• 45A, rue des Romains I L-5433 Niederdonven I Luxembourg
  • +352 7692311
Support
Login
Contact
Search
Close this search box.

Contrat de sous-traitance de données

Contrat de sous-traitance de données

Contrat de sous-traitance de données

INTRODUCTION 

Le responsable du traitement et le sous-traitant ont conclu un accord-cadre relatif à l’utilisation des solutions EcoMobility Vehicle Intelligence, des solutions EcoMobility Route et/ou des services EcoMobility Education, selon le cas (ci-après dénommés « Services » et « Contrat Principal de Services »).

Le responsable du traitement charge le sous-traitant de traiter des données à caractère personnel pour le compte du responsable du traitement dans le cadre de la fourniture de Services conformément au Contrat Principal de Services.

Le responsable du traitement a décidé de nommer le sous-traitant pour la fourniture des Services et a déterminé les finalités et les moyens essentiels du traitement des données que le sous-traitant effectue pour le compte du responsable du traitement.

Les parties ont décidé de conclure le présent contrat afin de définir leurs droits et obligations respectifs en lien avec le traitement de données à caractère personnel par le sous-traitant conformément à l’article 28 du Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après le « RGPD »).

  

ARTICLE 1 – OBJET DU CONTRAT ET DÉFINITIONS 

1.1 Le présent contrat définit les droits et obligations des parties en lien avec le traitement de données à caractère personnel effectué par le sous-traitant pour le compte du responsable du traitement.

1.2 Sauf disposition contraire expresse ou sauf si le contexte exige une interprétation différente, les termes utilisés dans le présent contrat ont la signification qui leur a été attribuée dans le RGPD.

 

ARTICLE 2 – DESCRIPTION DU TRAITEMENT DES DONNÉES EFFECTUÉ PAR LE SOUS-TRAITANT

2.1 Le sous-traitant est chargé par le responsable du traitement de traiter des données à caractère personnel dans le cadre des Services fournis par le sous-traitant conformément au Contrat Principal de Services.

Les catégories de données à caractère personnel et de personnes concernées par le traitement de ces données sont précisées en Annexe 1.

2.2 Le sous-traitant traitera les données à caractère personnel uniquement sur instructions du responsable du traitement. Les instructions sont fournies dans le cadre de la relation contractuelle entre les parties.

2.3 Le responsable du traitement confirmera par écrit toutes les instructions données au sous-traitant en lien avec le traitement de données à caractère personnel, y compris via le bon de commande des Services et les paramètres de la solution ou du système concerné, et documentera les dites instructions.

2.4 Le sous-traitant traitera les données à caractère personnel uniquement selon les instructions du responsable du traitement dans le cadre de la fourniture des Services. En tout état de cause, le sous-traitant ne traitera aucune donnée à caractère personnel à des fins autres que la fourniture des Services au responsable du traitement et le respect de ses obligations légales.

 

ARTICLE 3 – OBLIGATIONS DES PARTIES  

3.1 Le responsable du traitement a défini la/les finalité(s) du traitement des données avant d’engager les Services du sous-traitant. La nature du traitement des données et la/les finalité(s) du traitement des données sont décrites en Annexe 1.

3.2 Le responsable du traitement a également défini les moyens essentiels du traitement des données, y compris les données à caractère personnel à collecter en déterminant les véhicules à tracer, l’identité des personnes autorisées à accéder aux données à caractère personnel dans l’outil et les droits d’accès de tels utilisateurs, ainsi que la période de conservation des données à caractère personnel. Le responsable du traitement a instruit le sous-traitant de ces aspects au moment de la conclusion du Contrat Principal de Services avec le sous-traitant. Les moyens essentiels du traitement des données sont définis par le responsable du traitement et peuvent être modifiés à tout moment par ce dernier en adressant une demande écrite au sous-traitant ou en modifiant les paramètres dans la solution ou le système concerné.

3.3 Concernant la/les finalité(s) du traitement des données, le responsable du traitement déclare et garantit qu’il n’utilisera ni ne traitera, ni ne demandera au sous-traitant de traiter les données à caractère personnel d’une manière qui constituerait une violation des règles définies dans le RGPD ou toute autre loi applicable.

3.4 Le sous-traitant fera, dans toute la mesure raisonnable, de son mieux pour informer si possible le responsable du traitement au cas où les instructions de ce dernier pourraient être considérées comme constituant une violation des dispositions du RGPD, en tenant compte, notamment, des informations fournies par le responsable du traitement. Si le sous-traitant considère les instructions du responsable du traitement comme illicites, il est autorisé à suspendre l’exécution desdites instructions jusqu’à ce que leur licéité ait été vérifiée et confirmée par écrit par le responsable du traitement et, à la demande du sous-traitant, par le conseiller juridique externe du responsable du traitement. Le responsable du traitement reste responsable, dans tous les cas, de vérifier et d’assurer la légalité du traitement de données personnelles.

3.5 Compte tenu de l’état des connaissances, des coûts de mise en oeuvre, de la nature et des risques du traitement des données à caractère personnel, ainsi que des normes sectorielles appropriées, le sous-traitant fera tout ce qui est raisonnablement en son pouvoir pour mettre en oeuvre les mesures techniques et organisationnelles appropriées afin de sauvegarder la protection des données à caractère personnel ainsi que leur traitement. Les parties acceptent la mise en oeuvre par le sous-traitant des mesures techniques et organisationnelles définies en Annexe 2.

3.6 Si le traitement des données à caractère personnel lié aux Services présente un risque spécifique important dû par exemple à la valeur élevée des marchandises transportées par les véhicules tracés par géolocalisation, le responsable du traitement s’engage à en informer le sous-traitant expressément par écrit. Une telle information doit être signalée en temps utile par le responsable du traitement avant le début du traitement des données à caractère personnel. Dans de tels cas, le responsable du traitement limitera les droits d’accès des utilisateurs à la solution ou au système selon le strict principe de la « nécessité de savoir » et pourra demander au sous-traitant de mettre également en place des restrictions d’accès internes plus élevées en limitant les droits d’accès à certains employés.

3.7 Lors de l’exécution du présent contrat, le responsable du traitement pourra demander au sous-traitant de lui soumettre une offre pour la mise en oeuvre de mesures techniques ou organisationnelles supplémentaires. Dans ce cas, le sous-traitant informera le responsable du traitement, à sa discrétion, de la faisabilité de ces mesures supplémentaires d’un point de vue technique et organisationnel et, s’il considère que de telles mesures sont possibles, le sous-traitant informera le responsable du traitement des coûts engendrés par la mise en oeuvre de ces mesures. Si le responsable du traitement accepte l’offre, le sous-traitant mettra en oeuvre les mesures supplémentaires aux conditions convenues par les parties.

3.8 Afin de sauvegarder la protection des données à caractère personnel et leur traitement du mieux qu’il le pourra compte tenu des progrès techniques et de l’état des connaissances développées dans l’industrie du sous-traitant, ce dernier pourra décider, à sa discrétion et conformément à l’article 12.2 du présent contrat, d’adapter et de modifier l’Annexe 2 afin de mettre en oeuvre les mesures techniques ou organisationnelles supplémentaires lors de l’application du présent contrat, ou de modifier les mesures techniques et organisationnelles mises en oeuvre à la date d’entrée en vigueur du présent contrat ou à un stade ultérieur. Dans ce cas, le sous-traitant maintiendra la protection des données à caractère personnel et leur traitement à un niveau approprié. Les changements significatifs apportés aux mesures techniques et organisationnelles mises en oeuvre par le sous-traitant devront être documentés et communiqués au responsable du traitement conformément à l’article 12.2 du présent contrat.

3.9 Le sous-traitant contrôlera régulièrement l’adéquation du niveau de protection des mesures techniques et organisationnelles.

3.10 Le sous-traitant s’engage à ne pas traiter de données à caractère personnel relatives au responsable du traitement à des fins autres que la fourniture des Services au responsable du traitement, conformément aux instructions de ce dernier, sauf si le sous-traitant y est obligé par la loi ou dans le cadre d’un litige potentiel concernant, par exemple, la fourniture des Services au responsable du traitement.

 

ARTICLE 4 – DROITS DES PERSONNES CONCERNÉES  

4.1 Le responsable du traitement informera les personnes concernées des détails du traitement des données et se conformera à toute autre demande légitime émanant des personnes concernées au sujet de leurs droits, en conformité avec le RGPD.

4.2 Si une personne concernée adresse une demande au sous-traitant afin d’exercer ses droits, ce dernier transmettra ladite demande au responsable du traitement dans un délai raisonnable n’excédant pas sept (7) jours ouvrés.

 

ARTICLE 5 – VIOLATION DE DONNÉES À CARACTÈRE PERSONNEL

5.1 Le sous-traitant notifiera au responsable du traitement toute violation de données à caractère personnel telle que définie dans le RGPD, dès qu’il en a connaissance.

5.2 En cas de notification d’une violation de données à caractère personnel au responsable du traitement, le sous-traitant fournira les informations suivantes :

  • description de la nature de la violation des données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
  • description des conséquences probables de la violation de données à caractère personnel ;
  • description des mesures prises ou proposées pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives ;
    o coordonnées du délégué à la protection des données ou de toute autre personne à contacter pouvant fournir toute information supplémentaire requise.

Si et dans la mesure où les informations ne peuvent pas être fournies en même temps, le sous-traitant les fournira sans retard injustifié et au plus tard 24 heures après avoir pris connaissance de la violation.

5.3 Le responsable du traitement notifiera dans les plus brefs délais la violation de données à caractère personnel à l’autorité de contrôle compétente en matière de protection des données et, le cas échéant, aux personnes concernées par la violation si une telle notification est requise en vertu du RGPD ou de toute autre législation applicable. Le responsable du traitement informera le sous-traitant avant d’effectuer une telle notification. Le responsable du traitement tiendra compte, dans toute la mesure du possible, des observations présentées par le sous-traitant en ce qui concerne le projet de notification de violation de données à caractère personnel proposé.

5.4 À la demande et sur instruction écrite du responsable du traitement, le sous-traitant acceptera de se charger, au nom et pour le compte du responsable de traitement, d’effectuer la notification de violation de données à caractère personnel à l’autorité de contrôle compétente en matière de protection des données, ainsi qu’aux personnes concernées par la violation, selon le cas. Les rôles et responsabilités du délégué à la protection des données (DPO), des équipes informatiques, juridiques et de communication dans le cadre de la réaction à la violation sont définis dans le plan interne de réaction à la violation des données mis en place par le responsable du traitement.

 

ARTICLE 6 – ASSISTANCE ET AUDIT  

6.1 Le sous-traitant fera tout ce qui est raisonnablement en son pouvoir pour aider le responsable du traitement à respecter ses obligations en ce qui concerne les analyses d’impact relatives à la protection des données requises en vertu du RGPD et tout processus de consultation préalable de l’autorité de contrôle compétente en matière de protection des données qui y est lié.

6.2 Le sous-traitant fournira au responsable du traitement toutes les informations et tous les documents raisonnablement requis prouvant le respect des obligations auxquelles il est soumis en vertu du présent contrat et du RGPD. Il s’agit notamment de tenir un registre des violations pour toutes les violations de données à caractère personnel, qu’elles aient été ou non signalées à l’autorité de contrôle. Les enregistrements doivent être conservés pendant au moins cinq (5) ans. Dans ce contexte et afin de confirmer la conformité avec le présent contrat, le responsable du traitement pourra effectuer un audit sur le traitement des données réalisé par le sous-traitant pour le compte du responsable du traitement.

Le responsable du traitement et le sous-traitant conviendront par écrit les conditions raisonnables qui régiront la réalisation d’un tel audit. En tout état de cause, tout audit devra respecter les exigences raisonnables du sous-traitant, notamment en termes de sécurité, de confidentialité, mais aussi de protection des droits de propriété intellectuelle et des secrets professionnels. En particulier, si l’audit est effectué par un tiers pour le compte du responsable du traitement, ledit tiers ne doit pas être un concurrent du sous-traitant et doit signer un contrat de confidentialité et de non-divulgation, sans préjudice d’autres conditions qui pourraient raisonnablement être imposées par le sous-traitant.

Un audit ne doit pas indûment entraver le fonctionnement normal des activités du sous-traitant. Le responsable du traitement notifiera en principe par écrit, au moins deux semaines à l’avance, sa demande d’audit.

Les résultats de l’audit seront évalués et discutés par les parties. Selon le cas, les mesures supplémentaires qui en découlent, convenues par les parties, seront mises en oeuvre par la partie concernée le plus tôt possible.

6.3 Dans la mesure nécessaire et si le responsable du traitement n’a pas directement accès à l’information concernée, le sous-traitant fera tout ce qui est raisonnablement possible pour aider le responsable du traitement à respecter son obligation de donner suite aux demandes légitimes des personnes concernées à l’égard de leurs droits en vertu du RGPD.

6.4 Les coûts de l’audit et de tout autre service fourni par le sous-traitant afin d’assister le responsable du traitement seront assumés par ce dernier.

6.5 Dans la mesure permise par la loi, le responsable du traitement informera immédiatement le sous-traitant de tous audits, inspections ou autres mesures prises par l’autorité de contrôle de la protection des données ou par toute autre autorité compétente en relation avec le traitement de données à caractère personnel dans le cadre du présent contrat. Cette notification sera fournie gratuitement et contiendra les éléments essentiels décrivant l’objet de l’action de l’autorité compétente. Les parties coopéreront de bonne foi pour répondre à ces enquêtes.

 

ARTICLE 7 – TRANFERTS DE DONNÉES À CARACTÈRE PERSONNEL HORS DE L’UE

7.1 Sofern vom Verantwortlichen nicht ausdrücklich schriftlich dazu angewiesen oder sofern nicht gesetzlich erforderlich, wird der Auftragsverarbeiter keine personenbezogenen Daten außerhalb der Europäischen Union (nachfolgend „EU“ genannt) übermitteln.

7.2 Wenn der Verantwortliche den Auftragsverarbeiter anweist, personenbezogene Daten außerhalb der EU zu übermitteln, muss er dem Auftragsverarbeiter schriftlich bestätigen, dass diese Übermittlung, die in der DSGVO festgelegten Beschränkungen einhält, und die relevanten Informationen und Dokumente mit Bezug auf die Rechtmäßigkeit dieser Übermittlung personenbezogener Daten außerhalb der EU beifügen, bevor die Übermittlung erfolgt.

7.3 Wenn der Auftragsverarbeiter kraft Gesetzes personenbezogene Daten außerhalb der EU übermitteln muss, wird er sich bemühen, den Verantwortlichen vor einer solchen Übermittlung entsprechend zu informieren, es sei denn, dies ist gesetzlich verboten.

 

ARTICLE 8 – REPRÉSENTATION ET GARANTIES, RESPONSABILITÉ  

8.1 Dans le cadre de leur relation contractuelle, les parties déclarent et garantissent qu’elles s’engagent à respecter leurs obligations respectives définies dans le RGPD.

8.2 Le sous-traitant aura pour seule responsabilité de faire tout son possible pour traiter les données à caractère personnel conformément au présent contrat. En particulier, le sous-traitant ne peut garantir l’efficacité des mesures de sécurité techniques et organisationnelles en toutes circonstances. Cependant, le sous-traitant fera tout son possible pour s’assurer que le niveau de protection des données à caractère personnel et de leur traitement est approprié conformément à l’article 3 du présent contrat.

8.3 Le responsable du traitement a la responsabilité de s’assurer que le traitement des données qu’il confie au sous-traitant est légal et que sa/ses finalité(s) est/sont légitime(s) et proportionnée(s). Le responsable du traitement déclare et garantit également que le traitement des données prévu dans le présent contrat est légal, ne contrevient à aucune loi applicable et ne constitue aucune violation de droits de tiers (tels que, sans limitation, les droits de propriété intellectuelle). En particulier, tout transfert de données à caractère personnel hors de l’UE effectué sur instruction du responsable du traitement conformément aux articles 7.1 et 7.2 du présent contrat sont de la responsabilité exclusive du responsable du traitement. En outre, le sous-traitant n’est pas responsable du traitement de données à caractère personnel effectué par le responsable du traitement lui-même ou par des tiers agissant sur instruction du responsable du traitement.

 

ARTICLE 9 – SOUS-TRAITANCE 

9.1 Le responsable du traitement autorise par la présente, d’une manière générale, le sous-traitant à engager des sous-traitants ultérieurs pour des opérations spécifiques de traitement de données (ci-après le(s) « sous-traitant(s) ultérieur(s) »). Un accord spécifique préalable du responsable du traitement n’est pas nécessaire.

9.2 En cas d’engagement d’un sous-traitant ultérieur, les dispositions suivantes s’appliquent : Le sous-traitant informera le responsable du traitement par écrit au moins trente (30) jours avant la nomination ou le remplacement prévu d’un sous-traitant ultérieur. Cette notification préalable doit comporter une description de la nature des activités de traitement concernées et la désignation du sous-traitant ultérieur. Le responsable du traitement peut, dans un délai de quinze (15) jours à compter de la notification préalable et pour des motifs légitimes liés à la protection des données, s’opposer à la nomination.

9.3 Le sous-traitant s’engage à imposer à tout sous-traitant ultérieur, sous forme d’accord écrit contractuellement contraignant entre les parties, des obligations relatives à la protection des données, sensiblement identiques à celles fixées dans le présent contrat entre le responsable du traitement et le sous-traitant. Le sous-traitant s’engage notamment à imposer au sous-traitant ultérieur l’obligation d’appliquer des mesures techniques et organisationnelles appropriées sensiblement identiques à celles définies dans l’annexe 2, en tenant compte, le cas échéant, des opérations spécifiques de traitement de données effectuées par le sous-traitant ultérieur.

9.4 Le responsable du traitement est informé que les sous-traitants ultérieurs énumérés dans l’annexe 3 traitent des données à caractère personnel dans le cadre de la fourniture des Services.

9.5 Les parties conviennent que le terme « sous-traitant(s) ultérieur(s) » désigne uniquement les prestataires de services fournissant des services de traitement de données en qualité de sous-traitants. Ils conviennent également que ce terme ne s’applique pas à tous les prestataires de services fournissant des services accessoires en qualité de responsables du traitement et auxquels le sous-traitant peut avoir recours dans le cadre de la fourniture des Services en vertu du Contrat Principal de Services, tels que, sans limitation, les services de télécommunication, les services postaux, les services de maintenance, etc.

9.6 Le sous-traitant fournit au responsable du traitement, à la demande de ce dernier, une copie d’un tel accord de sous-traitance et de ses éventuelles modifications ultérieures. Dans la mesure où cela est nécessaire pour protéger des secrets commerciaux ou d’autres informations confidentielles, y compris des données à caractère personnel, le sous-traitant peut masquer le texte de l’accord avant d’en fournir une copie.

9.7 Le sous-traitant est entièrement responsable envers le responsable du traitement du respect par le sous-traitant ultérieur de ses obligations conformément au contrat conclu avec le sous-traitant ultérieur. Le sous-traitant informera le responsable du traitement si le sous-traitant ultérieur ne remplit pas ses obligations contractuelles.

 

ARTICLE 10 – CONFIDENTIALITÉ  

10.1 Le sous-traitant confirme que l’ensemble du personnel traitant des données à caractère personnel est soumis à une obligation de confidentialité et est informé des principes du RGPD en matière de protection des données. Le sous-traitant veille également à ce que tous les employés reçoivent une formation annuelle sur la protection des données et les procédures d’intervention en cas de violation, conformément au plan d’intervention en cas de violation des données du responsable du traitement.

10.2 Les parties s’engagent à respecter la confidentialité du contenu du présent contrat. Chacune des parties limitera la divulgation du contenu du présent contrat, au sein de sa propre organisation, à ses directeurs, dirigeants et/ou employés selon le principe de la « nécessité de savoir » et ne divulguera pas le présent contrat à des tiers (qu’il s’agisse d’individus, de sociétés ou de toute autre entité) sans l’accord écrit préalable de l’autre partie. Les parties pourront divulguer le présent contrat à l’autorité publique compétente si cela est requis par la loi ou en cas de litige. Le responsable du traitement reconnaît l’importance, pour les activités du sous-traitant, du respect de la confidentialité des informations contenues dans le présent contrat, notamment dans les annexes 2 et 3, et s’engage à mettre en oeuvre les mesures appropriées afin d’assurer leur confidentialité. L’obligation de confidentialité des parties subsistera après la fin du présent contrat.

 

ARTICLE 11 – DURÉE ET RÉSILIATION  

11.1 Le présent contrat est conclu pour la durée du Contrat Principal de Services. En l’absence de durée définie, le contrat restera en vigueur pour la durée de la relation entre les parties.

11.2 Si le sous-traitant ne respecte pas ses obligations en vertu du présent accord, le responsable du traitement peut – sans préjudice des dispositions du RGPD – ordonner au sous-traitant de suspendre le traitement des données à caractère personnel jusqu’à ce qu’il se conforme au présent accord. Le sous-traitant informe le responsable du traitement sans délai si, pour quelque raison que ce soit, il n’est pas en mesure de respecter le présent accord.
11.3 Le Responsable du traitement a le droit de résilier le contrat dans la mesure où il concerne le traitement de données à caractère personnel conformément au présent accord, si :

  • le Responsable du traitement a suspendu le traitement des données à caractère personnel par le sous-traitant conformément à l’article 11.2 et que le respect du présent accord n’a pas été rétabli dans un délai raisonnable, et en tout cas dans les 3 mois suivant la suspension,
  • le sous-traitant enfreint le présent accord de manière significative ou persistante ou ne respecte pas ses obligations en vertu du RGPD,
  • le sous-traitant ne se conforme pas à une décision contraignante d’un tribunal compétent ou de l’autorité ou des autorités de contrôle compétentes concernant ses obligations en vertu du présent accord, du RGPD.

11.4 Le sous-traitant a le droit de résilier le contrat dans la mesure où il concerne le traitement de données à caractère personnel conformément au présent contrat si le responsable du traitement insiste pour que ses instructions soient respectées après avoir été informé par le sous-traitant que ses instructions sont contraires aux exigences légales applicables.

11.5 Après la fin de la fourniture des services relatifs au traitement des données à caractère personnel, les parties conviennent que le sous-traitant devra en principe supprimer le plus tôt possible, les données à caractère personnel traitées pour le compte du responsable du traitement. À titre d’alternative, en cas d’accord écrit séparé entre les parties, le responsable du traitement pourra demander une copie des données à caractère personnel traitées pour son propre compte, contre paiement des frais indiqués par le sous-traitant pour la fourniture de ce service.

En tout état de cause, le sous-traitant sera autorisé à conserver une copie des données à caractère personnel aussi longtemps que nécessaire à des fins probatoires ou à des fins de conservation légale de documents ou d’informations.

 

ARTICLE 12 – DIVERS  

12.1 Le présent contrat, annexes comprises, remplace tous les contrats et conventions précédents, conclus oralement ou par écrit entre les parties, relatifs à l’objet des présentes, et constitue le seul et unique contrat entre les parties relatif audit objet. Les dispositions des conditions générales du sous-traitant en matière de protection et de stockage des données sont notamment caduques et doivent être remplacées par les dispositions du présent contrat et de ses annexes.

12.2 Le présent contrat ne peut être modifié que par un document écrit se référant expressément au présent contrat. Le sous-traitant est autorisé à modifier le présent contrat en remettant au responsable du traitement une notification écrite préalable dans un délai de trente (30) jours. Les annexes 2 et 3 du présent contrat peuvent notamment être modifiées à tout moment par le sous-traitant à sa discrétion sur remise d’une notification écrite préalable dans un délai de trente (30) jours, en respectant également les conditions suivantes :

  • l’annexe 2 ne doit pas être modifiée d’une manière qui pourrait affecter sensiblement et sciemment le niveau de protection de données personnelles garanti par les mesures techniques et organisationnelles mises en place conformément à ladite annexe 2 à la date d’entrée en vigueur du présent contrat ;
  • l’annexe 3 peut être modifiée conformément à l’article 9.2 du présent contrat.

 

12.3 Chacune des parties est tenue de transmettre toutes les notifications et communications à l’autre partie par écrit.

12.4 La validité, l’interprétation et l’exécution du présent contrat sont soumises au droit norvégien, sans donner effet aux principes en matière de conflits de lois susceptibles d’entraîner l’application du droit substantiel d’une autre juridiction.

12.5 Toute action, poursuite ou plainte découlant du ou relative au présent contrat, de quelque nature qu’elle soit, devra être portée devant les tribunaux compétents de Norvège. 

ANNEXE 1 – NATURE ET FINALITÉ DU TRAITEMENT DES DONNÉES

 CATÉGORIES DE DONNÉES À CARACTÈRE PERSONNEL ET DE PERSONNES CONCERNÉES

Mode du traitement des données pour les clients de Vehicle Intelligence :

Mise à disposition des solutions Vehicle Intelligence pour

  • Géolocalisation de véhicules et d’objets comme machines de chantier, conteneurs, matériel de chantier y compris les données à caractère personnel y étant relatives.
  • Gestion des utilisateurs autorisés des solutions Vehicle Intelligence.

 

Le responsable du traitement est obligé de définir par écrit la ou les finalités de son traitement de données dans la fiche d’enregistrement des données client.

Catégories des données à caractère personnel :
  • Immatriculation des véhicules
  • Numéro de carte SIM pour la transmission des données de géolocalisation
  • Données de localisation standard comme la position du véhicule (date, heure, longitude, latitude, vitesse, direction) et informations de statut (comme route/stop, allumage allumé/éteint, mode de travail /privé)
  • Données de géolocalisation supplémentaires pour les demandes spéciales des clients, comme les données techniques des véhicules, la température du chargement, la touche SOS appuyée, les informations des conducteurs
  • Données résultant des données de géolocalisation standard et supplémentaires, comme le trajet effectué, la distance parcourue, la vitesse moyenne, le nombre et la durée des stops, le début et la fin de l’utilisation du véhicule, le carburant consommé
  • Adresses e-mail, numéros de téléphone des personnes qui seront alertées en cas d’alarme par e-mail, SMS ou appel téléphonique

Les données concernant le dépassement des limites de vitesse ne sont pas traitées par le sous-traitant.

Données des utilisateurs des solutions Vehicle Intelligence : nom, adresse e-mail, numéro de téléphone.

Catégories des personnes concernées :

EcoMobility traite les données relatives aux plaques d’immatriculation des véhicules.

Les clients peuvent, si nécessaire dans le cadre de la gestion de leur flotte de véhicules et de leurs services, saisir le cas échéant les noms des conducteurs directement dans les solutions Vehicle Intelligence. EcoMobility traite les données des utilisateurs autorisés, tels qu’indiqués par le responsable du traitement.

Durée du traitement des données :

Le client d’EcoMobility peut indiquer la durée du traitement des données dans la fiche d’enregistrement des données client. La durée peut être adaptée à tout moment par le responsable du traitement dans la configuration/les paramètres de la solution ou sur demande.

Mode du traitement des données pour les clients d’EcoMobility Route :
  • Informations sur les circuits fournis par le client, telles que les lieux parcourus, les heures d’arrivée, le conducteur et le véhicule des circuits, des informations complémentaires, des informations sur le client, des informations sur la facture, le département, le statut du circuit.
  • Informations sur les chauffeurs, telles que les données de connexion, l’adresse électronique, le numéro de téléphone, la date de naissance, le numéro de sécurité sociale, la photo, la date d’embauche, l’indication de maladie §56, le département, les informations linguistiques, les informations sur les documents de contrôle (tels que le permis de conduire, le permis pour enfants, la carte de conducteur Tacho), les informations Tacho, l’enregistrement des heures de travail.
  • Informations sur les véhicules : numéro de téléphone, état de nettoyage, informations sur le traceur GPS, nombre de passagers, compteur kilométrique, type de véhicule, fichiers attachés au véhicule, informations sur l’entretien, pièces de rechange utilisées.
  • Des informations sur les clients, telles que le nom, les conditions de paiement, le type de paiement et les dates d’échéance.
  • Les données d’un client, telles que son nom, son adresse, la géolocalisation de son adresse, son numéro de téléphone, son adresse électronique, sa date de naissance, le destinataire de la facture pour un circuit, l’institution responsable, tout autre besoin supplémentaire.

ANNEXE 2 – MESURES TECHNIQUES ET ORGANISATIONNELLES

(cf. articles 28 et 32 du RGPD)

 

SECURITÉ ET VÈRICATION RÉGULIÈRE

Concept de sécurité

(Art.32 RGPD) et

Mesures de contrôle

Mesures :

  • Enregistrement des activités du traitement
  • Vérification régulière et rapport des risques et points faibles identifiés récemment
  • Documentation de la suppression de matériel informatique IT et de données personnelles
  • Accords contractuels adaptés et conformes entre le sous-traitant et le sous-traitant des données
  • Nomination d’un mandataire du traitement des données
  • Formation du personnel à la protection et la sécurité des données

CONFIDENTIALITÉ

Contrôle des entrées

Mesures :

  • Datacenter (Tier IV / ISAE 3402)
  • Système de contrôle d’accès
  • Portes et fenêtres de sécurité
  • Mesures spécifiques de protection pour la pièce du serveur
  • Personnel de sécurité (portier)
  • Système d’alarme
  • Surveillance vidéo
  • Domaines protégés

Contrôle des accès

Mesures :

  • Directives de code d’accès (comprennent les règles concernant la puissance et le renouvellement du code d’accès)
  • Enregistrements supplémentaires/séparés pour des utilisations spéciales (WinFleet®, Management)
  • Fermeture à court terme automatique des systèmes
  • Mises à jour continues du logiciel / patches
  • Contrôle d’accès à distance pour l’utilisation d’appareils mobiles (VPN, filtre IP)

Contrôle d’accès aux données

ou

Contrôle interne de l’utilisateur

 

 

Mesures :

  • Droits d’accès différenciés
  • Identification du code d’accès
  • Gérance et documentation des droits d’accès
  • Vérification régulière et mise à jour des droits d’accès (tous les six mois)
  • Protocole des accès aux systèmes, documents et données personnelles
  • Inventaire de l’équipement IT
  • Devoir de confidentialité contractuel de tout le personnel et de tous les prestataires de service externes

Contrôle de séparation

 

Mesures :

  • Systèmes séparés
  • Banques de données séparées
  • Réseaux séparés
  • Concept de droits et rôles

Utilisation de pseudonymes

Mesures :

  • Le client est seul responsable de l’utilisation de pseudonymes

 

INTÉGRITÉ

Contrôle de transport

 

 

Mesures :

  • Liaisons de transmission des données à distance tunnélisées
  • Cryptage SSL /TLS
  • Wifi sécurisé
  • Wifi invité séparé
  • Suppression sûre et complète des données à caractère personnel

Entrée des données

et

Contrôle du traitement des données

Mesures :

  • Droits d’accès différenciés
  • Protocole du système
  • Protocole des modifications de la banque de données
  • Logiciel de sécurité et de protocole

DISPONIBILITÉ ET RÉSILENCE

Contrôle de disponibilité

 

 

Mesures :

  • Méthodes de copies de sauvegarde
  • Protection antivirus et programme malveillant
  • Lieu sûr de dépôt des copies de sauvegarde
  • Systèmes redondants (serveur, support d’informations, réseau, liaison internet, …)
  • Utilisation de systèmes pare-feu et d’intrusion-détection
  • Protection contre le feu
  • Systèmes d’alarme

Incidents de sécurité

et

infractions à la protection des données

Mesures :

  • Procédure de rapport d’infractions à la protection des données, y compris l’escalade dans les 0 – 6 heures, le confinement dans les 12 heures et la décision de notifier dans les 24 heures, conformément au plan interne d’intervention en cas de violation des données. Formation annuelle des employés et exercices de sécurité réguliers pour renforcer la sensibilisation et tester l’efficacité de la réponse aux violations. 

Récupération d’urgence

Mesures :

  • Concept de sauvegarde et de récupération avec copie de sauvegarde journalière
  • Séparation du système productif et de test 

 


  

Secteur

Solutions

Ressources

Contact et Service

EcoMobility S. à r.l.

Facebook-square Linkedin Youtube-square
Copyright 2024 © All Rights Reserved Design By EcoMobility