous éléments annexes.

En conséquence, l’Utilisateur s’interdit tout type d’usage non explicitement prévu par la loi au profit de l’Utilisateur ou non expressément autorisé par le Contrat, et notamment :

- D’utiliser les Services en dehors des conditions prévues dans le présent Contrat ou d’en effectuer une copie ;

- De consentir un prêt, une location, une cession ou tout autre type de mise à disposition des Services quel qu’en soit le moyen ;

- De transférer et/ou procurer de quelque façon que ce soit les Services à un tiers dans le but de l’installer, la copier ou de l’utiliser d’une quelconque façon sans l’accord exprès de APROBE ;

- De diffuser, distribuer ou commercialiser les Services, que ce soit à titre onéreux ou à titre gratuit, ou de l’utiliser à des fins de prestation de service auprès de tiers ;

Dans l’hypothèse où l’Utilisateur souhaiterait rendre les Services interopérables, celui-ci devra s’adresser préalablement à APROBE pour procéder aux éventuelles adaptations et/ou obtenir les informations strictement nécessaires à cette interopérabilité.

Le respect par l’Utilisateur des stipulations ci-dessus constitue pour APROBE une condition essentielle du Contrat.

ARTICLE 6. RESPONSABILITÉ

6.1 Responsabilité d’APROBE

APROBE s’engage à mettre en œuvre les moyens nécessaires pour permettre un fonctionnement normal des Services dans le cadre d’une obligation générale de moyens.

La responsabilité d’APROBE ne peut être engagée en cas d'inexécution ou de mauvaise exécution du contrat due, soit au fait de l’Utilisateur soit au fait insurmontable et imprévisible d'un tiers au contrat, soit à un cas de force majeure.

APROBE ne saurait en particulier être responsable de l’indisponibilité des Services dans les cas suivants : cas de force majeure tel que défini à l’article 1218 du Code civil et qu’habituellement retenu par les tribunaux, de même qu’en cas de difficultés liées à l’Hébergeur, au réseau Internet, à la structure des réseaux de télécommunications ainsi qu’au réseau de l’Utilisateur, aux matériels informatiques et aux programmes utilisés par l’Utilisateur.

Par ailleurs, APROBE ne peut garantir que :

- L’utilisation des Services sera ininterrompue ou exempte d’erreurs,

- Les Services fonctionneront en combinaison avec tout matériel, logiciel, système ou données.

- Le ou les Serveurs seront dépourvus de virus ou de toute autre élément nuisible.

Enfin, l’Utilisateur est averti que l’accès aux Services pourra être suspendu temporairement par APROBE pour procéder à des opérations de maintenance ou à des mises à jour dans les conditions décrites dans le Contrat. L’Utilisateur sera avisé des opérations de maintenance ou de mises à jour, moyennant un préavis raisonnable, par mail ou par un message sur le Site.

6.2 Responsabilité de l’Utilisateur

L’Utilisateur est responsable de l’usage qu’il fait des Services, directement ou par le biais de ses salariés, mandataires sociaux, salariés intérimaires et plus généralement personnes mises à sa disposition. Il s’engage à garantir APROBE contre toute poursuite qui pourrait être engagée, ainsi que toute condamnation rendue à l’encontre de cette dernière, du fait de l’utilisation qui sera faite des Services.

L’utilisation des Services se fait aux risques et périls de l’Utilisateur. En conséquence, la responsabilité de APROBE ne saurait être engagée en cas :

- D’effacement de données,

- D’utilisation frauduleuse des identifiants de l’Utilisateur par un tiers ou accès frauduleux aux données hébergés,

- De perte de données résultant de l’utilisation des Services,

- De dommages, notamment les pertes de profits, perte de jouissance, interruptions d’activités ou autres pertes résultant de l’utilisation des Services.

ARTICLE 7. ACCÈS AUX SERVICES

Pour l’utilisation des Services, l’Utilisateur est invité à créer son Compte Balotilo, avec une adresse mail valide et un mot de passe confidentiel.

Les identifiants sont uniques, personnels et strictement confidentiels.

Les Parties s'engagent, chacun en ce qui le concerne, à en préserver la confidentialité. L’Utilisateur est seul responsable de leur utilisation.

Toute utilisation des identifiants est réputée de manière irréfragable constituer une utilisation des Services par l’Utilisateur, ce que celui-ci déclare accepter expressément.

Le Compte Balotilo est mono-utilisateur. L’Utilisateur devra immédiatement avertir de toute utilisation non autorisée de ses identifiants ou toute rupture de la confidentialité de ses identifiants.

ARTICLE 8. DURÉE

Le Contrat est conclu pour une durée indéterminée courant à compter de la création du Compte Balotilo de l’Utilisateur. Il pourra y être mis fin à l’initiative de chacune des Parties à tout moment et sans préavis. La rupture entraîne la suppression du Compte Balotilo de l’Utilisateur. La rupture, pour l’Utilisateur, s’effectue via le Site, par la fonctionnalité de suppression du Compte Balotilo.

Postérieurement à la rupture du présent contrat quelle qu’en soit la cause, les données de l’Utilisateur sont conservées pendant le délai visé dans la Politique de protection des Données personnelles de APROBE visée dans l'annexe : Politique de données personnelles.

A défaut d’accès aux Service pendant une durée de 36 mois consécutifs, l’Utilisateur perdra tout droit d’accès aux Services par l’intermédiaire de son Compte Balotilo, lequel Compte Balotilo sera supprimé.

A la fin du Contrat, l’Utilisateur perdra tout droit à l’accès aux Services par l’intermédiaire de son Compte Balotilo, lequel sera supprimé.

ARTICLE 9. SUSPENSION DU CONTRAT

APROBE se réserve le droit de suspendre, sans indemnité ni préavis, l'accès aux Services, sans que l’Utilisateur ne puisse lui demander une quelconque indemnité, en cas de manquement aux dispositions des articles 4.2 et 5.2 des CGU et du paragraphe V de l’Annexe : Conditions générales de sous-traitance en matière de traitement de données personnelles.

La suspension du Contrat entraîne la suspension de l’accès aux Services pendant la durée de la suspension.

ARTICLE 10. DONNEES ET DONNEES PERSONNELLES

APROBE s’engage à mettre en œuvre les moyens techniques appropriés pour assurer la sécurité des Données. APROBE s’interdit de communiquer sous quelque forme que ce soit les Données à un tiers, ou d’en tirer ou d’un faire une utilisation non prévue par le Contrat.

Dans le cadre du Contrat, la politique de protection des données personnelles est prévue en annexe : Politique des données personnelles, et les conditions générales de sous-traitance en matière de données personnelles figurent en annexe : Conditions générales de sous-traitance en matière de traitement de données personnelles.

En application de la loi 78-17 du 6 janvier 1978 modifiée par la loi n°2018-493 du 20 juin 2018, il est rappelé que les données personnelles nominatives demandées à l’Utilisateur sont nécessaires au traitement de sa souscription aux Serices notamment.

Ces données peuvent être communiquées aux éventuels sous-traitants d’APROBE, chargés de l’exécution, du traitement ou de la gestion du Contrat.

Le traitement des informations communiquées par l’intermédiaire des Services et du Site, répond aux exigences légales en matière de protection des données personnelles, APROBE utilisant des technologies assurant une protection optimale de ces données.

Les Personnes concernées, s’agissant de l’Utilisateur directement, de son représentant ou d’un de ses salariés disposent conformément aux réglementations nationales et européennes en vigueur, d’un droit d’accès permanent, de modification, de rectification, d’opposition, de portabilité et de limitation du traitement, s’agissant des informations les concernant.

Ce droit peut être exercé en contactant directement APROBE selon les modalités visées en annexe : Politique des données personnelles.

Jusqu’à la rupture du Contrat, les Données, les Elections, les Résultats sont sauvegardés par APROBE. Les Résultats sont conservés au sein des Services pendant un délai de 36 mois.

ARTICLE 11. CIRCULATION DU CONTRAT – SOUS-TRAITANCE

APROBE est libre de céder le présent Contrat à tout tiers de son choix, à tout moment. En cas de cession des présentes, la cession sera rendue opposable à l’’Utilisateur par simple information transmise par le tiers cessionnaire à l’Utilisateur par mail.

APROBE peut décider, discrétionnairement de sous-traiter tout ou partie du Contrat et plus généralement de faire appel à des sous-traitants dans le cadre l’exécution du Contrat et de la mise à disposition des Services.

A chaque fois que, dans le Contrat, APROBE est mentionnée dans le Contrat au titre de la personne juridique chargée de réaliser une prestation ou d’exécuter une obligation, il faut entendre APROBE ou l’un de ses sous-traitants.

ARTICLE 12. TOLERANCES

Il est formellement convenu que toute tolérance ou renonciation d’une des parties, dans l’application de tout ou partie des engagements prévus au présent contrat, quelles qu’en aient pu être la fréquence et la durée, ne saurait valoir modification du présent contrat, ni générer un droit quelconque.

ARTICLE 13. MODIFICATIONS

Toute modification de la présente convention devra faire l’objet d’un accord écrit papier ou numérique entre l’Utilisateur et APROBE.

APROBE se réserve la faculté de modifier les CGU à tout moment, ces modifications prenant effet immédiatement, dès leur affichage sur le Site dans leur version modifiée. L’utilisateur sera réputé avoir accepté les conditions générales du Site dans leur version mise à jour et disponible sur le Site, chaque fois qu’il utilise les Services.

ARTICLE 14. INVALIDITE PARTIELLE

La nullité ou l'inapplicabilité de l'une ou quelconque des stipulations du présent contrat n'emportera pas nullité des autres stipulations qui conserveront toute leur force et leur portée.

Cependant, les parties pourront d'un commun accord, convenir de remplacer la ou les stipulations invalidées.

ARTICLE 15. DROIT APPLICABLE. LANGUE DU CONTRAT

La présente convention est régie par les lois et règlements de la République française.

La présente convention est rédigée en langue française. Dans le cas où elle serait traduite en une ou plusieurs langues, seul le texte français ferait foi en cas de litige.

Définitions

Annexe : élément du Contrat figurant en annexe des CGU

Compte Balotilo : espace en ligne réservé au l’Utilisateur, auquel il accède via son Identifiant, au sein duquel il peut bénéficier des fonctionnalités des Services.

CGU : Dispositions contractuelles figurant ci-avant, préalablement aux Annexes

Contrat : contrat conclu entre l’Utilisateur et APROBE, par la validation de la Page de souscription, ayant pour objet l’accès aux Services, et combinant les éléments mentionnés en article 3 des CGU.

Données : Informations et éléments numériques transmis par l’Utilisateur et hébergés sur le Serveur, dans le cadre de l’utilisation des Services.

Election : fonctionnalité principale des Services permettant d’organiser en ligne des élections et de recueillir des votes exprimés par les Electeurs et de générer des Résultats.

Electeurs : Personnes participant au Elections.

Hébergeur : Entreprise spécialisée mettant à la disposition d’APROBE les Serveurs.

Identifiant : adresse électronique renseignée par l’Utilisateur lors de la création du Compte Balotilo ou modifiée ultérieurement.

Page de souscription : Page web accessible via le Site, permettant de souscrire aux Services, sur laquelle l’Utilisateur doit mentionner ses données d’identification.

Personnes concernées : personnes physiques dont les données personnelles font l’objet d’un traitement dans le cadre du Contrat.

Résultats : résultats des élections résumant les votes exprimés par les Electeurs par l’intermédiaire des Services.

Serveur : Matériels informatiques appartenant à l’Hébergeur et situés dans ses locaux, contenant les Services et sur lequel APROBE dispose d’un droit d’utilisation à titre exclusif ou non et à ce titre, est susceptible de stocker tout ou partie des Données.

Services : Application développée par APROBE regroupant l’ensemble des fonctionnalités permettant de réaliser et d’héberger des Elections, les Résultats, d’héberger les Données et accessible dans le cadre du modèle « logiciel en tant que service » via le Site ou l’url balotilo.org.

Site : sites web balotilo.org ; www.balotilo.org

Utilisateurs : Personnes physiques ou morales ayant souscrit au contrat.

Politique de données personnelles

OBJET DU TRAITEMENT DE DONNEES

Finalités :

Le traitement a pour objet la gestion des services de vote en ligne BALOTILO, ci-après les « Services ».

Il permet à la société APROBE :

- de fournir l’accès sécurisé aux Services,

- plus largement d’exécuter le contrat de fourniture des Services,

- D’informer ses clients et utilisateurs relativement à l’actualité des Services,

- De prévenir et de détecter les usages frauduleux des Services,

- D’observer et d’analyser l’usage des Services pour leur correction et amélioration,

- D’améliorer les Services.

Base légale

La base légale du traitement des données personnelles varient selon leur nature ; certaines données sont recueillies sur un fondement légal contractuel. D’autres sont recueillies pour permettre de satisfaire à l’obligation légale de sécurité. Enfin, certaines sont recueillies parce que vous nous avez donné votre consentement à cet égard.

DONNEES TRAITEES :

Type de traitements réalisés :

collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction

Catégories de données traitées :

- Données d’identification de l’utilisateur ou de son représentant personne physique ;

- Informations de connexion aux Services : nous collectons les informations de connexion aux Services, comprenant notamment l’indication du navigateur utilisé, des dates et heures, du temps et de la fréquence de connexion, des pages su site consultées, de l’adresse IP de connexion.

- Informations relatives au materiel utilisé : nous collectons les informations relatives à l’ordinateur ou au terminal mobile utilisés pour se connecter aux Services. Ces informations comprennent le modèle de matériel, son système d’exploitation, le numéro d’identifiant unique du matériel et les informations relatives au réseau mobile utilisé.

- Informations collectées par les Cookies et d’autres technologies de tracking. Pour plus d’information à ce sujet cliquer sur le lien suivant « données personnelles et cookies »

Autres informations : avec votre consentement, nous pouvons collecter d’autres informations enregistrées au sein de votre matériel informatique, telles que des images, ou d’autres informations en lien avec l’organisation de votes en ligne.

Source des données :

Ces informations sont recueillies auprès des utilisateurs des Services.

Caractère obligatoire du recueil des données: Le recueil des données est obligatoire si celles-ci sont nécessaires à l’exécution des Services. La collecte est facultative si elle implique le consentement de l’utilisateur.

PERSONNES CONCERNEES :

Le traitement de données concerne les personnes physiques et morales bénéficiant des Services, ainsi que leur représentant personne physique.

DESTINATAIRES DES DONNEES :

Catégories de destinataires

En fonction de leurs besoins respectifs, sont destinataires de tout ou partie des données :

- les salariés autorisés et mandataires sociaux d’APROBE ;

- les prestataires d’APROBE pour l’organisation de la réponse aux demandes de services et d’information sur les services.

Transferts des données hors UE

Aucun transfert de données hors de l'Union européenne n'est réalisé.

DUREE DE CONSERVATION DES DONNEES

Les données sont conservées pendant toute la durée du contrat des Services entre l’utilisateur d’une part, et APROBE d’autre part.

SÉCURITÉ :

APROBE protège vos informations en continu.

APROBE met en œuvre toutes les mesures de sécurité nécessaires pour protéger vos données, contre tout accès, toute modification, divulgation ou destruction non autorisés. Ces mesures sont notamment les suivantes :

- un accès sécurisé aux SErvices par le biais de compte utilisateur avec mot de passe.

- chiffrements de vos données afin d'en garantir la confidentialité dans le cadre de transferts.

- limiter la collecte de données à celles strictement utiles.

- ne pas utiliser les données collectées à d’autres fins que celles pour lesquelles elles ont été collectées.

- conserver les données à caractère personnel durant une période limitée et proportionnée.

- ne pas transférer ces données à des tiers autres que les prestataires d’APROBE qui interviennent dans le cadre de l’exécution des Services.

- Recours à des prestataires d’hébergement des données numériques ayant pris les engagements fiables relativement au respect de la réglementation de protection des données personnelles et notamment les suivants :

• des mesures de sécurité physique afin d’empêcher l’accès aux infrastructures sur lesquelles sont stockées les données d’APROBE par des personnes non autorisées

• un personnel de sécurité chargé de veiller à la sécurité physique des locaux d’hébergement des données 24 heures sur 24 et 7 jours sur 7

• un système de gestion des habilitations permettant de limiter l’accès aux locaux d’hébergement et aux données aux seules personnes ayant besoin d’y accéder dans le cadre de leurs fonctions et de leur périmètre d’activité

• un système d’isolation physique et/ou logique (en fonction des services) de ses clients entre eux

• des processus d’authentification forts de ses utilisateurs et administrateurs grâce notamment à une politique stricte de gestion des mots de passe et le déploiement de certaines mesures de double authentification,

• des processus et dispositifs permettant de tracer l’ensemble des actions réalisées sur son système d’information et d’effectuer, conformément à la réglementation en vigueur, des rapports en cas d’incident affectant les données du client,

En tant que sous-traitant, le prestataire d’hébergement d’APROBE a pris les engagements supplémentaires suivants :

- traiter les données à caractère personnel aux seules fins de la bonne exécution des services (pas d’autre utilisation possible).

- ne pas transférer les données d’APROBE hors UE ou hors pays reconnus par la Commission européenne comme disposant d’un niveau de protection suffisant.

- informer le Responsable de traitement de tout recours à des sous-traitants qui pourraient traiter ses données à caractère personnel.

- mettre en œuvre des standards de sécurité élevés afin de fournir un haut niveau de sécurisation à ses services.

- notifier au Responsable de traitement dans les meilleurs délais en cas de violation de ses données.

- les moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de Traitement;

- les moyens permettant de rétablir la disponibilité des Données et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;

- une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement,

L'accès aux informations personnelles est strictement réservé aux employés et sous-traitants d’APROBE qui ont besoin d'y accéder afin de les traiter au nom d’APROBE. Toute personne y ayant accès est soumise à de strictes obligations de confidentialité et est susceptible de faire l'objet de sanctions disciplinaires pouvant aller jusqu'au licenciement ou à la rupture du contrat de prestation de services en cas de manquement à ces obligations.

VOS DROITS SUR LES DONNEES VOUS CONCERNANT :

Vous pouvez accéder et obtenir copie des données vous concernant, vous opposer au traitement de ces données, les faire rectifier ou les faire effacer. Vous disposez également d'un droit à la limitation du traitement de vos données.

Exercer ses droits :

Le responsable à la protection des données d’APROBE est votre interlocuteur pour toute demande d'exercice de vos droits sur ce traitement.

Contacter le responsable par voie électronique : contact@balotilo.org

Contacter le Responsable par courrier postal :

Le responsable à la protection des données
Aprobe
8 rue des Dunes
75019 Paris

Réclamation (plainte) auprès de la CNIL

Si vous estimez, après nous avoir contactés, que vos droits sur vos données ne sont pas respectés, vous pouvez adresser une réclamation (plainte) à la CNIL.

Conditions générales de sous-traitance en matière de traitement de données personnelles

Les présentes Conditions Générales concernent les dispositions contractuelles relatives à la sous-traitance en matière de données personnelles, assurée par APROBE, entreprise ayant son siège social, 8 rue des Dunes, 75019 PARIS, immatriculée au répertoire SIRENE sous le n° 893 770 073 00011, au profit des Utilisateurs des services de vote en ligne diffusés sous la marque BALOTILO (ci-après « les Services »).

Les Services sont fournis via une plateforme de vote en ligne accessible via le site internet www.balotilo.org (ci-après désignée « Plateforme BALOTILO »).

Dans le cadre des Services, les Utilisateurs peuvent, via leur accès personnel et sécurisé aux Services (ci-après désigné « Compte BALOTILO »), organiser des Elections, auxquels des personnes (désignées ci-après « Electeurs ») participent. Les votes des Electeurs se font via les Services. Ces votes peuvent contenir des Données personnelles et sont traitées pour le compte des Utilisateurs, par APROBE via les Services.

En conséquence, en utilisant les Services, les Utilisateurs sont susceptibles d’être responsables de traitement et APROBE est susceptible d’être sous-traitant pour le traitement des données personnelles traitées.

Les présentes dispositions s’ajoutent à celles du règlement et à la politique de confidentialité des Services, pour toute la durée contractuelle d’utilisation des Services.

Dans le cadre des présentes, APROBE est désignée « le Sous-traitant » ou « APROBE » et l’Utilisateur sera désigné « le Responsable du traitement ». Ensemble, ils sont désignés « les Parties ».

I. DÉFINITIONS

Dans le cadre des présentes Conditions Générales de sous-traitance, les termes ou expressions ci-après mentionnées auront le sens suivant si leur première lettre est en majuscule.

- Analyses d’impact relatives à la protection des données : processus visant à évaluer le niveau des risques, et les possibilités de ces risques, liés aux droits et libertés des Personnes concernées, qui surviennent ou menacent de survenir, dans le cadre d’un Traitement;

- Données personnelles : toute information identifiant directement ou indirectement une personne physique (ex. nom, adresse électronique, numéro de téléphone, photographie, date de naissance, commune de résidence, adresse IP...).

- Droits des personnes : ensemble des droits accordés par la réglementation aux Personnes concernées : droit d’accès, droit de rectification, droit à l’effacement, droit à la portabilité, droit d’opposition et droit à la limitation du Traitement ;

- Personnes concernées : toute personne qui peut être identifiée, directement ou indirectement, par des Données à caractère personnel ;

- Principe de protection des données dès la conception : fait de prendre en compte la règlementation applicable dès la conception d’un projet de Traitement ;

- Principe de protection des données par défaut : fait de garantir par défaut le plus haut niveau possible de protection des données dans un Traitement ;

- Pseudonymisation et Chiffrement : mesures pour assurer la confidentialité. La Pseudonymisation consiste en une opération réversible qui supprime le caractère identifiant d’une Donnée à caractère personnel. Le Chiffrement est un procédé cryptographique appliqué à une information.

- Responsable du traitement : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du Traitement ;

- Sous-traitant : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des Données à caractère personnel pour le compte du Responsable du Traitement ;

- Traitement : Toute opération, ou ensemble d’opérations, portant sur de telles Données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction, ...)

- Transfert vers un pays tiers : soit le fait, pour des personnes établies hors de l’espace économique européen (EEE), de pouvoir traiter, transférer ou accéder à distance aux Données à caractère personnel stockées dans l’EEE, soit le fait pour des personnes établies dans l’EEE de pouvoir traiter, transférer ou accéder à distance aux Données à caractère personnel stockées hors de l’EEE ;

- Violation de données à caractère personnel : désigne une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de Données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.

II. OBJET

Les présentes Conditions Générales de sous-traitance ont pour objet de définir les conditions dans lesquelles le Sous-traitant s’engage, dans le cadre des Services, à effectuer pour le compte du Responsable de traitement, des Traitements. Les présentes conditions générales de sous-traitance ont également pour objet de définir les droits et obligations des Parties en matière de sous-traitance de Traitements.

Dans le cadre de leurs relations contractuelles, les Parties s’engagent à respecter, outre les présentes Conditions Générales de sous-traitance, la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016, règlement européen sur la protection des données (ci-après, « RGPD »).

III. DESCRIPTION DU TRAITEMENT FAISANT L’OBJET DE LA SOUS-TRAITANCE

Le Sous-traitant est autorisé à traiter pour le compte du Responsable de traitement les Données personnelles nécessaires aux Services.

La nature des opérations réalisées sur les Données personnelles est la suivante : collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction.

Les finalité(s) du Traitement pourront être les suivantes : consultation en vue de la prise d’une décision, décision électorale, élection. Lors de la conception de l’Election, le Responsable du traitement devra préciser la finalité spécifique de l’Election.

Les données à caractère personnel pouvant être traitées dans le cadre des Services sont les suivantes : tout type de Données personnelles au sens du RGPD, à l’exception des données sensibles, et des données relatives aux infractions, condamnations et mesures de sûreté.

Les catégories d’Electeurs peuvent être les suivants : membres d’une association, groupe d’individus ayant donnés leur accord au Responsable du traitement pour participer à une Election.

IV. OBLIGATIONS DU SOUS-TRAITANT VIS-A-VIS DU RESPONSABLE DE TRAITEMENT

Le Sous-traitant s'engage à :

1. traiter les Données personnelles uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance

2. traiter les Données personnelles conformément aux instructions du Responsable de traitement. Si le Sous-traitant considère qu’une instruction constitue une violation du RGPD ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le Responsable de traitement. En outre, si le Sous-traitant est tenu de procéder à un transfert de Données personnelles vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le Responsable du traitement de cette obligation juridique avant le Traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public

3. garantir la confidentialité des Données personnelles traitées par la mise en œuvre des Services,

4. veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat :

- s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité,

- reçoivent la formation nécessaire en matière de protection des Données personnelles

5. prendre en compte, au sein des Services, les principes de protection des Données personnelles dès la conception et de protection des Données personnelles par défaut

6. Sous-traitance : le Sous-traitant peut faire appel à un autre sous-traitant (ci-après, « le sous-traitant ultérieur ») pour mener des activités de Traitement spécifique. Le sous-traitant du Sous-traitant est tenu de respecter les obligations des présentes conditions générales de sous-traitance. Il appartient au Sous-traitant de s’assurer que son sous-traitant présente les mêmes garanties suffisantes quant à la mise en oeuvre de mesures techniques et organisationnelles appropriées de manière à ce que le Traitement réponde aux exigences du RGPD. Si son sous-traitant ne remplit pas ses obligations en matière de protection des Données personnelles, le Sous-traitant demeure pleinement responsable devant le Responsable de traitement de l’exécution par son sous-traitant de ses obligations.

7. Droit d’information des personnes concernées : Il appartient au Responsable de traitement de fournir l’information aux personnes concernées par les Opérations de traitement au moment de la collecte des données. Le Responsable de traitement peut utiliser les Services pour fournir cette information.

8. Exercice des droits des personnes : Dans la mesure du possible, le Sous-traitant doit aider le Responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage). Lorsque les personnes concernées exercent auprès du Sous-traitant des demandes d’exercice de leurs droits, le Sous-traitant doit adresser ces demandes dès réception par courrier électronique à l’adresse mail du Responsable de traitement mentionnée dans son Compte BALOTILO.

9. Notification des violations de données à caractère personnel : Le Sous-traitant notifie au Responsable de traitement toute violation de Données personnelles dans un délai maximum de 48 heures après en avoir pris connaissance et par mail. Cette notification est accompagnée de toute documentation utile afin de permettre au Responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente. Le Sous-traitant notifie la Violation de données à caractère personnel à la personne concernée, après accord du Responsable de traitement, au nom et pour le compte du Responsable de traitement, dans les meilleurs délais, lorsque cette violation est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique.

10. Aide du sous-traitant dans le cadre du respect par le responsable de traitement de ses obligations : Le Sous-traitant aide le Responsable de traitement pour la réalisation d’analyses d’impact relative à la protection des données.

Le Sous-traitant aide le Responsable de traitement pour la réalisation de la consultation préalable de l’autorité de contrôle.

11. Mesures de sécurité : Le Sous-traitant s’engage à mettre en oeuvre :

- un accès sécurisé aux Services par le biais d’un Compte BALOTILO avec mot de passe.

- Pseudonymisation et Chiffrement des Données personnelles afin d'en garantir la confidentialité dans le cadre de transferts.

- ne pas utiliser les Données personnelles à d’autres fins que celles pour lesquelles elles ont été collectées.

- conserver les Données personnelles durant une période limitée et proportionnée.

- ne pas transférer ces Données personnelles à des tiers autres que les prestataires d’APROBE qui interviennent dans le cadre de l’utilisation des Services.

- à mettre en oeuvre des standards de sécurité élevés afin de fournir un haut niveau de sécurisation des Services.

- les moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de Traitement ;

- les moyens permettant de rétablir la disponibilité des Données personnelles et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;

- une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement,

- Recours à un ou plusieurs prestataire(s) d’hébergement des Données personnelles ayant pris les engagements fiables relativement au respect du RGPD et notamment les suivants :

• des mesures de sécurité physique afin d’empêcher l’accès aux infrastructures sur lesquelles sont stockées les données d’APROBE par des personnes non autorisées,

• un personnel de sécurité chargé de veiller à la sécurité physique des locaux d’hébergement des données 24 heures sur 24 et 7 jours sur 7,

• un système de gestion des habilitations permettant de limiter l’accès aux locaux d’hébergement et aux données aux seules personnes ayant besoin d’y accéder dans le cadre de leurs fonctions et de leur périmètre d’activité,

• un système d’isolation physique et/ou logique (en fonction des services) de ses clients entre eux,

• des processus d’authentification forts de ses utilisateurs et administrateurs grâce notamment à une politique stricte de gestion des mots de passe conforme aux délibérations n° 2017-012 du 19 janvier 2017 portant adoption d'une recommandation relative aux mots de passe et n° 2017-190 du 22 juin 2017 portant modification de la recommandation relative aux mots de passe , ainsi quele déploiement de certaines mesures de double authentification,

• Des processus et dispositifs permettant de tracer l’ensemble des actions réalisées sur son système d’information et d’effectuer, conformément à la réglementation en vigueur, des rapports en cas d’incident affectant les données du client.

L'accès aux informations personnelles est strictement réservé aux employés, mandataires sociaux et sous-traitants d’APROBE qui ont besoin d'y accéder afin de les traiter pour le compte d’APROBE. Toute personne y ayant accès, reçoit les informations et la formation nécessaire au Traitement des données et est soumise à de strictes obligations de confidentialité et est susceptible de faire l'objet de sanctions disciplinaires pouvant aller jusqu'au licenciement ou à la rupture du contrat de prestation de services en cas de manquement à ces obligations.

12. Sort des données : le Sous-traitant s’engage à détruire toutes Données personnelles dans un délai de 25 jours après leur suppression depuis les Services.

13. Audits : Le Sous-traitant met à la disposition du Responsable de traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d'audits, y compris des inspections, par le Responsable du traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits.

14. Stockage et hébergement des données : le Sous-traitant s’engage à stocker et héberger les données dans l’Union Européenne conformément à la réglementation RGPD (AWS).

V. OBLIGATIONS DU RESPONSABLE DE TRAITEMENT VIS-A-VIS DU SOUS-TRAITANT

Le responsable de traitement s’engage à :

1. Ne réaliser via les Services que des Traitements conformes à l’objet tel que décrit au point II des présentes conditions générales de traitement, et notamment ne pas réaliser de Traitements de données sensibles et de données relatives aux infractions, condamnations et mesures de sûreté,

2. Ne pas réaliser, par le biais des Services, de suivi régulier et systématique des Electeurs,

3. Veiller, au préalable et pendant toute la durée du Traitement, au respect des obligations prévues par le RGPD,

4. Superviser le Traitement, y compris réaliser les audits et les inspections auprès du Sous-traitant,

5. Faire son affaire personnelle de la sauvegarde des Données personnelles récoltées au moyen des Services, au-delà de la période visée au paragraphe IV. 12 ci-avant.

6. Droit d’information des personnes concernées : Il appartient au Responsable de traitement de fournir l’information aux personnes concernées par les Opérations de traitement au moment de la collecte des données. Le Responsable de traitement peut utiliser les services pour fournir cette information.

7. Fournir au Sous-traitant les données nécessaires à la mise en oeuvre du Traitement

8. Documenter sur la plateforme Balotilo toute instruction concernant le Traitement des données par le Sous-traitant.