Règlement Général sur la Protection des Données (RGPD)

🎯 Objectif

Cet article de centre d'aide vise à clarifier les rôles et les engagements de notre société et de vous, notre Client (en tant que Responsable de Traitement), concernant le Règlement Général sur la Protection des Données (RGPD).
Il explique comment les données personnelles de vos clients sont traitées dans le cadre de l'utilisation du logiciel de gestion de véhicules automobiles et précise les mesures de sécurité pour assurer la confidentialité et l'intégrité des informations.

📝 Article 1. DÉFINITIONS

Pour le présent accord, les termes ci-dessous ont entre les parties la signification suivante :

• Destinataire : Personne physique ou morale, autorité publique, service ou tout autre organisme qui reçoit communication de Données Personnelles, qu’il s’agisse ou non d’un tiers.

• Données Personnelles : Toute information appartenant au Client se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, notamment par référence à un identifiant (nom, numéro d'identification, données de localisation, identifiant en ligne, ou éléments spécifiques propres à son identité).

• Finalité : Objectifs principaux assignés au Traitement de Données Personnelles et aux fonctions substantielles mises en œuvre.

• Personne Concernée : Personnes physiques identifiables ou identifiées dont les Données Personnelles sont collectées et intégrées dans le Traitement de Données Personnelles.

• Service : Fourniture du service faisant l’objet du Contrat.

• Traitement de Données Personnelles : Toute opération ou ensemble d’opérations portant sur des Données Personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication, diffusion, mise à disposition, rapprochement, interconnexion, verrouillage, effacement, destruction).

• Violation de Données Personnelles : Violation de la sécurité entraînant accidentellement ou illicitement la destruction, perte, altération, divulgation non autorisée ou accès non autorisé à des Données Personnelles.

👥 Article 2. QUALIFICATION JURIDIQUE DES PARTIES

Au sens du RGPD et pour la bonne application des présentes :

• SNEEP a la qualité de sous-traitant.

• Le Client a la qualité de responsable de traitement.

📄 Article 3. APPLICABILITÉ DU PRÉSENT ACCORD

3.1 Pendant la durée initiale et celle de tout renouvellement ou reconduction tacite des accords entre les Parties (le Contrat), les engagements de la SNEEP et du Client au titre de la protection des Données Personnelles sont fixés dans le présent accord dont les termes prévalent, d'accord exprès des parties, sur toute autre disposition du Contrat.

🛡 Article 4. RESPONSABLE DU TRAITEMENT

Le Client garantit en sa qualité de responsable de traitement être propriétaire ou titulaire légitime des Données Personnelles qui sont traitées grâce au Service proposé de manière standard à tous les Clients de la SNEEP. L'ensemble des droits des Personnes Concernées (articles 15 à 22 GDPR : accès, rectification, oubli, opposition, etc.) doivent être exercés par ces personnes directement et exclusivement auprès du Client, la SNEEP s'engageant à se conformer à toute instruction écrite et licite de la part du Client à cet égard.

🏅 Article 5. GARANTIES DU CLIENT

5.1  Conformément à la législation européenne et française sur la protection des données personnelles notamment le Règlement UE n°2016/679 du 27 avril 2016 "GDPR", avant toute utilisation du Logiciel ou du Service par le Client et pendant toute la durée initiale et celle de toute prorogation / renouvellement / reconduction tacite du Contrat, le Client garantit à la SNEEP que :

(i)           le Client a collecté et traite les Données Personnelles de manière licite, loyale et transparente, pour des Finalités déterminées, explicites et légitimes que la SNEEPne saurait connaître et dont le Client déclare avoir dument informé les Personnes Concernées. En conséquence, les éventuelles obligations de déclaration préalable liées au Traitement de ses Données Personnelles auprès d'une Autorité de contrôle sont à sa charge exclusive et le Client garantit à la SNEEP y avoir procédé ;

(ii)          le Client est seul responsable du Traitement des Données Personnelles qu'il collecte, saisit ou traite à l'occasion de son utilisation du Service et quela SNEEP n'est pas autorisé à traiter pour ses besoins propres ;

(iii)         le Client détermine seul les Finalités et les moyens du Traitement de ses Données Personnelles opéré notamment par l'usage du Service. En conséquence, il appartient au Client, préalablement à l'usage du Service, de vérifier que le Traitement des Données Personnelles opéré par la SNEEP est conforme à la Finalité et aux moyens du Traitement des Données Personnelles confié en sous-traitance à la SNEEP .

Les garanties données par le Client à la SNEEP  au titre du présent article sont autant de qualités essentielles explicites de la prestation (art.1133 [nouveau] Code civil) à la charge du Client de sorte que la SNEEP ne puisse voir sa responsabilité incriminée à ce titre, sur quelque fondement que ce soit. Dans le cas contraire, le Client s'engage à relever et garantir la SNEEP, sans restriction ni réserve, de toute conséquence notamment pécuniaire mise de ce fait à la charge de la SNEEP.

🤝 Article 6. ROLE DU SOUS-TRAITANT

6.1  la SNEEP agit en qualité de sous-traitant du Traitement des Données Personnelles du Client au sens de l'article 28 GDPR (article 35 de la loi n°78-17 du 6 janvier 1978). En conséquence, la SNEEPs'engage (i) à ne pas traiter les Données Personnelles du Client autrement que dans les conditions du Contrat et (ii) à ne procéder à aucun autre Traitement des Données Personnelles du Client qui ne serait pas prévu dans le Contrat, sauf sur instruction préalable écrite, documentée et légitime du Client.

6.2  la SNEEP rappelle au Client que, en application de l'article 28.3.al.2 GDPR, toute instruction du Client à la SNEEP qui serait susceptible d'entrainer un non-respect de la GDPR ou de la loi française sur la protection des données personnelles, entraine l'obligation pour la SNEEP d'en informer immédiatement le Client. la SNEEP se réserve le droit de refuser les instructions du Client qui lui sembleraient illicites au sens de l'article 82.2 GDPR. Dans ce cas, un refus écrit et documenté de la SNEEP ne saurait permettre au Client de résilier le Contrat, sauf pour le Client à engager sa responsabilité à l'égard de la SNEEP pour résiliation réputée "sans cause légitime" du Contrat et entrainer l'application de l'article 14.2.3.

🔒 Article 7. SÉCURITÉ DES DONNÉES

Dans le cadre du Contrat, la SNEEP s’engage à adopter des moyens techniques les plus optimaux possible, permettant de garantir l'intégrité, la fiabilité, la sécurité, la disponibilité et la résilience constantes des systèmes et services de traitement, la confidentialité et la traçabilité des Données Personnelles du Client.

Dans ce cadre, la SNEEP s’engage à assister le Client, de façon à empêcher que les Données Personnelles soient utilisées de manière frauduleuse, que leur intégrité soit mise en danger ou que leur accès soit rendu impossible. A cet effet, il s’engage en particulier à :

-           Garantir la parfaite confidentialité des Données Personnelles :

-           Garantir la sécurité tant physique que matérielle de ses locaux, de façon à empêcher la destruction, la perte, l’altération, la divulgation ou à l’accès par des personnes non autorisées des Données Personnelles, qu’il stocke ou, plus généralement, qu’il traite d’une quelconque manière que ce soit, pour le compte du Client.

-           Ne procéder à un tel accès, une telle gestion ou un tel traitement des Données Personnelles qui lui ont été rendues accessibles par le Client que dans la mesure où elles sont strictement nécessaires à la réalisation des Prestations et, en tout état de cause, à ne pas utiliser les Données Personnelles à des fins autres que celles prévues au titre du Contrat ;

-           Mettre à la disposition du Client dans les délais prévus par le dans plus brefs délais, toutes les informations ou tous les documents, notamment un Plan d’Assurance Sécurité, qui lui sont nécessaires pour démontrer le respect de ses obligations au titre du Règlement Européen et de toute autre règlementation applicable en la matière ;

-           Ne pas permettre l’accès, ni ne procéder à aucune transmission, extraction, communication, copie ou autre transfert, quelle qu’en soit la forme, de Données Personnelles vers un Destinataire situé dans un Etat hors de l’Union Européenne, sauf à ce que :

o          le Client ait préalablement donné son accord et son agrément écrits et ;

o          l’hébergement ou toute autre forme de stockage ou de conservation des Données Personnelles soit effectué dans les conditions de sécurité telles que prévues au présent Contrat.

📝 Article 8. ENGAGEMENTS DE LA SNEEP

8.1  A partir du 25 mai 2018, la SNEEP s'engage à présenter au Client et à première demande, des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière que le Traitement des Données Personnelles du Client réponde aux exigences de la RGPD et garantisse la protection des droits des Personnes Concernées dont les Données Personnelles sont traitées par le Client via le Service (art.28.1 GDPR).

8.2  la SNEEP s'engage à ne traiter techniquement les Données Personnelles du Client que pour rendre le Service, à l’exclusion de tout autre usage, au profit de la SNEEP ou de tiers. Conformément à la GDPR, les Données Personnelles sont stockées et traitées par la SNEEP sur des serveurs situés exclusivement sur le territoire de l’Union Européenne et ne font l'objet d'aucun transfert hors de l’Union Européenne sans l'accord préalable et écrit du Client, sauf en application d'une décision d'adéquation de l'Union Européenne (Argentine, Canada, Israël, Nouvelle-Zélande, Suisse, Uruguay et "Privacy Shield") qui permet à un prestataire d'exporter des données personnelles sans autorisation spécifique.

📋 Article 9. REGISTRE DES OPÉRATIONS DE TRAITEMENT DES DONNÉES PERSONNELLES

Conformément à l'article 30.1 GDPR et au plus tard le 25 mai 2018, le Client s'engage à tenir à jour une liste des Traitements des Données Personnelles du Client comportant :

1. a)        le nom et les coordonnées du Client et du Data Protection Office s'il en a été désigné un par le Client ;

2. b)        les Finalités du Traitement de Données Personnelles ;

3. c)         une description des catégories de Personnes Concernées et des catégories de données personnelles ;

4. d)        les catégories de Destinataires auxquels les Données Personnelles ont été ou seront communiquées, y compris les Destinataires hors UE ;

5. e)         le cas échéant, les transferts de Données Personnelles vers un pays hors UE, y compris son identification ;

6. f)          dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de Données Personnelles ;

7. g)        dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles reprenant les dispositions du Contrat.

🚨 Article 10. NOTIFICATION DES FAILLES DE SÉCURITÉ

10.1  Conformément à l'article 33 GDPR et au plus tard à compter du 25 mai 2018, les Parties s’engagent à informer le Client, sans délai après en avoir pris connaissance, de toute atteinte à la sécurité des Données Personnelles transmises ou traitées via le Service lorsque cette atteinte entraîne, de manière accidentelle ou illicite, l'accès ou la divulgation non autorisée, l'altération, la perte ou la destruction de Données Personnelles. Il appartient alors à la Partie concernée d'en informer (i) l'Autorité de contrôle dont il dépend, et (ii) les Personnes Concernées quand cette atteinte à la sécurité des données personnelles "est susceptible d'engendrer un risque élevé pour les droits et libertés".

10.2  A première demande d’une des Parties, la SNEEP fournira par écrit l'ensemble des éléments visés à l'article 33.3 GDPR, à savoir :

(a)       la nature de la violation de Données Personnelles y compris, si possible, les catégories et le nombre approximatif de Personnes Concernées par la violation et les catégories et le nombre approximatif d'enregistrements de Données Personnelles concernés ;

(b)       le nom et les coordonnées du DPO ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;

(c)       les conséquences probables de la violation de Données Personnelles ;

(d)       les mesures prises ou que la Partie concernée propose de prendre pour remédier à la violation de Données Personnelles, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

10.3  Les Parties s'engagent à documenter par écrit toute violation de Données Personnelles, en indiquant les faits concernant la violation des Données Personnelles, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée sera tenue à disposition de l’autre Partie et/ou de la CNIL ou de toute autre autorité de contrôle compétente.

🏗 Article 11. SOUS-TRAITANCE ULTÉRIEUR

11.1  Les obligations de la SNEEP , peuvent être exécutées en sous-traitance par un prestataire de la SNEEP. Conformément à l'article 28 GDPR et au plus tard le 25 mai 2018, de manière générale, la SNEEP s'engage à ne pas sous-traiter ses propres prestations à un sous-sous-traitant qui ne respecterait pas la GDPR et privilégiera dans son choix des prestataires ayant adhéré à un code de conduite [article 40 GDPR] ou faisant l'objet d'une certification [article 42 GDPR]. Si le sous-traitant de la SNEEP ne remplit pas ses obligations en matière de protection des Données Personnelles, la SNEEP demeurera pleinement responsable à l'égard du Client de tout manquement aux obligations de la GDPR par son sous-traitant.

11.2  Pour les cas où la SNEEP fait appel à un sous-traitant pour réaliser certaines prestations, la SNEEP tiendra à disposition du Client une liste de ces sous-traitants et s’engage à tenir informé le Client en cas de changement de sous-traitant.

11.3  En plus de définir l'objet et la durée du Traitement de Données Personnelles, la nature et la Finalité, le type de Données Personnelles et les catégories de Personnes Concernées (article 28.3 al.1 GDPR), chaque contrat de sous-traitance conclu par la SNEEP devra prévoir à minima un engagement du sous-traitant sur tous les points suivants :

(a)         de ne traiter les données personnelles que sur instruction documentée de la SNEEP et/ou du Client, y compris en ce qui concerne les transferts de données vers un pays hors UE (à moins qu'il ne soit tenu d'y procéder en vertu du droit français pour la SNEEP ; dans ce cas, la SNEEP s'engage à informer le Client de cette obligation juridique avant le Traitement de Données Personnelles, sauf si le droit français interdit une telle information pour des motifs importants d'intérêt public);

(b)         de veiller à ce que les personnes qu'il autorise à traiter les données personnelles s'engagent à respecter la confidentialité ou soient soumises à une obligation légale de confidentialité ;

(c)          de prendre toutes les mesures de sécurité requises par l'article 32 GDPR ;

(d)         de ne pas sous-sous-traiter à son tour tout ou partie des prestations à accomplir pour la SNEEP et le Client à un autre prestataire sans que l'ensemble des engagements visés au présent article soient respectée par le sous-traitant du sous-traitant ;

(e)          d'aider le Client, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s'acquitter de son obligation de donner suite aux demandes dont les Personnes Concernées le saisissent en vue d'exercer leurs droits ;

(f)           d'aider le Client à garantir le respect des obligations (i) de sécurisation [art.32 GDPR], (ii) de notification à la CNIL des éventuelles failles de sécurité [art.33 GDPR], (iii) d'information à toute Personne Concernée par la faille de sécurité et toute éventuelle fuite de données [art.34 GDPR], (iv) de réalisation préalable d'une étude d'impact [art.35 GDPR] et (v) de consultation obligatoire à la CNIL en cas de réalisation d'une étude d'impact, compte tenu de la nature du Traitement de Données Personnelles et des informations à la disposition du sous-sous-traitant;

(g)         selon le choix du Client, de supprimer toutes les données ou de les lui renvoyer au terme de sa prestation, et de détruire les copies existantes, à moins que le droit français n'exige du sous-traitant la conservation des données du Client ;

(h)          de mettre à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d'audits, y compris des inspections, par le Client (ou un auditeur) et contribuer à ces audits.