Le présent Addendum sur le traitement des données est conclu par les parties suivantes et entre elles :
Le présent Addendum sur le traitement des données est conclu par les parties suivantes et entre elles :
Transics France SARL, dont le siège social est à 0000, Xxx xx Xxxx, X-00000 Xxxxxxxxx, immatriculée au Registre de Commerce et des Sociétés de Dunkerque sous le numéro 423 050 251 (ci-après dénommée « Transics France »), agissant en son nom propre mais également au nom et pour le compte de Transics International BV/SRL, dont le siège social est à Xxx Xxxxxx 00, 0000 Xxxxx, Xxxxxxxx, TVA BE 0881.300.923 RPR/RPM Gent (ci-après dénommée « Transics International ») ;
Il est convenu que chaque entité Transics concluant le présent Addendum sur le traitement des données endossera seule la responsabilité de ses obligations aux termes dudit Addendum et n’aura aucune responsabilité conjointe avec quelque autre entité Transics.
(Ci-après, « Transics » ou le « Sous-traitant »),
et
, dont le siège social est situé à ,
(Ci-après, le « Client » ou le « Responsable du traitement ») ;
Le Responsable du traitement et le Sous-traitant sont désignés ci-après conjointement comme les « Parties » et individuellement comme la « Partie ».
Attendu que Transics fournit des services de gestion de flotte et d’autres services connexes (les « Services ») au Client, tels que décrits dans le Contrat de services et/ou les ordres de travail (ci-après, le « Contrat de services ») souscrit entre Transics et le Client.
Attendu que, dans la mesure où la prestation des Services nécessite le partage et le traitement de Données à caractère personnel entre les Parties respectives, les Parties souhaitent établir les conditions dans lesquelles elles peuvent recevoir, consulter et ensuite traiter les Données à caractère personnel de l’autre Partie si, et dans la mesure où, Transics traite les Données à caractère personnel en tant que Sous-traitant pour le compte du Client dans le cadre des Services fournis par Transics au Client en vertu du Contrat de services.
LES PARTIES CONVIENNENT DE CE QUI SUIT :
1. Définitions
1. Les termes définis dans le Contrat de services entre le Sous- traitant et le Responsable du traitement auront la même signification quand ils sont utilisés dans le présent Addenda relatif au traitement des données (« Addenda »).
2. Aux fins du présent Addenda, les termes « Données à caractère personnel », « Catégories particulières de données », « Traiter/traitement », « Responsable du traitement » (ou « Responsable des données »), « Sous- traitant » (ou « Sous-traitant des données »), « Sous-traitant secondaire », « Personne concernée » et « Violation des données personnelles » ont la signification qui leur est donnée dans les lois applicables en matière de protection des données.
3. Les « Lois sur la protection des données » désignent le règlement général sur la protection des données 2016/679 (« RGPD ») et les dispositions réglementaires nationales complémentaires dans les États membres de l’EEE, la directive européenne 2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, telle qu’elle est transposée dans les législations nationales des États membres de l’EEE et telle qu’elle peut être modifiée, abrogée, remplacée ou complétée périodiquement, ainsi que toute autre législation ou réglementation concernant la protection des données et de la vie privée ou les réglementations applicables aux Données à caractère personnel sous la responsabilité de chaque Partie.
2. Objet et durée
Le présent Xxxxxxx s’applique à toute collecte, utilisation, partage et traitement ultérieur de Données à caractère personnel par Transics si, et dans la mesure où, Transics traite
des Données à caractère personnel en tant que Sous-traitant pour le compte du Client dans le cadre des Services fournis par Transics au Client en vertu du Contrat de services.
Le présent Addenda remplace sans pour autant annuler les accords antérieurs conclus entre les Parties en ce qui concerne les aspects relatifs au traitement des Données à caractère personnel, y compris, mais sans s’y limiter, tout Contrat relatif au traitement des données.
Le présent Addenda relatif au traitement des données fait partie intégrante du Contrat de services souscrit entre les Parties. Le présent Addenda relatif au traitement des données sera réputé prendre effet à la date de la signature et sera pleinement valide et applicable jusqu’à la résiliation du Contrat de services.
3. Champ d’application
Les Parties, agissant chacune en leur qualité respective, traiteront les Données à caractère personnel en conformité avec la loi applicable en matière de protection des données, la loi applicable en matière de protection de la vie privée et des communications électroniques, le RGPD tel qu’applicable à partir du 25 mai 2018 et tout autre règlement applicable auquel le Responsable du traitement et/ou le Sous-traitant seraient assujettis.
Type de données
Le Responsable du traitement a stipulé que les catégories de données suivantes seront collectées, traitées et utilisées par le Sous-traitant dans le cadre du présent Addenda :
Les Données à caractère personnel fournies, stockées, envoyées ou reçues par le Client ou par ses utilisateurs finaux via la Solution de gestion de flotte peuvent comprendre :
• Nom, titre, numéro du permis du chauffeur, qualification, date d’entrée en / de sortie de service, date d’expiration de certificat médical
• Adresses professionnelles, commerciales ou d’entreprise
• Date / année / date de naissance
• Données de télécommunications (p.ex. données de connexion, de localisation, d’utilisation et de trafic)
• Numéro de téléphone, numéro de téléphone portable
• Adresse électronique
• Données de tachy (heures de conduite, de repos, de travail)
• Messages
• Adresses IP
• Données éco
• Données du planning et de contrôle
• Données de localisation précises (positions GPS)
• Immatriculation du véhicule et de la remorque
• Données relatives au dispositif et données de diagnostic liées au service
• Photo
• Sexe
• Rôle (chauffeur / visiteur / exploitant / administrateur)
• Langue d’utilisateur du chauffeur
• Carte tachy : ID
• Carte tachy : Pays de délivrance
• Activités (conduite, arrêt, repos, etc.)
• Alarmes
• Date de la dernière lecture tachy
• ÉCO-Performance / -Tendance : Ralenti, Régime élevé, Survitesse, Vitesse en roue libre, freinage brusque, Croisière, Consommation moyenne
• Intégration de données TracKing pour remorque (Thermo King) : température de zone, état de porte, pression des pneus, alarmes
• Données de l’application FMS du véhicule / Données relatives à l’utilisation du véhicule, telles que : distance parcourue, heure de la journée, durée de conduite, vitesse du véhicule, régime du moteur (tr/min.), charge du moteur, température du moteur, manœuvres de freinage / de virage / d’accélération, durée et distance du trajet, tension de la batterie
• Données d'utilisation de la remorque, telles que : distance parcourue, heure de la journée, durée de conduite, vitesse de la remorque, charge de la
remorque, freinage (EBS) / distance, TPMS, EBPMS, GNSS
• Enregistrement vidéo (l’activation doit être effectuée par le Client)
Catégories de Personnes concernées
Le Responsable du traitement a défini les catégories de Personnes concernées suivantes dont les Données à caractère personnel définies ci-dessus seront collectées, traitées et utilisées par le Sous-traitant dans le cadre du présent Contrat de traitement de données :
les employés du Client ;
les contractants du Client ;
le personnel des clients, des fournisseurs et des sous-traitants du Client ;
toute autre personne qui transmet des données via la Solution de gestion des flottes (FMS), y compris les personnes qui collaborent et communiquent avec les utilisateurs finaux du Client.
Rétention des données
Le Sous-traitant ne conservera pas les Données à caractère personnel sous une forme permettant l’identification des Personnes concernées plus longtemps que nécessaire pour les finalités pour lesquelles il traite les Données à caractère personnel via l’application FMS Transics, à moins que la législation sur la protection des données ou d’autres réglementations applicables n’exigent ou n’autorisent d’autres dispositions à cet égard. Le Client demandera expressément à Transics de fixer la durée de conservation à 1 an, afin de garantir la disponibilité de toutes les données au Client à tout moment. Après ce délai, Transics a la possibilité de supprimer ces Données à caractère personnel ou de ne plus les rendre accessibles. Avant l’expiration de ce délai, le Client exportera toutes les données nécessaires via l’outil Transics. Transics n’est pas obligé de supprimer des copies de Données à caractère personnel, qui sont conservées dans des copies de sauvegarde générées automatiquement par Transics, et qui seront conservées au maximum pour assurer la continuité, mais seront supprimées dans les 14 mois suivant leur création. Ces copies de sauvegarde restent soumises au présent Addenda relatif au traitement de données et au Contrat jusqu’à leur destruction. Sans préjudice du droit du Responsable du traitement énoncé à l’Article 4.i ci-dessous, Transics a le droit d’anonymiser les Données à caractère personnel collectées, générées et/ou stockées dans le cadre de la prestation des Services, et d’utiliser ensuite les données ainsi anonymisées à des fins statistiques, analytiques, commerciales et de comparaison.
4. Obligations du Sous-traitant
Lorsque Transics (agissant en tant que Sous-traitant) traite des Données à caractère personnel pour le compte du Client (agissant en tant que Responsable du traitement), il doit :
a. Traiter ou faire traiter ces Données à caractère personnel conformément aux lois sur la protection des données qui lui sont applicables en tant que Responsable du traitement des données.
b. Traiter – et veiller à ce que toute personne agissant sous son autorité traite – les Données à caractère personnel pour le compte du Responsable du traitement conformément aux instructions documentées de ce dernier, à moins qu’il ne soit tenu de traiter ces données en conformité avec la législation de l’UE ou de tout État membre de l’UE à laquelle le Sous-traitant est assujetti. Dans ce cas, le Sous-traitant informera le Responsable du traitement de cette obligation légale avant le traitement, à moins que cette loi n’interdise la transmission de ces informations pour des raisons importantes d’intérêt public. Le présent Addenda équivaut à des instructions écrites transmises par le Responsable du traitement au Sous-traitant. À la demande du Responsable du traitement, le Sous- traitant devra également corriger, rectifier ou bloquer les Données à caractère personnel, et veiller à ce que seul un personnel dûment formé ait accès aux données à caractère personnel.
c. Aider le Responsable du traitement, en tenant compte de la nature du traitement et des informations dont dispose le Sous-traitant, à garantir le respect des
obligations qui lui incombent en vertu de la législation applicable en matière de protection des données, notamment en procédant à toute évaluation nécessaire de l’impact sur la vie privée.
d. Appliquer les mesures techniques et organisationnelles appropriées requises par la législation applicable en matière de protection des données pour protéger les Données à caractère personnel contre la destruction accidentelle ou illicite ou la perte accidentelle, l’altération, l’accès non autorisé, la divulgation ou le transfert, l’utilisation inappropriée et contre toutes autres formes illégales de traitement, et au minimum les mesures de sécurité suivantes :
i. La pseudonymisation et le cryptage des Données à caractère personnel ;
ii. La capacité d’assurer de manière continue la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et des services de traitement ;
iii. La capacité de rétablir la disponibilité et l’accès aux Données à caractère personnel en temps opportun en cas d’incident physique ou technique ;
iv. Un processus permettant de tester, de mesurer et d’évaluer régulièrement l’efficacité des mesures techniques et organisationnelles afin d’assurer la sécurité du traitement.
En vertu de l’Annexe 1, le Sous-traitant documente l’application des mesures techniques et opérationnelles.
e. De mettre à la disposition du Responsable du traitement toutes les informations nécessaires afin de démontrer le respect des obligations du Sous-traitant de conformité à l’égard de la loi applicable en matière de protection des données et autoriser la réalisation d’audits et prêter sa collaboration à cet effet, y compris des inspections, réalisées par le Responsable du traitement ou par un autre auditeur mandaté par le Responsable du traitement. Le droit du Responsable du traitement d’effectuer un audit sera subordonné à l’envoi au Sous-traitant d’une notification écrite préalable dans un délai de quatre (4) semaines minimum avant la réalisation de l’audit.
f. En ce qui concerne le point (e) ci-dessus, informer immédiatement le Responsable du traitement s’il estime qu’une instruction reçue du Responsable du traitement enfreint les lois relatives à la protection des données.
g. Aider le Responsable du traitement, en tenant compte de la nature du traitement et des informations dont dispose le Sous-traitant, à prendre les mesures techniques et organisationnelles appropriées, dans la mesure du possible, afin de garantir le respect de l’obligation du Responsable du traitement de fournir des informations sur la collecte, le traitement ou l’utilisation des Données à caractère personnel aux Personnes concernées et de répondre aux demandes des Personnes concernées souhaitant exercer leurs droits. Toute requête d’une Personne concernée adressée directement au Sous-traitant sera transmise au Responsable du traitement.
h. Informer sans délai le Responsable du traitement des violations de Données à caractère personnel affectant les Données à caractère personnel traitées par le Sous- traitant et, en tenant compte de la nature du traitement et des informations dont il dispose, aider, le Responsable du traitement, dans la mesure du possible, à remplir ses obligations en cas de violation des Données à caractère personnel.
i. Supprimer ou restituer au Responsable du traitement toutes les Données à caractère personnel, à la discrétion de ce dernier, après la fin de la prestation des services relatifs au traitement, et supprimer les copies
existantes, à moins que la législation de l’UE ou d’un
Données à caractère personnel. Si, après 3 mois après la résiliation des Services, aucun choix ou instruction n’a été soumis, Transics ne rendra plus les Données à caractère personnel accessibles ou les supprimera. Le Client devra exporter les données nécessaires via l’outil Transics dans les 3 mois suivant la résiliation des Services.
j. S’assurer que les personnes (p. ex., les employés) autorisées à traiter les Données à caractère personnel, se sont elles-mêmes engagées à respecter une obligation de confidentialité ou sont assujetties à une obligation légale de confidentialité appropriée.
k. Sans préjudice de l’obligation du Responsable du traitement énoncée à l’Article 6.4 ci-dessous, tenir un registre de toutes les catégories d’activités de traitement effectuées pour le compte du Responsable du traitement conformément au RGPD.
Le Sous-traitant est en droit de demander une indemnisation pour l’assistance qu’il fournit au Responsable du traitement qui va au-delà de ce qui est requis par les lois relatives à la protection des données et par le présent Addenda relatif à la protection des données.
5. Sous-traitement
1. En vertu du présent Addenda, le Responsable du traitement accorde au Sous-traitant une autorisation écrite générale pour faire appel à un autre sous-traitant pour la totalité ou une partie du traitement visé dans le présent Addenda.
2. Il est convenu que tout Sous-traitant secondaire répertorié à l’Annexe 2 est expressément autorisé.
3. Le Sous-traitant informera le Responsable du traitement de toutes modifications concernant l’ajout ou la substitution d’autres sous-traitants, donnant ainsi au Responsable du traitement la possibilité de contester ces modifications. Si le Responsable du traitement a des raisons valables et légitimes de s’opposer à l’un ou l’autre Sous-traitant spécifique, il informera par écrit le Sous-traitant de telles objections dès que possible après la réception de la communication du Sous- traitant relative audit Sous-traitant secondaire.
4. Si, avec l’accord général du Responsable du traitement tel que prévu ci-dessus, Transics prend des dispositions ou envisage de transférer et de faire traiter par un Sous-traitant secondaire les Données à caractère personnel détenues en vertu du présent Addenda, les conditions suivantes s’appliquent :
a) Transics procèdera uniquement à un tel transfert sur la base d’un contrat écrit avec le Sous-traitant secondaire qui imposera audit Sous-traitant secondaire les mêmes obligations que celles qui sont imposées au Sous- traitant en vertu du présent Addenda, en particulier l’obligation d’adopter des mesures techniques et organisationnelles appropriées de manière à ce que le traitement respecte les exigences applicables en vertu des lois applicables en matière de protection des données.
b) Lorsque des Données à caractère personnel sont ou seront transférées en dehors de l’EEE vers un pays n’offrant pas un niveau adéquat de protection des données, des Clauses contractuelles types de l’UE pour les sous-traitants seront conclues entre le Sous-traitant secondaire et le Responsable du traitement (le cas échéant, Transics agissant au nom du Responsable du traitement) ou tout autre mécanisme de transfert de données adéquat sera mis en place conformément aux lois applicables en matière de protection des données ; et le Client autorise expressément Transics à conclure des Clauses contractuelles types avec les Sous-traitants secondaires répertoriés dans les Annexes correspondantes pour le compte du Client.
c) Dans les cas où le Sous-traitant secondaire ne respecterait pas ses obligations en matière de protection des données en vertu d’un tel contrat écrit, le Sous- traitant demeurera pleinement responsable vis-à-vis du Responsable du traitement de l’exécution des obligations du Sous-traitant secondaire sous réserve des limitations de responsabilité convenues en vertu du présent Addenda.
6. Obligations du Responsable du
1. Le Responsable du traitement détermine les finalités et les moyens de traitement des Données à caractère personnel via la solution FMS de Transics.
2. Le Responsable du traitement garantit que :
a. Le Sous-traitant obtient l’autorisation d’utiliser les Données à caractère personnel à des fins de traitement telles que déterminées dans le présent Addenda relatif au traitement des données.
b. Les Données à caractère personnel ont été légalement collectées et traitées conformément aux lois en matière de protection des données.
c. Le respect des lois applicables en matière de protection des données est garanti lorsque le Responsable du traitement transfère des Données à caractère personnel au Sous-traitant pour se conformer au présent Addenda relatif au traitement des données et lorsqu’il donne des instructions au Sous-traitant en ce qui concerne le traitement des Données à caractère personnel.
3. Le Responsable du traitement doit veiller à ce que les données soient traitées d’une manière qui garantit une sécurité appropriée, notamment la protection contre tout traitement non autorisé ou illicite et contre une perte, une destruction ou des dommages accidentels, en adoptant les mesures techniques ou organisationnelles appropriées.
4. Le Responsable du traitement tiendra un registre des activités de traitement effectuées sous sa responsabilité conformément au RGPD dans lequel la solution FMS de Transics devra être prise en compte.
7. Cession
Le Sous-traitant ne cèdera pas ses obligations en vertu du présent Addenda relatif au traitement de données sans avoir obtenu l’autorisation écrite préalable du Responsable du traitement, excepté dans les cas où la cession est effectuée en faveur d’une société apparentée ou d’une filiale qui fait partie du Groupe ZF, auquel cas un consentement écrit préalable du Responsable du traitement n’est pas requis. Dans les cas où le Sous-traitant cède le présent Addenda relatif au traitement de données, avec l’autorisation du Responsable du traitement, il le fera uniquement moyennant un contrat écrit souscrit avec le cessionnaire et imposant à ce dernier les mêmes obligations que celles qui sont applicables au Sous-traitant en vertu du présent Addenda relatif au traitement de données.
8. Responsabilité
Les responsabilités respectives et mutuelles des Parties en cas de violation du présent Addenda et leur obligation d’indemnisation mutuelle en cas de réclamations de tiers contre l’une des Parties en raison d’une violation contractuelle ou non contractuelle du présent Addenda ou des lois relatives à la protection des données par l’autre Partie seront régies par les conditions de responsabilité et d’indemnisation définies dans le Contrat de services entre Transics et le Client concernant les Services en question.
9. Droit applicable et juridiction
Le présent Addenda sur la gouvernance des données est régi par la loi réglementant le Contrat de services pertinent (à moins qu’un tel choix de loi ne soit pas valide en vertu de la loi applicable dans le pays où le Responsable du traitement correspondant est établi, auquel cas la législation à appliquer sera celle du pays où le Responsable du traitement correspondant est établi).
La juridiction compétente pour tout litige contractuel ou non contractuel découlant du présent Addenda ou en relation avec celui-ci sera la juridiction qui aura été convenue dans le Contrat de services correspondant. Le présent paragraphe n’affecte toutefois pas les obligations impératives respectives des Parties en vertu des lois applicables en matière de protection des données.
CONVENU par les Parties par l’intermédiaire de leurs représentants dûment autorisés à la date à laquelle les deux Parties ont signé la présente Annexe de traitement de données.
Pour et au nom de :
Transics
État membre de l’UE n’exige la conservation des
traitement
Nom : Xxxxxxx Xxxxxx Fonction : DCS BU Leader
Client
Nom :
Fonction :
Date :
Annexe 1 : Mesures techniques et opérationnelles
La présente Annexe est destinée aux clients et aux partenaires commerciaux et établit les mesures techniques et opérationnelles adoptées en vue de protéger les Données à caractère personnel contre tout accès non autorisé, toute corruption ou perte en conformité avec les lois applicables en matière de protection des données.
Le présent document fournit des informations complémentaires sur les mesures techniques et opérationnelles qui ont été adoptées par le Sous-traitant à des fins de protection des données à caractère personnel.
SÉCURITÉ DU CENTRE DE DONNÉES & DU RÉSEAU
Le centre de données utilisé par Transics est un centre de données de niveau Tier 3 :
• SLA (Accord de niveau de service) Disponibilité de l’alimentation électrique – 100 %
• SLA Température
Objectif : Maintien de la température de la salle des ordinateurs à une température de source de 18° C jusqu’à 27° C de manière continue, sous réserve d’une température extérieure inférieure à 40° C et en conformité avec les lignes directrices de l’ASHRAE.
• SLA Humidité
Objectif : Maintien dans la salle des ordinateurs d’un taux d’humidité situé entre 40 % et 60 %
• Facilités
Solutions haute densité disponibles Bâtiment opérationnel 24 x 7 x 365 Plancher surélevé de 800 mm avec une distance de 3,5 mètres à la partie inférieure du caisson de ventilation du plafond
Baie de livraison couverte avec niveleur de quai et salles d’entreposage sécurisées Charge maximale admissible au sol 12 KN par mètre carré
• Alimentation
Doubles alimentations N+1 générateurs
2N UPS
• Sécurité
Sécurité du site 24 x 7
Lecteurs de badges et biométrie
Barrière empêchant le passage en double Clôture du périmètre du site de 3 m Système de télévision en circuit fermé (CCTV) interne et externe – 90 jours d’enregistrement
• Conformité / Certifications
Centre de données certifié Uptime Institute Tier 3
ISO27001, conformité PCIDSS, certification BREEAM
Xxxxxx et lignes directrices de l’ASHRAE pour les Centres de données
• Refroidissement
Solution indirecte d’air adiabatique extérieur Sans nécessite de réfrigération mécanique conventionnelle
Pas d’eau dans l’espace blanc du centre de données
BÂTIMENTS DE TRANSICS
1. Contrôle d’accès (bâtiment / bureaux / centre de données)
Le Sous-traitant a adopté, à titre non limitatif, les mesures suivantes afin de prévenir l’accès non autorisé aux systèmes de traitement des données dans lesquels des Données à caractère personnel sont stockées :
Les membres du personnel possèdent une carte
/ clé personnelle pour accéder au bâtiment.
Les personnes non autorisées ne pourront pas accéder physiquement aux installations, aux bâtiments ou aux locaux dans lesquels des systèmes de traitement de données sont situés et où des Données à caractère personnel sont traitées et/ou utilisées.
2. Contrôle d’accès (systèmes)
Le Sous-traitant a adopté, à titre non limitatif, les mesures suivantes afin de prévenir l’utilisation des systèmes de traitement des données par des personnes non autorisées :
Les systèmes d’information à l’échelle de l’entreprise sont contrôlés en permanence, 24 heures sur 24, 7 jours sur 7, 365 jours par l’équipe informatique de Transics.
Les membres du personnel ont chacun un terminal individuel avec identification et mot de passe personnels.
Un délai d’extinction automatique est utilisé pour éteindre les terminaux des utilisateurs qui sont laissés inactifs. Une identification et un mot de passe sont requis pour rouvrir l’application.
Désactivation automatique de l’identifiant de l’utilisateur après la saisie de plusieurs mots de passe erronés, fichier de journalisation des événements (contrôle des tentatives d’intrusion).
Tous les membres du personnel sont contraints par des accords de confidentialité et de non- divulgation. Tout accès à des données non publiques est autorisé strictement sur la base du principe du besoin de connaître et est contrôlé. Les utilisateurs sont constamment sensibilisés à l’importance de la sécurité des données dans l’entreprise.
L’accès aux systèmes de production est effectué par le biais d’une authentification multi-facteurs.
Transics a accès par domaine de responsabilité : équipe R&D, équipe d’hébergement, équipe du ServiceDesk … L’accès est basé sur la fonction et fait l’objet d’évaluations régulières de l’appartenance aux groupes.
3. Contrôle d’accès (données)
Le Sous-traitant a mis en œuvre, à titre non limitatif, les mesures suivantes afin de garantir que les utilisateurs autorisés d’un système de traitement de données peuvent uniquement accéder aux données pour lesquelles ils ont été autorisés et afin d’empêcher que des Données à caractère personnel ne puissent être lues sans autorisation lorsque les données sont en cours d’utilisation, de transmission ou au repos :
Les connexions des clients sont authentifiées moyennant un mécanisme d’authentification multi-facteurs.
Un portail central de connexion avec accès sécurisé aux applications des clients et basé sur le principe de l’authentification unique (« single sign-on » ou SSO) qui peut être combiné avec une authentification « à deux facteurs ».
4. Contrôle de transfert
Le Sous-traitant a mis en œuvre, à titre non limitatif, les mesures suivantes afin de garantir que les Données à caractère personnel ne puissent pas être lues, copiées ou modifiées lors de la transmission électronique ou lors du transport ou du stockage sur un disque. En outre, afin de contrôler et de déterminer les organisations auxquelles le transfert de Données à caractère personnel fournies par les équipements de communication de données est autorisé :
Toutes les interactions clients via Internet se font sur des connexions sécurisées SSL / TLS
Toutes les connexions à la base de données sont cryptées
Les sauvegardes de données et les données au repos sont cryptées
5. Contrôle de saisie
Le Sous-traitant a mis en œuvre, à titre non limitatif, les mesures suivantes afin de garantir qu’il est possible d’assurer, de contrôler ultérieurement, et de déterminer si et par qui des Données à caractère personnel ont été saisies, modifiées ou supprimées dans les systèmes de traitement des données :
une politique d’autorisation pour la saisie de données dans la mémoire, ainsi que pour la lecture, la modification et la suppression des données stockées ;
l’authentification du personnel autorisé ;
des mesures de protection pour la saisie de données dans la mémoire, ainsi que pour la lecture, la modification et la suppression des données stockées ;
l’utilisation de codes d’utilisateur (mots de passe)
;
l’adoption d’une politique en vertu de laquelle tous les membres du personnel de Transics ayant accès aux Données à caractère personnel traitées pour le Client réinitialiseront leurs mots de passe au moins une fois tous les trois mois ;
la possibilité de verrouiller les accès aux installations de traitement des données (les salles où sont installés les ordinateurs et les équipements connexes) ;
la déconnexion automatique des identifiants des utilisateurs qui n’ont pas été utilisés pendant une période prolongée.
6. Contrôle de commande
Le Sous-traitant a mis en œuvre, à titre non limitatif, les mesures suivantes afin de garantir que les Données à caractère personnel qui sont traitées à la demande du propriétaire des données par un sous-traitant de données soient uniquement traitées conformément aux instructions du propriétaire des données :
Le propriétaire des données est autorisé à tout moment à contrôler l’exécution correcte de tous les travaux qu’il a commandés. Transics fournira au Client des informations appropriées sur les travaux réalisés.
7. Contrôle de disponibilité
Le Sous-traitant a mis en œuvre, à titre non limitatif, les mesures suivantes afin de garantir que les Données à caractère personnel soient protégées contre la destruction ou la perte accidentelle :
Voir la section relative au « Centre de données ».
8. Traitement séparé
Le Sous-traitant a mis en œuvre, à titre non limitatif, les mesures suivantes afin de garantir que les données qui sont collectées pour différentes finalités puissent être traitées séparément :
L’accès aux données est séparé moyennant la sécurité de l’application pour les utilisateurs appropriés ;
Des environnements distincts sont disponibles pour DEV, QA et PRODUCTION ;
L’environnement de production et l’environnement de test sont séparés.
9. Délégué à la protection des données
Le Sous-traitant a nominé un Délégué à la protection des données (DPD) en conformité avec RGPD. Cette personne veillera au respect du RGPD et des autres législations relatives à la protection des données. Veuillez adresser vos questions au DPD via xxxxxxx.xxxxxxx@xx.xxx.
Annexe 2 : Liste de Sous-traitants secondaires
Vous trouverez une liste des Sous-traitants secondaires désignés actuellement par Transics via le lien suivant : xxxxx://xxx.xx.xxx/xxxxx/xxxxxxxxxxxxx