Accord sur le traitement des données – RGPD
1- Champ d’application
1.1 Le présent accord sur le traitement des données (« Accord sur le traitement des données ») s’applique aux Traitement des données à caractère personnel dans le cadre de la fourniture par TRAXXEO des Services Cloud de TRAXXEO, combinant les données de suivi des véhicules et des objets et les Applications mobiles.
1.2. En cas de conflit ou d’incohérence entre le présent Accord sur le traitement des données et toute autre convention conclue avec Vous et détaillant les conditions de la fourniture des Services Cloud de TRAXXEO, les stipulations du présent Accord sur le traitement des données prévalent.
2- Définitions
2.1 « Loi applicable en matière de protection des données » désigne le règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après le « RGPD »), en vigueur à partir du 25 mai 2018 ; et (ii) toute autre loi ou réglementation relative à la protection des données ou à la confidentialité des données qui s’applique au traitement des données à caractère personnel dans le cadre du présent Accord sur le traitement des données ;
2.2 « Vous » désigne l’entité cliente de TRAXXEO ;
2.3 « Titulaire des données », « Personne concernée », « Évaluations d’impact sur la protection des données », « Délégué à la protection des données », « Processus/traitement », « Autorité de surveillance », « Responsable du traitement », « Sous-traitant » et « Règles d’entreprise contraignantes » (ou tout autre terme équivalent) ont la signification qui leur est donnée dans le RGPD ;
2.4 « Clauses contractuelles types » désigne les clauses contractuelles types annexées à la Décision 2010/87/UE du 5 février 2010 de la Commission européenne relative au transfert de données à caractère personnel à des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE, ou toute clause contractuelle type qui lui succéderait et qui serait adoptée en vertu d’une décision de la Commission européenne ;
2.5 « Données à caractère personnel « désigne toute information relative à une Personne concernée que TRAXXEO peut traiter en Votre nom dans le cadre des Services Cloud ;
2.6. « Catégories sensibles ou particulières de données à caractère personnel » désignent les données relatives à l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale ainsi que les données génétiques, données biométriques permettant d’identifier une personne physique de manière unique, les données concernant la santé ou les données concernant la vie sexuelle ou l’orientation sexuelle et les données à caractère personnel relatives à des condamnations et infractions pénales ou à des mesures de sûreté connexes.
2.7 « Sous-traitant tiers » désigne un sous-traitant tiers, engagé par TRAXXEO et qui peut traiter des données à caractère personnel comme indiqué à l’Article 3.3.
3- Responsable et Sous-traitant des données à caractère personnel et finalité du traitement
3.1 Vous êtes et demeurez de tout temps le Responsable du traitement des données à caractère personnel traitées par TRAXXEO dans le cadre du présent Accord sur le traitement des données. Vous êtes responsable des obligations qui Vous incubent en qualité de Responsable du traitement en vertu de la Loi applicable en matière de protection des données, notamment de la justification de toute transmission de données à caractère personnel à TRAXXEO (y compris la fourniture des avis requis et l’obtention des consentements et/ou autorisations nécessaires, ou la détermination d’une base juridique appropriée en vertu de la Loi applicable en matière de protection des données), et de Vos décisions et actions concernant le traitement de ces données à caractère personnel.
3.2 TRAXXEO est et demeurera de tout temps un Sous-traitant des données à caractère personnel que Vous avez fournies à TRAXXEO dans le cadre du présent Accord sur le traitement des données. TRAXXEO est responsable du respect de ses obligations en vertu du présent Accord sur le traitement des données et de ses obligations en qualité de Sous-traitant en vertu de la Loi applicable en matière de protection des données.
3.3 TRAXXEO et toute personne agissant sous l’autorité de TRAXXEO, y compris les Sous-traitants tiers tels que définis à l’Article 8, traiteront les données à caractère personnel uniquement aux fins suivantes :
- pour fournir les services Cloud conformément au Contrat client et au présent Accord sur le traitement des données ;
- pour se conformer à Vos instructions écrites conformément à l’Article 5, ou ;
- pour se conformer aux obligations réglementaires de TRAXXEO conformément à l’Article 14.
4- Catégories de données à caractère personnel et Personnes concernées
4.1 Afin d’exécuter les Services Cloud et selon les Services Cloud que vous avez commandés, TRAXXEO peut traiter tout ou partie des catégories de données à caractère personnel suivantes : coordonnées et informations personnelles telles que le nom, le numéro d’identification national, l’adresse du domicile, le numéro de téléphone fixe ou portable, l’adresse e-mail, la date de naissance, les mots de passe et les documents juridiques ; des informations telles que le nom de l’employeur, le titre du poste, le salaire et les autres avantages, les performances professionnelles et autres compétences, diplômes/qualifications ; des données de géolocalisation telles que la position actuelle ou les distances parcourues sur la base des données du véhicule ou de l’appareil ; des données sur les performances telles que les activités professionnelles, les absences, les enregistrements.
4.2 Les catégories de Personnes concernées pour lesquelles des données à caractère personnel peuvent être traitées afin d’exécuter les Services Cloud incluent notamment Vos représentants et utilisateurs finaux, tels que Vos employés, candidats, travailleurs intérimaires, contractants, sous-traitants, collaborateurs, partenaires, fournisseurs et clients.
4.3 Sauf indication contraire dans Votre commande, Votre contenu ne peut inclure aucune catégorie sensible ou particulière de données à caractère personnel qui impose à TRAXXEO des obligations spécifiques de sécurité ou de protection des données complémentaires ou différentes de celles stipulées dans le présent Accord sur le traitement des données.
5- Vos instructions
5.1 TRAXXEO traitera les données à caractère personnel selon Vos instructions écrites, tel que stipulé spécifié dans le présent Accord sur le traitement des données.
5.2 Vous pouvez fournir des instructions supplémentaires par écrit à TRAXXEO relativement au traitement des données à caractère personnel conformément à la Loi applicable en matière de protection des données. TRAXXEO se conformera à toutes Vos instructions dans la mesure nécessaire afin que TRAXXEO :
- se conforme aux obligations qui lui incombent en qualité de Sous-traitant en vertu de la Loi applicable en matière de protection des données ;
- Vous aide à respecter les obligations qui Vous incombent en qualité de Responsable du traitement en vertu de la Loi applicable sur la protection des données relativement à Votre utilisation des Services Cloud, y compris l’assistance concernant la notification des Atteinte aux données à caractère personnel comme indiqué à l’Article 11 et les demandes des Personnes concernées comme indiqué à l’Article 6.
5.3 Dans la mesure requise par la Loi applicable en matière de protection des données, TRAXXEO Vous informera immédiatement si, à son avis, Vos instructions enfreignent la Loi applicable en matière de protection des données. Par la présente, Vous reconnaissez et acceptez que TRAXXEO n’est pas responsable de la réalisation de recherches juridiques et/ou de la fourniture de conseils juridiques à Votre égard.
5.4 Sans préjudice des obligations de TRAXXEO en vertu du présent Article 5, les parties devront négocier de bonne foi relativement aux frais ou honoraires que TRAXXEO est susceptible d’encourir afin de se conformer aux instructions relatives au Traitement des données à caractère personnel qui nécessitent l’utilisation de ressources complémentaires ou différentes de celles nécessaires à la fourniture des Services Cloud.
6 Droits des Personnes concernées
6.1 TRAXXEO Vous accordera l’accès électronique à Votre environnement de Services Cloud qui contient des données à caractère personnel afin de Vous permettre de répondre aux demandes des Personnes concernées d’exercer leurs droits en vertu de la Loi applicable en matière de protection des données, y compris les demandes d’accès, de suppression ou d’effacement, de restriction, de rectification, de réception et de portabilité, de blocage de l’accès ou d’opposition au traitement de données à caractère personnel particulières ou d’ensembles de données à caractère personnel.
6.2 Dans la mesure où Vous ne disposez pas d’un tel accès électronique, Vous pouvez soumettre une « Demande de service » en contactant l’assistance TRAXXEO à l’adresse : support@traxxeo.com et fournir des instructions écrites détaillées à TRAXXEO (y compris les données à caractère personnel nécessaires pour identifier la Personne concernée) sur la manière de répondre à ces demandes de la Personne concernée relativement aux données à caractère personnel détenues dans Votre environnement de Services Cloud. TRAXXEO mettra rapidement en œuvre de telles instructions. Le cas échéant, les parties négocieront de bonne foi relativement aux frais ou honoraires susceptibles d’être encourus par TRAXXEO afin de se conformer aux instructions qui exigent la mobilisation de ressources différentes ou complémentaires à celles requises pour la fourniture des Services Cloud.
6.3 Si TRAXXEO reçoit directement des demandes d’une Personne concernée relativement aux données à caractère personnel, TRAXXEO Vous transmettra rapidement et gratuitement de telles demandes, sans répondre à la Personne concernée si la Personne concernée Vous identifie comme Responsable du traitement. Si la Personne concernée ne Vous identifie pas en qualité de Responsable du traitement, TRAXXEO demandera à la Personne concernée de contacter l’entité responsable de la collecte de ses données à caractère personnel.
7- Transferts de données à caractère personnel
7.1 Les données à caractère personnel détenues dans votre environnement de Services Cloud seront hébergées dans le centre de données sélectionné par TRAXXEO au sein de l’Union européenne. TRAXXEO ne migrera pas Votre environnement de Services Cloud vers un centre de données se trouvant dans une autre région sans Votre autorisation écrite préalable.
7.2 Sans préjudice du paragraphe 7.1, TRAXXEO peut accéder et traiter des données à caractère personnel à l’échelle européenne dans la mesure nécessaire pour exécuter les Services Cloud, y compris à des fins de sécurité informatique, de maintenance et de performance des Services Cloud et de l’infrastructure connexe, d’assistance technique des Services Cloud et de gestion des Services Cloud.
7.3 En aucun cas, les données à caractère personnel ne seront transférées à des sous-traitants tiers situés dans des pays hors de l’Espace économique européen (« EEE ») ou la Suisse, qui n’ont pas fait l’objet d’une décision d’adéquation contraignante de la Commission européenne ou d’une autorité nationale compétente de l’EEE en matière de protection des données.
8- Sous-traitants tiers de TRAXXEO
8.1 Sous réserve des stipulations des Articles 3.3, 7 et 8, Vous acceptez que TRAXXEO puisse engager des Sous-traitants tiers pour assister TRAXXEO dans la performance des Services Cloud.
8.2 TRAXXEO tient à jour des listes de Sous-traitants tiers susceptibles de traiter des données à caractère personnel. Ces listes sont mises à Votre disposition en Annexe du présent accord. Nous Vous informerons de toute modification substantielle de cette liste et Vous Vous engagez à ne pas Vous opposer de manière déraisonnable à ces modifications. Si Vous ne souhaitez pas accepter une modification et qu’aucune entente ne peut être trouvée entre les parties qui négocient de bonne foi, Vous serez autorisé à résilier les Services Cloud conformément aux stipulations du Contrat client.
8.3 Les Sous-traitants tiers sont tenus d’assurer un niveau de protection et de sécurité des données aux moins équivalant à celui que TRAXXEO applique au traitement des données à caractère personnel en vertu du présent Accord sur le traitement des données.
8.4 Sous réserve de l’Article 12, TRAXXEO reste de tout temps responsable de l’exécution des obligations des Sous-traitants tiers conformément aux stipulations du présent Accord sur le traitement des données et de la Loi applicable en matière de protection des données.
9- Mesures techniques et organisationnelles, et confidentialité du traitement
9.1 TRAXXEO a mis en place et maintiendra des mesures de sécurité techniques et organisationnelles appropriées pour le Traitement des données à caractère personnel. Ces mesures tiennent compte de la nature, du champ d’application et de la finalité du traitement tels que stipulés dans le présent Accord sur le traitement des données, et visent à protéger les données à caractère personnel contre les risques inhérents au traitement des données à caractère personnel dans le cadre de l’exécution des Services Cloud, en particulier les risques de destruction accidentelle ou illicite, de perte, d’altération, de divulgation non autorisée ou d’accès aux données à caractère personnel transmises, stockées ou traitées de toute autre manière.
9.2 TRAXXEO a mis en œuvre les contrôles et mesures de sécurité appropriés en matière d’accès physique, d’accès au système, d’accès aux données, de transmission et de cryptage, de saisie, de sauvegarde des données, de séparation des données et de surveillance. Une liste détaillée de ces contrôles et mesures de sécurité sera mise à Votre disposition sur simple demande écrite effectuée à l’adresse : support@traxxeo.com.
9.3 TRAXXEO s’engage à assurer la confidentialité de toutes les Données à caractère personnel et à ne pas les divulguer de quelque manière que ce soit à un tiers sans l’accord préalable de la société, sauf si (1) une telle divulgation est nécessaire à la conduite du Traitement (par exemple, dans le cas d’un transfert à un sous-traitant), (2) sous réserve de l’Article 14, les données à caractère personnel doivent être divulguées à une autorité publique compétente pour se conformer à une obligation légale ou à des fins d’audit.
9.4 Tout le personnel de TRAXXEO, ainsi que tout Sous-traitant tiers susceptible d’avoir accès à des données à caractère personnel, est soumis à des accords de confidentialité adaptés aux finalités recherchées. TRAXXEO ne doit accorder l’accès aux données à ses employés ou aux Sous-traitants tiers que dans la mesure strictement nécessaire pour effectuer le traitement.
10- Droits d’audit et coopération avec Vous et Vos autorités de contrôle
10.1 Vous pouvez contrôler le respect par TRAXXEO de ses obligations au titre du présent Accord sur le traitement des données une fois par an. En outre, dans la mesure requise par la Loi applicable en matière de protection des données, et notamment lorsque Votre Autorité de surveillance le prescrit, Vous ou Votre Autorité de surveillance pouvez procéder à des audits plus fréquents, y compris à des inspections du centre de données du Service Cloud qui traite les données à caractère personnel. TRAXXEO vous aidera à effectuer de tels audits en Vous fournissant ou en fournissant à Votre Autorité de surveillance les informations et l’assistance raisonnablement nécessaires pour mener l’audit, y compris tout enregistrement pertinent des activités de traitement applicables aux Services Cloud que Vous avez commandés.
10.2 Lorsqu’un tiers est tenu d’effectuer l’audit, un tel tiers doit être accepté par Vous et TRAXXEO (sauf si ce tiers agit en qualité d’Autorité de surveillance compétente). TRAXXEO ne peut refuser de manière déraisonnable de donner son consentement à ce qu’un audit soit réalisé par un tiers à Votre demande. Le tiers est tenu de signer un accord de confidentialité écrit acceptable du point de vue de TRAXXEO ou être autrement lié par une obligation légale de confidentialité avant de procéder à l’audit.
10.3 Afin de demander un audit, il Vous incombe de soumettre à TRAXXEO une proposition détaillée de plan d’audit au moins deux semaines avant la date proposée pour l’audit. Le plan d’audit proposé doit notamment décrire le champ d’application, la durée et la date de début de l’audit. TRAXXEO examinera le plan d’audit proposé et Vous fera part de toute préoccupation ou question (par exemple, toute demande d’information susceptible de compromettre la sécurité, la vie privée, l’emploi ou d’autres politiques de TRAXXEO). TRAXXEO collaborera de bonne foi avec Vous afin de convenir d’un plan d’audit final.
10.4 L’audit doit être réalisé pendant les heures normales de travail dans l’établissement concerné, sous réserve du plan d’audit final convenu et des politiques de TRAXXEO en matière de santé et de sécurité ou d’autres politiques applicables, et ne doit pas interférer de manière déraisonnable avec les activités commerciales de TRAXXEO.
10.5 Vous fournirez à TRAXXEO tout rapport d’audit élaboré dans le cadre d’un audit effectué en vertu du présent Article 10, sauf si la Loi applicable en matière de protection des données l’interdit ou si une Autorité de surveillance Vous donne des instructions différentes. Vous ne pouvez utiliser les rapports d’audit qu’aux fins de satisfaire à Vos exigences réglementaires en matière d’audit et/ou de confirmer la conformité aux exigences du présent Accord sur le traitement des données. Les rapports d’audit constituent des informations confidentielles des parties conformément aux stipulations du Contrat de Services Cloud.
10.6 Tout audit sera conduit à Vos frais. Les parties doivent négocier de bonne foi relativement aux frais ou honoraires susceptibles d’être encourus par TRAXXEO pour fournir une assistance dans le cadre d’un audit qui nécessite la mobilisation de ressources différentes ou complémentaires à celles requises pour la fourniture des Services Cloud.
11 Gestion des incidents et notification d’Atteinte aux données à caractère personnel
11.1 TRAXXEO s’engage à évaluer et à réagir rapidement aux incidents entraînant des suspicions ou indiquant l’accès non autorisé à des données à caractère personnel ou leur traitement (« Incident »). L’ensemble du personnel de TRAXXEO ayant accès à des données à caractère personnel ou en charge de leur traitement a pour instruction d’intervenir en cas d’incident, y compris en effectuant un rapport interne rapide et en mettant en place des procédures d’escalade et des pratiques de chaîne de traçabilité afin de sécuriser les éventuelles preuves. Les accords de TRAXXEO avec les Sous-traitants tiers contiennent des obligations similaires de signalement des incidents.
11.2 Lorsque TRAXXEO prend connaissance et détermine qu’un Incident est considéré comme une violation de la sécurité entraînant le détournement ou la destruction accidentelle ou illicite, la perte, l’altération, la divulgation non autorisée ou l’accès à des données à caractère personnel transmises, stockées ou autrement traitées sur les systèmes TRAXXEO ou dans l’environnement des Services Cloud, qui compromet la sécurité, la confidentialité ou l’intégrité de ces données à caractère personnel (Une « Atteinte aux données à caractère personnel »), TRAXXEO Vous informera d’une telle Atteinte aux données à caractère personnel sans délai indu, au plus tard dans les 24 heures, en envoyant un e-mail à votre Délégué à la Protection des Données – ou à votre personne de contact pour la protection des données ou la sécurité des données, si ses coordonnées ont été fournies à TRAXXEO. Dans l’hypothèse où TRAXXEO n’aurait pas reçu de telles coordonnées, TRAXXEO enverra l’information à la personne de contact mentionnée dans le Contrat Client.
11.3 TRAXXEO s’engage à prendre des mesures raisonnables visant à identifier la ou les causes profondes de l’Atteinte aux données à caractère personnel, à en atténuer les effets négatifs éventuels et à empêcher qu’elle ne se reproduise.
11.4 Sauf disposition contraire de la Loi applicable en matière de protection des données, les parties conviennent de se coordonner de bonne foi afin d’élaborer le contenu de toute déclaration publique connexe ou de toute notification requise pour les Personnes concernées et/ou de toute notification aux Autorités de contrôle compétentes.
12- Retour et suppression des données à caractère personnel lors de la résiliation des Services Cloud
12.1 À la suite de la résiliation des Services Cloud, TRAXXEO restituera ou mettra à disposition pour récupération Vos données à caractère personnel alors disponibles dans Votre environnement de Services Cloud.
12.2 À la suite de la résiliation des Services Cloud ou à l’expiration de la période de récupération suivant la résiliation des Services Cloud (le cas échéant), TRAXXEO arrêtera rapidement le traitement et supprimera toutes les copies de données à caractère personnel de l’environnement des Services Cloud en rendant ces données à caractère personnel irrécupérables, sauf si la loi l’exige autrement.
13- Demandes de divulgation légalement requises
13.1 Si TRAXXEO reçoit une citation à comparaître ou est visé par une ordonnance judiciaire, administrative ou arbitrale émanant d’une agence exécutive ou administrative, d’une agence de régulation ou de toute autre autorité gouvernementale relativement au Traitement des données à caractère personnel (« Demande de divulgation »), TRAXXEO Vous transmettra rapidement cette Demande de divulgation sans y répondre, sauf si la Loi applicable l’exige (notamment pour délivrer un accusé de réception à l’autorité qui a procédé à la Demande de divulgation).
13.2 À Votre demande, TRAXXEO Vous fournira les informations raisonnables en sa possession qui peuvent répondre à la Demande de divulgation et toute assistance raisonnablement requise pour Vous permettre de répondre à la Demande de divulgation en temps utile.
14- Délégué à la protection des données
14.1 TRAXXEO a nommé un Délégué à la protection des données (DPD). Le DPD peut être contacté à tout moment en envoyant une demande à l’adresse : dpo@traxxeo.com.
14.2 Si Vous avez désigné un Délégué à la protection des données, Vous pouvez demander à TRAXXEO d’inclure les coordonnées de votre Délégué à la protection des données dans la commande, ou Vous pouvez par la suite communiquer les coordonnées dont il est question à TRAXXEO par voie électronique à l’adresse : dpo@traxxeo.com.
