Delight (SAS ONE DRY NUGGET) est une société spécialisée dans le Live Entertainment, qui conçoit une suite d’applications innovantes, commercialisées sous la marque « Delight », permettant d’optimiser la production et la commercialisation des spectacles et événements, à destination des professionnels du spectacle vivant : producteurs de concerts, de théâtre, festivals, salles, billetteries.
Delight accompagne ses clients dans la structuration et l’harmonisation de toutes leurs données clients, l’enrichissement de leurs bases, et l’exploitation de ces données à travers la mise en place d’actions marketing et d’enquêtes de satisfaction.
Pour cela, Delight a développé les trois solutions logicielles IGNITION, SATISFACTION et ACTIVATION que nous commercialisons auprès de nos clients.
Ce Code de bonne conduite (ci-après le « Code ») a été pensé et conçu par nos équipes pour témoigner à l’égard de nos clients, et plus généralement à l’égard de toute personne intéressée par l’activité de Delight, nos engagements en matière de protection des données à caractère personnel.
Face à l’évolution du corpus juridique européen et français en la matière, il est important pour Delight de se positionner, avec conviction, dans une démarche de conformité.
Par ce Code, nous souhaitons partager notre éthique professionnelle et la manière dont nous envisageons les relations avec nos employés, clients et partenaires. Les données étant l’un des biens les plus précieux pour les professionnels du spectacle vivant, notre société se doit d’assurer leur entière protection vis-à-vis de tous ceux qui nous font aujourd’hui confiance.
En tant qu’acteur développant des solutions collectant ou exploitant des données du spectacle vivant, Delight est confrontée à de multiples problématiques que notre équipe s’efforce de résoudre dans le respect de nos valeurs.
Ce Code s’adresse aussi bien à tous les employés qu’aux personnes physiques ou morales qui entretiennent des relations commerciales avec Delight. Il est ainsi librement consultable en interne et mis en ligne sur notre site internet : https://delight-data.com.
Pour la bonne compréhension de ce Code, nous vous invitons à prendre connaissance des définitions de concepts techniques que nous utiliserons pour vous exposer nos engagements en matière de protection des données à caractère personnel :
Delight commercialise trois applications : IGNITION, SATISFACTION et ACTIVATION.
Ignition est une plateforme en ligne composée d’un ensemble de visualisation qui agrège les données du Client et fournit des indicateurs sur leurs propriétés. Les indicateurs figurant sur la plateforme sont notamment les suivants : KPI, valeurs numériques ; Graphes temporels, l’évolution d’une valeur dans le temps ; Carte de chaleurs, la répartition géographique d’une valeur ;
Les données utilisées dans l’Application proviennent de la base de Données du Client, ainsi que de sources publiques (catalogues de spectacles en ligne, informations géographiques etc.). Delight collecte des cookies de navigation en ayant recours à Google Analytics, et toutes les info se trouvent au lien suivant.
Ignition comprend notamment les fonctionnalités suivantes :
Satisfaction est un outil en ligne de mise en place d’enquêtes de satisfactions qui permet au Client d’envoyer automatiquement au public des séances de ses spectacles un email les invitant à donner leur avis sur le spectacle auquel ils viennent d’assister.
Satisfaction comprend notamment les fonctionnalités suivantes :
Activation est un outil qui permet au Client de mettre en place à partir des données de ses spectateurs des actions de marketing digital sur plusieurs canaux : e-mail, SMS et réseaux sociaux.
Les données utilisées dans l’Application proviennent de la base de Données du Client.
Activation comprend notamment les fonctionnalités suivantes :
L’Application propose au Client des indicateurs contenant les données de performance de chaque action au sein d’une campagne (taux d’ouverture, de clics, d’erreur, de bounce…)
Delight intervient pour le compte de ses clients dans le cadre d’un contrat de prestation de services. Aux termes de ce contrat, Delight est un Sous-traitant de DCP qui intervient sur instructions écrites de ses clients, Responsables de traitement au sens de la Réglementation I&L.
En cette qualité de Sous-traitant Delight s’engage à :
Dans le cadre de son activité commerciale, Delight est conduite à réaliser deux grandes catégories de Traitements, ceux internes à l’entreprise (i) et ceux spécifiques aux contrats de prestation de Services conclus avec ses clients (ii), ces Traitements étant légalement fondés (iii).
Delight, en tant que Responsable de traitement, se conforme à la Réglementation I&L en ce qui concerne sa gestion interne d’entreprise.
A ce titre, Delight réalise les Traitements de DCP suivants :
Dans ce cadre, Delight ne collecte que les seules DCP de ses salariés et/ou de ses interlocuteurs/interlocutrices personnes physiques au sein des entités clientes et/ou prestataires, qui sont strictement nécessaires à la mise en place des objectif poursuivis par les Traitements précités.
Delight, en tant que Sous-traitant, se conforme à la Réglementation I&L en ce qui concerne les Traitements réalisés sur instructions des clients, Responsables de traitement, dans le cadre des Services.
A ce titre, les Services nécessitent que Delight réalise des Traitements de DCP issues de la base de données de ses clients pour :
Dans le cadre de ces Traitements, Delight ne collecte pas directement les DCP des spectateurs qui figurent dans la base de données des clients (salles de théâtre, billetteries, producteurs de spectacles etc.) mais les sous-traite sur instructions documentées et écrites des clients. Par conséquent, les clients de Delight doivent s’assurer de la bonne information de la sous-traitance de Delight auprès des spectateurs.
En premier lieu, les Traitements internes que nous réalisons ont pour base légale le consentement des personnes concernées et/où l’intérêt légitime de Delight à les réaliser (par exemple répondre à une obligation légale ou réglementaire).
Les Traitements contractuels que Delight réalise pour le compte de ses clients en qualité de Sous-traitant ont pour base légale le contrat de prestation de service. Les DCP des spectateurs figurant dans la base de données de nos clients, véritable matière première de notre sous-traitance, ont été obtenues sur la base de leur consentement, ce que nos clients nous garantissent.
Enfin, Delight déclare tenir par écrit un registre de toutes les catégories d’activités de Traitements internes (RT) ou bien effectuées pour le compte des clients (ST) comprenant notamment :
Ainsi, nous faisons tout notre possible pour que nos différents processus mis en place en interne et dans le cadre des Services permettent une conformité pérenne. Une évaluation régulière de ces derniers est donc essentielle afin de maintenir un fort niveau d’exigence. Delight confirme ainsi avoir organisé en interne pour la protection des Applications et des DCP qu’elles contiennent les mesures techniques et organisationnelles garantissant un niveau de sécurité adapté au risque, suivantes :
En outre, toutes les DCP que Delight collecte le sont pour un objectif bien défini. Aussi, nous vous assurons de ne collecter que le minimum de données nécessaires à la réalisation de cet objectif. Ainsi, les DCP que Delight collecte nous permettent de maintenir à jour nos fichiers clients ou encore notre base d’abonnés newsletter afin de toujours mieux répondre à leurs attentes.
S’agissant de nos salariés collaborateurs, nous tenons à ce qu’ils puissent garder leur sphère privée distincte de leur vie professionnelle. C’est pour cela que nous ne collecterons jamais d’autres DCP que celles nécessaires à la constitution de leur dossier professionnel. L’intégrité et la confiance étant des valeurs primordiales pour nous, Delight garantit de ne jamais revendre les DCP de ses clients ou employés.
Enfin, les DCP que nous collectons n’ont pas vocation à rester indéfiniment dans le système d’information de Delight. Lorsque l’objectif, pour lequel les DCP ont été recueillies a été atteint, nous les supprimons. Chacune d’entre elles a une durée de conservation prédéfinie en fonction de la législation et de nos besoins métiers. Un référentiel crée par notre DPO indique les durées de conservation de chaque DCP (voir annexe I). Notre DPO est par ailleurs directement impliqué dans les purges des DCP puisqu’il en pilote le système.
S’agissant des données issues de la base de données de nos clients sous-traitées pour les besoins des Services, Delight, au terme de sa prestation contractuelle, s’engage à renvoyer audit client toutes ses DCP traitées pour les besoins des Services. Le renvoi doit s’accompagner de la destruction de toutes les copies existantes dans les systèmes d’information de Delight. Toutefois, Delight reste propriétaire des informations issues des Services. Le client n’en a qu’un droit d’utilisation, et seulement dans le strict cadre du contrat de prestation de services conclu avec Delight. Notamment, les informations autres que celles émanant du client, et figurant sur les médias servant à restituer les données issues des Services, restent la propriété de Delight.
Plus généralement, l’utilisation de DCP ne peut en aucun cas être intègre si la personne concernée n’a pas clairement compris pourquoi nous en avions besoin. C’est pour cette raison que chaque personne reçoit une information claire et précise, lui renseignant l’objectif recherché et ce directement de la part de Delight lorsque cette personne est salariée, cliente ou prestataire de Delight ou bien directement de la part des clients lorsque cette personne est un spectateur intégré dans leur base de données. Chaque personne concernée connaît ainsi les services qui traitent ses DCP et le nom du responsable du traitement.
Ainsi, notre service commercial recueille les DCP des clients afin de déterminer les prestations leur correspondant. Notre service Ressources Humaines recueille les DCP de nos employés et de chaque candidat postulant au sein de notre entreprise. Les informations nécessaires à la réalisation des projets peuvent être transmises aux services techniques ou juridiques qui réaliseront la prestation.
Le Responsable de traitement est la personne qui détermine les finalités et les moyens du Traitement. Pour les Traitements internes, il est représenté par notre Directeur Général. Il est accompagné par le DPO qu’il consulte à chaque projet de Traitement de DCP afin d’en assurer la protection dès la conception du projet. Les opérationnels apportent au Responsable de traitement leur soutien, notamment dans la mise en œuvre des mesures techniques et organisationnelles nécessaires à la sécurité de ces DCP. Parce que la satisfaction de nos partenaires passe par une confiance absolue, nous avons établi divers processus (cf. point VIII du présent Code) qui garantissent notre haut niveau de sécurité.
Le DPO de Delight a été choisi avec soin selon ses connaissances et qualités professionnelles. En conséquence, il réalise une veille régulière de l’actualité de la protection des DCP et est abonné à plusieurs revues spécialisées. Enfin, il participe aux ateliers de formation délivrés par la CNIL afin d’avoir des connaissances complètes. Rattaché à la direction, il est totalement indépendant dans l’exercice de ses fonctions pour lesquelles il ne reçoit aucun ordre. Sa présence nous assure un respect de la Règlementation I&L . Notre DPO conduit la mise en conformité à la Règlementation I&L. Il est à la tête d’un véritable processus de pilotage centralisé permettant de recenser et de mettre à jour les différents Traitements. Ainsi, il a réalisé un inventaire des DCP traitées en les distinguant selon leur type, leur finalité et leur niveau de risque. Toutes politiques de protection des DCP diffusées au sein de notre organisme ont été validées par le DPO. Une véritable coopération existe entre notre DPO et le Responsable de traitement afin de toujours exceller en la matière.
Certains acteurs sont indispensables à la protection des DCP, c’est le cas de notre CTO. A l’affut des risques liés à la sécurité des systèmes d’information, son haut niveau de connaissances en la matière permet la sécurité du patrimoine informationnel de l’entreprise. Il nous garantit la forte maturité de nos systèmes d’information, nécessaire pour crédibiliser les interventions auprès de nos clients. Il gère la politique d’habilitation en veillant à ce que les opérationnels n’aient accès qu’aux données concernant leurs tâches. Il est à l’origine de plusieurs mesures de sécurité technique, notamment le chiffrage de la base de données, l’installation de pare-feu…
Pour rappel, Delight n’est Responsable de traitement au sens de la Règlementation I&L que pour les seuls Traitements internes réalisés dans le cadre de son activité d’entreprise (voir point V.i) ci-dessus).
En cette qualité de Responsable de Traitement, Delight applique le processus de gestion des DCP suivant :
Conformément à la Réglementation I&L, nous vous informons que les DCP recueillies pour nos Traitements internes sont sous la responsabilité de de notre Responsable de traitement Monsieur Marc Gonnet en sa qualité de Directeur Général de notre société. Les DCP que nous collectons peuvent être destinées à la réalisation des procédures de ressources humaines (gestion des paies, suivi de la prospection, gestion des candidatures, …). Les destinataires des données personnelles peuvent être ainsi, le service ressources humaines, le service administratif et financier, le service commercial ou bien le service juridique.
Conformément à la Règlementation I&L, chaque personne concernée par les Traitements internes dispose des droits suivants sur ses DCP : droits d’accès, droit de rectification, droit à l’effacement (droit à l’oubli), droit à la limitation du Traitement, droit à la portabilité. Cette personne peut également définir des directives relatives à la conservation, à l’effacement et à la communication de ses DCP après son décès. Elle dispose d’un droit d’accès d’interrogation, de modification et de rectification aux informations qui la concernent.
Cette personne dispose également d’un droit d’opposition au Traitement de ses DCP pour des motifs légitimes, ainsi que d’un droit d’opposition à ce que ces DCP soient utilisées à des fins de prospection commerciale.
Pour exercer ses droits, la personne doit adresser un courrier recommandé avec avis de réception, accompagné de la photocopie de sa pièce d’identité comportant sa signature, à l’adresse postale suivante : 93 rue d'Aboukir – 75002 Paris ou à l’adresse de courrier électronique dpo@delight-data.com. Sous réserve d’un manquement à aux dispositions ci-dessus, vous avez le droit d’introduire une réclamation auprès de la CNIL.
Notre DPO s’engage à répondre le plus rapidement possible, dans un délai de deux mois maximum. Sans réponse de notre part, la personne peut alors réaliser sa demande auprès de la CNIL.
Dès la phase de recrutement de nos collaborateurs, il nous semble essentiel de démontrer aux candidats toute notre implication en matière de protection des DCP. A la fois, cela est un facteur d’attractivité certain et surtout un gage de recruter des futurs collaborateurs ayant la même rigueur que nous. Chacun de nos services s’implique concrètement dans la protection des DCP. Ainsi notre service ressources humaines a élaboré une grille d’entretien avec des critères prédéfinis.
La sérénité de nos rapports avec nos clients est essentielle pour maintenir d’excellentes relations commerciales. Pour ce faire, nous faisons tout notre possible pour renseigner au mieux ces derniers notamment concernant leurs demandes liées aux DCP. Notre DPO reçoit directement ces demandes et grâce à un fichier automatisé, peut donner suite aux requêtes rapidement dans un délai maximum d’un mois.
Bien que nous mettions tout en œuvre pour assurer un haut niveau de conformité aux obligations légales, Delight peut être contrôlé par la CNIL dans le cadre d’une vérification de sa mise en conformité avec la Réglementation I&L. Ainsi, notre DPO est directement associé aux échanges avec la CNIL dont il est l’interlocuteur privilégié. Il a établi plusieurs mesures favorisant la transmission d’informations de Delight à la CNIL, afin de faciliter le déroulement du contrôle. Pour rappel, le DPO tient un registre des traitements clair et à jour qui lui est facile de transmettre aux experts de la CNIL. En cas de poursuites, le Responsable de traitement de Delight est guidé par le DPO.
Delight met tout en œuvre pour maintenir un excellent niveau de protection de ses systèmes d’information. Cependant parce que la sécurité parfaite n’existe pas, nous ne pouvons être infaillibles face aux menaces de violations de sécurité. Ainsi, en cas de violation de DCP, le DPO, le CTO et le Responsable de traitement ont mis au point une procédure spécifique de gestion des violations. Tout d’abord, le CTO et son équipe agissent le plus rapidement possible afin de déterminer la cause et la nature de la violation. Ils informent le DPO dès la détection de la violation afin que ce dernier établisse avec le CTO, un plan d’actions correctives. Directement concerné, le Responsable de traitement supervise la mise en place des différentes actions prévues. La violation des DCP suppose d’agir dans l’urgence et de manière précise et rigoureuse. C’est pour cela que chez Delight nous tenons à sensibiliser notre personnel aux enjeux engendrés par les failles de sécurité.
Dans le cas où un Traitement de DCP est effectué par un sous-traitant tiers pour le compte de Delight, nous mettons tout en œuvre afin de s’assurer qu’il présente des garanties suffisantes en matière de protection des DCP. Une procédure de gestion de la sous-traitance a ainsi été mise en place.
Dans un premier temps, le DPO vérifie systématiquement que le contrat proposé par le sous-traitant répond aux exigences de la Réglementation I&L. Le contrat doit ainsi stipuler la nature et la finalité du ou des Traitement(s), l’objet et la durée de conservation des DCP, ainsi que le type de DCP et les catégories de personnes concernées par le ou les Traitement(s). Doivent également y figurer les obligations et les droits des sous-traitants. Enfin, le contrat doit prévoir la tenue de la documentation et la traçabilité, les mesures de sécurité que le Sous-traitant met en place, la coopération avec les autorités, l’assistance dans le traitement des demandes des personnes dans le cadre de l’exercice de leurs droits, la notification des failles de sécurité, le recours du sous-traitant à un autre sous-traitant, et le sort des données à la fin du contrat.
Delight est une jeune entreprise dont l’expertise porte précisément sur le Traitement de ce que l’on qualifie de « Data », et notamment les DCP. A ce titre, Delight sous-traite les DCP au sens de la Règlementation I&L et réalise des Traitements pour le compte et sur instructions documentées et écrites de ses clients (voir point V.ii) ci-dessus).
En cette qualité de Sous-traitant, Delight applique le processus de gestion des DCP suivant :
La relation de Delight avec ses clients s’inscrit durablement dans un cadre de confiance. Dans ce contexte, notre entreprise s’engage par un contrat de prestation de services précis et négocié avec le client pour délivrer les Applications et fournir les Services associés.
Parce que chaque contrat passé est unique, il nécessite une attention particulière quant à la qualification et le rôle de chacune des parties dans un souci de détail des obligations qui incombent à notre entreprise.
Ainsi, c’est pour cette raison que Delight n’intervient que sur instructions documentées et écrites de son ou ses client(s).
Les DCP sous-traitées sont extrêmement diverses, toutes doivent être protégées selon leur niveau de criticité. Pour ce faire, nos équipes réalisent des analyses d’impact sur la vie privée (privacy impact assessment) sur les Traitements les plus sujets à risque.
Ainsi, lorsque le Traitement le justifie, une analyse complète des risques pesant sur la vie privée des personnes concernées par ledit Traitement est effectuée par le DPO à l’aide des opérationnels impliqués. L’analyse s’appuie notamment sur les textes légaux et les recommandations de la CNIL en termes de finalité, de proportionnalité du Traitement, de pertinence des DC¨P, de durée de conservation et de l’information des personnes. La procédure complète est disponible à la demande des personnes. Elle précise quelle est la démarche à suivre, les critères retenus et l’échelle de gravité. La protection de la vie privée est réfléchie dès la conception même des Traitements de DCP. Pour mener à bien ces missions, la collaboration entre juristes experts en DCP et ingénieurs spécialisés en sécurité des systèmes d’informations est absolument essentielle. Seul leur travail conjoint permet de garantir la totale protection des DCP présentes dans nos systèmes.
Les analyses d’impact sont réalisées continuellement sous la direction du DPO.
Les clients de Delight sont Responsables de traitement au sens de la Réglementation I&L dans le cadre de leur relation contractuelle avec Delight. Aussi, il appartient aux clients de fournir l’information aux spectateurs concernés par les opérations de traitement des DCP issues de leur base de données au moment de la collecte des DCP.
Dans la mesure du possible, Delight s’engage alors à aider ses clients à s’acquitter de leur obligation de donner suite aux demandes d’exercice des droits des personnes concernées par les opérations de Traitement des DCP objets des Services et notamment du droit d’accès, de rectification, d’effacement et d’opposition, du droit à la limitation du traitement, du droit à la portabilité des données et du droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).
Lorsque les personnes concernées exercent auprès de Delight une demande d’exercice de leurs droits, Delight s’engage à adresser ces demandes dès réception par courrier électronique à l’adresse électronique indiquée dans le contrat de prestation de services.
En cas de transfert de DCP en dehors de l’UE, les accords nécessaires, et notamment les clauses contractuelles types élaborées par la Commission Européenne et/ou les règles d’entreprise contraignantes (BCR), seront conclus entre nos client, Delight et ses propres sous-traitants, ou tout autre tiers intervenant dans les Traitements, à moins que la Commission Européenne ait reconnu le pays tiers en question comme assurant un niveau de protection adéquat.
S’agissant des contrôles de la CNIL, de la gestion des violations de DCP et des failles de sécurité ou encore de la gestion des sous-traitants, Delight a les mêmes engagements vis-à-vis de ses clients que ceux détaillés ci-dessus (8.5 / 8.6 / 8.7).
Pour finir, Delight s’engage à mettre à jour le Code à chaque nouvelle désignation de DPO, et à défaut tous les trois ans. L’actualisation du Code sera validée par le DPO avant toute diffusion en interne et en externe.