Accord de traitement des données (DPA)
Le présent document résume les engagements types de Gathek (gathek.com) en qualité de sous-traitant au sens de l'article 28 du RGPD, lorsqu'une personne morale ou professionnelle agit comme responsable du traitement et nous confie explicitement un traitement de données personnelles dans le cadre d'un contrat ou d'un bon de commande. Il ne remplace pas une convention signée : les parties peuvent l'adopter comme annexe ou en demander une version opposable.
Qui est concerné
Organisations (organisateurs d'événements, collectivités, fédérations, entreprises de services) qui traitent des données de personnes physiques et qui souhaitent formaliser avec nous les obligations de sous-traitance pour des prestations identifiées du service (ex. intégration technique, espace de publication, API dédiée). Les utilisateurs grand public sont couverts par la politique de confidentialité, et non par le présent DPA, sauf mandat contractuel distinct.
Rôles
Le client / la cliente professionnel(le) est responsable du traitement au sens du RGPD pour les opérations qu'il ou elle détermine. Gathek est sous-traitant pour les opérations que nous exécutons sur ses instructions documentées et pour son compte.
Objet et nature des traitements
Hébergement logique et/ou opérationnel des données configurées dans le cadre du service (comptes, contenus d'événements, journaux techniques nécessaires), sauf périmètre expressément exclu par écrit. Nous ne revendiquons aucun usage des données personnelles du responsable à des fins propres hors exécution du contrat et obligations légales.
Instructions et personnel
Nous ne traitons les données que sur instructions documentées du responsable, sauf obligation légale contraire auquel cas nous en informons le responsable dans les limites permises par le droit. L'accès aux données est limité au personnel soumis à une obligation de confidentialité ou à une obligation légale équivalente.
Sécurité
Mesures techniques et organisationnelles appropriées au regard de l'état de l'art, du coût de mise en œuvre, et des risques (chiffrement en transit, cloisonnement, journalisation, reprise). Le détail peut être complété dans une annexe sécurité sur demande raisonnable.
Sous-traitants ultérieurs
Nous pouvons recourir à d'autres prestataires (ex. Supabase pour l'infrastructure données et authentification, hébergeur applicatif). Nous informons le responsable de tout changement envisagé lui permettant de s'opposer dans un délai raisonnable lorsque le contrat le prévoit. Les engagements du sous-traitant envers le responsable sont reflétés dans nos contrats lato sensu avec ces prestataires.
Assistance et transferts
Nous assistons le responsable, dans la mesure du possible, pour répondre aux demandes d'exercice des droits, pour les analyses d'impact et pour les consultations préalables lorsque requis. Les transferts hors EEE reposent sur les mécanismes prévus par le RGPD (clauses types, etc.).
Violation de données
Nous notifions le responsable sans retard injustifié après avoir pris connaissance d'une violation de données personnelles la concernant ; nous fournissons les informations nécessaires pour permettre, le cas échéant, une notification à l'autorité et aux personnes.
Fin de prestation
À l'issue de la relation contractuelle, nous supprimons ou restituons les données personnelles selon les modalités convenues, sauf conservation imposée par le droit de l'UE ou d'un État membre.
Signature et contact
Pour obtenir une version signée ou une annexe adaptée à votre structure : privacy@gathek.com en indiquant votre personne morale, le périmètre du traitement et le pays d'établissement.
Dernière mise à jour : 4 mai 2026 — document d'information ; convention signée sur demande.