Search
Close this search box.

Contrat de sous-traitance de données

Contrat de sous-traitance de données

 

INTRODUCTION 

Le responsable du traitement et le sous-traitant ont conclu un accord-cadre relatif à l’utilisation du système WinFleet® pour les services de géolocalisation de véhicules et, le cas échéant, des applications de gestion WinFleet® supplémentaires commandées par le Client, pour le compte du Responsable du traitement, client d’EcoMobility (ci-après dénommés « Services » et « Contrat Principal de Services »).

Le responsable du traitement charge le sous-traitant de traiter des données à caractère personnel pour le compte du responsable du traitement dans le cadre de la fourniture de Services conformément au Contrat Principal de Services.

Le responsable du traitement a décidé de nommer le sous-traitant pour la fourniture des Services et a déterminé les finalités et les moyens essentiels du traitement des données que le sous-traitant effectue pour le compte du responsable du traitement.

Les parties ont décidé de conclure le présent contrat afin de définir leurs droits et obligations respectifs en lien avec le traitement de données à caractère personnel par le sous-traitant conformément à l’article 28 du Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après le « RGPD »).

 

 

ARTICLE 1 – OBJET DU CONTRAT ET DÉFINITIONS 

1.1 Le présent contrat définit les droits et obligations des parties en lien avec le traitement de données à caractère personnel effectué par le sous-traitant pour le compte du responsable du traitement.

1.2 Sauf disposition contraire expresse ou sauf si le contexte exige une interprétation différente, les termes utilisés dans le présent contrat ont la signification qui leur a été attribuée dans le RGPD.

 

ARTICLE 2 – DESCRIPTION DU TRAITEMENT DES DONNÉES EFFECTUÉ PAR LE SOUS-TRAITANT

2.1 Le sous-traitant est chargé par le responsable du traitement de traiter des données à caractère personnel dans le cadre des Services fournis par le sous-traitant conformément au Contrat Principal de Services.

Les catégories de données à caractère personnel et de personnes concernées par le traitement de ces données sont précisées en Annexe 1.

2.2 Le sous-traitant traitera les données à caractère personnel uniquement sur instructions du responsable du traitement. Les instructions sont fournies dans le cadre de la relation contractuelle entre les parties.

2.3 Le responsable du traitement confirmera par écrit toutes les instructions données au sous-traitant en lien avec le traitement de données à caractère personnel, y compris via le bon de commande des Services et les paramètres de l’outil WinFleet®, et documentera lesdites instructions.

2.4 Le sous-traitant traitera les données à caractère personnel uniquement selon les instructions du responsable du traitement dans le cadre de la fourniture des Services. En tout état de cause, le sous-traitant ne traitera aucune donnée à des fins autres que la fourniture des Services au responsable du traitement et le respect de ses obligations légales.

 

ARTICLE 3 – OBLIGATIONS DES PARTIES  

3.1 Le responsable du traitement a défini la/les finalité(s) du traitement des données avant d’engager les Services du sous-traitant. La nature du traitement des données et la/les finalité(s) du traitement des données sont décrites en Annexe 1.

3.2 Le responsable du traitement a également défini les moyens essentiels du traitement des données, y compris les données à caractère personnel à collecter en déterminant les véhicules à tracer, l’identité des personnes autorisées à accéder aux données à caractère personnel dans l’outil WinFleet® et les droits d’accès de tels utilisateurs, ainsi que la période de conservation des données à caractère personnel. Le responsable du traitement a instruit le sous-traitant de ces aspects au moment de la conclusion du Contrat Principal de Services avec le sous-traitant. Les moyens essentiels du traitement des données sont définis par le responsable du traitement et peuvent être modifiés à tout moment par ce dernier en adressant une demande écrite au sous-traitant ou en modifiant les paramètres dans l’outil WinFleet®.

3.3 Concernant la/les finalité(s) du traitement des données, le responsable du traitement déclare et garantit qu’il n’utilisera ni ne traitera, ni ne demandera au sous-traitant de traiter les données à caractère personnel d’une manière qui constituerait une violation des règles définies dans le RGPD ou toute autre loi applicable.

3.4 Le sous-traitant fera, dans toute la mesure raisonnable, de son mieux pour informer si possible le responsable du traitement au cas où les instructions de ce dernier pourraient être considérées comme constituant une violation des dispositions du RGPD, en tenant compte, notamment, des informations fournies par le responsable du traitement. Si le sous-traitant considère les instructions du responsable du traitement comme illicites, il est autorisé à suspendre l’exécution desdites instructions jusqu’à ce que leur licéité ait été vérifiée et confirmée par écrit par le responsable du traitement et, à la demande du sous-traitant, par le conseiller juridique externe du responsable du traitement. Le responsable du traitement reste responsable, dans tous les cas, de vérifier et d’assurer la légalité du traitement de données personnelles.

3.5 Compte tenu de l’état des connaissances, des coûts de mise en oeuvre, de la nature et des risques du traitement des données à caractère personnel, ainsi que des normes sectorielles appropriées, le sous-traitant fera tout ce qui est raisonnablement en son pouvoir pour mettre en oeuvre les mesures techniques et organisationnelles appropriées afin de sauvegarder la protection des données à caractère personnel ainsi que leur traitement. Les parties acceptent la mise en oeuvre par le sous-traitant des mesures techniques et organisationnelles définies en Annexe 2.

3.6 Si le traitement des données à caractère personnel lié aux Services présente un risque spécifique important dû par exemple à la valeur élevée des marchandises transportées par les véhicules tracés par géolocalisation, le responsable du traitement s’engage à en informer le sous-traitant expressément par écrit. Une telle information doit être signalée en temps utile par le responsable du traitement avant le début du traitement des données à caractère personnel. Dans de tels cas, le responsable du traitement limitera les droits d’accès des utilisateurs à l’outil WinFleet® selon le strict principe de la « nécessité de savoir » et pourra demander au sous-traitant de mettre également en place des restrictions d’accès internes plus élevées en limitant les droits d’accès à certains employés.

3.7 Lors de l’exécution du présent contrat, le responsable du traitement pourra demander au sous-traitant de lui soumettre une offre pour la mise en oeuvre de mesures techniques ou organisationnelles supplémentaires. Dans ce cas, le sous-traitant informera le responsable du traitement, à sa discrétion, de la faisabilité de ces mesures supplémentaires d’un point de vue technique et organisationnel et, s’il considère que de telles mesures sont possibles, le sous-traitant informera le responsable du traitement des coûts engendrés par la mise en oeuvre de ces mesures. Si le responsable du traitement accepte l’offre, le sous-traitant mettra en oeuvre les mesures supplémentaires aux conditions convenues par les parties.

3.8 Afin de sauvegarder la protection des données à caractère personnel et leur traitement du mieux qu’il le pourra compte tenu des progrès techniques et de l’état des connaissances développées dans l’industrie du sous-traitant, ce dernier pourra décider, à sa discrétion et conformément à l’article 12.2 du présent contrat, d’adapter et de modifier l’Annexe 2 afin de mettre en oeuvre les mesures techniques ou organisationnelles supplémentaires lors de l’application du présent contrat, ou de modifier les mesures techniques et organisationnelles mises en oeuvre à la date d’entrée en vigueur du présent contrat ou à un stade ultérieur. Dans ce cas, le sous-traitant maintiendra la protection des données à caractère personnel et leur traitement à un niveau approprié. Les changements significatifs apportés aux mesures techniques et organisationnelles mises en oeuvre par le sous-traitant devront être documentés et communiqués au responsable du traitement conformément à l’article 12.2 du présent contrat.

3.9 Le sous-traitant contrôlera régulièrement l’adéquation du niveau de protection des mesures techniques et organisationnelles.

3.10 Le sous-traitant s’engage à ne pas traiter de données à caractère personnel relatives au responsable du traitement à des fins autres que la fourniture des Services au responsable du traitement, conformément aux instructions de ce dernier, sauf si le sous-traitant y est obligé par la loi ou dans le cadre d’un litige potentiel concernant, par exemple, la fourniture des Services au responsable du traitement.

 

ARTICLE 4 – DROITS DES PERSONNES CONCERNÉES  

4.1 Le responsable du traitement informera les personnes concernées des détails du traitement des données et se conformera à toute autre demande légitime émanant des personnes concernées au sujet de leurs droits, en conformité avec le RGPD.

4.2 Si une personne concernée adresse une demande au sous-traitant afin d’exercer ses droits, ce dernier transmettra ladite demande au responsable du traitement dans un délai raisonnable n’excédant pas sept (7) jours ouvrés.

 

ARTICLE 5 – VIOLATION DE DONNÉES À CARACTÈRE PERSONNEL

5.1 Le sous-traitant notifiera au responsable du traitement toute violation de données à caractère personnel telle que définie dans le RGPD, et ce dans les plus brefs délais après en avoir pris connaissance.

5.2 En cas de notification d’une violation de données à caractère personnel au responsable du traitement, le sous-traitant fournira les informations suivantes :

  • description de la nature de la violation des données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
  • description des conséquences probables de la violation de données à caractère personnel ;
  • description des mesures prises ou proposées pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives ;
    o coordonnées du délégué à la protection des données ou de toute autre personne à contacter pouvant fournir toute information supplémentaire requise.

Si, et dans la mesure où, il n’est pas possible pour le sous-traitant de fournir toutes les informations en même temps, les informations seront communiquées au responsable du traitement de manière échelonnée sans autre retard indu.

5.3 Le responsable du traitement notifiera dans les plus brefs délais la violation de données à caractère personnel à l’autorité de contrôle compétente en matière de protection des données et, le cas échéant, aux personnes concernées par la violation si une telle notification est requise en vertu du RGPD ou de toute autre législation applicable. Le responsable du traitement informera le sous-traitant avant d’effectuer une telle notification. Le responsable du traitement tiendra compte, dans toute la mesure du possible, des observations présentées par le sous-traitant en ce qui concerne le projet de notification de violation de données à caractère personnel proposé.

5.4 À la demande et sur instruction écrite du responsable du traitement, le sous-traitant acceptera de se charger, au nom et pour le compte du responsable de traitement, d’effectuer la notification de violation de données à caractère personnel à l’autorité de contrôle compétente en matière de protection des données, ainsi qu’aux personnes concernées par la violation, selon le cas.

 

ARTICLE 6 – ASSISTANCE ET AUDIT  

6.1 Le sous-traitant fera tout ce qui est raisonnablement en son pouvoir pour aider le responsable du traitement à respecter ses obligations en ce qui concerne les analyses d’impact relatives à la protection des données requises en vertu du RGPD et tout processus de consultation préalable de l’autorité de contrôle compétente en matière de protection des données qui y est lié.

6.2 Le sous-traitant fournira au responsable du traitement toutes les informations et tous les documents raisonnablement requis prouvant le respect des obligations auxquelles il est soumis en vertu du présent contrat et du RGPD. Dans ce contexte et afin de confirmer la conformité avec le présent contrat, le responsable du traitement pourra effectuer un audit sur le traitement des données réalisé par le sous-traitant pour le compte du responsable du traitement.

Le responsable du traitement et le sous-traitant conviendront par écrit les conditions raisonnables qui régiront la réalisation d’un tel audit. En tout état de cause, tout audit devra respecter les exigences raisonnables du sous-traitant, notamment en termes de sécurité, de confidentialité, mais aussi de protection des droits de propriété intellectuelle et des secrets professionnels. En particulier, si l’audit est effectué par un tiers pour le compte du responsable du traitement, ledit tiers ne doit pas être un concurrent du sous-traitant et doit signer un contrat de confidentialité et de non-divulgation, sans préjudice d’autres conditions qui pourraient raisonnablement être imposées par le sous-traitant.

Un audit ne doit pas indûment entraver le fonctionnement normal des activités du sous-traitant. Le responsable du traitement notifiera en principe par écrit, au moins deux semaines à l’avance, sa demande d’audit.

Les résultats de l’audit seront évalués et discutés par les parties. Selon le cas, les mesures supplémentaires qui en découlent, convenues par les parties, seront mises en oeuvre par la partie concernée le plus tôt possible.

6.3 Dans la mesure nécessaire et si le responsable du traitement n’a pas directement accès à l’information concernée, le sous-traitant fera tout ce qui est raisonnablement possible pour aider le responsable du traitement à respecter son obligation de donner suite aux demandes légitimes des personnes concernées à l’égard de leurs droits en vertu du RGPD.

6.4 Les coûts de l’audit et de tout autre service fourni par le sous-traitant afin d’assister le responsable du traitement seront assumés par ce dernier.

6.5 Dans la mesure permise par la loi, le responsable du traitement informera immédiatement le sous-traitant de tous audits, inspections ou autres mesures prises par l’autorité de contrôle de la protection des données ou par toute autre autorité compétente en relation avec le traitement de données à caractère personnel dans le cadre du présent contrat. Cette notification sera fournie gratuitement et contiendra les éléments essentiels décrivant l’objet de l’action de l’autorité compétente. Les parties coopéreront de bonne foi pour répondre à ces enquêtes.

 

 

ARTICLE 7 – TRANFERTS DE DONNÉES À CARACTÈRE PERSONNEL HORS DE L’UE

7.1 Sofern vom Verantwortlichen nicht ausdrücklich schriftlich dazu angewiesen oder sofern nicht gesetzlich erforderlich, wird der Auftragsverarbeiter keine personenbezogenen Daten außerhalb der Europäischen Union (nachfolgend „EU“ genannt) übermitteln.

7.2 Wenn der Verantwortliche den Auftragsverarbeiter anweist, personenbezogene Daten außerhalb der EU zu übermitteln, muss er dem Auftragsverarbeiter schriftlich bestätigen, dass diese Übermittlung, die in der DSGVO festgelegten Beschränkungen einhält, und die relevanten Informationen und Dokumente mit Bezug auf die Rechtmäßigkeit dieser Übermittlung personenbezogener Daten außerhalb der EU beifügen, bevor die Übermittlung erfolgt.

7.3 Wenn der Auftragsverarbeiter kraft Gesetzes personenbezogene Daten außerhalb der EU übermitteln muss, wird er sich bemühen, den Verantwortlichen vor einer solchen Übermittlung entsprechend zu informieren, es sei denn, dies ist gesetzlich verboten.

 

ARTICLE 8 – REPRÉSENTATION ET GARANTIES, RESPONSABILITÉ  

8.1 Dans le cadre de leur relation contractuelle, les parties déclarent et garantissent qu’elles s’engagent à respecter leurs obligations respectives définies dans le RGPD.

8.2 Le sous-traitant aura pour seule responsabilité de faire tout son possible pour traiter les données à caractère personnel conformément au présent contrat. En particulier, le sous-traitant ne peut garantir l’efficacité des mesures de sécurité techniques et organisationnelles en toutes circonstances. Cependant, le sous-traitant fera tout son possible pour s’assurer que le niveau de protection des données à caractère personnel et de leur traitement est approprié conformément à l’article 3 du présent contrat.

8.3 Le responsable du traitement a la responsabilité de s’assurer que le traitement des données qu’il confie au sous-traitant est légal et que sa/ses finalité(s) est/sont légitime(s) et proportionnée(s). Le responsable du traitement déclare et garantit également que le traitement des données prévu dans le présent contrat est légal, ne contrevient à aucune loi applicable et ne constitue aucune violation de droits de tiers (tels que, sans limitation, les droits de propriété intellectuelle). En particulier, tout transfert de données à caractère personnel hors de l’UE effectué sur instruction du responsable du traitement conformément aux articles 7.1 et 7.2 du présent contrat sont de la responsabilité exclusive du responsable du traitement. En outre, le sous-traitant n’est pas responsable du traitement de données à caractère personnel effectué par le responsable du traitement lui-même ou par des tiers agissant sur instruction du responsable du traitement.

 

ARTICLE 9 – SOUS-TRAITANCE 

9.1 Le responsable du traitement autorise par la présente, d’une manière générale, le sous-traitant à engager des sous-traitants ultérieurs pour des opérations spécifiques de traitement de données (ci-après le(s) « sous-traitant(s) ultérieur(s) »). Un accord spécifique préalable du responsable du traitement n’est pas nécessaire.

9.2 En cas d’engagement d’un sous-traitant ultérieur, les dispositions suivantes s’appliquent : Le sous-traitant informera le responsable du traitement par écrit au moins trente (30) jours avant la nomination ou le remplacement prévu d’un sous-traitant ultérieur. Cette notification préalable doit comporter une description de la nature des activités de traitement concernées et la désignation du sous-traitant ultérieur. Le responsable du traitement peut, dans un délai de quinze (15) jours à compter de la notification préalable et pour des motifs légitimes liés à la protection des données, s’opposer à la nomination.

9.3 Le sous-traitant s’engage à imposer à tout sous-traitant ultérieur, sous forme d’accord écrit contractuellement contraignant entre les parties, des obligations relatives à la protection des données, sensiblement identiques à celles fixées dans le présent contrat entre le responsable du traitement et le sous-traitant. Le sous-traitant s’engage notamment à imposer au sous-traitant ultérieur l’obligation d’appliquer des mesures techniques et organisationnelles appropriées sensiblement identiques à celles définies dans l’annexe 2, en tenant compte, le cas échéant, des opérations spécifiques de traitement de données effectuées par le sous-traitant ultérieur.

9.4 Le responsable du traitement est informé que les sous-traitants ultérieurs énumérés dans l’annexe 3 traitent des données à caractère personnel dans le cadre de la fourniture des Services.

9.5 Les parties conviennent que le terme « sous-traitant(s) ultérieur(s) » désigne uniquement les prestataires de services fournissant des services de traitement de données en qualité de sous-traitants. Ils conviennent également que ce terme ne s’applique pas à tous les prestataires de services fournissant des services accessoires en qualité de responsables du traitement et auxquels le sous-traitant peut avoir recours dans le cadre de la fourniture des Services en vertu du Contrat Principal de Services, tels que, sans limitation, les services de télécommunication, les services postaux, les services de maintenance, etc.

9.6 Le sous-traitant fournit au responsable du traitement, à la demande de ce dernier, une copie d’un tel accord de sous-traitance et de ses éventuelles modifications ultérieures. Dans la mesure où cela est nécessaire pour protéger des secrets commerciaux ou d’autres informations confidentielles, y compris des données à caractère personnel, le sous-traitant peut masquer le texte de l’accord avant d’en fournir une copie.

9.7 Le sous-traitant est entièrement responsable envers le responsable du traitement du respect par le sous-traitant ultérieur de ses obligations conformément au contrat conclu avec le sous-traitant ultérieur. Le sous-traitant informera le responsable du traitement si le sous-traitant ultérieur ne remplit pas ses obligations contractuelles.

 

ARTICLE 10 – CONFIDENTIALITÉ  

10.1 Le sous-traitant confirme que l’ensemble du personnel traitant des données à caractère personnel est soumis à une obligation de confidentialité et est informé des principes du RGPD en matière de protection des données.

10.2 Les parties s’engagent à respecter la confidentialité du contenu du présent contrat. Chacune des parties limitera la divulgation du contenu du présent contrat, au sein de sa propre organisation, à ses directeurs, dirigeants et/ou employés selon le principe de la « nécessité de savoir » et ne divulguera pas le présent contrat à des tiers (qu’il s’agisse d’individus, de sociétés ou de toute autre entité) sans l’accord écrit préalable de l’autre partie. Les parties pourront divulguer le présent contrat à l’autorité publique compétente si cela est requis par la loi ou en cas de litige. Le responsable du traitement reconnaît l’importance, pour les activités du sous-traitant, du respect de la confidentialité des informations contenues dans le présent contrat, notamment dans les annexes 2 et 3, et s’engage à mettre en oeuvre les mesures appropriées afin d’assurer leur confidentialité. L’obligation de confidentialité des parties subsistera après la fin du présent contrat.

 

ARTICLE 11 – DURÉE ET RÉSILIATION  

11.1 Le présent contrat est conclu pour la durée du Contrat Principal de Services. En l’absence de durée définie, le contrat restera en vigueur pour la durée de la relation entre les parties.

11.2 Si le sous-traitant ne respecte pas ses obligations en vertu du présent accord, le responsable du traitement peut – sans préjudice des dispositions du RGPD – ordonner au sous-traitant de suspendre le traitement des données à caractère personnel jusqu’à ce qu’il se conforme au présent accord. Le sous-traitant informe le responsable du traitement sans délai si, pour quelque raison que ce soit, il n’est pas en mesure de respecter le présent accord.
11.3 Le Responsable du traitement a le droit de résilier le contrat dans la mesure où il concerne le traitement de données à caractère personnel conformément au présent accord, si :

  • le Responsable du traitement a suspendu le traitement des données à caractère personnel par le sous-traitant conformément à l’article 11.2 et que le respect du présent accord n’a pas été rétabli dans un délai raisonnable, et en tout cas dans les 3 mois suivant la suspension,
  • le sous-traitant enfreint le présent accord de manière significative ou persistante ou ne respecte pas ses obligations en vertu du RGPD,
  • le sous-traitant ne se conforme pas à une décision contraignante d’un tribunal compétent ou de l’autorité ou des autorités de contrôle compétentes concernant ses obligations en vertu du présent accord, du RGPD.

11.4 Le sous-traitant a le droit de résilier le contrat dans la mesure où il concerne le traitement de données à caractère personnel conformément au présent contrat si le responsable du traitement insiste pour que ses instructions soient respectées après avoir été informé par le sous-traitant que ses instructions sont contraires aux exigences légales applicables.

11.5 Après la fin de la fourniture des services relatifs au traitement des données à caractère personnel, les parties conviennent que le sous-traitant devra en principe supprimer le plus tôt possible, les données à caractère personnel traitées pour le compte du responsable du traitement. À titre d’alternative, en cas d’accord écrit séparé entre les parties, le responsable du traitement pourra demander une copie des données à caractère personnel traitées pour son propre compte, contre paiement des frais indiqués par le sous-traitant pour la fourniture de ce service.

En tout état de cause, le sous-traitant sera autorisé à conserver une copie des données à caractère personnel aussi longtemps que nécessaire à des fins probatoires ou à des fins de conservation légale de documents ou d’informations.

 

ARTICLE 12 – DIVERS  

12.1 Le présent contrat, annexes comprises, remplace tous les contrats et conventions précédents, conclus oralement ou par écrit entre les parties, relatifs à l’objet des présentes, et constitue le seul et unique contrat entre les parties relatif audit objet. Les dispositions des conditions générales du sous-traitant en matière de protection et de stockage des données sont notamment caduques et doivent être remplacées par les dispositions du présent contrat et de ses annexes.

12.2 Le présent contrat ne peut être modifié que par un document écrit se référant expressément au présent contrat. Le sous-traitant est autorisé à modifier le présent contrat en remettant au responsable du traitement une notification écrite préalable dans un délai de trente (30) jours. Les annexes 2 et 3 du présent contrat peuvent notamment être modifiées à tout moment par le sous-traitant à sa discrétion sur remise d’une notification écrite préalable dans un délai de trente (30) jours, en respectant également les conditions suivantes :

  • l’annexe 2 ne doit pas être modifiée d’une manière qui pourrait affecter sensiblement et sciemment le niveau de protection de données personnelles garanti par les mesures techniques et organisationnelles mises en place conformément à ladite annexe 2 à la date d’entrée en vigueur du présent contrat ;
  • l’annexe 3 peut être modifiée conformément à l’article 9.2 du présent contrat.

12.3 Chacune des parties est tenue de transmettre toutes les notifications et communications à l’autre partie par écrit.

12.4 La validité, l’interprétation et l’exécution du présent contrat sont régies par les lois du Grand-Duché de Luxembourg, sans donner effet aux principes en matière de conflits de lois susceptibles d’entraîner l’application du droit substantiel d’une autre juridiction.

12.5 Toute action, poursuite ou plainte découlant du ou relative au présent contrat, de quelque nature qu’elle soit, devra être portée devant les tribunaux de l’arrondissement judiciaire de Luxembourg-Ville, Grand-Duché de Luxembourg, qui disposent de la compétence exclusive.
En cas de contradiction entre les versions française et allemande du présent contrat, la version allemande prévaudra. La version allemande est visible dans la barre de menu de WinFleet® (https://app.winfleet.lu) dans l’option de menu (§) « RGPD » en changeant sur langue « DEUTSCH ».

 

ANNEXE 1 – NATURE ET FINALITÉ DU TRAITEMENT DES DONNÉES

 CATÉGORIES DE DONNÉES À CARACTÈRE PERSONNEL ET DE PERSONNES CONCERNÉES

1. Mode du traitement des données :

Mise à disposition du système WinFleet® pour

  • Géolocalisation de véhicules et d’objets comme machines de chantier, conteneurs, matériel de chantier y compris les données à caractère personnel y étant relatives.
  • Gestion des utilisateurs autorisés du système WinFleet®.
2. Le responsable du traitement est obligé de définir par écrit la ou les finalités de son traitement de données dans la fiche d’enregistrement des données client.
3. Catégories des données à caractère personnel :
  • Immatriculation des véhicules
  • Numéro de carte SIM pour la transmission des données de géolocalisation
  • Données de localisation standard comme la position du véhicule (date, heure, longitude, latitude, vitesse, direction) et informations de statut (comme route/stop, allumage allumé/éteint, mode de travail /privé)
  • Données de géolocalisation supplémentaires pour les demandes spéciales des clients, comme les données techniques des véhicules, la température du chargement, la touche SOS appuyée, les informations des conducteurs
  • Données résultant des données de géolocalisation standard et supplémentaires, comme le trajet effectué, la distance parcourue, la vitesse moyenne, le nombre et la durée des stops, le début et la fin de l’utilisation du véhicule, le carburant consommé
  • Adresses e-mail, numéros de téléphone des personnes qui seront alertées en cas d’alarme par e-mail, SMS ou appel téléphonique

Les données concernant le dépassement des limites de vitesse ne sont pas traitées par le sous-traitant.

Données des utilisateurs du système WinFleet® : nom, adresse e-mail, numéro de téléphone.

4. Catégories des personnes concernées :

Le responsable du traitement doit fournir des instructions sur les véhicules qui seront géolocalisés dans la fiche d’enregistrement des données client.

EcoMobility traite les données relatives aux plaques d’immatriculation des véhicules.

Les clients peuvent, si nécessaire dans le cadre de la gestion de leur flotte de véhicules et de leurs services, saisir le cas échéant les noms des conducteurs directement dans le système WinFleet®. EcoMobility traite les données des utilisateurs autorisés du système WinFleet®, tels qu’indiqués par le responsable du traitement.

5. Durée du traitement des données :

Le client d’EcoMobility est tenu d’indiquer la durée du traitement des données dans la fiche d’enregistrement des données client. La durée peut être adaptée à tout moment par le responsable du traitement dans la configuration/les paramètres du système WinFleet®.

 

ANNEXE 2 – MESURES TECHNIQUES ET ORGANISATIONNELLES

(cf. articles 28 et 32 du RGPD)

 

SECURITÉ ET VÈRICATION RÉGULIÈRE

Concept de sécurité

(Art.32 RGPD) et

Mesures de contrôle

Mesures :

  • Enregistrement des activités du traitement
  • Vérification régulière et rapport des risques et points faibles identifiés récemment
  • Documentation de la suppression de matériel informatique IT et de données personnelles
  • Accords contractuels adaptés et conformes entre le sous-traitant et le sous-traitant des données
  • Nomination d’un mandataire du traitement des données
  • Formation du personnel à la protection et la sécurité des données

CONFIDENTIALITÉ

Contrôle des entrées

Mesures :

  • Datacenter (Tier IV / ISAE 3402)
  • Système de contrôle d’accès
  • Portes et fenêtres de sécurité
  • Mesures spécifiques de protection pour la pièce du serveur
  • Personnel de sécurité (portier)
  • Système d’alarme
  • Surveillance vidéo
  • Domaines protégés

Contrôle des accès

Mesures :

  • Directives de code d’accès (comprennent les règles concernant la puissance et le renouvellement du code d’accès)
  • Enregistrements supplémentaires/séparés pour des utilisations spéciales (WinFleet®, Management)
  • Fermeture à court terme automatique des systèmes
  • Mises à jour continues du logiciel / patches
  • Contrôle d’accès à distance pour l’utilisation d’appareils mobiles (VPN, filtre IP)

Contrôle d’accès aux données

ou

Contrôle interne de l’utilisateur

 

 

Mesures :

  • Droits d’accès différenciés
  • Identification du code d’accès
  • Gérance et documentation des droits d’accès
  • Vérification régulière et mise à jour des droits d’accès (tous les six mois)
  • Protocole des accès aux systèmes, documents et données personnelles
  • Inventaire de l’équipement IT
  • Devoir de confidentialité contractuel de tout le personnel et de tous les prestataires de service externes

Contrôle de séparation

 

Mesures :

  • Systèmes séparés
  • Banques de données séparées
  • Réseaux séparés
  • Concept de droits et rôles

Utilisation de pseudonymes

Mesures :

  • Le client est seul responsable de l’utilisation de pseudonymes

 

INTÉGRITÉ

Contrôle de transport

 

 

Mesures :

  • Liaisons de transmission des données à distance tunnélisées
  • Cryptage SSL /TLS
  • Wifi sécurisé
  • Wifi invité séparé
  • Suppression sûre et complète des données à caractère personnel

Entrée des données

et

Contrôle du traitement des données

Mesures :

  • Droits d’accès différenciés
  • Protocole du système
  • Protocole des modifications de la banque de données
  • Logiciel de sécurité et de protocole

DISPONIBILITÉ ET RÉSILENCE

Contrôle de disponibilité

 

 

Mesures :

  • Méthodes de copies de sauvegarde
  • Protection antivirus et programme malveillant
  • Lieu sûr de dépôt des copies de sauvegarde
  • Systèmes redondants (serveur, support d’informations, réseau, liaison internet, …)
  • Utilisation de systèmes pare-feu et d’intrusion-détection
  • Protection contre le feu
  • Systèmes d’alarme

Incidents de sécurité

et

infractions à la protection des données

Mesures :

  • Procédure de rapport d’infractions à la protection des données
  • Formation du personnel à la correction des fautes

Récupération d’urgence

Mesures :

  • Concept de sauvegarde et de récupération avec copie de sauvegarde journalière
  • Séparation du système productif et de test 

 


  

ANNEXE 3 – LISTE DES SOUS-TRAITANTS ULTÉRIEURS

Sous-traitants ultérieurs ‘Infrastructures’

Sous-traitants ultérieurs

Pays

Datacenter

Datacenter Luxembourg S.A.

LU

–          EBRC Resilience Centre Luxembourg West, Tier IV

–          LuxConnect S.A., Tier IV

DLX A/S

DK

–          DLX Datacenter, ISAE 3402

Sous-traitants ultérieurs de services spécifiques

Alarmes WinFleet®
Le numéro de téléphone du destinataire et le contenu du message d’alarme sont transmis pour la livraison aux sous-traitants.

Sous-traitants ultérieurs

Pays

M-PLIFY S.A.

LU

seven communications GmbH & Co. KG

DE

 

Téléchargement du tachygraphe digital (TTD)
Sur demande du client : traitement des données du tachygraphe digital et de la carte du conducteur.

Sous-traitants ultérieurs

Pays

Aplicom Oy

FI

 

Support clients

Sous-traitants ultérieurs

Pays

Microsoft 365

EU

Salesforce

EU

 

Prestataires de services
Les informations suivantes sont fournies à titre d’information générale uniquement, étant donné que les prestataires de services ne sont pas considérés comme sous-traitants ultérieurs dans le cadre de la fourniture des Services.

 

Prestataires de services généraux

  • Google Maps

 

Prestataires de services de télécommunications

  • POST Luxembourg
  • Orange Luxembourg S.A.
  • Orange Belgium
  • Join Experience S.A.
  • Tango S.A.
  • Deutsche Telekom AG
  • Telia Danmark
  • Telenor Danmark
 
 

Accord complémentaire au contrat de sous-traitance de données : Applications WinFleet® Mobile

Les dispositions suivantes s’appliquent au traitement des données à caractère personnel par le sous-traitant de données EcoMobility S.à r.l. pour et au nom du client d’EcoMobility dans le cadre de l’utilisation des applications WinFleet® Mobile par les collaborateurs sur les téléphones portables professionnels mis à disposition par le client.

Les dispositions suivantes remplacent l’annexe 1 du contrat de sous-traitance de données entre les parties en ce qui concerne les applications WinFleet® Mobile. Toutes les autres dispositions de l’accord sur le traitement des données de commande restent applicables au traitement des données concernant les applications WinFleet® Mobile.

NATURE ET FINALITÉ DU TRAITEMENT DES DONNÉES

Le sous-traitant traite les données dans le cadre de l’utilisation des applications WinFleet® Mobile commandées par le client.

Les applications ont pour but la gestion et l’optimisation des processus de travail par le client.

CATÉGORIES DE DONNÉES À CARACTÈRE PERSONNEL ET PERSONNES CONCERNÉES

La fiche d’information ci-dessous, disponible sur les App Stores, dénommée « WinFleet® apps PRIVACY POLICY », décrit le traitement des données dans le cadre des applications WinFleet® Mobile commandées par le client. Si nécessaire, le client peut demander par écrit à EcoMobility une traduction de la PRIVACY POLICY avant la conclusion du contrat.

WinFleet® Apps PRIVACY POLICY:

Use of WinFleet® applications (apps) is reserved to WinFleet® customers which have accepted the terms and conditions, including the WinFleet® data processing agreement, which are available online under the menu heading (§) „DSGVO / GDPR / RGPD‟ in the WinFleet® navigation bar (https://app.WinFleet®.lu).

The data controller is the end users’ employer organisation, a WinFleet® customer. The employer designates the end users authorised to download the WinFleet® apps as well as the WinFleet® system users, by providing them with the necessary access rights. The WinFleet® customer is responsible for the company’s use of the selected WinFleet® apps as well as the data processing connected thereto. EcoMobility S.à r.l., the developer of the WinFleet® apps, is a data processor.

WinFleet® customer’s privacy policy applies to its data processing with the WinFleet® system, including its apps. In addition, end users are provided with the information below by the WinFleet® system developer, which is accessible at any time under the menu item “Data protection” within the relevant WinFleet® app.

Is information processed when downloading a WinFleet® app?

When downloading the WinFleet® apps, the necessary information is transferred to the App Store you have selected (e.g. Google Play Store or Apple App Store), i.e. in particular, your user name, e-mail address, customer account number, time of download and device ID. The app developer has no control over this and is not responsible for this data processing which is done under the exclusive control of the respective App Store.

What data is processed when using a WinFleet® app?

All WinFleet® apps

WinFleet® apps are fully-integrated in the WinFleet® system.
Login details as well as support information relating to app use are processed for security and debugging and includes login name, username, device ID, framework of the mobile app, screen resolution, operating system (OS), telephone type, app version and configuration, IP address.

WinFleet® apps only work in combination with an up-to-date WinFleet® system account.
In addition, the following data will be processed, depending on the application used:

WinFleet® Mobile, Eco Go, Eco Drive

WinFleet® Mobile enables WinFleet® system users, authorised by the WinFleet® customer, to display WinFleet® data like real-time positions, position history and alarm configuration on their mobile device. Configurations (e.g. alarms or asset details) set by the WinFleet® system user are processed in WinFleet. Data access is equivalent to the access on the WinFleet® web application and all access is granted to WinFleet® system users by the WinFleet ® customer. Eco Drive is used for setting trips to private or business state for the purpose of driver logbook or private driving.

WinFleet® Connect

WinFleet® Connect App is a professional chat messaging system that enables end users of the WinFleet® system to receive/send professional communications from/to his/her employer organisation, a WinFleet® customer.
Upon activation of the push notifications after a separate query by the app, the end user will have the option to receive messages sent by other end users of the same organisation, even when the App is not open. The mobile device OS (Android, iOS) will generate an identifier for the mobile device and this device token is then issued in the WinFleet® Connect app. The device token and a generated unique ID are transferred to Azure Notification Hub to register the mobile device for push notifications. The generated unique ID is stored in EcoMobility’s backend to send out push notifications. Azure Notification Hub is not able to identify an end user personally.
A push notification is triggered via the Azure Notification Hub, a multi-platform, scaled-out push notification infrastructure of Microsoft. It is sent via the respective provider of the mobile device operation system (e.g. Android Firebase Messaging or Apple Push Services).
Push notifications are sent to the generated unique ID and include the content of the chat text that is transmitted but no individual end user data. The end user is solely responsible for the content of the chat messages sent via the chat messaging system of WinFleet® Connect app which is intended for professional use.

WinFleet® Mango

WinFleet® Mango is an order management app allowing the end user to manage client orders using his/her mobile device. The app enables efficient order processing by entering new orders and manually tracking execution tasks of existing orders.
Data (text, images) entered or selected by the end user will be processed in the WinFleet® system together with a timestamp when the data was sent.
The end user has the option to use the third-party Google navigation tool by activating a button to map routes between clients. The relevant data processing takes place under the exclusive control of Google in the Google maps app as installed by the end user.

WinFleet® Scout

WinFleet® Scout is an app enabling an end user to search for WinFleet® customer property (assets such as tools, machines) by scanning nearby registered BLE tags with a mobile device.
Processed data includes current mobility activity at the time of scanning (including in-vehicle, walking, stationary, and other data automatically provided by the mobile device OS). Location of the end user will only be recorded in frontend mode, when explicitly requested by the end user, not in background mode.
When the scan button is pressed by the end user, the WinFleet® Scout app locates BLE tags of assets in the vicinity of the mobile device and sends registered assets’ MAC-addresses to the WinFleet® system server. Only information on assets that belong to the WinFleet® customer and that are assigned to the relevant end user are transferred to WinFleet®. Any other BLE tags that are recognized by the app are ignored and no data is transferred to the server.
The location of the BLE tags is uploaded and stored on the WinFleet® system’s server by using the location of the mobile device activated by the end user at the time of the scan. Neither location nor BLE tag ID information will be recorded if the user is not logged in.

Purposes of the data processing

WinFleet® Apps data is processed for the purposes defined in the employer’s privacy policy in relation to its use of the WinFleet® system, including the apps and is stored and processed in accordance with the Settings defined by your employer’s organisation, a WinFleet® customer.
End users must consent to download a specific WinFleet® App as well as to the processing of push notifications and location data.
As an end user, you can revoke your consent to the data processing in the WinFleet® Apps at any time by deactivating the App directly in the Settings of your mobile device OS.

Data storage period

The WinFleet® customer defines the storage period of App users’ data through its chosen configurations in the WinFleet® system.

Processing infrastructure

All WinFleet® Apps use a backend hosted on the data processor’s infrastructure.

 

 

Adaptation du contrat de sous-traitance de données

 

Au 02.04.2025 le contrat de sous-traitance de données est adapté comme suit :

ANNEXE 3

Sous-traitants ultérieurs ‘Infrastructures’

CMD S.A. a été supprimé en tant que sous-traitant.
DLX A/S a été ajouté en tant que sous-traitant.

 

Assistance à la clientèle

FreshWorks Inc a été supprimé en tant que sous-traitant.
Salesforce a été ajouté en tant que sous-traitant.

 

Prestataires de services de télécommunications

Telenor Danmark a été ajouté.

 

 

Au 01.09.22, le contrat de sous-traitance de données est adapté comme suit :

ANNEXE 1

Adaptation de l’annexe en ce qui concerne les finalités du traitement des données, les personnes concernées et la durée du traitement des données : renvoi aux instructions écrites du client dans la fiche d’enregistrement des données client.

ANNEXE 3

Assistance à la clientèle

Zendesk Inc. a été supprimé en tant que sous-traitant.


Prestataires de services de télécommunications
Telia Danmark a été ajouté.

 

 

Au 23.03.22, le contrat de sous-traitance de données est adapté comme suit :

Assistance à la clientèle

Freshworks Inc. a été ajouté en tant que sous-traitant ; les données sont hébergées dans l’UE.

 

 

Au 08.12.21, le contrat de sous-traitance de données est adapté comme suit :

Alignement de l’accord sur le contrat-cadre de l’UE.

ANNEXE 1

Adaptation des finalités aux directives de la CNPD du 15 avril 2021.

ANNEXE 3

Alarmes de WinFleet®
Twilio Inc. a été supprimé.
SMS77 a été ajouté en tant que sous-traitant ; les données sont hébergées dans l’UE.

 

Assistance à la clientèle
Pour Zendesk Inc., le stockage des données est effectué dans l’UE.

 

AUTRES

Ajout d’un accord supplémentaire pour les applications mobiles.

 

 

A partir du 08.12.20, le contrat de sous-traitance de données est modifié comme suit :

ANNEXE 3

Sous-traitants ultérieurs ‘Infrastructures’
Pour Datacenter Luxembourg S.A., le centre de données “DATA4 Luxembourg S.à r.l. (TIER II)” est remplacé par “LuxConnect S.A. (TIER IV)”.

 

Sous-traitants ultérieurs de services spécifiques
Alarmes WinFleet®
Chez Twilio Inc., la référence aux règles d’entreprise contraignantes en matière de protection des données est insérée.

 

Support clients
Chez Zendesk Inc., la référence aux règles d’entreprise contraignantes en matière de protection des données est insérée.