Une image contenant Graphique, graphisme, texte, Police

Description générée automatiquement

Politique de Protection des Données (privacy policy)

 

Il est précisé que les termes revêtus d'une majuscule, non définis dans le cadre des présentes, doivent être interprétés en fonction des définitions données dans les CGVS Synox.

 

ARTICLE 1 - DESCRIPTION DES TRAITEMENTS CONFIES AU SOUS TRAITANT

 

Les clauses ci-après ont pour objet de définir les conditions dans lesquelles Synox, agissant en qualité de Sous-traitant s'engage à effectuer pour le compte du Client, agissant en qualité de Responsable de traitement, les opérations de traitement des Données nécessaires à l'exécution des prestations que le Client confie à Synox en vertu du Contrat et des Abonnements à la Plateforme de Service qui en découlent (ci-après les « Prestations »).

Les Finalités du traitement sont les suivantes :

-       Suivi, contrôle, maîtrise et pilotage des Données,

-       Exécution des Prestations objets du Contrat et des Abonnements souscrits en application,

-       Suivi de la relation Client, notamment à des fins de support liés aux services fournis au Client.

La nature des principales opérations susceptibles d'être réalisées sur les données personnelles sont les suivantes :  La collecte, l'enregistrement, l'organisation, la structuration, la conservation, le stockage, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement, la limitation, l'effacement ou la destruction.

Les données à caractère personnel traitées sont :

-       Identifiants : Nom, prénom, pseudonyme, éventuel intitulé de poste,

-       Données de contact : téléphone, adresse électronique,

-       Préférence d'utilisation des sites ou plateformes (préférences de langue, monnaie, paramétrage de la taille des éléments affichés),

-       Adresses IP et données de connexion,

-       Données relatives au carnet de bord des véhicules (état du véhicule, maintenance, sinistre, consommation carburant)

-       Données relatives à l'appréciation de la conduite des véhicules connectés (indicateurs événements de conduites : freinage important, coup de volant brusque)

-       Eventuelles données personnelles relatives à la mise en ligne de contenu personnel sur les plateformes : photographies, documents (un bandeau d'avertissement rappel aux utilisateurs d'éviter de déposer des données personnelles qui ne seraient pas justifiées)

-       Pour les Clients qui ont choisi d'utiliser les services de géolocalisation, Synox collecte également :

-       Des données de géolocalisation relatives notamment à la localisation des véhicules et, de ce fait, des conducteurs et/ou de leurs assistants (heures de conduite etc) .

Les catégories de personnes concernées sont :  Les salariés, collaborateurs, fournisseurs, conseils et/ou prestataire des parties.

 

ARTICLE 2 - OBLIGATIONS DE SYNOX A L'EGARD DU RESPONSABLE DU TRAITEMENT

 

2.1. Obligations générales

 

Synox s'engage à :

-       traiter les données personnelles uniquement pour les seules finalités qui font l'objet de la sous-traitance et, notamment, à ne pas utiliser, directement ou indirectement, de quelque manière et à quelque titre que ce soit, tout ou partie desdites données pour son propre compte ou pour le compte de tiers ou pour permettre une telle utilisation ;

-       traiter les données personnelles conformément aux instructions documentées du Responsable de traitement spécifiées dans le cadre des présentes et à l'occasion de l'exécution du Contrat et/ou des Abonnements à la Plateforme de Service qui en découlent. Si Synox considère qu'une instruction constitue une violation du RGPD ou de toute autre disposition du droit de l'Union ou du droit des Etats membres relative à la protection des données personnelle, elle en informe immédiatement le Responsable de traitement. Synox est autorisée à ne pas exécuter ladite instruction tant que le doute sur sa régularité n'aura pas été levée par le Responsable de traitement ;

-       garantir la confidentialité des données à caractère personnel traitées dans le cadre des présentes et notamment :

o   ne pas traiter, transférer, modifier, amender, altérer, divulguer ou permettre la divulgation des données à un quelconque tiers, à l'exception des sous-traitants autorisés, autrement que conformément aux instructions documentées par le Responsable de Traitement ;

o   ne pas publier, partager ou divulguer aucune des données personnelles à un quelconque tiers (y compris les personnes physiques concernées), à l'exception des sous-traitants autorisés, à moins que le Responsable de traitement ne donne instruction par écrit d'y procéder.

-       veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu des présentes:

o   s'engagent à respecter la confidentialité telle que prévue aux présentes ou soient soumises à une obligation contractuelle au moins équivalente;

o   reçoivent la formation nécessaire en matière de protection des données à caractère personnel notamment en termes de sécurité des données.

-       prendre en compte, s'agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut.

 

2.2. Sous-traitance

 

Synox est autorisée à faire appel à des sous-traitants pour l'exécution des Prestations nécessitant le traitement de données personnelles.

La liste des sous-traitants d'ores et déjà identifiés figure en Annexe A aux présentes.

Si Synox souhaite faire appel à des sous-traitants non visés dans cette Annexe A, elle doit, néanmoins, en informer le Client, préalablement et par écrit, afin de permettre à ce dernier d'émettre des objections éventuelles. Cette notification d'information devra préciser clairement les activités de traitement sous-traitées, la date envisagée pour la prise d'effet du contrat de sous-traitance, l'identité, les lieux et pays d'implantation du sous-traitant et le recours éventuel par ce dernier à d'autres sous-traitants susceptibles d'intervenir sur lesdites données.

Le Client dispose d'un délai de dix (10) jours calendaires suivant la réception de cette information pour faire part de ses objections.

En l'absence de réponse du Client dans de ce délai de dix (10) jours, ce dernier est présumé avoir accepté, sans objection, le recours à ce sous-traitant.

Le sous-traitant de Synox devra respecter les obligations prévues aux présentes pour le compte et selon les instructions du Responsable du traitement. Il appartient à Synox de s'assurer que le sous-traitant présente les mêmes garanties suffisantes quant à la mise en oeuvre de mesures techniques et organisationnelles appropriées, de manière à ce que le traitement réponde aux exigences du Règlement Européen sur la Protection des Données. Si le Sous-traitant ne remplit pas ses obligations en matière de protection des données, Synox demeure responsable à l'égard du Responsable de traitement de l'exécution par le sous-traitant de ses obligations, sous réserve d'un partage de responsabilité avec ce dernier.

 

2.3. Mesures de sécurité

 

Conformément à la Législation en matière de données personnelles, Synox s'engage à mettre en oeuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque.

 

2.4. Durée de conservation, de destruction et/ou de restitution des données personnelles

 

Pendant l'exécution du Contrat, Synox s'engage à ne pas conserver les données personnelles au-delà de la durée de conservation nécessaire et proportionnelle à la finalité des Prestations pour lesquelles elles ont été collectées, et en tout état de cause, à ne pas les conserver au-delà d'une durée de cinq (5) ans suivant la date à laquelle lesdites données lui auront été transférées ou mises à sa disposition par le Client.

Par dérogation à ce qui précède, les Données pourront être conservées au-delà d'une durée de cinq (5) ans, à des fins d'archivage légal ou probatoire des Données Personnelles en vertu d'une obligation légale qui s'impose à Synox. Dans ce cas, il lui revient de notifier préalablement au Client l'exécution de cette obligation. A l'issue de ce délai légal, Synox devra alors détruire toute copie des données personnelles ainsi archivées.

Au terme du Contrat, ou en cas de rupture anticipée de ce dernier pour quelque cause que ce soit, le Client notifiera par écrit avec accusé de réception à Synox, dans un délai maximum de trente (30) jours ouvrés à compter de la date de cessation dudit contrat, son souhait de voir les données personnelles détruites ou restituées.

En cas de demande du Client de restitution des données personnelles, Synox s'engage à restituer ces dernières dans un format lisible et sur support numérique, et ce dans un délai de quinze (15) jours ouvrés à compter de la notification prévue au paragraphe précédent. La restitution doit s'accompagner de la destruction de toutes les copies existantes.

En l'absence de demande de restitution des données personnelles dans ce délai ou en cas de demande de destruction, Synox s'engage à supprimer lesdites données, y compris toutes les copies de ces données, et ce dans un délai de quinze (15) jours ouvrés à compter de la date de fin du Contrat.

 

2.5. Délégué à la Protection des Données

 

Synox communique au Responsable de traitement le nom et les coordonnées de son Délégué à la Protection des Données, si elle en a désigné un conformément à l'article 37 du Règlement RGPD.

 

2.6. Registre des catégories d'activités de traitement

 

Synox s'engage à tenir par écrit un registre de toutes les catégories d'activités de traitement effectuées pour le compte du Client comprenant :

-       le nom et les coordonnées du Responsable de traitement pour le compte duquel elle agit, ceux de ses éventuels sous-traitants et, le cas échéant, du Délégué à la Protection des Données ;

-       les catégories de traitements effectués pour le compte du Responsable de traitement ;

-       le cas échéant, les transferts de Données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa du Règlement Européen sur la Protection des Données, les documents attestant de l'existence de garanties appropriées ;

-       dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles.

 

2.7. Localisation et transfert des Données à caractère personnel

 

Les transferts de données personnelles vers un pays tiers ou à une organisation internationale seront effectuées sur instructions documentées du Responsable de traitement.

Si Synox est tenue de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l'Union ou du droit de l'Etat membre auquel elle est soumise, elle doit en informer le Responsable de traitement avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public.

En tout état de cause, Synox s'engage à ce que ce transfert soit effectué conformément à la Législation en matière de données personnelles et à conclure avec le Client et/ou tout tiers concernés des modalités d'encadrement d'un tel transfert reconnu valable par la Législation en matière de données personnelles.

 

2.8. Notification des violations de Données à caractère personnel

 

Synox notifie au Client toute violation de données à caractère personnel, ainsi que toute plainte qui lui serait adressée par tout individu concerné par les données personnelles traitées dans le cadre des présentes, dans un délai maximum de 48 (quarante-huit) heures après en avoir pris connaissance et par le moyen suivant : téléphone mobile avec confirmation par message électronique auprès des interlocuteurs sécurité dont les coordonnées auront été transmises par chacune des parties à l'autre. Cette notification est accompagnée de toute documentation utile afin de permettre au Client, si nécessaire, de notifier cette violation à l'autorité de contrôle compétente.

Pour l'application du présent article, on entend par violation des données personnelles, toute violation de la sécurité entraînant, de manière accidentelle ou de manière illicite la destruction, la perte, l'altération, la divulgation non autorisée de données personnelles ou l'accès non autorisé aux données personnelles par des personnels non habilités ou par des tiers dont l'intervention n'est pas nécessaire aux fins des Prestations et du Contrat. Synox est autorisée à prendre toutes les mesures immédiates, raisonnables et nécessaires, en collaboration avec le Client, afin de limiter les conséquences d'une telle violation des données personnelles.

 

2.9. Devoir d'assistance et de coopération avec le Client et les autorités de contrôle compétentes

 

Synox aidera, dans la mesure du possible et le cas échéant, dans le cadre d'un budget supplémentaire à définir, le Responsable de traitement à garantir le respect des obligations prévues aux articles 32 à 36 du RGPD et notamment :

-       pour la réalisation d'Analyses d'Impact relatives à la protection des données.

-       pour la réalisation de la consultation préalable de l'autorité de contrôle.

Synox s'engage, en outre, à mettre à la disposition du Client toutes les informations nécessaires afin d'apporter la preuve du respect de ses obligations au regard de la Législation en matière de Données Personnelles et pour permettre la réalisation d'audits par le Responsable de traitement ou un autre auditeur qu'il a mandaté à cet effet. Il est entendu entre les Parties que le Client n'aura pas accès aux documents dont les informations seraient sans lien avec le contrôle des obligations de Synox au titre du présent article. En outre, l'auditeur tiers éventuellement mandaté par le Client devra être indépendant des Parties, avoir une qualification adéquate et ne devra pas être susceptible de concurrencer Synox. Les frais de l'audit, quel qu'en soit le résultat, seront à la charge du Client. Les résultats de l'audit devront être communiqués à Synox. Par ailleurs, Synox s'engage à coopérer avec les autorités de contrôle compétentes, notamment en cas de demande d'information qui pourrait lui être adressée en cas de contrôle.

De la même manière, Synox s'engage à assister le Client et à coopérer avec ce dernier, dans le cadre d'un budget supplémentaire à définir, en matière de respect de la Législation en matière de données personnelles, et notamment dans l'hypothèse dans laquelle la personne concernée par les traitements formulerait, dans le cadre des Prestations, des demandes d'exercice, accès, rectification, effacement, opposition et de portabilité.

 

ARTICLE 3 - DROIT DES PERSONNES CONCERNEES PAR LE TRAITEMENT

 

3.1. Propriété des Données Personnelles

 

En sa qualité de sous-traitant, le traitement effectué par Synox en vue des finalités décrites à l'article 2 ci-dessus s'effectue dans le cadre d'une licence d'accès et d'utilisation aux fins et pour la durée du Contrat et le Client (ou les Utilisateurs) demeure seul propriétaire des données personnelles que Synox sera amené à produire ou à traiter à l'occasion de l'exécution des Prestations.

 

3.2. Droit d'information des Personnes Concernées

 

Il appartient au Client, en sa qualité de Responsable de traitement, de fournir l'information aux Personnes Concernées par les opérations de traitement au moment de la collecte des Données.

 

3.3. Exercice des Droits des Personnes

 

Dans la mesure du possible, Synox doit aider le Client à s'acquitter de son obligation de donner suite aux demandes d'exercice des Droits des Personnes Concernées : droit d'accès, de rectification, d'effacement et d'opposition, droit à la limitation du traitement, droit à la portabilité des Données, et droit de ne pas faire l'objet d'une décision individuelle automatisée (y compris le profilage).

Lorsque les Personnes Concernées exercent auprès de Synox des demandes d'exercice de leurs droits, Synox doit adresser ces demandes au Client dès réception par courrier électronique à l'adresse spécifique qui lui sera indiquée par le Client.

 

ARTICLE 4 - OBLIGATIONS DU CLIENT A L'EGARD DE SYNOX

 

En sa qualité de Responsable de traitement, le Client s'engage à :

-       fournir à Synox les données visées à l'article 2 des présentes,

-       documenter par écrit toute instruction concernant le traitement des données par Synox,

-       veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le Règlement RGPD de la part de Synox,

-       superviser le traitement.

En outre, en vertu du RGPD, Synox et son personnel disposent d'un droit d'accès, de modification et de rectification concernant leurs Données à caractère personnel, et sont en droit de demander une limitation du Traitement de leurs Données à caractère personnel en envoyant un e-mail ou un courrier au Client.

 

ARTICLE 5 - CONFIDENTIALITE

 

Chacune des Parties déclare être parfaitement informée du caractère confidentiel des données personnelles.

Les Parties s'engagent à ne faire aucun usage commercial des données personnelles et à ne faire ni copie (mécaniquement ou électroniquement) ni reproduction par d'autres moyens des données personnelles sauf aux fins d'exécution du Contrat.

Les Parties s'engagent à veiller à ce que les personnes autorisées à traiter les données personnelles en vertu des présentes s'engagent à respecter leur confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

Les obligations de confidentialité et de sécurité relatives aux données personnelles resteront en vigueur cinq (5) ans à compter de l'expiration du Contrat.

 

ANNEXE A - SOUS TRAITANT SYNOX AUTORISES

 

Identité du soustraitant Synox

Nature des traitements sous-traités

Lieu d'implantation

Date de prise d'effet du contrat de sous-traitance

Sous-traitant(s) éventuel(s) du soustraitant Synox

ASPSERVEUR

Hébergement, stockage, sauvegarde

France

01/02/2019