top of page

Data Processing Agreement (DPA)
Gestion de données à caractère personnel

Mise à jour : 17/02/2023


Le présent document spécifie les conditions de gestion des données à caractère personnel entre le Client et les Sociétés du Groupe Actibac intervenant seules ou conjointement, dans le cadre des services des solutions Gestion de Chantier ou de télématique.


Définitions

  • « Données à caractère personnel » désignent toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres ;

  • « Personne concernée » désigne une personne physique dont les données personnelles sont traitées ;

  • « Responsable du traitement » désigne la personne qui détermine les finalités et les moyens du traitement des données personnelles ;

  • « Sous-traitant » désigne la personne qui traite des données personnelles sous l'autorité, sur instructions et pour le compte du Responsable du traitement ;

  • « Traitement » désigne toute opération ou tout ensemble d'opérations portant sur des données personnelles par le prestataire pour le compte du Client, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que la limitation, l'effacement ou la destruction ;

  • « Violation de données personnelles » désigne une violation de sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la corruption, le détournement de finalité, la compromission de la confidentialité ou la divulgation non autorisée de données personnelles transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.

  • En cas de conflit ou d'ambiguïté entre les dispositions de la présente Annexe et celles du Contrat d’abonnement, relatives à la protection des données à caractère personnel, les dispositions de la présente Annexe prévaudront.


Partie 1 - Données à caractère personnel traitées en qualité de Responsable de traitement
 

Article 1. - Responsable de traitement :
Les responsables de traitement sont les Sociétés Accopilot et Noremat filiales apparentées au Groupe Actibac, c’est à dire dans lesquelles la Société Actibac a une participation et dispose d’un contrôle direct ou indirect.
Les Sociétés du Groupe Actibac intervenant seul ou conjointement dans le cadre du contrat d’abonnement ont signé un accord relatif à la gestion et à la protection des données à caractère personnel qui précise leurs rôles et responsabilités respectifs, les grandes lignes de cette répartition sont les suivantes :

  • Accopilot
    Adresse : 39 rue des Hêtres, 69400 Arnas
    Missions et rôle : Développement de l’application. Fourniture, hébergement et maintien des services d’abonnement en conditions d’utilisation opérationnelle

  • Noremat
    Adresse : 166 rue Ampère, 54714 ZI Ludres-Fléville
    Missions et rôle : Commercialisation et support de 1er niveau

  • Actibac
    Adresse : 133 rue Carnot, 54550 Maizières
    Missions et rôle : Assistance technique et conformité réglementaire

Chacune des Sociétés, ainsi que les employés n’ont accès qu’aux seules données personnelles nécessaires eu égard à leur fonction.


Le Client reconnaît et accepte que les données puissent être transmises aux Sociétés :


Le Client doit s'assurer que tout conducteur ou toute autre personne autorisée par le Client à utiliser la solution de Accopilot-gestion de chantier est informé(e) que des informations personnelles le/la concernant peuvent être collectées, stockées, utilisées, partagées et traitées par les Sociétés du Groupe Actibac,


Chacune des Sociétés du Groupe Actibac, ne pourra être tenue responsable que des dommages causés par un traitement pour lequel (i) elle n'a pas respecté les obligations prévues par le RGPD qui incombent spécifiquement aux sous-traitants ou pour lequel (ii) il a agi en-dehors des instructions licites du Client ou contrairement à celles-ci.


Chacune des Sociétés du Groupe Actibac, ne pourra être tenu responsable de toute perte ou de tout dommage de quelque nature que ce soit causé(e) par des actes ou omissions du Client, y compris, mais sans s'y limiter, le non-respect par le Client des lois relatives à la protection des données à caractère personnel.


Chacune des Sociétés du Groupe Actibac, ne pourra être tenu responsable des pertes ou dommages de quelque nature que ce soit causés par une panne ou un arrêt des systèmes de communication publics dont la fourniture des Services d'information peut dépendre.


En cas de reprise de son activité par une entité du Groupe Actibac, le Client consent à ce transfert et dégage Groupe de toute réclamation relative à ce transfert.


Partie 2 : Traitements de Données à caractère personnel réalisés en qualité de sous-traitant


La Société Accopilot (seule ou conjointement avec les Sociétés du Groupe Actibac) fournit, héberge et maintien en condition d’utilisation opérationnelle l’application de gestion de chantier et d’un module télématique, par conséquent elle doit accéder et utiliser les Données issues de la solution de gestion de chantier afin de fournir des services au Client;


Article 1. - Objet
La présente Annexe a pour objet de définir les conditions dans lesquelles Accopilot (seule ou conjointement avec Sociétés du Groupe Actibac), ci-après désigné le « sous-traitant », s'engage à effectuer pour le compte du Client les opérations de traitement de données à caractère personnel définies ci-après, et assure leur protection et leur traitement conformément à la réglementation applicable mentionnée ci-dessous.


Article 3. - Description des traitements objet de la sous-traitance

3.1. - Le sous-traitant est autorisé à traiter pour le compte du Client les données à caractère personnel nécessaires pour fournir la prestation telle que définie dans le contrat de service Noremat « AccoPilot - Gestion de Chantier . Le sous-traitant ne peut traiter les données personnelles pour d'autres finalités que celles décrites dans le Contrat sans l'autorisation écrite préalable du Client.


3.2. - Le Client détermine sous sa responsabilité les finalités des traitements confiés au sous-traitant, lesquelles sont les suivantes :

  • Mise à disposition de l'applicatif, des fonctionnalités, des données de planification et de suivi de chantier

  • Création du compte et de l’environnement client (Gestion des profils utilisateurs et administration des droits d’accès)

  • Formation initiale sur l’utilisation de la solution

  • Mise en oeuvre de l’assistance utilisateur (utilisation, prise en main…) par le biais d’un système d’assistance téléphonique

  • Mise à disposition de l’infrastructure hébergeant la solution

  • Maintenance et assistance technique portant sur le fonctionnement et garantissant la disponibilité de l’application

  • Calcul et mise à disposition des données


Le cas échéant si fourniture du module télématique :

  • Suivi de la flotte mobile


  • Montage et affectation du module télématique sur les véhicules

  • Affectation initiale des boîtiers sur le portail client


Les Données à caractère personnel traitées sont :

  • Données d’état civil du représentant légal ou de la personne habilitée à signer le contrat si le Client est une personne morale : nom et prénom du Client, adresse postale , numéro de téléphone fixe et mobile du Client, adresse e-mail du Client, coordonnées bancaires…

  • Données des utilisateurs de l’application (chef de chantier, chauffeurs…) : Nom, prénom, civilité, fonction, adresse électronique, initiales, photos, type de permis de conduire

  • Données des donneurs d’ordre : Nom, prénom, fonction, adresse mail et téléphone

  • Données des prestataires et fournisseurs : Nom, prénom, fonction, adresse mail et téléphone

  • Vie professionnelle : Habilitations, formations

  • Données techniques : Historique de connexion, traces, journalisation, login, mot de passe, identifiant

  • Données de chantier : Localisation des chantiers, tronçons de route, Infos sur le véhicule (plaque d’immatriculation, N° de série),

  • Données temporelles : (début et fin d’intervention, durée d’exécution, distance parcourue, temps de pause)

  • Données télématiques : Géolocalisation, état du moteur, consommation de carburant, temps de conduite

Les catégories de personnes concernées sont :

  • Les référents internes désignés par le Client

  • Les utilisateurs habilités de la solution

  • Les personnes physiques identifiées dont les données sont importées/renseignées dans le logiciel (Donneurs d’ordre, prestataires, fournisseurs...)

La durée des traitements mis en oeuvre par le sous-traitant pour le Client correspond à la durée de la relation contractuelle


Article 4. - Obligations du Sous-traitant envers le Responsable de traitement


4.1. - Le sous-traitant, s'engage à :

  • traiter les données personnelles uniquement pour les seules finalités qui font l'objet de la sous-traitance ;

  • traiter les données personnelles conformément aux instructions documentées du Client, à moins que le sous-traitant ne soit tenu d'y procéder en vertu du droit applicable au Contrat ;

Dans ce cas, le sous-traitant, informera le Client de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs d'intérêt public.

 

  • Si le sous-traitant considère qu'une instruction constitue une violation du RGPD ou de toute autre disposition du droit de l'Union ou du droit des États membres relative à la protection des données, il en informe immédiatement le Client par écrit ;

  • garantir la confidentialité des données personnelles traitées dans le cadre du Contrat et en particulier empêcher leurs destruction, fuite, déformation, détournement, atteinte ou divulgation à des tiers non autorisés ;

  • veiller à ce que les personnes autorisées à traiter les données personnelles dans le cadre des services :

  • s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;

  • reçoivent la formation nécessaire en matière de protection des données à caractère personnel.

  • prendre en compte, s'agissant de ses outils, produits, applications ou services, les principes de protection des données personnelles dès la conception, et de protection des données par défaut ;

  • proposer des prestations respectueuses des principes de proportionnalité, de minimisation et de limitation des données personnelles, assurant que seules les données pertinentes telles que visées à l'article 3.2 de la présente Annexe sont traitées.

4.2. - Le sous-traitant, est responsable de son personnel, salariés et sous-traitants, et du respect par ces derniers des obligations lui incombant en vertu de la présente Annexe. A cet égard, le personnel du sous-traitant, ne pourra accéder aux données personnelles, les utiliser, les modifier, sauf lorsque cela est strictement nécessaire aux fins de la fourniture des services tels que mentionnés au Contrat, de la prévention ou du traitement des problèmes techniques ou pour en assurer la sécurisation.


Le sous-traitant, met en place des mesures organisationnelles et techniques pour s'assurer du respect par son personnel de ses obligations notamment en termes de contrôle des personnes habilitées à accéder aux données, de sécurisation des accès et de traçabilité. Il en tient la description détaillée à la disposition du Client à première demande.


4.3. - Les Données à Caractère Personnel collectées et traitées par le sous-traitant, sont hébergées en Union Européenne.
Néanmoins, pour mener des activités de traitement spécifiques les données peuvent être transférées à des sous-traitants situés en dehors de l’Union Européenne


Le sous-traitant, s'engage à ne transférer aucune donnée à caractère personnel en dehors du territoire de l'Union européenne sans l'autorisation écrite et préalable du Client.


4.4. - Le sous-traitant reconnaît qu'il doit être en mesure, en tout temps, à première demande et sans délai, pendant l'exécution des services, de rendre compte et de faire la preuve de l'ensemble des procédures et des dispositifs de protection des données personnelles, de minimisation de leur utilisation, et de conformité aux exigences légales susmentionnées.


4.5. - Sur demande écrite du Client, Le sous-traitant met à la disposition du Client la documentation nécessaire pour démontrer le respect de toutes ses obligations dans le cadre de la présente Annexe et du RGPD.


Article 5. - Coopération et assistance


5.1. - Dans la mesure du possible, sous-traitant doit aider Client, responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).


Lorsque les personnes concernées exercent auprès du sous-traitant des demandes d’exercice de leurs droits, le sous-traitant informe sans délai le Client de toute demande qu’il a reçue de la part de la personne concernée. Il ne donne pas lui-même suite à cette demande, à moins que le Client ne l’y ait autorisé.


5.2. - Sur demande écrite du Client, le sous-traitant s’engage à collaborer loyalement et à fournir une assistance raisonnable au Client dans le cadre de réalisation d'analyses d'impact relative à la protection des données personnelles, cette assistance consiste à assurer la transparence des mesures de sécurité mises en oeuvre par le sous-traitant pour ses Services.


5.3. - Le sous-traitant s'engage à coopérer loyalement et sans délai avec le Client dans le cadre de consultation préalable des autorités de contrôle.


Article 6. - Sous-traitance ultérieure


6.1. - Le sous-traitant est autorisé à recourir à des sous-traitants ultérieurs pour réaliser des activités de traitements spécifiques ou pour l’assister dans la fourniture des Services, (liste annexée).
Dans les conditions prévues à l’article 28 du RGPD, Le sous-traitant en informe le Client par courrier électronique, 30 jours à l’avance.


Le Client a le droit d’émettre des objections en cas de changement ou d’ajout de sous-traitant, les objections doivent être notifiées au sous-traitant dans les quinze (15) jours suivants envoi de la notification du changement de sous-traitant par le sous-traitant en précisant le motif de l’objection. Si à la suite d’une objection du Client,le sous-traitant ne renonce pas au changement de sous-traitant, le Client peut mettre fin aux services concernés sans pouvoir prétendre à une indemnisation.
Tout changement de sous-traitant devra faire l'objet d'une nouvelle demande dans les conditions du présent article.


6.2. - En cas de non-respect par un sous-traitant ultérieur de ses obligations en matière de protection des données personnelles, le sous-traitant demeure pleinement responsable à l'égard du Client.


Article 7. - Notification des violations de données personnelles


7.1. - Le sous-traitant s'engage à informer le Client de tout incident tant physique que technique relatif à la sécurité ou à la confidentialité des données personnelles sans délai et, en tout état de cause, dans une durée maximale de quarante-huit (48) heures après la survenance d'un incident de sécurité.


7.2. - Le sous-traitant notifie par courrier électronique au Client la survenance de toute violation de données personnelles ayant ou susceptible d'avoir des conséquences directes ou indirectes sur les données personnelles, la vie privée, les droits et libertés des Personnes concernées, ou susceptible d'affecter négativement l'image, la réputation ou l'honorabilité du Responsable du traitement. La notification est adressée au Client dans un délai maximum de 48 heures à compter de la pris de connaissance de la survenance de la violation de données personnelles. La notification faite au Client contient au moins :
 

  • la description de la nature de la violation de Données Personnelles y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de Données Personnelles concernés ;

  • le nom et les coordonnées du Délégué à Protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;

  • la description des conséquences probables de la violation de données personnelles ;

  • la description des mesures à mettre en oeuvre pour remédier à la violation de données personnelles, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

7.3. - Le sous-traitant s'engage à collaborer activement avec le Client afin de mettre en place les actions nécessaires à la correction de tout dysfonctionnement qui serait à l'origine ou une conséquence de la violation des données personnelles et à empêcher que cette violation ne se reproduise.


7.4. - Le sous-traitant s'abstient de divulguer et de communiquer toute information relative à une violation de données personnelles, sauf obligation légale ou autorisation préalable du Client.


Article 8. - Sécurité des données personnelles


8.1. - Le sous-traitant s'engage à prendre toutes précautions utiles afin de préserver la confidentialité et la sécurité des données personnelles et notamment d'empêcher qu'elles ne soient déformées, endommagées, détournées ou communiquées à des tiers non autorisés, et plus généralement à mettre en oeuvre toutes mesures techniques et organisationnelles appropriées pour protéger les données personnelles contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisé.


8.2. - Le sous-traitant s'engage à prendre toutes mesures afin (i) de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement, (ii) de rétablir la disponibilité des données personnelles et l'accès à celles-ci dans les délais appropriés en cas d'incident physique ou technique et (iii) de tester, analyser et évaluer régulièrement l'efficacité de ces mesures.


8.3. - Le sous-traitant tient à la disposition du Client les documents relatifs à la sécurité des données personnelles comprenant notamment la documentation technique nécessaire, les analyses de risques produits et la liste détaillée des mesures de sécurité mises en oeuvre.

Article 9. - Délégué à la protection des Données


Le sous-traitant communique au Client le nom et les coordonnées du Délégué à la protection des données, s'il en a désigné un conformément à l'article 37 du RGPD.


Article 10. - Registre des activités de traitements


Le sous-traitant déclare tenir par écrit un registre de toutes les catégories d'activités de traitement effectuées pour le compte du Client comprenant l'ensemble des éléments mentionnés à l'article 30.2 du RGPD.


Article 11. - Audit


11.1. - Le Client a la possibilité d'auditer ou de faire auditer le respect des obligations du sous-traitant pour les traitements des données personnelles spécifiques visées à la présente Annexe pendant toute la durée du contrat.


11.2. - Dans la mesure où l'audit réalisé par le Client démontre une non-conformité du sous-traitant aux obligations du présent document, le sous-traitant s'engage à remédier à cette non-conformité et de tenir informé le client des mesures prises.


Article 12. - Sort des données personnelles en fin de Contrat


12.1. - Au terme du Contrat, notamment en cas de résiliation ou de non-renouvellement de l’abonnement, le sous-traitant s'engage à détruire l'ensemble des données personnelles traitées ou à restituer au client ces données, sur sa demande express et sur devis.


12.2. - Le sous-traitant s'engage à détruire les copies existantes des données personnelles, à moins que le droit applicable au Contrat n'exige la conservation de celles-ci.


Article 13.- Obligations du responsable de traitement envers le sous-traitant


Le Client s’engage à :
1. fournir au sous-traitant les données nécessaires à la création du compte, des profils utilisateurs et à la mise à jour de ceux-ci
2. documenter par écrit toute instruction concernant le traitement des données par le sous-traitant
3. veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen sur la protection des données de la part du sous-traitant
4. superviser le traitement, y compris réaliser les audits et les inspections auprès du sous-traitant​

Liste des sous-traitants ultérieurs autorisés : 

  • OVH
    Hébergement de l’applicatif

  • Microsoft
    (pas de description spécifiée dans l’image)

  • Logiciel de ticket JIRA
    Gestion des tickets

  • Firebase Crashlytics
    Gère le contrôle d’accès et la communication de l’applicatif mobile. Stockage intermédiaire entre le mobile et le serveur

  • Scaleway
    (pas de description spécifiée dans l’image)

  • Sendinblue
    Envoi de mail automatique (facturation, support, notification de mise à jour…)

  • Sentry
    Gestion des logs et remontée d’erreurs automatisée

  • Cloudflare
    CDN

  • Zoho
    Gestion de la flotte mobile (smartphones et tablettes)

bottom of page