EVORA
EVORA

Data Processing Agreement (DPA)

Contrat de sous-traitance des données personnelles conclu entre Evora SAS (sous-traitant) et chaque Organisateur (responsable de traitement), conformément à l'article 28 du Règlement Général sur la Protection des Données (UE 2016/679).

Dernière mise à jour : 7 mai 2026Version v2026.05.01

1. Préambule

Le présent Data Processing Agreement (ci-après le « DPA » ou le « Contrat ») a pour objet de définir les conditions dans lesquelles Evora SAS, prestataire technique (ci-après « Evora » ou le « Sous-traitant»), traite, pour le compte de chaque organisateur (ci-après l'« Organisateur » ou le « Responsable de traitement »), les données personnelles des utilisateurs de la plateforme inscrits aux événements de cet Organisateur.

Ce DPA complète et fait partie intégrante des CGU, des CGV et de la Politique de confidentialité. En cas de contradiction relative à la sous-traitance des données personnelles, le présent DPA prévaut.

La signature électronique du DPA par chaque Organisateur est obligatoire avant la publication de son premier événementsur la plateforme. À défaut, toute tentative de publication d'événement sera bloquée par le système.

2. Objet du contrat

Au titre du présent DPA, l'Organisateur, agissant en qualité de responsable de traitementau sens de l'article 4.7 du RGPD, confie à Evora, agissant en qualité de sous-traitantau sens de l'article 4.8 du RGPD, la réalisation des opérations de traitement suivantes sur les données personnelles de ses inscrits :

  • Hébergement et stockage sécurisé des données ;
  • Mise à disposition des données à l'Organisateur via le tableau de bord ;
  • Transmission de notifications push et e-mails aux inscrits pour le compte de l'Organisateur ;
  • Génération de statistiques agrégées sur les événements ;
  • Gestion technique des inscriptions et des paiements ;
  • Mise en œuvre des droits RGPD des inscrits (consultation, export, suppression).

Evora s'engage à ne traiter ces données que sur instruction documentée de l'Organisateur (la souscription au Service valant instruction permanente pour les opérations standards) et conformément aux finalités définies dans la Politique de confidentialité.

3. Catégories de données traitées

Les catégories de données traitées par Evora pour le compte de l'Organisateur incluent :

  • Données d'identité des inscrits : prénom, nom, adresse e-mail, photo de profil, date de naissance le cas échéant ;
  • Données d'inscription :identifiant d'événement, date d'inscription, statut de présence, informations complémentaires renseignées par l'inscrit ;
  • Données de paiement(pour les événements payants) : montant, statut Stripe, ID transaction (le numéro de carte n'est jamais accessible à l'Organisateur) ;
  • Données de communication :messages échangés via la fonctionnalité Q&A, réactions aux annonces.

Aucune donnée sensible au sens de l'article 9 du RGPD (origine raciale, opinions politiques, religion, santé, vie sexuelle, biométrie, etc.) n'est traitée par Evora pour le compte de l'Organisateur, sauf consentement explicite distinct recueilli par l'Organisateur lui-même.

4. Catégories de personnes concernées

Les personnes concernées par le traitement sont :

  • Les inscritsà un événement publié par l'Organisateur sur la plateforme Evora ;
  • Les visiteursayant interagi avec la page événement (favoris, partage, Q&A) sans s'y être inscrits.

5. Durée du traitement

Le présent DPA produit ses effets à compter de sa signature électronique par l'Organisateur et reste en vigueur tant que l'Organisateur dispose d'un compte Evora actif.

À la résiliation du compte Organisateur, Evora s'engage à procéder, sur instruction écrite de l'Organisateur dans un délai de 30 jours, soit :

  • À la restitution des données dans un format structuré, couramment utilisé et lisible par machine (export ZIP) ;
  • À la suppression définitiveou à l'anonymisation irréversible des données.

À défaut d'instruction dans un délai de 30 jours, Evora procèdera par défaut à l'anonymisation. Les obligations légales de conservation (facturation 10 ans, etc.) restent applicables.

6. Obligations d'Evora (sous-traitant)

Conformément à l'article 28 du RGPD, Evora s'engage à :

6.1 Traitement sur instruction documentée

Ne traiter les données que sur instruction documentée de l'Organisateur, y compris pour les transferts hors UE, sauf obligation légale contraire à laquelle Evora informe l'Organisateur préalablement (sauf si la loi l'interdit pour motif d'intérêt public).

6.2 Confidentialité

Veiller à ce que toutes les personnes autorisées à traiter les données (employés, prestataires, sous-traitants ultérieurs) soient soumises à une obligation contractuelle ou légale de confidentialité.

6.3 Sécurité

Mettre en œuvre les mesures techniques et organisationnelles appropriées prévues à l'article 32 du RGPD :

  • Chiffrement TLS 1.3 en transit, AES-256 au repos ;
  • Pseudonymisation lorsque techniquement possible ;
  • Row Level Security (RLS) PostgreSQL sur 100% des tables ;
  • Hachage bcrypt des mots de passe ;
  • Authentification à deux facteurs disponible ;
  • Backups journaliers + PITR 7 jours ;
  • Audit logs sur toutes les actions administratives ;
  • Tests de continuité et de restauration trimestriels ;
  • Audit de sécurité indépendant annuel.

6.4 Assistance à l'Organisateur

Aider l'Organisateur à respecter ses propres obligations RGPD (réponse aux demandes d'exercice de droits, analyses d'impact, notification de violation, consultation préalable de la CNIL le cas échéant) en mettant à disposition les outils adaptés via le tableau de bord et en répondant à toute demande dans un délai maximum de 7 jours ouvrés.

6.5 Documentation

Tenir à jour un registre des activités de traitement effectuées pour le compte de l'Organisateur, disponible sur demande.

7. Obligations de l'Organisateur (responsable)

L'Organisateur s'engage à :

  • Disposer d'une base légale valide pour chaque traitement qu'il effectue (consentement, contrat, intérêt légitime, etc.) ;
  • Informer ses inscrits du recours à Evora en qualité de sous-traitant et du présent DPA ;
  • Ne pas demander à Evora de traitement contraire au RGPD ou à une autre réglementation applicable ;
  • Répondre lui-même aux demandes d'exercice de droits de ses inscrits, Evora se contentant de fournir l'assistance technique nécessaire ;
  • Notifier à Evora toute violation de données qu'il constaterait de son côté, dans les meilleurs délais.

8. Sous-traitants ultérieurs

L'Organisateur autorise Evora à recourir à des sous-traitants ultérieurs pour la réalisation du Service. La liste exhaustive et mise à jour des sous-traitants ultérieurs est publiée sur la page /sous-traitants.

Evora s'engage à :

  • Notifier l'Organisateur 30 jours avant tout ajout ou remplacement de sous-traitant ultérieur, par e-mail et publication sur la page dédiée ;
  • Conclure avec chaque sous-traitant ultérieur un contrat imposant au moins les mêmes obligations que celles du présent DPA ;
  • Rester pleinement responsable à l'égard de l'Organisateur de l'exécution par ses sous-traitants ultérieurs de leurs obligations.

L'Organisateur peut, dans les 30 jours suivant la notification d'un nouveau sous-traitant, s'y opposer pour motifs raisonnables. À défaut d'accord amiable, l'Organisateur peut résilier son abonnement sans frais.

9. Notification de violation de données

En cas de violation des données personnelles traitées pour le compte de l'Organisateur (au sens de l'article 4.12 du RGPD), Evora s'engage à :

  • Notifier l'Organisateur dans un délai maximum de 24 heuresaprès en avoir pris connaissance, par e-mail à l'adresse de contact renseignée dans son compte ;
  • Fournir tous les éléments utiles à l'Organisateur pour lui permettre d'effectuer la notification à la CNIL dans les 72 heures (article 33 RGPD) : nature de la violation, catégories et volume de personnes concernées, conséquences probables, mesures prises ;
  • Coopérer activement à toute investigation ou enquête conduite par l'Organisateur ou par les autorités.

Le délai de 24 heures imposé à Evora est plus court que le délai de 72 heures imposé à l'Organisateur par la CNIL, précisément pour permettre à l'Organisateur de respecter ses propres obligations.

10. Audit

L'Organisateur peut, à ses frais et sous réserve d'un préavis écrit de 30 jours, demander un audit annuel de la conformité d'Evora au présent DPA. L'audit peut prendre la forme :

  • D'un questionnaire écrit (mode standard) ;
  • De la communication des rapports d'audit indépendant existants (SOC 2, ISO 27001 lorsque disponibles) ;
  • D'une visite sur site uniquement en cas de violation grave avérée et après mise en demeure restée infructueuse.

L'audit ne doit pas perturber le fonctionnement normal d'Evora et reste soumis à un engagement de confidentialité réciproque. L'Organisateur s'engage à ne pas accéder aux données d'autres organisateurs durant l'audit.

11. Fin du contrat — sort des données

À l'expiration ou à la résiliation du présent DPA (par résiliation de l'abonnement, suppression du compte Organisateur, ou rupture du contrat) :

  • Événements futurs :annulés et inscrits notifiés (par e-mail et push) avec mention de l'arrêt d'activité de l'Organisateur ;
  • Événements passés :conservés à des fins d'historique des inscrits, mais l'identité de l'Organisateur est remplacée par la mention « Compte supprimé » ;
  • Données des inscrits sous responsabilité de l'Organisateur :restituées à l'Organisateur via export (sur demande) puis supprimées d'Evora dans un délai de 30 jours.

Les obligations légales de conservation (factures 10 ans, logs LCEN 12 mois, données comptables) restent applicables et priment sur la suppression demandée.

12. Co-responsabilité éventuelle

Dans certains cas exceptionnels, Evora et l'Organisateur peuvent être amenés à co-déterminer les finalités et les moyens d'un traitement spécifique (par exemple : analytics consolidé inter-événements à des fins d'amélioration produit d'Evora). Dans ces cas, les parties agiront en qualité de responsables conjoints du traitementau sens de l'article 26 du RGPD.

Un addendum spécifique pourra être signé pour formaliser cette co-responsabilité, précisant la répartition des obligations (information des personnes, exercice des droits, notification de violations). À défaut d'addendum, les parties s'engagent à coopérer de bonne foi.

13. Signature électronique

Le présent DPA est signé électroniquement par l'Organisateur via le mécanisme suivant :

  1. Affichage du DPA complet (présente page) avant la première tentative de publication d'événement ;
  2. Coche de la case « Je, soussigné en tant qu'Organisateur, accepte le présent Data Processing Agreement version v2026.05.01 et reconnais avoir lu l'intégralité du document » ;
  3. Clic sur le bouton « Signer électroniquement » qui enregistre : la date et l'heure exacte (UTC), l'adresse IP, le User-Agent du navigateur, l'identifiant utilisateur Supabase, et la version du DPA.

La preuve de la signature est conservée dans la base de données d'Evora pendant toute la durée du compte plus 5 ans après sa clôture, conformément aux délais de prescription civile.

Toute mise à jour substantielle du présent DPA donnera lieu à une nouvelle signature électronique, après notification 30 jours avant l'entrée en vigueur. À défaut d'acceptation, l'Organisateur peut résilier son abonnement sans frais avant la date d'entrée en vigueur.

La page de signature interactive (avec bouton « Signer électroniquement ») est accessible aux organisateurs depuis leur tableau de bord ou directement à l'URL /organisateur/dpa-signature. La présente page /dpa reste en lecture seule pour le public.

Pour toute question relative à ce document, contactez notre DPO : dpo@evora-app.com.

Vous pouvez également exercer vos droits depuis votre espace Mes données.