Panier
Produit ajouté à votre panier
Produits liés
Accord de Traitement des Données
Le présent Accord de Traitement des Données (« DPA » - Data Processing Agreement) est intégré au(x) contrat(s) (« Contrat »), et est soumis à ses (ou leurs) conditions générales, portant sur l'utilisation du logiciel Saas (software-as-a-service), TimeMoto Cloud, (« SaaS »), y compris les conditions générales de TimeMoto, conclu(s) entre TimeMoto B.V., dont le siège social est sis Heliumstraat 14, 2718 SL Zoetermeer, Pays-Bas, ci-après (le « Sous-Traitant »), et l'entité cliente qui est partie au Contrat mentionnée ci-après (le « Responsable du Traitement »), chacune ci-après dénommée une « Partie », et collectivement les « Parties ».
CONSIDÉRANT QUE :
A. Le Responsable du Traitement est autorisé à utiliser le logiciel SaaS pendant la durée du Contrat, dans le cadre duquel le Sous-Traitant traite les Données à Caractère Personnel au nom et pour le compte du Responsable de Traitement ;
B. Le Responsable du Traitement et le Sous-Traitant ont confirmé avoir accepté que le Sous-Traitant traite des Données à Caractère Personnel, conformément aux instructions du Responsable du Traitement, au moyen du présent DPA.
PAR CONSÉQUENT, LES PARTIES CONVIENNENT DE CE QUI SUIT :
Article 1 Définitions
1.1 « Donnée à Caractère Personnel » désigne toute information se rapportant à une personne physique identifiée ou identifiable, telle qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou un ou plusieurs éléments spécifiques propres à l’identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne physique.
1.2 Le terme « Personne Concernée » désigne toute personne physique dont les Données à Caractère Personnel sont traitées.
1.3 « Responsable du Traitement » désigne toute personne physique ou morale qui détermine la finalité et les moyens du traitement des Données à Caractère Personnel. Dans le contexte du présent DPA, il s'agit de l'entité cliente partie au Contrat.
1.4 « Sous-Traitant » désigne la personne physique ou morale qui traite les données pour le compte du Responsable du Traitement. Dans le contexte du présent DPA, il s'agit de TimeMoto B.V.
1.5 « Sous-Traitant Ultérieur » : tout tiers engagé par le Sous-Traitant afin de l'aider à remplir les obligations qui lui incombent en vertu du Contrat ou du présent DPA. Les Sous-Traitants Ultérieurs excluent les employés, les prestataires ou les consultants du Sous-Traitant.
1.6 « Catégories Particulières de Données à Caractère Personnel » désigne des Données à Caractère Personnel révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, et le traitement des données génétiques, des données biométriques aux fins d’identifier de manière unique une personne physique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une Personne Concernée.
1.7 « Incident de Sécurité » désigne toute violation non autorisée ou illégale en matière de sécurité entraînant la destruction, la perte ou l'altération accidentelle ou illégale des Données à Caractère Personnel du Responsable du Traitement, ou la divulgation ou l'accès non autorisé à ces Données.
1.8 « Législation sur la Protection des Données » désigne les lois applicables qui régissent la protection des Données à Caractère Personnel et la confidentialité des données. Il s’agit principalement de la législation applicable au traitement des Données à Caractère Personnel dans l’UE et au Royaume-Uni, telle que le Règlement Général sur la Protection des Données (« RGPD »), la Directive ePrivacy (« ePD »), la Loi britannique de Protection des Données de 2018, le Règlement Général de Protection des Données britannique, le Règlement sur la Confidentialité et les Communications Électroniques de 2003, ainsi que toute réglementation nationale mise en œuvre en lien avec la législation susmentionnée.
Article 2 Objet du DPA
2.1 Le présent RGPD s'applique aux services et aux activités en lien avec le SaaS exécuté(e)s par le Sous-Traitant pour le compte du Responsable du Traitement dans le cadre du Contrat, ce compris les informations spécifiques de la licence SaaS, les conditions générales et les conditions d'utilisation.
2.2 Le présent DPA remplace tous les accords antérieurs entre les parties concernant le traitement des Données à Caractère Personnel. Lorsqu'une disposition du présent DPA contredit ou modifie des accords antérieurs sur le traitement des Données à Caractère Personnel, les dispositions du présent DPA prévalent, sauf disposition contraire expresse du présent DPA.
2.3 Conformément au présent DPA, le Sous-Traitant traite les Données à Caractère Personnel pour le compte du Responsable du Traitement et sous la responsabilité de ce dernier.
2.4 Toutes les annexes sont jointes au présent DPA et en font partie intégrante.
2.5 Tous les termes commençant par une majuscule qui ne sont pas définis dans le présent DPA auront la signification qui leur est attribuée dans le Contrat.
Article 3 Obligations des Parties
3.1 Le Sous-Traitant traite les Données à Caractère Personnel exclusivement aux fins décrites dans le Contrat et précisées à l’Annexe A.
3.2 Le Sous-Traitant traitera les Données à Caractère Personnel uniquement dans le strict respect des instructions du Responsable du Traitement. Le Sous-Traitant n'exerce aucun contrôle indépendant sur les Données à Caractère Personnel qu'il traite. Le Sous-Traitant ne peut traiter les Données à Caractère Personnel à son propre profit, au profit de tiers ou à d'autres fins, sauf autorisation écrite préalable du Responsable du Traitement ou si la loi l'exige. Afin d’éviter toute ambiguïté, le présent DPA ne s'applique pas aux cas où TimeMoto B.V. est le responsable du traitement des données à titre indépendant.
3.3 Le Responsable du Traitement peut communiquer les instructions prévues dans le présent DPA et dans le Contrat, ainsi que d'autres instructions. Toute instruction sera communiquée par écrit, sauf en cas d’urgence ou si d'autres circonstances spécifiques n'exigent que ces instructions soient communiquées sous une autre forme (par exemple, orale, électronique). Les spécifications et/ou les instructions supplémentaires communiquées autrement que par voie écrite doivent être confirmées par le Responsable du Traitement par écrit dans les plus brefs délais.
3.4 Le Responsable du Traitement ne fournira pas (ou ne fera pas fournir) des Données à Caractère Personnel relevant de Catégories Particulières au Sous-Traitant en vue d'un traitement dans le cadre du DPA. Le Sous-Traitant n'est en aucun cas responsable de ces Données à Caractère Personnel, que ce soit dans le cadre d'un Incident de Sécurité ou d'une autre manière.
3.5 Le Responsable du Traitement est chargé d'évaluer si le traitement des données est légitime et fondé sur des bases juridiques valables, et de garantir les droits des personnes concernées.
Article 4 Confidentialité
4.1 Le Sous-Traitant préserve la confidentialité des Données à Caractère Personnel et s’interdit de les divulguer à ses employés et/ou à des tiers, sauf (i) si les employés et/ou les tiers doivent avoir connaissance des Données à Caractère Personnel aux fins de l'exécution du Contrat, ou (ii) si la loi l'exige.
4.2 Le Sous-Traitant donnera à ses employés et/ou à des tiers accès aux Données à Caractère Personnel uniquement dans la mesure où cela est nécessaire pour réaliser le traitement nécessaire à l'exécution du Contrat. Le Sous-Traitant s'assure que toutes les personnes autorisées à traiter les Données à Caractère Personnel sont soumises à une obligation légale ou contractuelle de confidentialité.
Article 5 Sous-Traitants Ultérieurs
5.1 Le Responsable du Traitement autorise de manière générale le Sous-Traitant à ajouter ou remplacer des Sous-Traitants Ultérieurs existants selon les conditions énoncées dans le présent DPA. Le Sous-Traitant informe le Responsable du Traitement de tout changement prévu concernant l'ajout ou le remplacement de Sous-Traitants Ultérieurs qui traiteront des Données à Caractère Personnel dans le cadre du présent Contrat. Le Responsable du Traitement peut s’opposer à ces modifications, sans que ce refus soit déraisonnable.
5.2 Le Sous-Traitant choisira tout Sous-Traitant Ultérieur avec diligence, en accordant une attention particulière à sa réputation et à son expérience dans la prestation des services sous-traités, ainsi qu'à l'adéquation de ses mesures techniques et organisationnelles. Le Sous-Traitant reste responsable de tout acte ou toute omission de ses Sous-Traitants Ultérieurs comme s’il s’agissait de ses propres actes et omissions en vertu des présentes. Le Sous-Traitant conclura un accord écrit de traitement des données avec tous les Sous-Traitants Ultérieurs autorisés. Le Sous-Traitant s'assurera que tous les Sous-Traitants Ultérieurs sont contractuellement liés à des obligations autant contraignantes ou plus contraignantes concernant le traitement auquel le Sous-Traitant est lié en vertu du présent DPA.
5.3 Si un nouveau Sous-Traitant Ultérieur est engagé pendant la durée du présent DPA, le Sous-Traitant en informera, dans un délai raisonnable avant que le nouveau Sous-Traitant Ultérieur ne traite les Données à Caractère Personnel du Responsable du Traitement, le Responsable du Traitement (y compris le nom et la localisation du Sous-Traitant Ultérieur concerné et les activités qu'il réalisera) en contactant le(s) propriétaire(s) du compte du Responsable du Traitement, tel(s) qu'indiqué(s) dans le compte créé par le Responsable du Traitement lors de l'enregistrement du produit TimeMoto.
5.4 Le Responsable du Traitement peut s'opposer par écrit à la désignation d'un nouveau Sous-Traitant Ultérieur par le Sous-Traitant dans un délai de cinq (5) jours civils à compter de la réception de la notification, à condition que ce refus se fonde sur des motifs raisonnables liés à la protection des données. Dans ce cas, les parties discuteront de bonne foi de ces préoccupations en vue de parvenir à une solution raisonnable sur le plan commercial. Si aucune solution ne peut être trouvée, le Sous-Traitant, à sa seule discrétion, ne désignera pas ce Sous-Traitant Ultérieur ou autorisera le Responsable du Traitement à suspendre ou à résilier le service concerné conformément aux dispositions de résiliation du Contrat, sans responsabilité à l'égard de l'une ou l'autre partie (mais sans préjudice des frais encourus par le Responsable du Traitement avant la suspension ou la résiliation)
5.5 Les Sous-Traitants Ultérieurs engagés par le Sous-Traitant figurent à l’Annexe B du présent DPA.
Article 6 Incident de Sécurité
6.1 Le Sous-Traitant a mis en œuvre les mesures de sécurité techniques et organisationnelles détaillées à l’Annexe C, y compris des procédures visant à détecter raisonnablement les Incidents de Sécurité et à y remédier, afin de garantir un niveau de protection approprié pour le traitement des Données à Caractère Personnel dans le cadre du Contrat.
6.2 Dès qu'il a connaissance d'un (potentiel) Incident de Sécurité concernant les Données à Caractère Personnel du Responsable du Traitement, le Sous-Traitant en informera le Responsable du Traitement dans les plus brefs délais par l'intermédiaire du ou des propriétaire(s) du compte du Responsable du Traitement.
6.3. La notification mentionnée au paragraphe 6.2 ci-dessus contiendra, dans la mesure où elles sont disponibles, les informations suivantes :
1. Le jour et l'heure où le Sous-Traitant a eu connaissance de l'Incident de Sécurité ;
2. La nature de l'Incident de Sécurité ;
3. Le moment, ou le moment ou la période la plus probable, où l’Incident de Sécurité s'est produit et sa durée ;
4. Le volume de Données à Caractère Personnel du Responsable du Traitement (possiblement) concernées par l'Incident de Sécurité ;
5. Les conséquences/risques éventuel(le)s de l'Incident de Sécurité pour la vie privée des Personnes Concernées, c'est-à-dire les personnes impliquées ;
6. La ou les personne(s) à contacter auprès de laquelle ou desquelles il est possible d'obtenir plus d'informations concernant l'Incident de Sécurité ;
7. Les mesures recommandées pour réduire les conséquences négatives de l'Incident de Sécurité ;
8. Les mesures que le Sous-Traitant a prises ou propose de prendre pour remédier à l'Incident de Sécurité.
9. Toutes les autres informations utiles à l'évaluation de l'Incident de Sécurité.
6.4 En ce qui concerne chaque Incident de Sécurité visé au paragraphe 6.2 ci-dessus, le Sous-Traitant fournira au Responsable du Traitement toute l'assistance que l'on peut raisonnablement attendre de sa part, y compris la communication d'informations et un soutien adéquats dans la communication des informations visées au paragraphe 6.3 ci-dessus, les demandes de renseignements des autorités, la limitation de l'impact d'un Incident de Sécurité sur la vie privée de la ou des personne(s) concernée(s) et/ou la limitation des dommages subis par le Responsable du Traitement à la suite de l'Incident de Sécurité.
6.5 Le Responsable du Traitement est seul responsable du respect des lois relatives à la notification d'Incidents de Sécurité ou d'autres incidents applicables au Responsable du Traitement et de l'exécution de toute obligation de notification à un tiers liée à un Incident de Sécurité.
Article 7 Exportation de Données à Caractère Personnel
7.1 Le Sous-Traitant ou tout Sous-Traitant Ultérieur engagé par le Sous-Traitant ne transférera les Données à Caractère Personnel que vers des pays situés en dehors de l'Espace économique européen (EEE) et du Royaume-Uni, y compris dans le cadre de la fourniture de Données à Caractère Personnel, conformément aux normes de protection des données édictées par la Législation sur la Protection des Données.
Article 8 Droit d'audit
8.1 Le Sous-Traitant mettra à la disposition du Responsable du Traitement toutes les informations raisonnablement nécessaires pour démontrer le respect du présent DPA et permettra les audits, y compris les inspections par le Responsable du Traitement, afin d'évaluer le respect du présent DPA, et y participera.
8.2 Le Responsable du Traitement veillera à ce que ses représentants chargés de réaliser l'audit déploient tous les efforts raisonnables pour réduire au minimum toute perturbation de l'activité du Sous-Traitant dans le cadre de la participation du Sous-Traitant à l'audit.
8.3 Un soutien aux audits peut être demandé au maximum une fois par an ou lorsque la Législation sur la Protection des Données ou si une autorité de contrôle compétente l'exige.
8.4 Tous les coûts découlant de l'audit ou liés à celui-ci incombent au Responsable du Traitement, à moins que cet audit n'identifie un non-respect par le Sous-Traitant de ses obligations en matière de sécurité des informations en vertu de la Législation sur la Protection des Données ou du présent DPA, auquel cas ces coûts peuvent être partagés par le Sous-Traitant dans une mesure raisonnable, après avoir consulté le Responsable du Traitement. Le Responsable du Traitement peut établir un rapport d'audit résumant les constatations et les observations, en les traitant comme des informations confidentielles ne devant pas être divulguées à des tiers, sauf si cela est strictement nécessaire, par exemple, au conseiller juridique du Responsable du Traitement, à ses consultants, à son délégué à la protection des données, à ses employés, à ses sociétés affiliées ou si la loi ou une autorité de contrôle compétente l'exige, ou si le Sous-Traitant a consenti à la divulgation.
8.5 Le Sous-Traitant n'est pas tenu de divulguer ou de donner accès au Responsable du Traitement ou à un auditeur désigné :
1. Toute donnée (à caractère personnel) concernant un autre client du Sous-Traitant ;
2. les informations internes, commerciales, sensibles ou financières du Sous-Traitant ; ou
3. Toute information qui, de l'avis raisonnable du Sous-Traitant, pourrait compromettre la sécurité du Sous-Traitant ou de ses locaux, ou conduire le Sous-Traitant à manquer à ses obligations légales ou contractuelles.
Article 9 Inspection ou audit par les autorités publiques
9.1 Le Sous-Traitant soumettra ses systèmes et installations de traitement pertinent(e)s, ainsi que les documents justificatifs, à une inspection ou à un audit portant sur le traitement par une autorité publique compétente si cela est nécessaire pour se conformer à une obligation légale. En cas d'inspection ou d'audit, chaque Partie apportera toute l'assistance raisonnable à l'autre Partie pour procéder à cette inspection ou à cet audit. Si une autorité publique compétente estime que le traitement en relation avec le DPA est illégal, les Parties prendront des mesures immédiates pour garantir le respect futur de la législation applicable en matière de protection des données.
Article 10 Demandes de coopération et droits des Personnes Concernées
10.1 Le Responsable du Traitement est principalement chargé de traiter les demandes adressées par les Personnes Concernées et d'y répondre. Le Responsable du Traitement est tenu de déterminer si une Personne Concernée a le droit d'exercer les droits que la Législation sur la Protection des Données lui accorde et de préciser au Sous-Traitant dans quelle mesure l'assistance prévue au paragraphe 10.3 du présent Article est nécessaire.
10.2 Dans le cadre du service fourni au titre du Contrat, le Sous-Traitant met à la disposition du Responsable du Traitement un certain nombre de fonctions en libre service, que le Responsable du Traitement peut utiliser pour récupérer, corriger, supprimer ou restreindre l'utilisation des Données à Caractère Personnel de l'utilisateur final, que le Responsable du Traitement peut utiliser comme une aide dans le cadre de ses obligations concernant les réponses aux demandes de Personnes Concernées via le compte client du Responsable du Traitement, sans frais supplémentaires. En outre, le Sous-Traitant prendra des mesures techniques et organisationnelles raisonnables pour aider le Responsable du Traitement à s'acquitter de l'obligation de répondre aux demandes d'exercice des droits adressées par les Personnes Concernées tels que ces droits sont décrits dans la Législation sur la Protection des Données, dans la mesure où cela est possible.
10.3 Le Sous-Traitant coopérera pleinement dans les plus brefs délais, dans la mesure du possible, et au plus, dans un délai de dix (10) jours ouvrables, avec les demandes du Responsable du Traitement relatives au Traitement en vertu du RGPD, y compris, mais sans s'y limiter, toute plainte, demande ou requête reçue de la part des Personnes Concernées. Le Sous-Traitant ne répondra pas directement aux Personnes Concernées, sauf si le Responsable du Traitement le lui demande expressément.
10.4 Si le Responsable du Traitement exige des mesures techniques et organisationnelles supplémentaires ou modifiées pour répondre aux demandes d’exercice de leurs droits adressées par les Personnes Concernées, qui vont au-delà de l'assistance fournie par le Sous-Traitant conformément aux paragraphes 10.2 et 10.3 ci-dessus, le Sous-Traitant informera le Responsable du Traitement des coûts de mise en œuvre de ces mesures techniques et organisationnelles supplémentaires ou modifiées. Une fois que le Responsable du Traitement a confirmé qu'il prendrait en charge ces coûts, le Sous-Traitant mettra en œuvre ces mesures techniques et organisationnelles supplémentaires ou modifiées afin d'aider le Responsable du Traitement à répondre aux demandes des Personnes Concernées.
Article 11 Analyse d'impact de la protection des données
11.1 Le Sous-Traitant aidera le Responsable du Traitement à s'acquitter de son obligation de procéder à une évaluation de l'impact sur la protection des données et à une consultation préalable des autorités de contrôle en ce qui concerne les services fournis par le Sous-Traitant au Responsable du Traitement en vertu du présent DPA, en fournissant au Responsable du Traitement les informations nécessaires et disponibles. Si le Sous-Traitant doit supporter des coûts supplémentaires, les parties en discuteront de bonne foi et parviendront à un accord à ce sujet.
Article 12 Demandes adressées par des agences gouvernementales
12.1 Le Sous-Traitant ne donnera suite à la demande d'une agence gouvernementale de fournir (l'accès à) des Données à Caractère Personnel que si la loi l'exige et que la demande répond aux exigences légales, y compris les principes de proportionnalité et de subsidiarité.
12.2 Le Sous-Traitant informera le Responsable du Traitement de la demande d'une agence gouvernementale de traiter des Données à Caractère Personnel, à moins que la demande de l'agence gouvernementale ne l’interdise expressément.
Article 13 Responsabilité et indemnisation
13.1 Chaque Partie est responsable des obligations qui lui incombent en vertu du présent DPA et de la Législation sur la Protection des Données. Toute responsabilité découlant d'une violation des obligations du présent DPA ou de la Législation sur la Protection des Données, ou liée à une telle violation, sera régie par les stipulations en matière de responsabilité énoncées dans le Contrat ou autrement applicables à celui-ci, sauf stipulation contraire du présent DPA. Si la responsabilité est régie par les stipulations en matière de responsabilité énoncées dans le Contrat ou autrement applicables à celui-ci, aux fins du calcul des plafonds de responsabilité et/ou de la détermination de l'application d'autres limitations de responsabilité, la responsabilité découlant du présent DPA sera réputée découler du Contrat concerné.
13.2 Le Responsable du Traitement défendra, indemnisera et dégagera le Sous-Traitant de toute responsabilité en cas de réclamations, dommages, responsabilités, évaluations, pertes, coûts, amendes administratives et autres dépenses (y compris, mais sans s'y limiter, les honoraires raisonnables des avocats et les frais de justice) découlant de ou résultant de toute réclamation, allégation, demande, poursuite, action, ordonnance ou toute autre procédure engagée par un tiers (y compris les autorités de surveillance) qui découle de ou est liée à la violation des obligations du Responsable du Traitement en vertu du présent DPA ou de la Législation sur la Protection des Données.
Article 14 Restitution et destruction des Données à Caractère Personnel
14.1 En cas de résiliation du Contrat, le Responsable du Traitement peut télécharger les Données à Caractère Personnel, y compris toute copie de celles-ci, à sa convenance. Le Responsable du Traitement peut demander au Sous-Traitant de détruire de manière sécurisée les Données à Caractère Personnel, sauf dans la mesure où le Contrat ou la Législation sur la Protection des Données en dispose autrement. Dans ce cas, le Sous-Traitant ne traitera plus les Données à Caractère Personnel, sauf dans la mesure requise par le Contrat ou la Législation sur la Protection des Données. Le Sous-Traitant fournit au Responsable du Traitement un certain nombre de fonctions en libre service, que le Responsable du Traitement peut utiliser de manière indépendante pour extraire ses Données à Caractère Personnel.
14.2 Si le Responsable du Traitement exige des mesures techniques et organisationnelles supplémentaires ou modifiées pour recevoir des Données à Caractère Personnel, qui vont au-delà de l'assistance fournie par le Sous-Traitant conformément au paragraphe 14.1 ci-dessus, le Sous-Traitant informera le Responsable du Traitement des coûts de mise en œuvre de ces mesures techniques et organisationnelles supplémentaires ou modifiées. Une fois que le Responsable du Traitement a confirmé qu'il prendrait en charge ces coûts, le Sous-Traitant mettra en œuvre ces mesures techniques et organisationnelles supplémentaires ou modifiées afin d'aider le Responsable du Traitement à recevoir une copie de leurs Données à Caractère Personnel.
14.3 Si le Responsable du Traitement ne demande pas, dans un délai de trente (30) jours à compter de la résiliation du DPA, au Sous-Traitant de restituer ou de détruire les Données à Caractère Personnel, le Sous-Traitant peut détruire les Données à Caractère Personnel. Dans ce cas, le Sous-Traitant détruira les Données à Caractère Personnel au plus tard dans un délai de quatre-vingt-dix (90) jours à compter de la résiliation du DPA.
Article 15 Durée et résiliation
15.1 Le présent DPA entre en vigueur dès que le Sous-Traitant commence à traiter des Données à Caractère Personnel pour le compte du Responsable du Traitement après avoir accepté le DPA.
15.2 Le présent DPA est en vigueur aussi longtemps que le Contrat se poursuit. En cas de résiliation du Contrat, le présent DPA prend fin de plein droit.
15.3 Toutes les obligations prévues par le présent DPA qui, de par leur nature, sont destinées à survivre à la résiliation du Contrat, continueront à s'appliquer après la résiliation.
Article 16 Changements et renégociations
16.1 Le Sous-Traitant peut modifier les présentes conditions de temps à autre. Si des modifications sont apportées, le Responsable du Traitement sera informé de ces modifications par le biais du ou des propriétaire(s) de compte du Responsable du Traitement ou par le biais d’une notification du produit ou par un autre canal de communication pratique. Sauf indication contraire du Sous-Traitant dans la notification, les conditions modifiées prendront effet au moment du renouvellement du Contrat du Responsable du Traitement. Le renouvellement du Contrat confirme l'acceptation des modifications par le Responsable du Traitement. Si le Responsable du Traitement n'accepte pas les conditions modifiées, il doit cesser d'utiliser les services du Sous-Traitant en résiliant le Contrat conformément aux droits de résiliation.
16.2 Les Parties acceptent par avance les modifications apportées au DPA à la suite de changements apportés au cadre juridique de la protection des Données à Caractère Personnel qui sont strictement nécessaires pour se conformer à la législation ou à la réglementation pertinente ou à l’interprétation de celles-ci, ou encore aux politiques des autorités.
Article 17 Personnes à contacter
17.1 En cas de question ou de réclamation concernant le présent DPA, le service client du Sous-Traitant peut être contacté aux coordonnées suivantes :
Fonction : Service client
Page Nous contacter : https://www.timemoto.com/contact-sales
Article 18 Stipulations diverses
18.1 Le présent DPA est régi par le droit néerlandais.
18.2 Les litiges découlant du présent DPA sont soumis par exclusion à l'agence compétente pour entendre et trancher les litiges découlant du Contrat. À défaut, le tribunal compétent tel que désigné dans le Contrat aura compétence exclusive.
18.3 Les conditions générales types du Responsable du Traitement ne sont pas applicables au présente DPA et le Sous-Traitant les rejette expressément. En cas de conflit entre le présent DPA et le Contrat, le DPA prévaut.
ANNEXE A - INFORMATIONS SUR LE TRAITEMENT
A.1. Le Sous-Traitant a défini, conçu et développé une solution de suivi du temps appelée TimeMoto qui utilise des systèmes de pointage intelligents. La solution facilite le pointage des heures de travail de manière sécurisée et s'accompagne d'un logiciel TimeMoto Cloud qui permet aux organisations de gérer des données en temps réel, y compris les horaires de travail, les heures supplémentaires et les absences. La ou les finalité(s) du traitement des Données à Caractère Personnel par le Sous-Traitant pour le compte du Responsable du Traitement est ou sont :
- Création et configuration de comptes d'utilisateurs finaux.
- Enregistrement des heures et planification.
- Enregistrement des absences et des heures supplémentaires.
- Production de rapports.
A.2. Le traitement porte sur les catégories de Données à Caractère Personnel suivantes :
· Concernant les horloges TimeMoto
Identification par empreinte digitale et faciale, identification par code pin, identification par badge.
TimeMoto B.V. ne traite pas les données susmentionnées en qualité de Sous-Traitant et ce traitement ne relève donc pas du présent DPA. TimeMoto n'a pas accès à ces données.
· Concernant TimeMoto Cloud
Prénom et nom, enregistrements des heures, adresse électronique, mot de passe du compte, identifiant de l'utilisateur final de la Pointeuse, fuseau horaire, langue, numéro d'employé/deuxième numéro d’employé, numéro de badge (numéro du badge que l'utilisateur final peut utiliser pour s'identifier à la Pointeuse), statut de l'utilisateur final, dates d'activité, modèle de rémunération (contenant toutes les informations relatives à la rémunération de l'employé et aux règles en matière d'heures supplémentaires), horaire de travail, taux horaire, profil de congés/vacances, autres motifs de congé (par ex., maladie) sans révéler d'informations spécifiques sur la maladie ou l'état de santé, Flexibank indiquant les congés accumulés, membre de l'équipe d'urgence (les membres de l'équipe d'urgence sont habilités à déclencher des appels d’urgence pour alerter le personnel du Responsable du Traitement sur place en cas d'urgence), service, lieux où les employés peuvent utiliser des pointeuses pour enregistrer leur temps de travail, droits des utilisateurs finaux, lieu d'enregistrement des entrées et sorties.
A.3. Le traitement porte sur les catégories suivantes de Personnes Concernées :
- Employés du Responsable du Traitement,
- Consultants, travailleurs intérimaires, stagiaires ou toute autre personne à laquelle le Responsable du Traitement peut accorder l'accès.
ANNEXE b - SOUS-TRAITANTS ULTÉRIEURS
Nom : Microsoft Azure
Rôle : Sous-Traitant Ultérieur
Activités : Le service d'hébergement pour les clients de l'UE et du Royaume-Uni est situé au sein de l'UE (Pays-Bas).
Nom : Utilus
Rôle : Sous-Traitant Ultérieur
Activités : Développement du produit et maintenance du logiciel et de l'infrastructure.
Nom : Sendgrid
Rôle : Sous-Traitant Ultérieur
Activités : Envoi de courriels transactionnels (accès aux données du courrier électronique) tels que l'activation, la réinitialisation du mot de passe, les rapports de notifications.
Nom : Hibernating Rhinos
Rôle : Sous-Traitant Ultérieur
Activités : Services de base de données.
ANNEXE c - MESURES DE SÉCURITÉ TECHNIQUES ET ORGANISATIONNELLES
Le Sous-Traitant prend les mesures techniques et organisationnelles appropriées pour protéger les Données à Caractère Personnel contre la perte ou toute forme de traitement illicite. Ces mesures, les coûts de mise en œuvre ainsi que la nature, la taille, le contexte et les objectifs du traitement offrent un niveau de sécurité approprié. Ces mesures visent également à empêcher la collecte inutile et le traitement ultérieur des Données à Caractère Personnel. Les mesures de sécurité sont les suivantes :
A. Confidentialité des Données :
1. Mesures d'accès physique au matériel
Les applications du Sous-Traitant sont hébergées dans des centres de données de haute sécurité situés dans l'UE (Pays-Bas). Les centres de données sont équipés de contrôles d'accès physiques stricts, tels que :
- L'accès physique aux centres de données n'est accordé qu'aux membres du personnel désignés et enregistrés des clients et des centres de données ;
- Les visiteurs doivent être annoncés à l'avance à la direction du centre de données pour obtenir une autorisation d'accès ;
- Les visiteurs des centres de données doivent s'identifier à l'aide d'une pièce d'identité légalement valide et d'un badge d'accès personnel nominatif ;
- Toutes les visites sont consignées dans un registre ;
- Les racks dans lesquels sont montés les serveurs sont verrouillés. Il existe une procédure de gestion des clés ;
- Mesures de prévention des intrusions et connexion à la centrale d'alarme.
2. Mesures relatives à l'accès physique aux bureaux du partenaire informatique externe du Sous-Traitant
- Les visiteurs doivent être annoncés à l’avance à la direction du partenaire informatique ;
- Les visiteurs des locaux du partenaire informatique doivent être accompagnés à tout moment par un membre du personnel du partenaire informatique ;
- Aucune donnée de production n'est conservée dans les locaux du partenaire informatique ;
- Mesures de prévention des intrusions et connexion à la centrale d'alarme.
3. Mesures de contrôle d'accès au niveau du serveur
- L'accès aux serveurs par VPN (Virtual Private Network) nécessite des identifiants de connexion individuels, et le VPN n'est accessible que sur les systèmes clients d'un réseau dédié pour lequel une authentification réseau basée sur un mot de passe est requise. Seul le personnel autorisé dispose des autorisations nécessaires et une matrice d’autorisation est en vigueur ;
- La gestion du VPN s'effectue par l'intermédiaire d'un système de gestion de réseau distinct, qui n'est accessible qu'au personnel autorisé. Une matrice d’autorisation est en vigueur ;
- L'accès aux serveurs est enregistré et traçable.
4. Mesures de contrôle d'accès au niveau des données
- L'accès aux données nécessite des clés d'autorisation, dont les identifiants de connexion sont gérés par une matrice d'autorisation ;
- Un contrôle de la version des logiciels et des protocoles DTAP (Design, Test, Accept & Production) sont en vigueur.
5. Mesures relatives aux méthodes de copie et à la sécurité
- Toutes les copies de sauvegarde sont cryptées et conservées dans un endroit séparé ;
- Tous les mots de passe et identifiants de connexion sont cryptés et stockés de manière sécurisée, avec une structure et une hiérarchie claires, et ne sont accessibles qu'au personnel autorisé ;
- Tous les membres du personnel concernés ont signé un accord de non-divulgation et ont accepté le code de conduite concernant la sécurité et l'intégrité des données ;
- Tous les serveurs disposent de certificats SSL valides ;
- Les tunnels VPN sécurisés sont hachés avec des normes de cryptage telles que AES256 et/ou 3DES et PFS (voir point A.3) ;
- Des pare-feu sont en place pour protéger les serveurs des attaques extérieures ;
- Les données biométriques sont toujours sécurisées et cryptées dans des chaînes de texte hachées, qui ne permettent pas l’identification des données biométriques individuelles. Aucune donnée biométrique de référence n'est conservée sur les produits de la suite TimeMoto ;
- Seuls certaines fonctions ont le droit de supprimer des profils dans le système ;
- Un journal d'activité indiquant la personne à l’origine de la suppression d'un profil ; dans les cas où une sauvegarde est volontairement supprimée, éventuellement dans un but malveillant, le système devrait permettre d'établir un journal indiquant qui a procédé à la suppression.
B. Intégrité des données :
- Les interfaces entre les terminaux et les serveurs sont sécurisées par des connexions HTTPS ;
- Seules sont traitées les données à caractère personnel nécessaires à la bonne exécution de l'objet du contrat (noms et prénoms, adresses électroniques et données relatives à l'enregistrement du temps (présence, absence, temps de travail, jours de congé, vacances, absentéisme)) ;
- Tunnels VPN en place pour accéder aux serveurs (voir A.3) ;
- Des journaux de traçabilité sont en place pour la communication entre le terminal et le serveur, l'accès au serveur et l'accès à la base de données.
C. Disponibilité des données :
- Les serveurs ont un temps de disponibilité de 99,95 % ;
- Des tests périodiques de restauration des sauvegardes sont effectués ;
- Du matériel et des connexions redondants sont en place ;
- Les centres de données sont équipés de plusieurs UPS (Uninterruptible Power Supplies) et de générateurs de secours fonctionnant au diesel afin de garantir la redondance de l'alimentation.