Politique
de Protection des Données (privacy policy)
Il est précisé que les
termes revêtus d'une majuscule, non définis dans le cadre des présentes,
doivent être interprétés en fonction des définitions données dans les CGVS
Synox.
Les clauses ci-après
ont pour objet de définir les conditions dans lesquelles Synox, agissant en
qualité de Sous-traitant s'engage à effectuer pour le compte du Client,
agissant en qualité de Responsable de traitement, les opérations de traitement
des Données nécessaires à l'exécution des prestations que le Client confie à
Synox en vertu du Contrat et des Abonnements à la Plateforme de Service qui en
découlent (ci-après les « Prestations »).
Les Finalités du
traitement sont les suivantes :
-
Suivi,
contrôle, maîtrise et pilotage des Données,
-
Exécution
des Prestations objets du Contrat et des Abonnements souscrits en application,
-
Suivi de la
relation Client, notamment à des fins de support liés aux services fournis au
Client.
La nature des
principales opérations susceptibles d'être réalisées sur les données
personnelles sont les suivantes : La
collecte, l'enregistrement, l'organisation, la structuration, la conservation,
le stockage, l'adaptation ou la modification, l'extraction, la consultation,
l'utilisation, la communication par transmission, la diffusion ou toute autre
forme de mise à disposition, le rapprochement, la limitation, l'effacement ou
la destruction.
Les données à caractère
personnel traitées sont :
-
Identifiants
: Nom, prénom, pseudonyme, éventuel intitulé de poste,
-
Données de
contact : téléphone, adresse électronique,
-
Préférence
d'utilisation des sites ou plateformes (préférences de langue, monnaie,
paramétrage de la taille des éléments affichés),
-
Adresses IP
et données de connexion,
-
Données
relatives au carnet de bord des véhicules (état du véhicule, maintenance,
sinistre, consommation carburant)
-
Données
relatives à l'appréciation de la conduite des véhicules connectés (indicateurs
événements de conduites : freinage important, coup de volant brusque)
-
Eventuelles
données personnelles relatives à la mise en ligne de contenu personnel sur les
plateformes : photographies, documents (un bandeau d'avertissement rappel aux
utilisateurs d'éviter de déposer des données personnelles qui ne seraient pas
justifiées)
-
Pour les
Clients qui ont choisi d'utiliser les services de géolocalisation, Synox
collecte également :
-
Des données
de géolocalisation relatives notamment à la localisation des véhicules et, de
ce fait, des conducteurs et/ou de leurs assistants (heures de conduite etc) .
Les catégories de
personnes concernées sont : Les
salariés, collaborateurs, fournisseurs, conseils et/ou prestataire des parties.
Synox s'engage à :
-
traiter les
données personnelles uniquement pour les seules finalités qui font l'objet de
la sous-traitance et, notamment, à ne pas utiliser, directement ou
indirectement, de quelque manière et à quelque titre que ce soit, tout ou
partie desdites données pour son propre compte ou pour le compte de tiers ou
pour permettre une telle utilisation ;
-
traiter les
données personnelles conformément aux instructions documentées du Responsable
de traitement spécifiées dans le cadre des présentes et à l'occasion de
l'exécution du Contrat et/ou des Abonnements à la Plateforme de Service qui en
découlent. Si Synox considère qu'une instruction constitue une violation du
RGPD ou de toute autre disposition du droit de l'Union ou du droit des Etats
membres relative à la protection des données personnelle, elle en informe
immédiatement le Responsable de traitement. Synox est autorisée à ne pas
exécuter ladite instruction tant que le doute sur sa régularité n'aura pas été
levée par le Responsable de traitement ;
-
garantir la
confidentialité des données à caractère personnel traitées dans le cadre des
présentes et notamment :
o
ne pas
traiter, transférer, modifier, amender, altérer, divulguer ou permettre la
divulgation des données à un quelconque tiers, à l'exception des sous-traitants
autorisés, autrement que conformément aux instructions documentées par le
Responsable de Traitement ;
o
ne pas
publier, partager ou divulguer aucune des données personnelles à un quelconque
tiers (y compris les personnes physiques concernées), à l'exception des
sous-traitants autorisés, à moins que le Responsable de traitement ne donne
instruction par écrit d'y procéder.
-
veiller à
ce que les personnes autorisées à traiter les données à caractère personnel en
vertu des présentes:
o
s'engagent
à respecter la confidentialité telle que prévue aux présentes ou soient
soumises à une obligation contractuelle au moins équivalente;
o
reçoivent
la formation nécessaire en matière de protection des données à caractère
personnel notamment en termes de sécurité des données.
-
prendre en
compte, s'agissant de ses outils, produits, applications ou services, les
principes de protection des données dès la conception et de protection des
données par défaut.
Synox est autorisée à
faire appel à des sous-traitants pour l'exécution des Prestations nécessitant
le traitement de données personnelles.
La liste des
sous-traitants d'ores et déjà identifiés figure en Annexe A aux présentes.
Si Synox souhaite faire
appel à des sous-traitants non visés dans cette Annexe A, elle doit, néanmoins,
en informer le Client, préalablement et par écrit, afin de permettre à ce
dernier d'émettre des objections éventuelles. Cette notification d'information
devra préciser clairement les activités de traitement sous-traitées, la date
envisagée pour la prise d'effet du contrat de sous-traitance, l'identité, les
lieux et pays d'implantation du sous-traitant et le recours éventuel par ce
dernier à d'autres sous-traitants susceptibles d'intervenir sur lesdites
données.
Le Client dispose d'un
délai de dix (10) jours calendaires suivant la réception de cette information
pour faire part de ses objections.
En l'absence de réponse
du Client dans de ce délai de dix (10) jours, ce dernier est présumé avoir
accepté, sans objection, le recours à ce sous-traitant.
Le sous-traitant de
Synox devra respecter les obligations prévues aux présentes pour le compte et
selon les instructions du Responsable du traitement. Il appartient à Synox de
s'assurer que le sous-traitant présente les mêmes garanties suffisantes quant à
la mise en oeuvre de mesures techniques et organisationnelles appropriées, de
manière à ce que le traitement réponde aux exigences du Règlement Européen sur
la Protection des Données. Si le Sous-traitant ne remplit pas ses obligations
en matière de protection des données, Synox demeure responsable à l'égard du
Responsable de traitement de l'exécution par le sous-traitant de ses
obligations, sous réserve d'un partage de responsabilité avec ce dernier.
Conformément à la
Législation en matière de données personnelles, Synox s'engage à mettre en
oeuvre des mesures techniques et organisationnelles appropriées afin de garantir
un niveau de sécurité adapté au risque.
Pendant l'exécution du
Contrat, Synox s'engage à ne pas conserver les données personnelles au-delà de
la durée de conservation nécessaire et proportionnelle à la finalité des
Prestations pour lesquelles elles ont été collectées, et en tout état de cause,
à ne pas les conserver au-delà d'une durée de cinq (5) ans suivant la date à
laquelle lesdites données lui auront été transférées ou mises à sa disposition
par le Client.
Par dérogation à ce qui
précède, les Données pourront être conservées au-delà d'une durée de cinq (5)
ans, à des fins d'archivage légal ou probatoire des Données Personnelles en
vertu d'une obligation légale qui s'impose à Synox. Dans ce cas, il lui revient
de notifier préalablement au Client l'exécution de cette obligation. A l'issue
de ce délai légal, Synox devra alors détruire toute copie des données
personnelles ainsi archivées.
Au terme du Contrat, ou
en cas de rupture anticipée de ce dernier pour quelque cause que ce soit, le
Client notifiera par écrit avec accusé de réception à Synox, dans un délai
maximum de trente (30) jours ouvrés à compter de la date de cessation dudit
contrat, son souhait de voir les données personnelles détruites ou restituées.
En cas de demande du
Client de restitution des données personnelles, Synox s'engage à restituer ces
dernières dans un format lisible et sur support numérique, et ce dans un délai
de quinze (15) jours ouvrés à compter de la notification prévue au paragraphe
précédent. La restitution doit s'accompagner de la destruction de toutes les
copies existantes.
En l'absence de demande
de restitution des données personnelles dans ce délai ou en cas de demande de
destruction, Synox s'engage à supprimer lesdites données, y compris toutes les
copies de ces données, et ce dans un délai de quinze (15) jours ouvrés à
compter de la date de fin du Contrat.
Synox communique au
Responsable de traitement le nom et les coordonnées de son Délégué à la
Protection des Données, si elle en a désigné un conformément à l'article 37 du
Règlement RGPD.
Synox s'engage à tenir
par écrit un registre de toutes les catégories d'activités de traitement
effectuées pour le compte du Client comprenant :
-
le nom et
les coordonnées du Responsable de traitement pour le compte duquel elle agit,
ceux de ses éventuels sous-traitants et, le cas échéant, du Délégué à la
Protection des Données ;
-
les
catégories de traitements effectués pour le compte du Responsable de traitement
;
-
le cas
échéant, les transferts de Données à caractère personnel vers un pays tiers ou
à une organisation internationale, y compris l'identification de ce pays tiers
ou de cette organisation internationale et, dans le cas des transferts visés à
l'article 49, paragraphe 1, deuxième alinéa du Règlement Européen sur la
Protection des Données, les documents attestant de l'existence de garanties
appropriées ;
-
dans la
mesure du possible, une description générale des mesures de sécurité techniques
et organisationnelles.
Les transferts de
données personnelles vers un pays tiers ou à une organisation internationale
seront effectuées sur instructions documentées du Responsable de traitement.
Si Synox est tenue de
procéder à un transfert de données vers un pays tiers ou à une organisation
internationale, en vertu du droit de l'Union ou du droit de l'Etat membre
auquel elle est soumise, elle doit en informer le Responsable de traitement
avant le traitement, sauf si le droit concerné interdit une telle information
pour des motifs importants d'intérêt public.
En tout état de cause,
Synox s'engage à ce que ce transfert soit effectué conformément à la
Législation en matière de données personnelles et à conclure avec le Client
et/ou tout tiers concernés des modalités d'encadrement d'un tel transfert
reconnu valable par la Législation en matière de données personnelles.
Synox notifie au Client
toute violation de données à caractère personnel, ainsi que toute plainte qui
lui serait adressée par tout individu concerné par les données personnelles
traitées dans le cadre des présentes, dans un délai maximum de 48
(quarante-huit) heures après en avoir pris connaissance et par le moyen suivant
: téléphone mobile avec confirmation par message électronique auprès des
interlocuteurs sécurité dont les coordonnées auront été transmises par chacune
des parties à l'autre. Cette notification est accompagnée de toute
documentation utile afin de permettre au Client, si nécessaire, de notifier
cette violation à l'autorité de contrôle compétente.
Pour l'application du
présent article, on entend par violation des données personnelles, toute
violation de la sécurité entraînant, de manière accidentelle ou de manière
illicite la destruction, la perte, l'altération, la divulgation non autorisée
de données personnelles ou l'accès non autorisé aux données personnelles par
des personnels non habilités ou par des tiers dont l'intervention n'est pas
nécessaire aux fins des Prestations et du Contrat. Synox est autorisée à
prendre toutes les mesures immédiates, raisonnables et nécessaires, en
collaboration avec le Client, afin de limiter les conséquences d'une telle
violation des données personnelles.
Synox aidera, dans la
mesure du possible et le cas échéant, dans le cadre d'un budget supplémentaire
à définir, le Responsable de traitement à garantir le respect des obligations
prévues aux articles 32 à 36 du RGPD et notamment :
-
pour la
réalisation d'Analyses d'Impact relatives à la protection des données.
-
pour la
réalisation de la consultation préalable de l'autorité de contrôle.
Synox s'engage, en
outre, à mettre à la disposition du Client toutes les informations nécessaires
afin d'apporter la preuve du respect de ses obligations au regard de la
Législation en matière de Données Personnelles et pour permettre la réalisation
d'audits par le Responsable de traitement ou un autre auditeur qu'il a mandaté
à cet effet. Il est entendu entre les Parties que le Client n'aura pas accès
aux documents dont les informations seraient sans lien avec le contrôle des
obligations de Synox au titre du présent article. En outre, l'auditeur tiers
éventuellement mandaté par le Client devra être indépendant des Parties, avoir
une qualification adéquate et ne devra pas être susceptible de concurrencer
Synox. Les frais de l'audit, quel qu'en soit le résultat, seront à la charge du
Client. Les résultats de l'audit devront être communiqués à Synox. Par
ailleurs, Synox s'engage à coopérer avec les autorités de contrôle compétentes,
notamment en cas de demande d'information qui pourrait lui être adressée en cas
de contrôle.
De la même manière,
Synox s'engage à assister le Client et à coopérer avec ce dernier, dans le
cadre d'un budget supplémentaire à définir, en matière de respect de la
Législation en matière de données personnelles, et notamment dans l'hypothèse
dans laquelle la personne concernée par les traitements formulerait, dans le
cadre des Prestations, des demandes d'exercice, accès, rectification,
effacement, opposition et de portabilité.
En sa qualité de
sous-traitant, le traitement effectué par Synox en vue des finalités décrites à
l'article 2 ci-dessus s'effectue dans le cadre d'une licence d'accès et
d'utilisation aux fins et pour la durée du Contrat et le Client (ou les
Utilisateurs) demeure seul propriétaire des données personnelles que Synox sera
amené à produire ou à traiter à l'occasion de l'exécution des Prestations.
Il appartient au
Client, en sa qualité de Responsable de traitement, de fournir l'information aux
Personnes Concernées par les opérations de traitement au moment de la collecte
des Données.
Dans la mesure du
possible, Synox doit aider le Client à s'acquitter de son obligation de donner
suite aux demandes d'exercice des Droits des Personnes Concernées : droit
d'accès, de rectification, d'effacement et d'opposition, droit à la limitation
du traitement, droit à la portabilité des Données, et droit de ne pas faire
l'objet d'une décision individuelle automatisée (y compris le profilage).
Lorsque les Personnes
Concernées exercent auprès de Synox des demandes d'exercice de leurs droits,
Synox doit adresser ces demandes au Client dès réception par courrier
électronique à l'adresse spécifique qui lui sera indiquée par le Client.
En sa qualité de
Responsable de traitement, le Client s'engage à :
-
fournir à
Synox les données visées à l'article 2 des présentes,
-
documenter
par écrit toute instruction concernant le traitement des données par Synox,
-
veiller, au
préalable et pendant toute la durée du traitement, au respect des obligations
prévues par le Règlement RGPD de la part de Synox,
-
superviser
le traitement.
En outre, en vertu du
RGPD, Synox et son personnel disposent d'un droit d'accès, de modification et
de rectification concernant leurs Données à caractère personnel, et sont en
droit de demander une limitation du Traitement de leurs Données à caractère
personnel en envoyant un e-mail ou un courrier au Client.
Chacune des Parties
déclare être parfaitement informée du caractère confidentiel des données
personnelles.
Les Parties s'engagent
à ne faire aucun usage commercial des données personnelles et à ne faire ni
copie (mécaniquement ou électroniquement) ni reproduction par d'autres moyens
des données personnelles sauf aux fins d'exécution du Contrat.
Les Parties s'engagent
à veiller à ce que les personnes autorisées à traiter les données personnelles
en vertu des présentes s'engagent à respecter leur confidentialité ou soient
soumises à une obligation légale appropriée de confidentialité.
Les obligations de
confidentialité et de sécurité relatives aux données personnelles resteront en
vigueur cinq (5) ans à compter de l'expiration du Contrat.
Identité du soustraitant
Synox |
Nature des traitements sous-traités |
Lieu d'implantation |
Date de prise d'effet du contrat de
sous-traitance |
Sous-traitant(s) éventuel(s) du soustraitant Synox |
ASPSERVEUR |
Hébergement, stockage, sauvegarde |
France |
01/02/2019 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|