1. Préambule
1.1 Qui sommes-nous
Diivento est une plateforme de gestion d'événements professionnels éditée par Diivento SAS, société par actions simplifiée immatriculée à Montpellier (cf. Mentions légales). Le service permet aux organisateurs d'événements professionnels (ci-après les « Organisateurs ») de gérer l'inscription des participants, la génération de badges QR, le scan des badges sur place, la gestion des programmes et l'analyse de la fréquentation.
1.2 À qui s'adresse cette politique
La présente politique s'applique à toutes les personnes physiques dont les données personnelles sont traitées dans le cadre du service Diivento, notamment :
- les utilisateurs disposant d'un compte sur la plateforme (organisateurs d'événements, exposants, collaborateurs, administrateurs internes), ci-après les « Utilisateurs » ;
- les participants aux événements (visiteurs, exposants invités, collaborateurs invités), inscrits via les parcours d'inscription proposés par les Organisateurs, ci-après les « Participants » ;
- les visiteurs du site internet diivento.fr consultant les pages publiques.
La politique couvre également les communications facultatives que Diivento SAS peut être amenée à envoyer à ses Utilisateurs ayant exprimé un consentement explicite à les recevoir (cf. section 4.7).
1.3 Notre engagement
Diivento SAS s'engage à traiter vos données personnelles dans le respect du RGPD et de la loi Informatique et Libertés. La présente politique a pour objet de vous informer, conformément aux articles 12, 13 et 14 du RGPD, sur les traitements que Diivento SAS met en œuvre, les bases légales de ces traitements, leurs finalités, les destinataires des données, les durées de conservation et les droits dont vous disposez.
2. Notre double rôle dans le traitement de vos données
2.1 Pourquoi cette distinction est importante
Selon le contexte, Diivento SAS intervient soit en qualité de responsable de traitement, soit en qualité de sous-traitant au sens de l'article 28 du RGPD. Cette distinction est essentielle car elle détermine à qui vous devez vous adresser pour exercer vos droits.
2.2 Diivento SAS, responsable de traitement
Diivento SAS est responsable du traitement de vos données personnelles dans les cas suivants :
- lorsque vous disposez d'un compte sur la plateforme Diivento (organisateur, exposant disposant d'un compte, collaborateur, administrateur) ;
- lorsque vous consultez le site public diivento.fr ;
- pour les traitements transverses propres à l'exploitation du service par Diivento SAS (sécurité, prévention de la fraude, gestion comptable, communications relatives au compte).
Dans ces cas, Diivento SAS détermine seul les finalités et les moyens des traitements. Pour exercer vos droits, vous vous adressez à Diivento SAS (cf. section 9).
2.3 Diivento SAS, sous-traitant des Organisateurs
Lorsque vous vous inscrivez à un événement organisé par un client Diivento (un Organisateur), c'est cet Organisateur qui est responsable du traitement de vos données de participation. Diivento SAS agit alors comme sous-traitant, traitant ces données uniquement sur instruction documentée de l'Organisateur, conformément à l'article 28 du RGPD.
Concrètement, lorsque vous vous inscrivez en tant que Participant à un événement :
- l'Organisateur de l'événement est le responsable du traitement de vos données ;
- Diivento SAS fournit la plateforme technique et traite vos données pour le compte de cet Organisateur ;
- l'identité de l'Organisateur vous est communiquée au moment de votre inscription, dans l'invitation que vous recevez ou sur la page d'inscription à l'événement.
Pour exercer vos droits sur les données collectées dans ce cadre, vous devez en priorité vous adresser à l'Organisateur de l'événement. Diivento SAS peut faciliter techniquement vos démarches (transmission de votre demande, vérification d'identité, mise à disposition d'outils d'export ou de modification) mais ne décide pas seul de la suite donnée à votre demande.
3. Responsable de traitement et contact
3.1 Responsable de traitement
Diivento SAS — coordonnées complètes en Mentions légales.
3.2 Responsable de la protection des données
Diivento SAS n'a pas désigné de Délégué à la Protection des Données (DPO) au sens de l'article 37 du RGPD, n'étant pas tenue de procéder à une telle désignation. Un point de contact dédié à la protection des données personnelles est néanmoins maintenu, accessible par voie électronique :
Cette adresse est relevée par la Présidence et la Direction Générale de Diivento SAS. Toute demande d'exercice de droits adressée à cette adresse fait l'objet d'un accusé de réception et d'une réponse dans le délai d'un mois prévu à l'article 12 du RGPD.
4. Traitements pour lesquels Diivento SAS est responsable
Pour chaque finalité ci-dessous, sont précisées les catégories de données traitées, la base légale du traitement et la durée de conservation.
4.1 Création et gestion de votre compte sur la plateforme
| Élément | Précisions |
|---|---|
| Catégories de données | Nom, prénom, adresse email, mot de passe (sous forme de hash, jamais en clair), photographie de profil (si renseignée), langue préférée, rôles attribués, statut du compte. |
| Finalité | Création et tenue de votre compte d'accès à la plateforme. |
| Base légale | Exécution du contrat conclu entre vous (ou votre entreprise) et Diivento SAS, ou exécution de mesures précontractuelles (article 6, 1, b) RGPD). |
| Durée de conservation | Pendant toute la durée d'activité du compte, augmentée d'un délai de 3 ans après la dernière connexion en cas d'inactivité, puis suppression ou anonymisation. Cette durée est justifiée par le rythme cyclique des événements professionnels (récurrence souvent annuelle ou bisannuelle) et s'aligne sur la durée retenue par la CNIL pour les données clients dans le cadre de son référentiel « Gestion des activités commerciales ». |
4.2 Authentification et sécurité des sessions
| Élément | Précisions |
|---|---|
| Catégories de données | Identifiants techniques de session, jetons d'authentification, dates de connexion, adresse IP de connexion, type d'agent utilisateur. |
| Finalité | Garantir que la personne qui accède à votre compte est bien vous, prévenir les usages frauduleux, vous déconnecter automatiquement après une période d'inactivité. |
| Base légale | Exécution du contrat (article 6, 1, b) RGPD) et intérêt légitime de Diivento SAS à assurer la sécurité de la plateforme et des comptes utilisateurs (article 6, 1, f) RGPD). |
| Durée de conservation | Sessions actives : 30 jours, renouvelés automatiquement en cas d'usage actif. Jetons d'authentification temporaires (réinitialisation de mot de passe, validation d'email) : 15 minutes. |
4.3 Communications transactionnelles par courrier électronique
| Élément | Précisions |
|---|---|
| Catégories de données | Adresse email du destinataire, contenu du courrier (chiffré dans la file d'attente), métadonnées techniques d'envoi (identifiant de message, statut de livraison, horodatage). |
| Finalité | Envoyer les courriers strictement nécessaires au fonctionnement du service : confirmation d'inscription, validation d'adresse email, réinitialisation de mot de passe, invitation à un événement, notification de génération de badge, etc. |
| Base légale | Exécution du contrat (article 6, 1, b) RGPD) pour les communications nécessaires au service. Aucun courrier de prospection commerciale n'est envoyé sans consentement préalable distinct (article 6, 1, a) RGPD). |
| Durée de conservation | Les contenus chiffrés des courriers sont purgés dès leur envoi effectif. Les métadonnées techniques (statut de livraison) sont conservées 90 jours pour traçabilité, puis supprimées automatiquement. |
4.4 Sécurité, audit et prévention des abus
| Élément | Précisions |
|---|---|
| Catégories de données | Journaux applicatifs, audit des actions sensibles, adresses IP, identifiants des comptes concernés. |
| Finalité | Détecter et prévenir les usages frauduleux ou abusifs de la plateforme, garantir la traçabilité des actions sensibles, répondre aux incidents de sécurité. |
| Base légale | Intérêt légitime de Diivento SAS à protéger la sécurité de la plateforme, des comptes des utilisateurs et des données qu'elle contient (article 6, 1, f) RGPD). |
| Durée de conservation | 1 an pour les journaux applicatifs et de sécurité. Les enregistrements liés à un incident peuvent être conservés plus longtemps si nécessaire à la résolution de l'incident ou à la défense de droits en justice. |
4.5 Gestion comptable et facturation
| Élément | Précisions |
|---|---|
| Catégories de données | Identifiants légaux de votre entreprise (SIRET, SIREN, numéro de TVA), dénomination sociale, adresse postale, coordonnées de contact, factures, échanges contractuels. |
| Finalité | Établir les contrats commerciaux et les factures, satisfaire aux obligations comptables et fiscales applicables aux entreprises françaises. |
| Base légale | Exécution du contrat (article 6, 1, b) RGPD) et obligation légale (article 6, 1, c) RGPD), notamment au titre de l'article L.123-22 du Code de commerce. |
| Durée de conservation | 10 ans à compter de la clôture de l'exercice comptable, conformément à l'article L.123-22 du Code de commerce. |
4.6 Consultation des pages publiques du site
| Élément | Précisions |
|---|---|
| Catégories de données | Adresses IP des visiteurs, en-têtes de requêtes HTTP, données techniques de connexion (transitant par le réseau de diffusion et le pare-feu applicatif). |
| Finalité | Fournir le site aux visiteurs, en garantir la disponibilité et la sécurité, prévenir les attaques applicatives. |
| Base légale | Intérêt légitime de Diivento SAS à fournir un site public fonctionnel et sécurisé (article 6, 1, f) RGPD). |
| Durée de conservation | Les journaux techniques sont conservés pour des durées courtes par les sous-traitants techniques (cf. section 7), généralement de l'ordre de quelques jours. Aucun cookie ou traceur statistique n'est déposé (cf. Politique cookies). |
4.7 Communications de Diivento sur ses actualités et nouveautés
| Élément | Précisions |
|---|---|
| Catégories de données | Adresse email, nom et prénom, langue préférée, statut et historique de votre consentement (texte exact du consentement exprimé, date du consentement, date du retrait le cas échéant, source du consentement). |
| Finalité | Vous informer des actualités, nouveautés, évolutions et nouvelles fonctionnalités du service Diivento, par voie de courrier électronique. |
| Base légale | Consentement explicite (article 6, paragraphe 1, point a) du RGPD), recueilli par une case à cocher dédiée et décochée par défaut au moment de la création de votre compte. Le consentement à recevoir ces communications est entièrement facultatif et ne conditionne pas l'utilisation du service. |
| Fréquence prévisible | Diivento SAS s'engage à un volume d'envois modéré : en moyenne une communication par mois, et jamais plus d'une communication par semaine. |
| Durée de conservation | Tant que vous restez inscrit, et au plus tard jusqu'à la suppression de votre compte. La preuve historique de votre consentement (texte exact, date, source) est conservée à des fins de démonstration de conformité tant que votre compte existe, puis purgée à sa suppression conformément aux durées indiquées en section 6. |
| Retrait du consentement | Vous pouvez retirer votre consentement à tout moment, sans formalité et sans conséquence sur votre utilisation du service, selon trois modalités équivalentes : (i) en modifiant vos préférences depuis les paramètres de votre compte ; (ii) en cliquant sur le lien de désinscription présent dans chaque communication ; (iii) en adressant une demande à dpo@diivento.fr. Le retrait prend effet immédiatement, sans affecter la licéité des envois antérieurs. |
5. Traitements pour lesquels Diivento SAS est sous-traitant
5.1 L'Organisateur de l'événement est votre interlocuteur principal
Lorsque vous vous inscrivez en tant que Participant à un événement, l'Organisateur de cet événement est responsable du traitement de vos données. Son identité vous est communiquée :
- dans l'invitation à l'événement que vous recevez (par email ou par tout autre moyen) ;
- sur la page d'inscription à l'événement ;
- dans le badge ou la confirmation de participation que vous recevez.
Pour toute question, demande d'information ou demande d'exercice de vos droits relative aux données collectées dans ce cadre, vous pouvez vous adresser directement à cet Organisateur.
5.2 Catégories de données traitées par Diivento pour le compte de l'Organisateur
Selon la configuration du parcours d'inscription défini par chaque Organisateur, les données suivantes peuvent être traitées :
- Identité : nom, prénom, adresse email, numéro de téléphone (le cas échéant) ;
- Informations professionnelles : entreprise, fonction, secteur d'activité, identifiants légaux de l'entreprise (SIRET le cas échéant) ;
- Informations de participation : type de participation (visiteur, exposant, collaborateur), jours de présence, programmes auxquels vous êtes inscrit, rôle au sein de l'événement ;
- Informations complémentaires que l'Organisateur peut être amené à demander via un formulaire personnalisé (les champs concernés sont définis par l'Organisateur sous sa propre responsabilité) ;
- Informations relatives à votre badge : identifiant technique du badge, données contenues dans le QR code ;
- Informations issues du scan de votre badge : horodatage des scans, identité du scanneur, commentaires éventuels, dans le cadre du networking professionnel.
5.3 Finalités du traitement (instruites par l'Organisateur)
Diivento SAS traite ces données, sur instruction de l'Organisateur, exclusivement pour les finalités suivantes :
- Inscription à l'événement et gestion de la participation ;
- Génération de votre badge et délivrance par voie électronique ;
- Échange de contacts professionnels entre Participants et Exposants par scan du badge, à l'image d'un échange de cartes de visite dans un cadre professionnel ;
- Inscription aux programmes (conférences, ateliers, etc.) lorsque l'événement en propose ;
- Communications nécessaires au bon déroulement de l'événement (rappels, modifications de programme, etc.) envoyées par Diivento SAS pour le compte de l'Organisateur ;
- Statistiques de fréquentation mises à la disposition de l'Organisateur après l'événement.
5.4 Engagements de Diivento SAS en tant que sous-traitant
Diivento SAS s'engage, conformément à l'article 28 du RGPD :
- à traiter vos données uniquement sur instruction documentée de l'Organisateur ;
- à ne pas utiliser vos données pour ses propres finalités ;
- à appliquer des mesures techniques et organisationnelles appropriées pour assurer la sécurité de vos données (cf. section 10) ;
- à ne pas faire appel à un sous-traitant ultérieur sans autorisation préalable de l'Organisateur ;
- à apporter son assistance à l'Organisateur dans la satisfaction de ses obligations vis-à-vis des Participants ;
- à supprimer ou restituer les données à la fin de la prestation, conformément aux instructions de l'Organisateur.
5.5 Durée de conservation des données de Participants
Sauf instruction contraire de l'Organisateur, et conformément au contrat conclu entre Diivento SAS et chaque Organisateur :
- les données de participation sont conservées pendant 2 ans à compter de la fin de l'événement ;
- à l'issue de ce délai, les données identifiantes (nom, prénom, adresse email, téléphone, identifiants d'entreprise, photographie) font l'objet d'une pseudonymisation : elles sont remplacées par des identifiants techniques non rattachables à la personne, de manière à empêcher toute ré-identification dans le cours normal de l'exploitation ;
- les données pseudonymisées peuvent être conservées plus longtemps à des fins statistiques agrégées par l'Organisateur, sans qu'aucune ré-identification ne soit possible.
L'Organisateur peut, à tout moment, donner instruction à Diivento SAS de procéder plus tôt à la suppression de tout ou partie de ces données, notamment en cas de demande d'effacement formulée par un Participant.
5.6 Exercice de vos droits sur les données de participation
Pour exercer vos droits sur les données traitées dans le cadre d'une participation à un événement :
- adressez-vous en priorité à l'Organisateur de l'événement ;
- si vous ne parvenez pas à identifier l'Organisateur ou si votre demande reste sans réponse de sa part dans un délai raisonnable, vous pouvez écrire à dpo@diivento.fr. Diivento SAS facilitera la transmission de votre demande à l'Organisateur concerné et pourra, dans certains cas, traiter directement votre demande lorsque cela relève de ses propres responsabilités techniques.
6. Synthèse des durées de conservation
| Catégorie de données | Durée de conservation |
|---|---|
| Compte plateforme actif | Durée d'activité du compte |
| Compte plateforme inactif | 3 ans après la dernière connexion, puis suppression ou anonymisation |
| Consentement aux communications de Diivento | Conservé tant que le compte existe, qu'il soit actif ou retiré (preuve de conformité). Purgé à la suppression du compte. |
| Sessions de connexion | 30 jours |
| Jetons d'authentification temporaires | 15 minutes |
| Métadonnées des courriers transactionnels | 90 jours |
| Journaux applicatifs et de sécurité | 1 an |
| Données comptables et fiscales | 10 ans (article L.123-22 Code de commerce) |
| Données de participation à un événement | 2 ans après la fin de l'événement, puis pseudonymisation |
| Cookies et stockage local | Voir Politique cookies |
7. Destinataires et sous-traitants techniques
Vos données ne sont jamais cédées ni vendues à des tiers à des fins commerciales.
7.1 Au sein de Diivento SAS
Vos données sont accessibles aux seuls personnels habilités de Diivento SAS qui en ont besoin pour assurer leurs missions, dans le respect des règles de confidentialité applicables.
7.2 Aux Organisateurs des événements auxquels vous participez
Lorsque vous vous inscrivez à un événement, vos données sont accessibles à l'Organisateur de cet événement, qui en est le responsable du traitement (cf. section 5).
7.3 Aux sous-traitants techniques de Diivento SAS
Diivento SAS fait appel aux sous-traitants techniques suivants, tous établis au sein de l'Union européenne :
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| OVH SAS | Hébergement principal de l'infrastructure (serveurs applicatifs, base de données, stockage objet) | France (Roubaix, Gravelines) |
| Scaleway SAS | Hébergement secondaire (Plan de Reprise d'Activité) et envoi des courriers transactionnels | France (région fr-par) |
| BunnyWay d.o.o. (services bunny.net) | Diffusion accélérée de contenus (CDN), résolution DNS et pare-feu applicatif (WAF) | Slovénie |
Chacun de ces sous-traitants est lié à Diivento SAS par un contrat conforme à l'article 28 du RGPD, encadrant les conditions du traitement, les mesures de sécurité applicables et la confidentialité des données.
Les coordonnées complètes de ces sous-traitants figurent dans les Mentions légales.
8. Transferts de données hors Union européenne
Diivento SAS ne procède à aucun transfert de vos données personnelles vers des pays situés hors de l'Union européenne dans le cadre de l'exploitation courante du service. L'ensemble des sous-traitants techniques cités à la section 7 sont établis et opèrent au sein de l'Espace économique européen.
Si une évolution future du service ou de la chaîne de sous-traitance devait conduire à un transfert hors UE, Diivento SAS s'engage à mettre en œuvre les garanties appropriées prévues par le chapitre V du RGPD (notamment les clauses contractuelles types adoptées par la Commission européenne) et à mettre à jour la présente politique en conséquence.
9. Vos droits
9.1 Droits dont vous disposez
Conformément aux articles 15 à 22 du RGPD et aux articles 48 à 56 de la loi Informatique et Libertés, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès (article 15 RGPD) : obtenir la confirmation qu'un traitement de vos données est mis en œuvre et, le cas échéant, en obtenir une copie.
- Droit de rectification (article 16 RGPD) : faire corriger les données inexactes ou compléter les données incomplètes vous concernant.
- Droit à l'effacement (article 17 RGPD) : faire effacer vos données, dans les cas prévus par le RGPD (notamment si elles ne sont plus nécessaires, si vous retirez votre consentement, ou si vous vous opposez avec succès au traitement).
- Droit à la limitation du traitement (article 18 RGPD) : faire geler temporairement le traitement de vos données dans certaines situations.
- Droit à la portabilité (article 20 RGPD) : récupérer les données que vous nous avez fournies, dans un format structuré, couramment utilisé et lisible par machine.
- Droit d'opposition (article 21 RGPD) : vous opposer à un traitement fondé sur l'intérêt légitime de Diivento SAS, pour des motifs tenant à votre situation particulière.
- Droit de retirer votre consentement à tout moment, lorsque le traitement est fondé sur votre consentement (article 7, paragraphe 3 RGPD), sans que ce retrait n'affecte la licéité des traitements antérieurs.
- Droit de définir des directives relatives au sort de vos données après votre décès (article 85 de la loi Informatique et Libertés).
9.2 Comment exercer vos droits
Pour exercer vos droits sur les traitements pour lesquels Diivento SAS est responsable (cf. section 4), adressez votre demande à dpo@diivento.fr.
Pour exercer vos droits sur les traitements pour lesquels Diivento SAS est sous-traitant (cf. section 5), adressez-vous en priorité à l'Organisateur de l'événement concerné. Diivento SAS peut faciliter la transmission de votre demande si vous le souhaitez.
Afin de garantir la protection de vos données contre toute usurpation d'identité, Diivento SAS pourra vous demander un justificatif d'identité pour traiter votre demande.
9.3 Délai de réponse
Diivento SAS s'engage à répondre à votre demande dans un délai d'un mois à compter de sa réception. Ce délai peut être prolongé de deux mois supplémentaires, si nécessaire en raison de la complexité de la demande ou du nombre de demandes : dans ce cas, vous serez informé de la prolongation et de ses motifs dans le délai initial d'un mois.
9.4 Droit d'introduire une réclamation auprès de la CNIL
Indépendamment des recours auprès de Diivento SAS, vous avez le droit d'introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL) :
- 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
- Site internet : www.cnil.fr
10. Mesures de sécurité
Diivento SAS met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD :
- Chiffrement : les communications entre votre terminal et la plateforme sont chiffrées par TLS. Les variables sensibles incluses dans les courriers en attente d'envoi font l'objet d'un chiffrement par enveloppe (AES-GCM avec gestion de clés dédiées). Les mots de passe ne sont jamais conservés en clair, mais sous forme de hachage cryptographique (Argon2id) résistant aux attaques.
- Contrôle d'accès : un système de permissions à plusieurs niveaux limite l'accès aux données aux seules personnes autorisées. Les sessions sont protégées par des cookies signés cryptographiquement.
- Cloisonnement multi-tenant : les données de chaque Organisateur sont logiquement isolées dans la base de données.
- Sauvegardes : la base de données fait l'objet de sauvegardes régulières et d'une réplication entre plusieurs serveurs, dans le cadre du Plan de Reprise d'Activité.
- Limitation de fréquence (rate-limiting) : les points d'authentification sont protégés contre les tentatives d'intrusion automatisées par des mécanismes de limitation de fréquence des requêtes.
- Journalisation et audit : les actions sensibles font l'objet de journaux d'audit conservés à des fins de traçabilité et de sécurité.
- Formation et sensibilisation : les personnels habilités à accéder aux données reçoivent les consignes nécessaires en matière de protection des données personnelles et de sécurité informatique.
11. Décision automatisée et profilage
Diivento SAS ne met en œuvre aucun traitement de prise de décision entièrement automatisée produisant des effets juridiques ou vous affectant de manière significative au sens de l'article 22 du RGPD. Aucun profilage n'est effectué à partir de vos données.
12. Cookies et traceurs
L'utilisation de cookies et d'autres traceurs par le service Diivento est décrite dans la Politique cookies. En synthèse, le service ne dépose que des cookies strictement nécessaires à son fonctionnement, et n'utilise aucun outil d'analyse d'audience tiers, aucun pixel publicitaire, aucun pixel de suivi dans les courriers électroniques.
13. Modifications de la présente politique
Diivento SAS se réserve la faculté de modifier la présente politique de confidentialité, notamment en cas d'évolution du service, de la chaîne de sous-traitance ou de la réglementation applicable. Toute évolution substantielle (notamment l'introduction d'une nouvelle finalité, d'un nouveau sous-traitant non européen, ou d'un transfert hors UE) sera portée à votre connaissance par tout moyen approprié, en particulier par courrier électronique pour les Utilisateurs disposant d'un compte.
La date de dernière mise à jour figure en tête du présent document. Les versions précédentes peuvent être obtenues sur demande à dpo@diivento.fr.
14. Contact
- Pour toute question relative à la présente politique ou au traitement de vos données par Diivento SAS : dpo@diivento.fr
- Pour exercer vos droits : voir section 9.
- Pour les questions générales sur le service Diivento : contact@diivento.fr