Le présent Avenant relatif au Traitement de Données à caractère personnel (ci- après désigné
Le présent Avenant relatif au Traitement de Données à caractère personnel (ci-après désigné
« l’Avenant ») constitue l’une des pièces composant le contrat de prestation de services télématiques (ci-après désigné « le Contrat de services télématiques ») entre : (a) l’entité du groupe Masternaut identifiée dans le Contrat de services télématiques (ci-après désignée « Masternaut »), agissant pour son compte ainsi que comme représentant de chaque Filiale de Masternaut ; et (b) la société ayant contracté le Contrat de services télématiques avec Masternaut (« la Société ») agissant pour son compte ainsi que comme représentante de chacune de ses Sociétés Affiliées.
Les termes utilisés dans l’Avenant ont la signification qui leur est donnée dans l’Avenant. Les termes en majuscules non définis aux présentes ont la signification qui leur est donnée dans le Contrat de services télématiques. À l’exception des conditions définies ci-après, les stipulations du Contrat de services télématiques ne sont pas modifiées et demeurent applicables.
Compte tenu des obligations énoncées aux présentes, les parties conviennent que les stipulations énoncées ci-après constituent un avenant au Contrat de services télématiques et prennent effet à compter du 25 mai 2018.
1. Définitions
1.1 Dans l’Avenant, les termes suivants ont les significations définies ci-après et les termes apparentés seront interprétés en conséquence :
1.1.1 « Lois Applicables » désigne (a) les lois de l'Union européenne ou des États Membres relatives à la protection des Données à caractère personnel qui sont applicables à chacune des Membres du Groupe de la Société ; et (b) toute autre loi applicable à la protection des Données à caractère personnel à l'égard desquelles tout Membre du Groupe de la Société est soumis ;
1.1.2 « Société Affiliée » désigne toute entité qui détient ou contrôle, est détenue ou contrôlée ou qui est sous le contrôle commun ou qui est la propriété partagée de la Société ; le contrôle étant défini comme le pouvoir, direct ou indirect, de diriger ou d’influencer la direction et les politiques d'une entité, que ce soit par la détention de titres avec droit de vote, en vertu d’un contrat ou par tout autre moyen ;
1.1.3 « Membre du Groupe de la Société » désigne la Société ou toute Filiale de la Société ;
1.1.4 « Données Personnelles de la Société » désigne toutes les Données à caractère personnel traitées par un Sous-Traitant pour le compte d'un Membre du Groupe de la Société en vertu du Contrat de services télématiques ;
1.1.5 « Sous-Traitant » désigne Masternaut ainsi que tout Sous-Traitant de second rang ;
1.1.6 « Lois de Protection des Données » désigne les lois de protection des Données à caractère personnel de l’Union européenne et, dans la mesure où elles sont applicables, les lois de protection des Données à caractère personnel de tout autre pays ;
1.1.7 « Règlementation UE de Protection des Données » désigne la directive européenne 95/46/EC telle que transposée dans la législation nationale de chaque État membre, modifiée ou remplacée, incluant le RGPD et les lois le mettant en œuvre ou le complétant ;
1.1.8 « RGPD » désigne le Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ;
1.1.9 « Transfert Réglementé » désigne un transfert des Données Personnelles de la Société de la part d’un Sous-Traitant à un autre Sous-Traitant établi dans un pays tiers ne bénéficiant pas d’une décision de la Commission conforme à l’article 45.3. du RGPD ;
1.1.10 « Services » désigne les services et autres activités qui doivent être fournis ou effectués par ou pour le compte de Masternaut au profit des Membres du Groupe de la Société conformément au Contrat de services télématiques ;
1.1.11 « Clauses Contractuelles Types » désigne les clauses contractuelles publiées par la Commission concernant le transfert de Données à caractère personnel vers des Sous-Traitants établis dans des pays tiers pour lesquels aucune décision n'a été prise en application de l'article 45.3. du RGPD ;
1.1.12 « Sous-Traitant de second rang » désigne toute personne (incluant tout tiers et Filiale de Masternaut, mais excluant les employés de Masternaut) désignée par ou agissant pour le compte de Masternaut ou de toutes Filiales de Masternaut aux fins de traiter des Données Personnelles pour le compte de tout Membre du Groupe de la Société liée par le Contrat de services télématiques ; et
1.1.13 « Filiale de Masternaut » désigne toute entité qui détient ou contrôle, est détenue ou contrôlée ou qui est sous le contrôle commun ou qui est la propriété commune de Masternaut ; le contrôle étant défini comme le pouvoir, direct ou indirect, de diriger ou d’influencer la direction et les politiques d'une entité, que ce soit par la détention de titres avec droit de vote, en vertu d’un contrat ou par tout autre moyen.
1.2 Les termes « Commission », « Responsable de traitement », « Personne Concernée », « État Membre », « Données à caractère », « Violation de données à caractère personnel »,
« Traitement » et « Autorité de contrôle » auront la même signification que celle qui est donnée dans le RGPD et les termes apparentés seront interprétés en conséquence.
1.3 Le mot « inclure » devra être interprété comme incluant sans limitation et les termes apparentés seront interprétés en conséquence.
2. Adhésion
Masternaut déclare qu'avant qu’une Filiale de Masternaut ne traite les Données Personnelles de la Société pour le compte de tout Membre du Groupe de la Société, l’adhésion de Masternaut au présent Avenant en tant que représentant de ou agissant pour le compte de cette Filiale de Masternaut a été dûment autorisée (ou sera ultérieurement ratifiée).
3. Traitement des Données Personnelles de la Société
3.1 Masternaut et chacune des Filiales de Masternaut s’engage à :
3.1.1 se conformer à toutes les Lois de Protection des Données applicables au Traitement des Données Personnelles de la Société ;
3.1.2 ne pas traiter les Données Personnelles de la Société autrement que sur instructions documentées du Membre du Groupe de la Société concerné, sauf si le Traitement est requis par les Lois Applicables auxquelles le Sous-Traitant est soumis. Dans ce dernier cas, Masternaut ou la Filiale de Masternaut concernée devra, dans le respect des Lois Applicables, informer le Membre du Groupe de la Société concerné de cette obligation légale avant de procéder au Traitement approprié de ces Données à caractère personnel ;
3.1.3 Nonobstant les stipulations de l’article 3.1.2, Masternaut pourra utiliser les Données Personnelles de la Société à des fins d’information commerciale de la Société et des Membres du Groupe de la Société, par exemple pour les informer de nouveaux produits, services ou améliorations.
3.2 La Société et chaque Membre du Groupe de la Société :
3.2.1 transmettront les instructions appropriées à Masternaut et à toutes Filiales de Masternaut (et autorisent Masternaut et toutes Filiales de Masternaut à transmettre ces instructions à tous Sous-Traitants de second rang) aux fins de :
3.2.1.1 traiter les Données Personnelles de la Société ; et
3.2.1.2 en particulier, transférer les Données Personnelles de la Société vers tous pays ou territoire,
de manière aussi raisonnable que possible au regard de la fourniture des Services et conformément au Contrat de services télématiques et à l’Avenant;
3.2.2 acceptent, uniquement pour les besoins de la fourniture de leur consentement et des instructions appropriées par écrit à Masternaut, le transfert de Données Personnelles de la Société à tous pays tiers ou organisations internationales conformément aux dispositions de l’article 45.3. du RGPD ; et
3.2.3 garantissent qu'ils sont et seront, à tout moment, dûment autorisés à donner les instructions énoncées dans l’article 3.2.1 pour le compte de chaque Société Affiliée.
3.3 L'Annexe 1 du présent Avenant établit certaines informations concernant le Traitement de Données à caractère personnel de la Société par les Sous-Traitants, conformément à l'article 28
(3) du RGPD (et, éventuellement, des exigences équivalentes d'autres Lois de Protection des Données). Rien dans l'Annexe 1 (y compris dans sa version modifiée en vertu du présent article 3.3) ne confère un droit ou n'impose une obligation à l’une des parties du présent Avenant.
4. Employés de Masternaut et des Filiales de Masternaut
Masternaut et chaque Filiale de Masternaut prendront des mesures raisonnables pour s’assurer de la fiabilité de tout employé, agent ou co-contractant de tout Sous-Traitant ayant accès aux Données personnelles de la Société. Masternaut et chaque Filiale de Masternaut s'assurent, dans chaque cas, que cet accès est strictement réservé aux personnes qui ont besoin de connaître et/ou d’accéder aux Données Personnelles de la Société pour les besoins du Contrat de services télématiques ou pour se conformer aux Lois Applicables.
5. Sécurité
Compte tenu de l'état de la technique, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du Traitement de Données à caractère personnel ainsi que du risque d’écart quant aux droits et libertés des personnes physiques, Masternaut et chaque Filiale de Masternaut mettront en œuvre, quant aux Données Personnelles de la Société, les mesures techniques et organisationnelles adéquates pour assurer un niveau de sécurité approprié à ce risque, y compris, le cas échéant, les mesures visées à l'article 32.1. du RGPD.
6. Sous-traitance de second rang
Masternaut utilise généralement des Sous-Traitants de second rang pour effectuer les tâches opérationnelles nécessaires à l'accomplissement de ses tâches dans le cadre du Contrat de prestation de services télématiques. À titre d'exemple, les Sous-Traitants de second rang peuvent avoir accès à des Données à caractère personnel telles que les noms des contacts du Client, leur adresse électronique et leur numéro de téléphone, pour organiser les rendez-vous d'installation avec les Clients. En outre, Masternaut utilise des systèmes de CRM en ligne, des systèmes financiers et d’autres systèmes pour gérer les comptes du Client dans le cadre de l'exécution du Contrat de services télématiques.
6.1 Chaque Membre du Groupe de la Société autorise Masternaut et chaque Filiale de Masternaut à sous-traiter le Traitement de Données Personnelles de la Société. Chaque Membre du Groupe de la Société autorise également chaque Sous-Traitant de second rang de Masternaut, désigné conformément au présent article 6, à sous-traiter le Traitement de Données Personnelles de la Société aux fins de l’exécution du Contrat de services télématiques.
6.2 Masternaut et chaque Filiale de Masternaut peut continuer à utiliser les Sous-Traitants de second rang déjà engagés par Masternaut ou par toute Filiale de Masternaut à la date du présent Avenant, sous réserve que Masternaut et chaque Affilié de Masternaut respectent les obligations énoncées à l’article 6.4 dès que possible.
6.3 Une liste des Sous-Traitants de second rang utilisés par Masternaut est accessible à l’adresse xxx.xxxxxxxxxx.xxx/xx/xxxxx/xxxxx-xxx-xxxx-xxxxxxxxx/. Masternaut mettra cette liste régulièrement à jour. Tout nouveau Sous-Traitant de second rang ajouté à la liste sera réputé notifié à la Société. La Société pourra former toute objection, par écrit et de manière raisonnable, à la nomination d'un nouveau Sous-Traitant de second rang, à condition que l’objection soit dûment motivée.
6.4 Pour chaque Sous-Traitant de second rang, Masternaut ou la Filiale de Masternaut concernée devra :
6.4.1 avant tout Traitement de Données à caractère personnel (ou, le cas échéant, conformément à l’article 6.2), vérifier que le Sous-Traitant de second rang est capable de fournir le niveau de protection des Données Personnelles de la Société telle qu’il est prévu dans le Contrat de services télématiques ;
6.4.2 s’assurer que l’accord entre, d’une part, Masternaut ou la Filiale de Masternaut concernée ou le Sous-Traitant de second rang concerné et, d’autre part, le Sous- Traitant de second rang, a été passé par écrit et qu’il prévoit le respect des obligations de l’article 28.3. du RGPD ;
6.4.3 si un accord implique un Transfert Réglementé, s’assurer que les Clauses Contractuelles Types applicables le cas échéant ont été insérées dans le contrat entre, d’une part, Masternaut ou la Filiale de Masternaut concernée ou le Sous- Traitant de second rang concerné et, d’autre part, le Sous-Traitant de second rang ; et
6.4.4 fournir à la Société, pour examen, les copies des contrats des Sous-Traitants de second rang (qui pourront être présentés de manière à ne pas faire apparaître les informations commerciales confidentielles non pertinentes relativement aux exigences du présent Avenant).
6.5 Masternaut et chaque Filiale de Masternaut devront s’assurer que le Sous-Traitant de second rang remplit ses obligations conformément aux articles 3.1, 4, 5, 7.1, 7.2, 9 et 10, en ce qu’elles s’appliquent au Traitement de Données à caractère personnel effectué par le Sous-Traitant de second rang, comme s’il était partie au présent Avenant.
7. Droits des Personnes Concernées
7.1 Pour permettre à la Société et aux Membres du Groupe de la Société de respecter leurs obligations au regard de l’exercice des droits des Personnes Concernées, Masternaut et chaque Filiale de Masternaut assisteront chaque Membre du Groupe de la Société en prenant les mesures techniques et organisationnelles adaptées aux besoins du Contrat de services télématiques et aux spécifications de la plate-forme télématique de Masternaut. Cette assistance pourra être facturée par Masternaut.
7.2 Masternaut devra :
7.2.1 informer promptement la Société dans le cas où un Sous-Traitant recevrait une demande de la part d’une Personne Concernée conformément aux Lois de Protection des Données Personnelles concernant les Données Personnelles de la Société ; et
7.2.2 s’assurer que le Sous-Traitant ne répond pas à cette demande, sauf en cas d’instructions documentées de la Société ou de la Société Affiliée concernée ou en application des Lois Applicables auxquelles le Sous-Traitant est soumis, auquel cas Masternaut devra, dans la mesure du possible et dans le respect des Lois Applicables, informer la Société de cette obligation légale avant que le Sous- Traitant ne réponde à cette demande.
8. Violation de Données à caractère personnel
8.1 Masternaut devra informer la Société dans les meilleurs délais de toute Violation de Données à caractère personnel affectant les Données Personnelles de la Société dont Masternaut ou tout Sous-Traitant aura connaissance et fournira, à la Société, l’information pertinente pour permettre à chaque Membre du Groupe de la Société de respecter ses obligations de notification ou d’information auprès des Personnes Concernées par la Violation, dans le respect des Lois de protection des Données à caractère personnel.
8.2 Masternaut coopèrera avec la Société et tout Membre du Groupe de la Société et prendra des mesures commerciales raisonnables, en accord avec la Société, pour apporter son assistance à la recherche et limiter les effets de la Violation de Données à caractère personnel.
9. Suppression ou retour des Données à caractère personnel de la Société
9.1 Sous réserve du respect des articles 9.2 et 9.3, Masternaut et toutes Filiales de Masternaut devront, dans les deux mois à compter du terme de tous Services impliquant le Traitement des Données Personnelles de la Société (« le Terme »), supprimer et fournir à la Société toutes les copies de ses Données à caractère personnel. Masternaut pourra alternativement choisir d’anonymiser les Données à caractère personnel ce qui équivaut à leur suppression. Toute donnée générée par les équipements télématiques de Masternaut sera par défaut supprimée ou anonymisée deux mois après la date de sa collecte, si aucune instruction contraire n’a été reçue de la Société, et acceptée par Masternaut.
9.2 Sous réserve du respect de l’article 9.3, la Société pourra choisir, par notification écrite adressée à Masternaut dans le mois suivant le Terme et sous réserve du paiement de tous montants applicables, demander à Masternaut et à toutes Filiales de Masternaut de lui retourner une copie complète de toutes les Données Personnelles de la Société à la Société par transfert d’un fichier sécurisé.
9.3 Pendant la durée du Contrat de services télématiques, chaque Sous-Traitant pourra conserver les Données Personnelles de la Société aux fins de l’exécution du Contrat de services télématiques et dans le respect des Lois Applicables. Au-delà du Terme, chaque Sous-Traitant pourra conserver les Données Personnelles de la Société à seule fin du respect des Lois Applicables et pour la période requise par celles-ci, sous réserve que Masternaut et chaque Filiale de Masternaut s’assurent de la confidentialité des Données Personnelles de la Société. En particulier, chaque Sous-Traitant pourra conserver les Données Personnelles de la Société en vue de l’exercice ou de la défense des droits de Masternaut et de chaque Filiale de Masternaut.
9.4 Masternaut devra, sur demande écrite de la Société, fournir une certification écrite à la Société attestant que Masternaut et toute Filiale de Masternaut respectent les stipulations du présent article 9.
10. Audit
10.1 Sous réserve du respect de l’article10.2, Masternaut devra mettre à la disposition de la Société, sur demande de celle-ci, toutes informations nécessaires établissant la conformité au présent Avenant et devra autoriser les audits, en ce compris les inspections, de la Société ou d’un auditeur mandaté par la Société et accepté par Masternaut concernant le Traitement des Données Personnelles de la Société.
10.2 La Société, dès lors qu’elle propose un audit ou une inspection dans le cadre de l’article 10.1, devra en informer, par écrit, Masternaut au moins 30 jours à l’avance en fournissant une liste et un ordre du jour relatifs à tous les domaines inspectés et devra adopter et s’assurera également que chacun de ses auditeurs mandatés adopte un comportement raisonnable pour éviter tout dommage ou perturbations aux locaux, aux équipements, aux personnels et aux activités de Masternaut. L’objectif de cet audit est limité à la vérification de la conformité du Traitement dans le cadre de l’Avenant. Cet audit ne pourra être conduit plus d’une fois par an, durant les heures de travail de bureau et ne devra pas durer plus d’une journée, sous réserve de la coopération de Masternaut. Masternaut pourra refuser de fournir l’accès aux personnes désignées par la Société si ces personnes refusent de signer l’accord de confidentialité ad hoc ou ne peuvent justifier de leur identité ou de leur mission.
11. Divers
Loi applicable et compétence juridictionnelle
11.1 Sans préjudice des clauses 7 (Médiation et attribution de juridiction) et 9 (Loi applicable), les parties conviennent eu égard aux Clauses Contractuelles Types que :
11.1.1 les parties de cet Avenant attribuent compétence aux juridictions telles que stipulées dans le Contrat de services télématiques pour tous litiges découlant du présent Avenant, en ce compris tous litiges concernant son existence, sa validité ou sa résiliation et les conséquence de sa nullité ; et
11.1.2 le présent Avenant et toutes obligations autres ou non-contractuelles en découlant ou en relation avec lui sera régi par les lois du pays ou du territoire stipulées à cet égard dans le Contrat de services télématiques.
Ordre hiérarchique
11.2 Rien dans cet Avenant ne diminue les obligations de Masternaut ou de toutes Filiales de Masternaut résultant du Contrat de services télématiques concernant la protection des Données à caractère personnel ou ne permet à Masternaut ou à l’une des Filiales de Masternaut de traiter (ou de permettre le Traitement) de Données à caractère personnel d’une manière contraire à celle qui est prévue dans le Contrat de services télématiques. En cas de conflit ou d’incompatibilité entre le présent Avenant et les Clauses Contractuelles Types, les Clauses Contractuelles Types prévaudront.
11.3 Sous réserve du respect de l’article 11.2 des présentes, eu égard à l’objet du présent Avenant, en cas d’incompatibilité entre les clauses de l’Avenant et tous autres accords entre les parties, en ce compris le Contrat de services télématiques et incluant (sauf quand les parties ont spécifiquement convenu du contraire par écrit) les accords conclus ou réputés conclus après la date de signature du présent Avenant, les clauses du présent Avenant prévaudront, à l’exception des clauses du Contrat de services télématiques dès lors qu’elles sont plus favorables au Membre du Groupe de la Société.
Divisibilité
11.4 La nullité, la caducité ou le caractère non écrit de l’une des clauses du présent Avenant n’affectera pas la validité des autres clauses. La clause caduque, annulée ou réputée non écrite devra soit être modifiée si nécessaire pour garantir sa validité et son caractère exécutoire, tout en préservant l’intention des parties aussi étroitement que possible, soit, si cela est impossible, être interprétée de manière à ce que la clause caduque, annulée ou réputée non écrite n’ait jamais figurée dans l’Avenant.
EN CONSÉQUENCE DE QUOI, le présent Avenant est conclu et devient partie intégrante du Contrat de services télématiques à compter de sa date de signature.
[Société]
Signature Nom de l’entité juridique______________________
Nom _________________________________ SIRET_____________________________________
Titre _________________________________ Adresse____________________________________
Date de signature _______________________ Adresse____________________________________
[Masternaut]
Signature ______________________________
Nom ___________D__ja_m__e_l S__o_u_ic_i___________
Titre ___________G__e_n_e_r_a_l C__o_u_n_s_e_l _________
Date de signature _1_8_._0_5_.2_0_1_8_______________
ANNEXE 1: DÉTAILS DU TRAITEMENT DES DONNÉES PERSONNELLES DE LA SOCIÉTÉ
Cette Annexe 1 inclut le détail du Traitement de Données à caractère personnel de la Société conformément aux stipulations de l’article 28.3. du RGPD.
Objet et durée du Traitement de Données Personnelles de la Société
L’objet et la durée du Traitement de Données Personnelles de la Société sont fixés dans le Contrat de services télématiques et le présent Avenant.
Objet du Traitement de Données à caractère personnel de la Société effectué par Masternaut
Masternaut traite des données collectées à partir d’équipements télématiques installés dans les véhicules de la Société. Les données sont traitées par Masternaut pour indiquer l’emplacement du véhicule, les trajets passés, les heures de début et de fin des trajets et les informations sur l'état du véhicule telles que l'odomètre, la consommation de carburant, la vitesse. Les données traitées par Masternaut peuvent inclure des Données à caractère personnel si la Société a choisi d'entrer de telles données dans le système télématique de Masternaut
Types de Données à caractère personnel de la Société
Masternaut peut être amenée à traiter des données si la Société choisit d’insérer de telles données dans le système télématique de Masternaut.
Ce traitement pourra inclure le nom de conducteur, l’identité des conducteurs, les plaques d'immatriculation des véhicules dans lesquels les équipements télématiques sont installés, les adresses électroniques des conducteurs, des numéros de téléphone, des adresses et d'autres données qui pourraient être utilisées pour identifier un conducteur.
En outre, Masternaut enregistre et traite les Données à caractère personnel des personnes utilisant la plate- forme Web de Masternaut pour des raisons de sécurité informatique et de prévention de la fraude.
Masternaut traite également dans ses systèmes de gestion de la relation client (CRM), ses systèmes de maintenance et ses systèmes financiers les informations de contacts fournies par la Société pour la gestion des contrats, la maintenance et la facturation.
Catégories de Données Personnelles de la Société
Masternaut ne traite pas de catégorie spéciale de données à caractère personnel de la Société.
Le traitement des Données Personnelles de la Société est généralement limité aux noms, aux identifiants tels que les pièces d’identité du personnel de la Société, l’adresse électronique et des adresses postales.
Obligations et droits de la Société et des Sociétés Affiliées
Les obligations et les droits de la Société et des Sociétés Affiliées sont définis dans le Contrat de services télématiques et le présent Avenant.
Mesures techniques et organisationnelles pour protéger les données personnelles:
- Les connexions aux sites Web de Masternaut sont cryptées par SSL;
Les informations collectées par les appareils télématiques de Masternaut sont transférés dans un format propriétaire via une connexion APN sécurisée et une passerelle VPN vers les centres de données de Masternaut;
- L'accès à tous les systèmes informatiques est protégé par mot de passe et accordé uniquement au personnel ayant besoin d'accéder à ces données dans le cadre de ses tâches professionnelles; Masternaut demande l'utilisation de mots de passe forts et encourage l'utilisation de l'authentification à 2 facteurs pour les systèmes informatiques internes;
- Les systèmes informatiques de Masternaut sont protégés par un pare-feu;
L'utilisation des systèmes informatiques et des droits d'accès par les membres du personnel de Masternaut est régie par des politiques de confidentialité et de sécurité des données et des accords de confidentialité;
- L'accès aux centres de données de Masternaut est limité par des contrôles d'accès logiques et physiques. Les centres de données sont accessibles uniquement par les membres du personnel autorisés, les portes sont verrouillées et sont sécurisées par des contrôles d'accès biométriques;
- Les entités juridiques de Masternaut, qui exploitent des centres de données, sont certifiées ISO27001. Les politiques de sécurité informatique sont surveillées en permanence et Masternaut engage
régulièrement des spécialistes tiers pour exécuter des tests de pénétration afin de vérifier la sécurité de ses systèmes informatiques;
- Toutes les données de Masternaut stockées dans ses centres de données sont sauvegardées pour pouvoir les restaurer en cas d'incident technique ou physique;