Contrat de traitement des données
Version novembre 2024
Contrat de traitement des données
Accord sur le traitement des commandes
Réglementation sur la protection et la sécurité des données dans les relations contractuelles
conformément à l'article 28 du RGPD
Shiftmove GmbH
Warschauer Straße 57
10243 Berlin
- ci-après dénommé « Sous-traitant » -
et toi
- ci-après dénommé le « Contrôleur » -
- ci-après conjointement dénommées les « parties contractantes »
Préambule
Ce contrat de traitement des données (« DPA ») conformément à l'article 28 du RGPD fait partie de nos conditions générales (« accord principal ») conclues entre nos utilisateurs et Shiftmove GmbH et peut être consulté ici : https://www.shiftmove.com/legal/agb. Conformément à cet accord, le présent DPA s'applique au traitement de vos données personnelles dans le cadre de la fourniture de notre produit.
L'accord est basé sur les dispositions du RGPD et du BDSG.
§ 1 Objet, type et finalité du traitement ; type de données personnelles, catégories de personnes concernées
(1) L'objet du traitement est la fourniture d'un ou de plusieurs services en tant que logiciel en tant que service par le groupe Shiftmove (« Services »). La nature et la finalité du traitement sont définies à l'annexe 1a. Le type de traitement est répertorié à l'annexe 1b.
(2) Les catégories de personnes concernées sont définies à l'annexe 1c.
(3) Le type de données personnelles traitées est défini à l'annexe 1d.
(4) Annexe 1 fait partie de cet accord.
(5) Le responsable du traitement charge le processeur de traiter ces données à ces fins.
§ 2 Durée de la commande
La durée de cette commande (terme) correspond à la durée du contrat principal.
§ 3 Responsabilité et autorité de donner des instructions
(1) Le responsable du traitement est responsable du respect des dispositions de la loi sur la protection des données, en particulier de la licéité du transfert des données au sous-traitant et de la licéité du traitement des données (article 4, paragraphe 7 du RGPD). Le sous-traitant n'utilisera pas les données à des fins autres que celles spécifiées dans le présent contrat de traitement des données ainsi que dans le contrat principal et, en particulier, n'est pas autorisé à les transmettre à des tiers non couverts par le § 6 de cet accord. Les copies et les doublons ne seront pas réalisés à l'insu du responsable du traitement. Toute disposition contraire ne s'applique que dans la mesure spécifiée au § 3 (2) du présent contrat.
(2) Le sous-traitant traite les données personnelles uniquement sur les instructions documentées du responsable du traitement, sauf s'il existe une autre obligation en vertu du droit de l'Union ou du droit de l'État membre auquel le sous-traitant est soumis. En cas d'autre obligation, le sous-traitant informera le responsable du traitement des exigences légales correspondantes sans délai avant un tel traitement, si la loi l'autorise.
(3) Si le sous-traitant estime qu'une instruction du responsable du traitement enfreint les règles de protection des données, il doit en informer immédiatement le responsable conformément à l'article 28, paragraphe 3, du RGPD. Jusqu'à ce que l'instruction correspondante soit confirmée ou modifiée, le Sous-traitant est autorisé à suspendre le traitement sur la base de l'instruction non conforme.
(4) Les modifications apportées à l'objet du traitement doivent être convenues conjointement et documentées. Le sous-traitant ne peut fournir des informations à des tiers ou à la personne concernée qu'avec le consentement écrit préalable du responsable du traitement.
§ 4 Confidentialité
Le sous-traitant ne donne accès aux données personnelles du responsable du traitement qu'aux employés qui sont tenus à la confidentialité conformément à l'article 28, paragraphe 3, point b) du RGPD et qui ont reçu une formation dédiée sur les dispositions de protection des données les concernant. Le Sous-traitant et toute personne subordonnée au Sous-traitant ayant accès aux données personnelles ne peuvent traiter ces données que conformément aux instructions du Contrôleur, y compris les autorisations accordées dans le présent Contrat de traitement des données, à moins qu'ils ne soient légalement tenus de le faire.
§ 5 Sécurité des données
(1) Les parties contractantes conviennent des mesures spécifiques de sécurité des données énoncées dans Annexe 2 « Mesures techniques et organisationnelles » à cet accord conformément à l'article 28 (3) (c) du RGPD en liaison avec l'article 32 (1) du RGPD afin de garantir la sécurité du traitement pour le compte. Les mesures à mettre en œuvre par le Sous-traitant sont des mesures de sécurité des données et des mesures visant à garantir un niveau de protection adapté au risque en matière de confidentialité, d'intégrité, de disponibilité et de résilience des systèmes. L'état de la technique, les coûts de mise en œuvre et la nature, la portée et les finalités du traitement ainsi que la probabilité et la gravité variables du risque pour les droits et libertés des personnes concernées au sens de l'article 32 (1) du RGPD seront pris en compte par le sous-traitant lors de la mise en œuvre de ces mesures.
(2) Annexe 2 fait partie intégrante de cet accord.
(3) Le sous-traitant doit respecter les principes d'un traitement correct des données. Il garantit les mesures de sécurité des données convenues contractuellement et légalement requises. Les mesures techniques et organisationnelles sont soumises au progrès technique et au développement ultérieur. À cet égard, le Sous-traitant est autorisé à mettre en œuvre d'autres mesures adéquates. Ce faisant, le niveau de sécurité des mesures définies ne doit pas être réduit. Les modifications importantes doivent être documentées et communiquées au responsable du traitement par écrit.
(4) En cas de violation de données personnelles, le sous-traitant doit coopérer avec le responsable du traitement et l'assister afin de lui permettre de se conformer à ses obligations en vertu des articles 33 et 34 du RGPD, en tenant compte de la nature du traitement et des informations dont dispose le sous-traitant.
(5) En cas de violation de données personnelles en rapport avec les données traitées par le Sous-traitant, celui-ci en informera le Contrôleur dans les meilleurs délais après avoir pris connaissance de la violation. Cette notification doit contenir au moins les informations suivantes :
- une description de la nature de la violation (y compris, si possible, les catégories et le nombre approximatif de personnes concernées et le nombre approximatif d'enregistrements de données concernés) ;
- les coordonnées d'un point de contact auprès duquel de plus amples informations sur la violation de données personnelles peuvent être obtenues ;
- les conséquences probables et les mesures prises ou proposées pour remédier à la violation de données personnelles, y compris les mesures visant à atténuer ses éventuels effets négatifs.
Si et dans la mesure où toutes ces informations ne peuvent pas être fournies en même temps, la notification initiale contiendra les informations disponibles à ce moment-là et des informations supplémentaires seront fournies dès qu'elles seront disponibles sans retard injustifié par la suite.
§ 6 Inclusion d'autres processeurs (sous-traitants)
(1) Aux fins du présent contrat, les sous-traitants sont des sous-traitants supplémentaires dont les services sont directement liés à la fourniture du service principal. Cela n'inclut pas les services auxiliaires que le Sous-traitant utilise, par exemple les services de télécommunications, les services postaux/de transport et le nettoyage. Cependant, le sous-traitant est tenu de prendre des accords contractuels et des mesures de contrôle appropriés et conformes à la loi pour garantir la protection et la sécurité des données du responsable du traitement, même dans le cas de services auxiliaires externalisés.
(2) Le recours à des sous-traitants ou le changement de sous-traitant existant sont autorisés, à condition que :
- le Sous-traitant informe le Contrôleur de cette sous-traitance à des sous-traitants 14 jours calendaires à l'avance par écrit ou sous forme de texte, et
- le responsable du traitement ne s'oppose pas à l'externalisation prévue par écrit ou sous forme de texte auprès du sous-traitant au moment du transfert des données.
(3) Si le responsable du traitement s'oppose à un changement de sous-traitant dans le délai d'opposition prévu au § 6 (2), le sous-traitant vérifiera et informera le responsable du traitement si le service peut être fourni sans changement de sous-traitant. Si, sur la base de son examen, le sous-traitant ne peut pas fournir le service sans changement au sous-traitant, les deux parties ont le droit de résilier le contrat par écrit avec un préavis de 14 jours.
(4) Un accord contractuel doit être conclu avec le sous-traitant conformément à l'article 28, paragraphes 3 et 4, du RGPD.
(5) Le transfert des données personnelles du responsable du traitement au sous-traitant et les activités initiales du sous-traitant ne sont autorisés que lorsque toutes les exigences légales en matière de sous-traitance sont remplies. Les sous-traitants autorisés par le responsable du traitement au moment de la conclusion du contrat sont énumérés à l'annexe 3. Les sous-traitants des entités sous-traitantes peuvent être consultés sous les liens https://vimcar.de/datenschutz/subunternehmer et https://www.avrios.com/de/legal/sub-Processors.
(6) Les sociétés affiliées du groupe Shiftmove sont mandatées en tant que sous-traitants.
(7) Tout transfert de traitement de données vers un pays tiers nécessite des instructions documentées ou une autorisation préalable du responsable du traitement et ne peut avoir lieu que si les exigences particulières des articles 44 à 49 du RGPD sont respectées.
(8) Annexe 3 fait partie de cet accord.
§ 7 Droits des personnes concernées
(1) Le sous-traitant est tenu de soutenir le responsable du traitement en prenant les mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour se conformer aux obligations de répondre aux demandes des personnes concernées exerçant leurs droits en vertu des articles 12 à 22 du RGPD (article 28 (3) (e) du RGPD).
(2) Dans la mesure où la personne concernée a droit à la portabilité des données vis-à-vis du responsable du traitement, celui-ci veille à ce que le responsable du traitement puisse recevoir les données personnelles traitées dans la zone de responsabilité du sous-traitant dans un format structuré, couramment utilisé et lisible par machine.
(3) Le sous-traitant ne peut divulguer, rectifier, effacer ou restreindre le traitement des données personnelles que conformément aux instructions documentées du responsable du traitement (article 28 (3) (g) du RGPD).
(4) Si une personne concernée contacte directement le responsable du traitement afin d'exercer ses droits conformément aux articles 12 à 22 du RGPD, le sous-traitant transmet la demande au responsable du traitement dans les meilleurs délais.
(5) Le sous-traitant ne peut fournir des informations à des tiers ou à des personnes concernées qu'avec l'autorisation écrite préalable du responsable du traitement.
(6) Le responsable du traitement est chargé d'informer les personnes concernées conformément aux articles 12 et 13 du RGPD. Les informations nécessaires relatives à cette obligation, qui ne sont disponibles que pour le sous-traitant, seront mises à la disposition du responsable du traitement sur demande.
§ 8 Obligations du sous-traitant
Outre le respect des dispositions du présent contrat, le sous-traitant doit respecter les obligations énoncées aux articles 28 à 36 du RGPD. À cet égard, le Sous-traitant doit notamment veiller au respect des exigences suivantes :
- Si le sous-traitant est légalement tenu de désigner un responsable de la protection des données par écrit conformément à l'article 37 du RGPD, § 38 de la BDSG, le sous-traitant doit fournir au responsable du traitement les coordonnées du délégué à la protection des données à des fins de contact direct. Le responsable du traitement doit être informé immédiatement de tout changement de responsable de la protection des données.
- Le responsable externe de la protection des données du Sous-traitant est
clever datenschutz GmbH
Adresse électronique : privacy@shiftmove.com
(2) Le sous-traitant aide le responsable du traitement à se conformer aux obligations énoncées aux articles 32 à 36 du RGPD concernant la sécurité des données personnelles, les obligations de signalement en cas de violation de données, les analyses d'impact sur la protection des données et les consultations préalables. Cela inclut notamment
- garantir un niveau de protection adéquat grâce à des mesures techniques et organisationnelles qui tiennent compte des circonstances et des finalités du traitement ainsi que de la probabilité et de la gravité prévues d'une violation potentielle en raison de failles de sécurité et qui permettent la détection immédiate des événements de violation pertinents
- l'obligation d'informer le responsable du traitement dans les meilleurs délais si celui-ci a connaissance d'une violation de données personnelles (art. 28 (3) (f), art. 33 (2) du RGPD) ;
- l'obligation de soutenir le responsable du traitement dans le cadre de son obligation d'informer la personne concernée et de lui fournir sans délai toutes les informations pertinentes dans ce contexte ;
- le soutien apporté par le responsable du traitement à son analyse d'impact sur la protection des données ;
- le soutien du responsable du traitement dans le cadre de consultations préalables avec l'autorité de contrôle.
(3) Tout transfert de données par le sous-traitant vers un pays tiers ou une organisation internationale doit être effectué exclusivement dans le respect des exigences légales pour le transfert de données vers des pays tiers conformément aux articles 44 et suivants. GDP. Afin de garantir un niveau adéquat de protection des données, le sous-traitant ne transfère des données à des destinataires dans des pays tiers que s'il existe une décision d'adéquation de la Commission européenne pour le pays tiers en question (article 45 du RGPD), si des garanties appropriées pour le transfert, telles que des clauses contractuelles types, sont en place (article 46 du RGPD), des réglementations internes sur la protection des données (article 47 du RGPD) ou d'autres circonstances exceptionnelles pour le transfert de données (article 48 du RGPD). Le responsable du traitement consent au transfert de données à des sous-traitants conformément au § 6 (5) de cet accord, qui peuvent être basés dans des pays tiers.
§ 9 Droits de contrôle du responsable du traitement, art. 28, paragraphe 3, phrase 2, lettre h du RGPD
(1) Le Sous-traitant s'engage à fournir au Contrôleur, sur demande écrite et dans un délai raisonnable, toutes les informations et preuves nécessaires pour effectuer une inspection écrite.
(2) Le responsable du traitement vérifie les mesures techniques et organisationnelles du sous-traitant avant de commencer le traitement des données, puis régulièrement. Cela se fera principalement par
- Obtenir des informations auprès du processeur, ou
- Rapports de tests et certifications indépendants
avoir lieu.
Si le responsable du traitement peut émettre des doutes justifiés quant à l'exactitude des rapports de test ou des certifications sur la base de preuves factuelles, s'il y a des incidents au sens de l'article 33, paragraphe 1 du RGPD en relation avec l'exécution du traitement des données, ou si les documents soumis à l'avance ne fournissent pas les preuves complètes nécessaires, le responsable du traitement peut effectuer des inspections sur place. Le Sous-traitant doit en être informé par écrit en temps utile à l'avance, mais généralement au moins 14 jours calendaires (exception, par exemple, en cas d'incidents particuliers). Il en va de même pour les inspections sur site sans cause. Des inspections sur place sans motif peuvent être effectuées au maximum une fois par an. L'exercice du droit d'inspection ne doit pas perturber indûment les opérations commerciales du Sous-traitant ni être abusif. Le Contrôleur prend en charge les coûts réels occasionnés par les inspections sur site non provoquées du Sous-traitant.
(3) Un compte rendu de l'inspection et de ses résultats est établi par la personne responsable.
§ 10 Responsabilité
(1) La responsabilité des parties est régie par l'article 82 du RGPD. Cela n'affectera pas la responsabilité du Sous-traitant envers le Contrôleur en cas de violation des obligations découlant du présent contrat ou du contrat principal.
(2) Les parties se dégagent mutuellement de toute responsabilité si l'une des parties prouve qu'elle n'est en aucun cas responsable des circonstances qui ont causé le dommage causé à une personne concernée. Le § 10 (2) phrase 1 s'applique en conséquence en cas d'amende infligée à une partie, l'indemnisation étant accordée dans la mesure où l'autre partie concernée assume une part de responsabilité dans la violation sanctionnée par l'amende.
§ 11 Non-respect des clauses et résiliation du contrat (art. 28 (3) (g) du RGPD)
(1) Sans préjudice des dispositions du RGPD, si le Sous-traitant ne respecte pas ses obligations en vertu des présentes Clauses, le responsable du traitement peut demander au Sous-traitant de suspendre le traitement des données personnelles jusqu'à ce que celui-ci se conforme à ces Clauses ou que le contrat soit résilié. Le Sous-traitant informera rapidement le responsable du traitement s'il n'est pas en mesure de se conformer à ces Clauses, pour quelque raison que ce soit.
(2) Le responsable du traitement a le droit de résilier le contrat dans la mesure où il concerne le traitement de données personnelles conformément aux présentes clauses si :
- le traitement des données personnelles par le Sous-traitant a été suspendu par le responsable du traitement conformément au point (a) et si le respect des présentes Clauses n'est pas rétabli dans un délai raisonnable et en tout état de cause dans le mois suivant la suspension ;
- le Sous-traitant est en violation persistante de ces Clauses ou de ses obligations en vertu du RGPD ;
- le Sous-traitant ne se conforme pas à une décision contraignante d'un tribunal compétent ou des autorités de contrôle compétentes concernant ses obligations en vertu des présentes Clauses ou du RGPD.
(3) Le sous-traitant a le droit de résilier le contrat dans la mesure où il concerne le traitement de données personnelles en vertu des présentes clauses lorsque, après avoir informé le responsable du traitement que ses instructions enfreignent les exigences légales applicables conformément à la clause 7.1 (b), le responsable du traitement insiste sur le respect de ces instructions.
(4) À la fin de la fourniture des services de traitement, le sous-traitant supprimera ou renverra toutes les données personnelles à la discrétion du responsable du traitement, sauf s'il existe une obligation légale de stocker les données personnelles.
(5) Dans ce cas, le responsable du traitement confirme au responsable du traitement sous forme de texte, en indiquant la date et sans autre demande, qu'il a renvoyé au responsable du traitement ou qu'il a détruit ou effacé de manière sécurisée tous les supports de données et autres documents qui lui auraient été fournis et qu'il n'a donc conservé aucune donnée du responsable du traitement.
(6) Les documents qui prouvent le traitement correct des données sont conservés par le sous-traitant au-delà de la fin du contrat conformément aux périodes de conservation respectives.
§ 12 Dispositions finales
(1) Les supports de données et les enregistrements de données fournis restent la propriété du responsable du traitement.
(2) Si une ou plusieurs dispositions du présent contrat sont invalides, cela n'affectera pas la validité des autres dispositions. En cas d'invalidité d'une ou de plusieurs dispositions, les parties contractantes remplaceront immédiatement la disposition invalide par une disposition qui correspond le plus à la disposition invalide en termes économiques et en termes de législation sur la protection des données.
(3) Les parties contractantes conviennent que la défense du droit de conservation par le sous-traitant au sens de l'article 273 du BGB (Code civil allemand) en ce qui concerne les données à traiter et les supports de données associés est exclue.
(4) Dans la mesure où d'autres contrats contiennent des dispositions contraires ou contredisent le présent contrat au moment de la conclusion du présent contrat, le contenu de ce contrat prévaut.
(5) Les annexes suivantes font partie intégrante de cet accord : Annexe 1 « Informations sur le traitement », Annexe 2 « Mesures techniques et organisationnelles », Annexe 3 « Sous-traitants ».
Annexe 1
Informations sur le traitement
a) Objet et finalité du traitement
L'objet du traitement est la fourniture d'un ou de plusieurs des services suivants en tant que logiciel en tant que service :
- Logiciel de gestion de flotte (Avrios), y compris les objectifs : un peu de texte
- Gestion des véhicules et des conducteurs
- Gestion des amendes
- Administration des cartes carburant
- Gestion des rapports de dommages
- Réaliser des contrôles du permis de conduire
- Création de rapports et d'analyses
- Localisation en direct et documentation des itinéraires (Vimcar Fleet Geo), y compris l'objectif : du texte
- Suivi en temps réel des véhicules
- Documentation des itinéraires des véhicules
- Notification de géo-clôture pour les véhicules
- journal de bord électronique (journal de bord) comprenant les objectifs : un peu de texte
- Documentation des itinéraires des véhicules
- Exportation des données du journal de bord
De plus amples informations sur la commande sont énoncées dans le contrat entre les parties contractantes pour un ou plusieurs de ces services, auquel il est fait référence ici (ci-après dénommé « Contrat principal »).
b) Type de traitement
Dans le cadre de la mission, le sous-traitant effectuera les types de traitement suivants conformément à l'article 4, paragraphe 2 du RGPD : collecte, enregistrement, organisation, commande, stockage, adaptation, modification, extraction, consultation, transmission, restriction, effacement et destruction des données.
c) Catégories de personnes concernées et données personnelles
Lors de la fourniture des services, les données personnelles des catégories suivantes de personnes concernées peuvent être traitées régulièrement :
- Chauffeurs (anciens et actuels employés et leurs conjoints et personnes à charge, sous-traitants actuels ainsi que candidats, candidats et futurs employés) ;
- Utilisateurs (utilisateurs autorisés du client (qui ne sont pas des conducteurs) autorisés à utiliser les services) ;
- Des tiers (clients, partenaires commerciaux, fournisseurs, consultants, représentants, indépendants et/ou sous-traitants du client (personnes physiques)).
d) Type de données traitées
Gestion de flotte Avrios :
- Tâches et commentaires
- Informations relatives à l'amende (destinataire, montant, photos)
- Date d'entrée et date de sortie
- Informations sur le véhicule (émissions de CO2, rapports de dommages, plaque d'immatriculation, numéro de châssis)
- Photos (photos du permis de conduire et photos de portrait)
- Informations sur le permis de conduire
- Informations de contact (numéro de téléphone, numéro de fax, numéro de téléphone portable, adresse e-mail)
- Données personnelles de base (prénom, nom, adresse, sexe, date et lieu de naissance, langue, nationalité, permis de séjour, état civil, coordonnées des personnes à charge, numéro d'identification national)
- Données administratives de l'entreprise (identifiant interne, centre de coûts, organisation, département, site, secteur et sous-secteur, structure hiérarchique)
- Informations sur la planification des salaires (avantages sociaux liés aux voitures de société), les spécifications des services et les informations associées (droit à une voiture de société et catégorie de voiture de société)
- Informations sur la carte carburant (fournisseur, coûts, date, produit)
- Résultats des tests de réglementation en matière de prévention des accidents
- Données relatives aux appareils et données d'utilisation informatique
Géographie de la flotte de Vimcar :
- Prénom, nom de famille
- Adresse e-mail, numéro de téléphone, numéro de téléphone portable
- Données du journal de bord
- Données relatives au trajet pendant le trajet
- Suivi en direct et documentation des itinéraires ;
- VIN (numéro d'identification du véhicule)
- Informations de vérification pour effectuer le contrôle automatique du permis de conduire (facultatif lors de l'utilisation du contrôle du permis de conduire)
- Données techniques du véhicule (par exemple, état de réparation), photos des véhicules (facultatif lors de l'utilisation du système de gestion des dommages)
- Données de l'appareil et données d'utilisation informatique
Carnet de bord Vimcar :
- Nom, prénom
- Adresse e-mail, numéro de téléphone, numéro de téléphone portable
- Données du journal de bord
- Données relatives au trajet pendant le trajet
- Point de départ et d'arrivée des voyages
- Kilomètres parcourus
- Catégorisation des voyages privés et professionnels
- Données de contact et d'adresse
- VIN (numéro d'identification du véhicule)
- Paramètres de test pour effectuer le contrôle automatique du permis de conduire (facultatif lors de l'utilisation du contrôle du permis de conduire)
- Données techniques du véhicule (par exemple, état de réparation), photos des véhicules (facultatif lors de l'utilisation de la fonction de gestion des dommages)
- Données de l'appareil et données d'utilisation informatique
Annexe 2
Mesures techniques et organisationnelles
Vous trouverez nos mesures techniques et organisationnelles en annexe 2 dans les fichiers .pdf fournis ci-dessus.
Annexe 3
Sous-traitants
Le responsable du traitement a autorisé l'utilisation des sous-processeurs suivants :
1. Nom : Vimcar GmbH
Adresse : Warschauer Strasse 57, 10243 Berlin, Allemagne
Personne à contacter : datenschutz@vimcar.com
Pays tiers : Non
Objectif :
- Fourniture et développement du SaaS Vimcar Logbook et de Vimcar Fleet Geo
- assistance à la clientèle
- distribution de fret et de colis
2. Nom : Avrios International AG
Adresse : Weststrasse 50, 8003 Zurich, Suisse
Personne à contacter : privacy@avrios.com
Pays tiers : Oui
Garantie : Décision d'adéquation de la Commission européenne
Objectif :
- Fourniture du SaaS Avrios Fleet Management
- Assistance à la clientèle