Politique app

Annexe aux conditions générales

Il est précisé que les termes revêtus d’une majuscule, non définis dans le cadre des présentes, doivent
être interprétés en fonction des définitions données dans les CGVS Opensource Technologies.

ARTICLE 1 – DESCRIPTION DES TRAITEMENTS CONFIES AU SOUS TRAITANT

Les clauses ci-après ont pour objet de définir les conditions dans lesquelles Opensource Technologies,
agissant en qualité de Sous-traitant s’engage à effectuer pour le compte du Client, agissant en qualité de
Responsable de traitement, les opérations de traitement des Données nécessaires à l’exécution des
prestations que le Client confie à Opensource Technologies en vertu du Contrat et des Abonnements à
la Plate- forme de Service qui en découlent (ci-après les « Prestations »).

Les Finalités du traitement sont les suivantes :

• Suivi, contrôle, maîtrise et pilotage des Données,
• Exécution des Prestations objets du Contrat et des Abonnements souscrits en application,
• Suivi de la relation Client, notamment à des fins de support liés aux services fournis au
Client.

La nature des principales opérations susceptibles d’être réalisées sur les données personnelles sont les
suivantes :

La collecte, l’enregistrement, l’organisation, la structuration, la conservation, le stockage,
l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par
transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement, la
limitation, l’effacement ou la destruction.

Les données à caractère personnel traitées sont :

• Identifiants : Nom, prénom, pseudonyme, éventuel intitulé de poste,
• Données de contact : téléphone, adresse électronique,
• Préférence d’utilisation des sites ou plateformes (préférences de langue, monnaie,
paramétrage de la taille des éléments affichés),
• Adresses IP et données de connexion,
• Données relatives au carnet de bord des véhicules (état du véhicule, maintenance, sinistre,
consommation carburant)
• Données relatives à l’appréciation de la conduite des véhicules connectés (indicateurs événements de
conduites : freinage important, coup de volant brusque)
• Eventuelles données personnelles relatives à la mise en ligne de contenu personnel sur les
plateformes : photographies, documents (un bandeau d’avertissement rappel aux utilisateurs d’éviter
de déposer des données personnelles qui ne seraient pas Justifiées)
• Pour les Clients qui ont choisi d’utiliser les services de géolocalisation, Opensource Technologies
collecte également :
• Des données de géolocalisation relatives notamment à la localisation des véhicules et, de ce fait, des
conducteurs et/ou de leurs assistants (heures de conduite etc).

Les catégories de personnes concernées sont :

Les salariés, collaborateurs, fournisseurs, conseils et/ou prestataire des parties.

ARTICLE 2 – OBLIGATIONS DE Opensource Technologies A L’EGARD DU RESPONSABLE DU TRAITEMENT

2.1. Obligations générales

Opensource Technologies s’engage à :

• traiter les données personnelles uniquement pour les seules finalités qui font l’objet de la sous-traitance et, notamment, à ne pas utiliser, directement ou indirectement, de quelque manière et à
quelque titre que ce soit, tout ou partie desdites données pour son propre compte ou pour le compte
de tiers ou pour permettre une telle utilisation ;
• traiter les données personnelles conformément aux instructions documentées du Responsable de
traitement spécifiées dans le cadre des présentes et à l’occasion de l’exécution du Contrat et/ou des
Abonnements à la Plateforme de Service qui en découlent. Si Opensource Technologies considère
qu’une instruction constitue une violation du RGPD ou de toute autre disposition du droit de l’Union ou
du droit des Etats membres relative à la protection des données personnelle, elle en informe
immédiatement le Responsable de traitement. Opensource Technologies est autorisée à ne pas
exécuter ladite instruction tant que le doute sur sa régularité n’aura pas été levée par le Responsable de
traitement ;
• garantir la confidentialité des données à caractère personnel traitées dans le cadre des présentes et
notamment :

a.ne pas traiter, transférer, modifier, amender, altérer, divulguer ou permettre la divulgation des
données à un quelconque tiers, à l’exception des sous-traitants autorisés, autrement que
conformément aux instructions documentées par le Responsable de Traitement ;

b. ne pas publier, partager ou divulguer aucune des données personnelles à un quelconque tiers (y
compris les personnes physiques concernées), à l’exception des sous-traitants autorisés, à moins que le
Responsable de traitement ne donne instruction par écrit d’y procéder.

• veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu des
présentes:

c. s’engagent à respecter la confidentialité telle que prévue aux présentes ou soient soumises à une
obligation contractuelle au moins équivalente;
d. reçoivent la formation nécessaire en matière de protection des données à caractère personnel
notamment en termes de sécurité des données.
• prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de
protection des données dès la conception et de protection des données par
défaut.

2.2. Sous-traitance

Opensource Technologies est autorisée à faire appel à des sous-traitants pour l’exécution des Prestations nécessitant le traitement de données personnelles. La liste des sous-traitants d’ores et déjà identifiés figure en Annexe A aux présentes. Si Opensource Technologies souhaite faire appel à des sous-traitants non visés dans cette Annexe A, elle doit, néanmoins, en informer le Client, préalablement et par écrit, afin de permettre à ce dernier d’émettre des objections éventuelles. Cette notification d’information devra préciser clairement les activités de traitement sous-traitées, la date envisagée pour la prise d’effet du contrat de sous-traitance, l’identité, les lieux et pays d’implantation du sous-traitant et le recours éventuel par ce dernier à d’autres sous-traitants susceptibles d’intervenir sur lesdites données.

Le Client dispose d’un délai de dix (10) jours calendaires suivant la réception de cette information pour
faire part de ses objections. En l’absence de réponse du Client dans de ce délai de dix (10) jours, ce dernier est présumé avoir
accepté, sans objection, le recours à ce sous-traitant. 

Le sous-traitant de Opensource Technologies devra respecter les obligations prévues aux présentes pour le compte et selon les instructions du Responsable du traitement. Il appartient à Opensource. Technologies de s’assurer que le sous-traitant présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées, de manière à ce que le traitement réponde aux exigences du Règlement Européen sur la Protection des Données. Si le Sous-traitant ne remplit pas ses obligations en matière de protection des données, Opensource Technologies demeure responsable à l’égard du Responsable de traitement de l’exécution par le sous-traitant de ses obligations, sous réserve d’un partage de responsabilité avec ce dernier.

2.3. Mesures de sécurité

Conformément à la Législation en matière de données personnelles, Opensource Technologies s’engage à mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque.

2.4. Durée de conservation, de destruction et/ou de restitution des données personnelles

Pendant l’exécution du Contrat, Opensource Technologies s’engage à ne pas conserver les données personnelles au-delà de la durée de conservation nécessaire et proportionnelle à la finalité des Prestations pour lesquelles elles ont été collectées, et en tout état de cause, à ne pas les conserver au-delà d’une durée de cinq (5) ans suivant la date à laquelle lesdites données lui auront été transférées ou mises à sa disposition par le Client.

Par dérogation à ce qui précède, les Données pourront être conservées au-delà d’une durée de cinq (5) ans, à des fins d’archivage légal ou probatoire des Données Personnelles en vertu d’une obligation légale qui s’impose à Opensource Technologies. Dans ce cas, il lui revient de notifier préalablement au Client l’exécution de cette obligation. A l’issue de ce délai légal, Opensource Technologies devra alors détruire toute copie des données personnelles ainsi archivées. Au terme du Contrat, ou en cas de rupture anticipée de ce dernier pour quelque cause que ce soit, le Client notifiera par écrit avec accusé de réception à Opensource Technologies, dans un délai maximum de trente (30) jours ouvrés à compter de la date de cessation dudit contrat, son souhait de voir les données personnelles détruites ou restituées.

En cas de demande du Client de restitution des données personnelles, Opensource Technologies s’engage à restituer ces dernières dans un format lisible et sur support numérique, et ce dans un délai de quinze (15) jours ouvrés à compter de la notification prévue au paragraphe précédent. La restitution doit s’accompagner de la destruction de toutes les copies existantes. En l’absence de demande de restitution des données personnelles dans ce délai ou en cas de demande de destruction, Opensource Technologies s’engage à supprimer lesdites données, y compris toutes les copies de ces données, et ce dans un délai de quinze (15) jours ouvrés à compter de la date de fin du Contrat.

2.5. Délégué à la Protection des Données

Opensource Technologies communique au Responsable de traitement le nom et les coordonnées de
son Délégué à la Protection des Données, si elle en a désigné un conformément à l’article 37 du
Règlement RGPD.

2.6. Registre des catégories d’activités de traitement

Opensource Technologies s’engage à tenir par écrit un registre de toutes les catégories d’activités de
traitement effectuées pour le compte du Client comprenant :
• le nom et les coordonnées du Responsable de traitement pour le compte duquel elle agit, ceux de ses
éventuels sous-traitants et, le cas échéant, du Délégué à la Protection des Données ;
• les catégories de traitements effectués pour le compte du Responsable de traitement ;
• le cas échéant, les transferts de Données à caractère personnel vers un pays tiers ou à une
organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation
internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa du
Règlement Européen sur la Protection des Données, les documents attestant de l’existence de garanties
appropriées ;
• dans la mesure du possible, une description générale des mesures de sécurité techniques et
organisationnelles.

2.7. Localisation et transfert des Données à caractère personnel

Les transferts de données personnelles vers un pays tiers ou à une organisation internationale seront effectuées sur instructions documentées du Responsable de traitement. Si Opensource Technologies est tenue de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel elle est soumise, elle doit en informer le Responsable de traitement avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public. En tout état de cause, Opensource Technologies s’engage à ce que ce transfert soit effectué conformément à la Législation en matière de données personnelles et à conclure avec le Client et/ou tout tiers concernés des modalités d’encadrement d’un tel transfert reconnu valable par la Législation en matière de données personnelles.

2.8. Notification des violations de Données à caractère personnel

Opensource Technologies notifie au Client toute violation de données à caractère personnel, ainsi que toute plainte qui lui serait adressée par tout individu concerné par les données personnelles traitées dans le cadre des présentes, dans un délai maximum de 48 (quarante-huit) heures après en avoir pris connaissance et par le moyen suivant : téléphone mobile avec confirmation par message électronique auprès des interlocuteurs sécurité dont les coordonnées auront été transmises par chacune des parties à l’autre. Cette notification est accompagnée de toute documentation utile afin de permettre au Client, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente. 

Pour l’application du présent article, on entend par violation des données personnelles, toute violation de la sécurité entraînant, de manière accidentelle ou de manière illicite la destruction, la perte, l’altération, la divulgation non autorisée de données personnelles ou l’accès non autorisé aux données personnelles par des personnels non habilités ou par des tiers dont l’intervention n’est pas nécessaire aux fins des Prestations et du Contrat. Opensource Technologies est autorisée à prendre toutes les mesures immédiates, raisonnables et nécessaires, en collaboration avec le Client, afin de limiter les conséquences d’une telle violation des données personnelles.

2.9. Devoir d’assistance et de coopération avec le Client et les autorités de contrôle compétentes

Opensource Technologies aidera, dans la mesure du possible et le cas échéant, dans le cadre d’un budget supplémentaire à définir, le Responsable de traitement à garantir le respect des obligations prévues aux articles 32 à 36 du RGPD et notamment :
• pour la réalisation d’Analyses d’Impact relatives à la protection des données.
• pour la réalisation de la consultation préalable de l’autorité de contrôle.
Opensource Technologies s’engage, en outre, à mettre à la disposition du Client toutes les informations nécessaires afin d’apporter la preuve du respect de ses obligations au regard de la Législation en matière de Données Personnelles et pour permettre la réalisation d’audits par le Responsable de traitement ou un autre auditeur qu’il a mandaté à cet effet. Il est entendu entre les Parties que le Client n’aura pas accès aux documents dont les informations seraient sans lien avec le contrôle des obligations de Opensource Technologies au titre du présent article. En outre, l’auditeur tiers éventuellement mandaté par le Client devra être indépendant des Parties, avoir une qualification adéquate et ne devra pas être susceptible de concurrencer Opensource Technologies. Les frais de l’audit, quel qu’en soit le résultat, seront à la charge du Client. Les résultats de l’audit devront être communiqués à Opensource Technologies. Par ailleurs, Opensource Technologies s’engage à coopérer avec les autorités de contrôle compétentes, notamment en cas de demande d’information qui pourrait lui être
adressée en cas de contrôle.

De la même manière, Opensource Technologies s’engage à assister le Client et à coopérer avec ce dernier, dans le cadre d’un budget supplémentaire à définir, en matière de respect de la Législation en matière de données personnelles, et notamment dans l’hypothèse dans laquelle la personne concernée par les traitements formulerait, dans le cadre des Prestations, des demandes d’exercice, accès, rectification, effacement, opposition et de portabilité.

ARTICLE 3 – DROIT DES PERSONNES CONCERNEES PAR LE TRAITEMENT 

3.1. Propriété des Données Personnelles

En sa qualité de sous-traitant, le traitement effectué par Opensource Technologies en vue des
finalités décrites à l’article 2 ci-dessus s’effectue dans le cadre d’une licence d’accès et
d’utilisation aux fins et pour la durée du Contrat et le Client (ou les Utilisateurs) demeure seul
propriétaire des don- nées personnelles que Opensource Technologies sera amené à produire
ou à traiter à l’occasion de l’exécution des Prestations.

3.2. Droit d’information des Personnes Concernées

Il appartient au Client, en sa qualité de Responsable de traitement, de fournir l’information
aux Personnes Concernées par les opérations de traitement au moment de la collecte des
Données.

3.3. Exercice des Droits des Personnes

Dans la mesure du possible, Opensource Technologies doit aider le Client à s’acquitter de son obligation de donner suite aux demandes d’exercice des Droits des Personnes Concernées :
droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des Données, et droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage). Lorsque les Personnes Concernées exercent auprès de Opensource Technologies des demandes d’exercice de leurs droits, Opensource Technologies doit adresser ces demandes au Client dès réception par courrier électronique à l’adresse spécifique qui lui sera indiquée par le Client.

ARTICLE 4 – OBLIGATIONS DU CLIENT A L’EGARD DE Opensource Technologies

En sa qualité de Responsable de traitement, le Client s’engage à :
• fournir à Opensource Technologies les données visées à l’article 2 des présentes,
• documenter par écrit toute instruction concernant le traitement des données par
Opensource Technologies,
• veiller, au préalable et pendant toute la durée du traitement, au respect des obligations
prévues par le Règlement RGPD de la part de Opensource Technologies,
• superviser le traitement.

En outre, en vertu du RGPD, Opensource Technologies et son personnel disposent d’un droit d’accès, de modification et de rectification concernant leurs Données à caractère personnel, et sont en droit de demander une limitation du Traitement de leurs Données à caractère personnel en envoyant un e-mail ou un courrier au Client.

ARTICLE 5 – CONFIDENTIALITE

Chacune des Parties déclare être parfaitement informée du caractère confidentiel des données personnelles. Les Parties s’engagent à ne faire aucun usage commercial des données personnelles et à ne faire ni copie (mécaniquement ou électroniquement) ni reproduction par d’autres moyens des données personnelles sauf aux fins d’exécution du Contrat. Les Parties s’engagent à veiller à ce que les personnes autorisées à traiter les données personnelles en vertu des présentes s’engagent à respecter leur confidentialité ou soient soumises à une obligation légale appropriée de confidentialité. Les obligations de confidentialité et de sécurité relatives aux données personnelles resteront en vigueur cinq (5) ans à compter de l’expiration du Contrat.