LA PROTECTIONS DES DONNES PERSONNELLES CHEZ GEONATIVE
Au 1er janvier 2020, GEOTRACEUR SARL devient GEONATIVE SAS
1. DÉFINITIONS
Les termes non définis ci-dessous commençant par une majuscule et utilisés aux présentes, auront la signification qui leur est donnée par le Règlement Général sur la Protection des Données à Caractère Personnel n° 2016/679 (RGPD).
Pour les besoins des présentes, les termes ci-après employés auront la définition suivante. Les mots écrits au singulier peuvent s’entendre au pluriel et réciproquement :
– « Autorité de contrôle » : désigne l’autorité publique indépendante qui est instituée par un Etat membre en vertu de l’article 51 du Règlement Général sur la Protection des Données à Caractère Personnel n° 2016/679.
– « Données à Caractère Personnel » : désigne toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée la « Personne Concernée ») telle que définie dans la Réglementation Applicable.
– « Mesures Techniques et Organisationnelles » : désignent :
- toutes les mesures notamment les techniques de sensibilisation, formation, sécurisation et évolutives des systèmes d’information comprenant les réseaux, les postes de travail, les terminaux nomades, les données, telles que la pseudonymisation, le chiffrement,
- les mesures garantissant la confidentialité, l’intégrité, la disponibilité des systèmes, la résilience des systèmes et des services de traitement,
- les mesures permettant de rétablir la disponibilité des Données à Caractère Personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique,
- la procédure visant à tester, analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles,
- l’application d’un code de conduite ou d’un mécanisme de certification démontrant le respect des obligations de sécurité.
– « Réglementation Applicable » : désigne l’ensemble des lois et réglementations, y compris celles de l’Union Européenne, applicables au(x) Traitement(s) concernés et en particulier la loi n°78-17 du 6 janvier 1978 (dite « Loi Informatique et Libertés ») ainsi que le Règlement (UE) n°2016-679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après le « RGPD ») ainsi que toute réglementation européenne et l’ensemble des recommandations, délibérations et autres normes édictées par la Commission Nationale de l’Informatiques des Libertés, la Commission européenne , le Comité européen de la protection des données existant à ce jour.
– « Responsable de traitement » : désigne la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du Traitement ; tel que défini dans la Réglementation Applicable. Au regard de la Règlementation Applicable, que le Client est considéré comme Responsable de traitement dans le cadre du Traitement.
– « Sous-traitant » : désigne la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des Données à caractère personnel pour le compte du Responsable du traitement ; tel que défini dans la Réglementation Applicable. Il a été déterminé entre les Parties, au regard de la Réglementation Applicable, que Le Prestataire est considéré comme Sous-Traitant dans le cadre du Traitement.
– « Services » : désigne les Services définis à l’article 1 (Définition) des Conditions générales de Vente ou de prestations de services de la société GEONATIVE.
« Traitement(s) » : désigne toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés appliquées aux Données à Caractère Personnel dans le cadre des Services, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction, tel que défini dans la Réglementation Applicable. Les Parties reconnaissent que le seul Traitement considéré par le présent Accord est celui, mis en œuvre dans le cadre des Services, tel que défini à l’article « Description du Traitement ».
2. DESCRIPTION DU TRAITEMENT
Le Sous-traitant est autorisé à traiter les Données à Caractère Personnel nécessaires pour fournir les Services pour le compte du Responsable de traitement. Le Sous-traitant sera amené à traiter des Données à Caractère Personnel dans le cadre des Traitements dont la nature, les finalités et la description, les catégories de Personnes Concernées et la durée de conservation sont décrites à l’article 14 du présent Accord. Le Responsable de traitement pourra modifier à tout moment la description de ces Traitements et en notifiera le Sous-traitant.
3. QUALIFICATION DES PARTIES
Les Parties reconnaissent et acceptent que :
– Dans le cadre de l’exécution des Services, le Client agit en tant que Responsable de Traitement à l’égard du Traitement effectué en application des Services.
– Le Prestataire agit en tant que Sous-Traitant des Données à Caractère Personnel sur instruction documentée du Responsable de Traitement dans le cadre du Traitement du présent Accord. Le Prestataire reste responsable de l’ensemble des déclarations et obligations qui lui incombent au regard de la Règlementation Applicable en sa qualité de « Sous-traitant ». Le Sous-traitant traite exclusivement les Données à Caractère Personnel conformément aux instructions du Responsable de traitement. L’Accord contient les instructions complètes et définitives du Responsable de traitement concernant le traitement par le Sous-traitant des Données à Caractère Personnel. Toute instruction supplémentaire ou alternative doit faire l’objet d’un écrit de la part du Responsable de Traitement.
4. COOPERATION ENTRE LES PARTIES.
Les Parties s’engagent à respecter la Réglementation Applicable.
A ce titre, les Parties s’engagent notamment à :
– collaborer pour donner effet aux droits des Personnes Concernées dans les conditions définies ci-dessous ;
– coopérer entre elles et avec l’Autorité de contrôle, à la demande de celle-ci, dans l’exécution de ses missions, notamment en cas de demande d’information ou de contrôle.
– Dans le cas où le contrôle mené ne concernerait que les traitements mis en œuvre par Le Prestataire en tant que Responsable du traitement, Le Prestataire fera son affaire du contrôle et s’interdira de communiquer ou de faire état des Données à Caractère Personnel qu’il traite pour le compte du Client.
– Dans le cas où le contrôle mené chez Le Prestataire concernerait les Traitements mis en œuvre au nom et pour le compte du Client, Le Prestataire s’engage à en informer immédiatement le Client et à ne prendre aucun engagement pour lui.
– En cas de contrôle d’une Autorité compétente chez le Client portant notamment sur les Services délivrées par Le Prestataire, celui-ci s’engage à coopérer avec le Client et à lui fournir toute information dont celui-ci pourrait avoir besoin ou qui s’avèrerait nécessaire.
Le Sous-traitant devra consentir ses meilleurs efforts pour aider le Responsable de traitement à s’acquitter de son obligation d’informer les autorités compétentes et les Personnes Concernées en cas de violation des Données à Caractère Personnel.
5. ENGAGEMENTS DU RESPONSABLE DU TRAITEMENT
5.1 Principes
En tant que Responsable de Traitement, le Client s’engage à :
– donner toute instruction concernant le Traitement et fournir au Sous-traitant toutes instructions nécessaires dans le cadre de la mise en œuvre du Traitement, que ce soit aux fins d’appliquer la Règlementation Applicable ou eu égard à ses besoins ;
En outre, le Responsable de traitement s’assure :
– qu’il est autorisé à confier au Sous-traitant les Données à Caractère Personnel dans le cadre des Services, et à faire traiter les Données à Caractère Personnel par le Sous-traitant dans le cadre des Services ;
5.2 Instructions du Responsable de traitement
En confiant la réalisation des Services au Sous-traitant, le Responsable de traitement donne instruction au Sous-traitant de traiter les Données à Caractère Personnel pour la finalité définie à l’Article 14 « Description du Traitement ».
Pendant la durée des Services, le Responsable de traitement pourra donner des instructions documentées au Sous-traitant concernant le Traitement.
Le Sous-traitant informe immédiatement le Responsable de traitement par écrit et au plus tard dans un délai de quarante-huit (48) heures à compter de la notification d’une instruction, s’il :
– considère qu’une instruction du Responsable de Traitement viole la Règlementation Applicable ;
– n’est pas en mesure de respecter une instruction relative à la Réglementation Applicable donnée par le Responsable de traitement. ;
– considère qu’une modification ou un changement découlant de l’instruction pourrait impacter le Traitement des Données à Caractère Personnel et/ou du Service.
Toute instruction n’émanant pas directement du Responsable de traitement, en dehors des instructions qui pourraient être données par une Autorité de contrôle compétente telle que l’Autorité de Contrôle nationale en matière de protection des Données à Caractère Personnel ou une juridiction, ne sera pas prise en compte par le Sous-traitant.
6. ENGAGEMENTS DU SOUS-TRAITANT
6.1 Principes
Le Sous-traitant s’engage à procéder au Traitement des Données à Caractère Personnel :
– uniquement pour les finalités précisées dans le présent Accord et notamment à l’Article 14 ;
– conformément aux instructions documentées du Responsable de traitement ;
– conformément aux dispositions de la Règlementation Applicable.
Le Sous-traitant s’engage plus précisément à :
– ne jamais exploiter les Données à Caractère Personnel collectées dans le cadre de l’exécution des Services pour son propre compte ou pour celui d’autres sociétés que le Client.
– prendre les Mesures Techniques et Organisationnelles appropriées et à garantir les droits des Personnes Concernées dans les conditions prévues au présent Accord et plus particulièrement celles requises en vertu de l’article 32 du RGPD;
– garantir la confidentialité des Données à Caractère Personnel dans les conditions prévues au présent Accord ;
– veiller à ce que les personnes autorisées par le Sous-Traitant à traiter les Données à Caractère Personnel telles que les salariés, préposés, prestataires ou sous-traitants (ci-après les « Personnes Autorisées) :
- s’engagent à respecter la confidentialité des Données à Caractère Personnel dans les conditions prévues par le présent Accord signé entre le Sous-Traitant et les Personnes Autorisées, ou que ces dernières soient soumises à une obligation légale appropriée de confidentialité, conformément à l’article 28 du RGPD ;
- reçoivent une formation de sensibilisation en matière de traitement de Données à Caractère Personnel et de respect de la Réglementation Applicable ;
– aider le Responsable de Traitement, dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes des Personnes Concernées qui le saisissent ;
– mettre à la disposition du Responsable de Traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent Accord ;
– aider le Responsable de traitement à garantir le respect des obligations prévues aux articles 32 à 36 du RGPD, compte tenu de la nature du traitement et des informations à la disposition du Sous-traitant et aider notamment le Responsable de traitement pour la réalisation :
- d’analyses d’impact relatives à la protection des Données à Caractère Personnel ;
- de notifications à l’Autorité de contrôle d’une violation de Données à Caractère Personnel ;
- de consultations préalables à l’Autorité de contrôle.
6.2 Droits des Personnes Concernées
Le Sous-traitant assiste le Responsable de traitement pour lui permettre de respecter les droits des Personnes Concernées en vertu de la Réglementation Applicable.
Dès lors que les Services ne permettent pas au Responsable de traitement de répondre lui-même aux Demandes d’une Personne Concernée, le Sous-traitant s’engage, dans les conditions prévues par la Réglementation Applicable et sur instructions du Responsable de traitement, à aider le Responsable de traitement à donner suite aux Demandes d’une Personne Concernée ou du Responsable de traitement qui agirait à la demande d’une Personne Concernée.
Le Sous-traitant mettra à la disposition du Responsable de traitement les Données à Caractère Personnel des Personnes Concernées et les moyens de satisfaire les demandes des Personnes Concernées souhaitant exercer leurs droits au titre de la Réglementation Applicable (ci-après « Demande d’une Personne Concernée ») tout en s’assurant de préserver le bon fonctionnement des Services et de respecter ses obligations en qualité de Sous-traitant. Le Sous-traitant s’engage à répondre favorablement aux demandes d’assistance formulées par le Responsable de traitement à la gestion desdites Demandes de Personnes Concernées.
Le Sous-traitant fait en outre les efforts techniquement raisonnables pour assurer l’interopérabilité des Données à Caractère Personnel afin que les Personnes Concernées puissent exercer leur droit à la portabilité dans les conditions prévues par la Règlementation Applicable.
Le Sous-traitant s’engage à notifier immédiatement, par courriel ou courrier, dans un délai maximal de 72 heures, le Responsable de traitement dès qu’il reçoit directement une Demande d’une Personne Concernée. Le Sous-traitant s’interdit de répondre à toute Demande d’une Personne Concernée sans l’accord écrit et préalable du Responsable de traitement, sauf pour confirmer que la demande concerne bien le Responsable de traitement, ce que le Responsable de traitement accepte par les présentes.
Si une Personne Concernée engage une action directement contre le Responsable de traitement pour violation de ses droits, le Sous-traitant s’engage à indemniser le Responsable de traitement de tous coûts, frais, indemnités, dépenses de tout ordre découlant d’une telle action dans la mesure où le Sous-traitant a failli à son obligation d’assistance liée au traitement des Demandes d’une Personne Concernée.
Dans une telle hypothèse d’action, le Sous-traitant reconnaît et accepte de prendre en charge immédiatement et directement l’ensemble des frais et dommages et intérêts directs et indirects liés à cette action même si l’action est exercée également à l’encontre du Sous-traitant.
7. SÉCURITÉ, MESURES TECHNIQUES ET ORGANISATIONNELLES
Le Sous-traitant devra :
– (i) mettre en œuvre et maintenir en place des pratiques et politiques de sécurité pour la protection des Données à Caractère Personnel pour les Traitements, et
– (ii) sous réserve d’obligations de non-divulgation, mettre sa Politique de sécurité des informations à la disposition du Responsable de traitement, avec la description des contrôles de sécurité existants pour les Traitements, ainsi que toute autre information requise dans une limite raisonnable par le Responsable de traitement au sujet des pratiques et politiques de sécurité du Sous-traitant.
A ce titre, le Sous-traitant s’engage à mettre en place et maintenir des Mesures Techniques et Organisationnelles appropriées pour assurer la protection et la sécurité du Traitement, compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, portée, contexte, des finalités des Traitements ainsi que des risques potentiels associés à l’absence de mise en œuvre de ces Mesures Techniques et Organisationnelles appropriées.
Les Mesures Techniques et Organisationnelles peuvent évoluer en fonction de l’évolution technologique dans ce domaine. Ainsi, le Sous-traitant se réserve le droit de faire évoluer ces Mesures Techniques et Organisationnelles appropriées à condition que le fonctionnement et la sécurité des Services ne soient pas altérés et toujours dans un but d’améliorer les conditions de sécurité au regard de la Réglementation Applicable et de l’état de l’art en matière de normes de sécurité. Aucune évolution ne pourra conduire à une régression du niveau de la sécurité. Le Sous-traitant s’engage à maintenir ces Mesures Techniques et Organisationnelles tout au long de l’exécution du Service et, à défaut, en informer immédiatement le Responsable de traitement.
Le Sous-traitant confirme que les Mesures Techniques et Organisationnelles qu’il met en œuvre fournissent un niveau de sécurité approprié aux risques et aux exigences inhérentes aux Traitements de Données à Caractère Personnel qu’il met en œuvre.
Le personnel du Sous-traitant ne pourra traiter les Données à Caractère Personnel que dans le cadre des instructions du Responsable de traitement. Le personnel du Sous-traitant est tenu de préserver la sécurité et la confidentialité de toute Donnée conformément aux présentes dispositions.
8. AUDITS
Conformément à la Réglementation Applicable, le Sous-traitant accepte la réalisation d’audits par le Responsable de traitement ou un auditeur tiers indépendant pour vérifier le respect par le Sous-traitant de la Réglementation Applicable dans le cadre des Traitements, et dans les conditions prévues à cet Accord. A ce titre, le Sous-traitant s’engage à assister le Responsable de traitement en transmettant, sur demande écrite de ce dernier ou d’un auditeur tiers mandaté, dans des délais raisonnables au regard de la demande en cause, les certifications et/ou synthèses des rapports d’audit les plus récents que le Sous-traitant a fait réaliser régulièrement pour tester l’efficacité des Mesures Techniques et Organisationnelles. Si l’audit est justifié par le fait que le Sous-traitant a été contraint d’apporter des observations en lien avec les Traitements, a été contrôlé, averti, ou sanctionné par une Autorité de Contrôle, cette transmission doit s’effectuer dans un délai de 36h à compter du premier contact entre le Sous-traitant et l’Autorité de Contrôle.
Le Sous-traitant collabore avec le Responsable de traitement ou l’auditeur tiers mandaté en leur fournissant les informations complémentaires nécessaires pour assurer le respect par le Responsable de traitement de ses propres obligations en matière d’audit ou pour répondre à la demande d’une Autorité de Contrôle en matière de protection des Données à Caractère Personnel.
Dans le cadre de la réalisation d’audits sur site par le Responsable de traitement, le Sous-traitant s’engage à assister à ses frais le Responsable de traitement et à répondre aux demandes du Responsable de traitement ou de son auditeur tiers indépendant et à solliciter cette même assistance et des réponses de la part de ses Sous-traitants ultérieurs. Le Responsable de traitement s’engage à avertir le Sous-traitant cinq (5) jours avant la date qu’il aura prévue. En cas de manquement constaté à la Réglementation Applicable, le Sous-traitant prend en charge l’intégralité des frais de l’audit engagés par le Responsable de traitement. Lorsque le Sous-traitant a été contraint d’apporter des observations à une Autorité de Contrôle en lien avec les Traitements, a été contrôlé, averti, ou sanctionné par une Autorité de Contrôle, le Responsable de traitement notifie cet avertissement au moins 24h avant la date de l’audit qu’il aura prévue.
9. DPO
Le sous-traitant a décidé unilatéralement de désigner au sein de son organisme un délégué à la protection des données (ci-après « DPO ») ou, lorsque la Règlementation Applicable leur autorise, toute autre personne en charge de veiller à la protection des Données.
Le DPO ou toute autre personne en charge de veiller à la protection des Données du Sous-traitant peut être contacté à l’adresse email suivante : dpo@geotraceur.fr
10. GESTION DES VIOLATIONS DES DONNÉES ET NOTIFICATIONS
Le Sous-traitant garantit le maintien de règles et de procédures de gestion des incidents relatifs aux Données à Caractère Personnel et met notamment en œuvre des moyens permettant de rétablir la disponibilité des Données à Caractère Personnel et l’accès à celles-ci dans les meilleurs délais.
Le Sous-traitant s’engage à :
– (i) notifier le Responsable de traitement dans un délai maximum de quarante-huit (48) heures jours ouvrés toute Violation de Données à Caractère Personnel après en avoir pris connaissance,
– (ii) enquêter sur la Violation de Données à Caractère Personnel et fournir notamment au Responsable de traitement les informations détaillées suivantes :
- La nature de la Violation de Données à Caractère Personnel avec les catégories et le nombre approximatif de Personnes Concernées, ainsi que le nombre approximatif d’enregistrements de Données à Caractère Personnel ;
- mentionner le nom et les coordonnées du responsable de la protection des Données à Caractère Personnel ou de toute autre personne à contacter pour obtenir des informations complémentaires
- décrire les conséquences probables de la Violation de Données à Caractère Personnel,
- décrire les mesures suggérées au Responsable de traitement pour aider à remédier à la Violation de Données à Caractère Personnel,
– (iii) prendre des mesures pour atténuer les effets et minimiser les conséquences préjudiciables de tout accès illégal à des Données à Caractère Personnel traitées par le Sous-traitant dans le cadre des Services, dans les meilleurs délais, pouvant entraîner notamment de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de ces Données à Caractère Personnel susvisées. Le Sous-traitant documentera toute violation de Données à Caractère Personnel en prenant le soin d’y indiquer les faits, les effets et les mesures prises pour y remédier, ce qui permettra à la CNIL de vérifier le respect des dispositions relatives à la protection des Données à Caractère Personnel.
Dans la mesure où une telle Violation de Données à Caractère Personnel est causée par un manquement du Sous-traitant aux stipulations du présent Accord, le Sous-traitant fera tous ses efforts pour identifier et remédier à la cause de cette Violation de Données à Caractère Personnel, sans préjudice des éventuels dommages et intérêts dus.
11. SOUS-TRAITANTS ULTÉRIEURS
Le responsable de traitement accepte que le Sous-traitant ait lui-même recours à la sous-traitance dans le cadre des Traitements uniquement sur la base d’autorisations spécifiques, écrites et préalables.
Toutefois, le Responsable de traitement reconnaît et accepte que tout ou partie des obligations décrites dans le présent Accord puisse être effectué par les Sous-traitants ci-dessous mentionnés, en lien avec la fourniture des Services.
Maintien en condition opérationnelle technique des serveurs. Évolutions des données. Analyse des données afin d’identifier l’origine d’incidents de fonctionnements.Opérations/responsabilités Sous-traitant Adresse Début de collaboration
Extraction des données à partir de l’infrastructure de GeoNative à la demande de ce dernier.
Attribution/création/suppression de droits d’administration d’utilisateurs désignés par GeoNative ou internes à Ynamics dans le cadre des services. YNAMICS 50 rue de Pontoise 95870 BEZONS 17/01/2011
Téléassistance 24h/24 et 7j/7pour la gestion des alertes sécuritaires en temps réel GEGIP 4 rue Suchet 94700 Maisons-Alfort 18/12/2015
12. TRANSFERTS DE DONNÉES A CARACTÈRE PERSONNEL HORS DE L’UNION EUROPÉENNE
En cas de transfert de Données à Caractère Personnel hors de l’Union Européenne et vers des pays ne disposant d’un niveau de protection suffisant, le Sous-traitant s’engage à en informer au préalable le Responsable de traitement qui devra donner son accord préalable et écrit. Le Sous-traitant proposera un encadrement juridique pour ces transferts conformément à la Réglementation Applicable conformément à l’article 46 du RGPD, en particulier les clauses contractuelles types approuvées par la Commission européenne (ci-après les « Clauses Contractuelles Types ») en signant de tels contrats avec le Responsable de Traitement. En cas de contradiction ou de divergence entre le présent Accord et les Clauses Contractuelles, les Clauses Contractuelles Types prévaudront.
13. RESTITUTION ET SUPPRESSION DES DONNÉES A CARACTÈRE PERSONNEL
Au terme de l’exécution du Service pour quelque raison que ce soit le Sous-traitant :
– Restituera ou rendra disponible les Données à Caractère Personnel au Responsable de traitement ;
– Rendra inaccessible et supprimera les Données à Caractère Personnel dans un délai de trois (3) mois à l’issue de la réalisation du Service, sous réserve des dispositions légales applicables en matière de conservation de données.
Une fois cette destruction effectuée, le Sous-traitant communiquera, sur demande, au Responsable de traitement un certificat de suppression des Données à Caractère Personnel. Il est convenu que resteront en vigueur en cas d’expiration ou de rupture de l’Accord, pour quelque cause que ce soit, toute clause qui par nature doit survivre au présent Accord. Le Sous-traitant peut modifier ou compléter les présentes conditions, après notification du Responsable de traitement, (i) si une Autorité de Contrôle ou autre entité gouvernementale ou réglementaire l’exige, (ii) si cela s’avère nécessaire pour respecter le droit en vigueur, (iii) pour mettre en œuvre des clauses contractuelles standard imposées par la Commission européenne ou (iv) pour se conformer à un code de conduite ou un mécanisme de certification conformément aux Articles 40, 42 et 43 du RGPD.
14. DESCRIPTION DES TRAITEMENTS
Le présent article décrit certains détails relatifs aux Traitements mis en œuvre par le Sous-traitant dans le cadre de l’exécution du Service conformément à la Réglementation Applicable.
14.1. Objet, finalités et durée du Traitement des Données à Caractère personnel dans le cadre du Contrat
Les finalités et la durée du Traitement des Données à Caractère personnel sont définies dans le présent Accord.
14.1.1 Description de l’objet du Traitement
Le Traitement a pour objet la réalisation des Services décrits à l’Article 1 de l’Accord.
14.1.2 Description de la nature du traitement
– Nom, Prénom, Adresse mél, n° de téléphone, informations renseignées dans les champs libres, mots de passe cryptés) :Enregistrement, organisation, conservation, extraction, consultation, utilisation, communication par transmission, mise à disposition, effacement, destruction.
– Informations transmises par les ceintures :
Enregistrement, organisation, analyse, extraction d’alertes, suivi des alertes, envoi d’informations directes et dérivés par mél, push, courriel et web services.
– Informations concernant les alertes de la plateforme :
SMS contenant des positions et des informations des alertes, des informations de localisation à un instant.
– Toute information renseignée dans les champs libres des ceintures et des alertes.
Enregistrement, organisation, conservation, extraction, consultation,, communication par transmission, mise à disposition, effacement, destruction.
– Informations d’audit (login, logout, adresse IP)
Enregistrement, organisation, conservation, extraction, consultation, utilisation, communication par transmission, mise à disposition, effacement, destruction.
14.1.3 Description de la Finalité du Traitement
Fournir au Responsable de Traitement les Services définis à l’article « Objet » de l’Accord.
Assurer la conformité de la fourniture du Service à la Règlementation Applicable.
14.1.4 Durée du Traitement
La durée du Traitement ne peut dépasser la durée de l’utilisation d’abonnement (durée de Contrat).
Le Prestataire conserve, dans la limite de la durée du Contrat, les Données Personnelles selon des durées de conservation appropriées, dont le Client lui a confié l’évaluation en raison de la sensibilité des traitements et de sa connaissance des Services.
Les données de géolocalisation sont conservées au maximum un mois à compter de leur collecte.
14.2. Catégorie de Données à Caractère personnel faisant l’objet du Traitement dans le cadre du Service ainsi que leur durée de conservation
Données d’identité, données de contact, vie professionnelle (localisation, déplacements issues de la geolocalisation), données d’incidents (de travail), données de géolocalisation, adresses IP de login, dates et heures de login/logout..
Sauf disposition contraire, les données de géolocalisation sont conservées pendant 60 jours maximum.
Les données liées aux alertes et incidents peuvent être conservés pendant la durée de maintien du compte.
Les données d’identité, données de contact et commentaires dans les champs libres sont conservés tant que le compte n’est pas supprimé ou que l’utilisateur les maintient dans le compte.
14.3. Catégorie de Personnes Concernées par le Traitement
Les Porteurs au sens des CGV ;
L’utilisateur au sens des CGV
15. MESURES TECHNIQUES ET ORGANISATIONNELLES
Le présent article définit les mesures de sécurité mises en œuvre actuellement par le Sous-traitant. Ce dernier se réserve la possibilité de modifier ces Mesures de Sécurité Techniques et Organisationnelles en fonction notamment de l’évolution de l’état de l’art dans ce secteur. Une telle modification pourra intervenir à tout moment, sans préavis, dans la mesure où ces nouvelles Mesures de Sécurité Techniques et Organisationnelles conservent un niveau de sécurité renforcé ou comparable.
Par ailleurs, le Responsable de traitement est informé de la possibilité que des Mesures de Sécurité Techniques et Organisationnelles soient remplacées par de nouvelles sans que cela n’affecte le niveau de sécurité des données assuré par le Sous-traitant et modifie les finalités des Traitements concernés.
Le Sous-traitant confirme que les Mesures Techniques et Organisationnelles décrites ci-après fournissent un niveau de protection approprié pour les Données à Caractère personnel en considération des risques liés à leur Traitement.
Les serveurs sont hébergés par OVH qui déclare répondre à plusieurs normes et certifications concernant la sécurité des infrastructures (https://www.ovh.com/fr/protection-donnees-personnelles/securite.xml).
La sécurité des données hébergées est assurée par Geotraceur et ses sous-traitants.
Sécurisation des données serveurs :
Les personnes habilitées au sein de la société GEOTRACEUR, YNAMICS et GEGIP ont accès à l’interface des machines virtuelles dans le but de surveiller ou redémarrer une machine si nécessaire (24h/24).Communication ceinture – interface
• Communication uniquement avec notre serveur
• Contact dans le sens ceinture – serveur uniquement
• D’autres serveurs ne peuvent pas envoyer de commande
Sécurisation du serveur
• Accès système serveur par SSH (= encryptions des communications)
• Pare-feu – seuls les ports utiles sont ouverts ;
• Communication intra-serveurs protégée par VPN.
• Sécurisation applicative :
• Protection contre l’injection SQL assurée en s’appuyant sur le framework utilisé
• Vérification à divers niveaux des droits d’accès aux données pour l’utilisateur identifié
• Protection contre le CSRF
• Mots de passes « cryptés » – non-réversibles.
• Sécurisation des mails
• Configuration du DNS avec les champs SPF et DKIM
• DKIM en place (signature des mails sortants)
• Sécurisation des SMS sortants
• Communication par HTTPS avec les services d’envoi par SMS.
• Applications mobiles:
– communication avec le serveur en https pour la plupart des informations
– échange en push à travers FCM (Système Google) ou Apple Push Notification (=sécurisation imposée par Google/Apple) ;
• Sauvegardes (Sécurisation contre la perte de données) :
– Sauvegarde journalière – locale + machine distante – accès par mot de passe à l’espace de stockage à partir d’un nombre de machines restreinte (fonctionnalité OVH)
– Synchronisation en continu (5 minutes) avec le serveur de secours ;
• Disponibilité:
– 2 serveurs assurant une redondance sur 2 sites différents
– 1 serveur sur un 3ième site permettant de décider quel serveur est fonctionnel
– dépendant du bon fonctionnement des fonctionnalités OVH suivantes : Réseau OVH, Failover IP OVH, Fourniture en énergie OVH
• Audit :
– Diverses activités critiques sont mémorisées dans une trace d’historique
Login
– Activation/Désactivation du suivi
– Modification de configuration
– Accès à l’interface de gestion OVH
– Autorisé aux personnes habilitées chez GEOTRACEUR et YNAMICS
– Permet de relancer des serveurs, rerouter des IPs, accéder aux sauvegardes (par modification de mot de passe), arrêter des services.