RGPD
Nicolas Jaulin avatar
Écrit par Nicolas Jaulin
Mis à jour il y a plus d’une semaine

Conformément au Règlement Général de Protection des Données 2016/679 du 27 avril 2016 (ci après « le Règlement ») et de la Loi Informatique et Libertés modifiée, le présent article:

  • Qualifie les Parties et définit leurs responsabilités respectives ;

  • Définit les mesures mises en place par l'Editeur sous le contrôle du Client afin de s’acquitter de ses obligations ;

  • Définit les conditions de collaboration entre les Parties.

L’analyse du système par un Cabinet de conseil externe spécialisé a conclu à la conformité du système et du présent article au Règlement Général de Protection des Données (RGPD).

Qualification et responsabilités respectives des Parties

Qualification des parties

En application du Règlement, le Client, tel que défini au Contrat, est responsable de traitement au sens de l’article 4 7) du Règlement, et PYSAE (l'Editeur tel que défini par le Contrat) est sous-traitant au sens de l’article 4 8) du Règlement.

Responsabilités du responsable de traitement

En application du Règlement, et sous peine des sanctions prévues par ses articles 82, 83 et 84, il est rappelé qu’il est de la responsabilité du Client, responsable de traitement, de :

  • déterminer les finalités des traitements ;

  • définir les données strictement nécessaires et proportionnées à l'accomplissement de ces finalités ;

  • définir les règles relatives à la durée de conservation des données ;

  • établir et appliquer les mesures de sécurité, et en particulier définir et appliquer les règles relatives à l’habilitation de ses personnels utilisant les équipements ;

  • définir les moyens et modalités de mise en œuvre de ces traitements, que cette mise en œuvre soit interne, ou confiée pour tout ou partie à des sous-traitants présentant des garanties suffisantes à répondre aux exigences du Règlement, conformément à l’article 28 1 ; et de définir à l’attention des sous-traitants les instructions documentées prévues par l’article 28 3 a) (ci-après notées « les Instructions ») ;

  • informer les personnes concernées de la finalité des traitements et de leurs droits ;

  • mettre en œuvre les droits des personnes (droit d'accès, rectification, suppression, portabilité, limitation) ;

  • répondre à toutes demandes des personnes concernées en respectant les délais légaux en vigueur ;

  • établir les circonstances et la gravité de toute violation de données à caractère personnel, et le cas échéant en notifier la CNIL et/ou les personnes concernées ;

  • tenir le registre des traitements associés, et le cas échéant de désigner un délégué à la protection des données ;

  • ainsi que de s’acquitter de toute autre obligation prévue par les textes en vigueur.

Le responsable de traitement demeure responsable du choix de ses sous-traitants et de la conformité globale des traitements.

Responsabilités du sous-traitant

En application des articles 28, 29 du Règlement, et sous peine des sanctions prévues par les articles 82 et 83, il est de la responsabilité de l'Editeur, sous-traitant, de :

  • mettre en œuvre de manière effective les mesures techniques et organisationnelles définies par l’article 2 de la présente Annexe, de manière à ce que le traitement réponde aux exigences du Règlement et garantisse la protection des droits des personnes concernées ; ainsi que de suivre l’application de ces mesures et les mettre à jour dans les conditions prévues par l’article 3.6 de la présente Annexe;

  • participer à la gestion des demandes d'exercice de droits des personnes, dans les conditions prévues à l’article 3.2 de la présente Annexe ;

  • participer à la gestion des violations de sécurité, dans les conditions prévues à l’article 3.3 de la présente Annexe ;

  • mettre à la disposition du Client toutes les informations nécessaires pour apporter la preuve du respect des obligations prévues par le Règlement et la présente Annexe au Contrat, et pour permettre la réalisation d'audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits, dans les conditions prévues à l’article 3.4 de la présente Annexe.

Dispositions relatives au traitement de données à caractère personnel

Conformément à l’article 28 3. alinea 1 du Règlement, la présente Section définit l’objet, la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement.

Sauf disposition complémentaire entre les Parties, la présente partie constitue la documentation des Instructions du responsable de traitement envers le sous-traitant.

Conformément à l’article 28 10. du Règlement, l'Editeur sera considéré comme un responsable de traitement s’il détermine seul les finalités et les moyens du traitement, ou utilise les données pour son usage qui n’aurait pas été défini par le Client.

Objet du contrat

Voir le paragraphe « Objet du Contrat » au Contrat entre le Client et PYSAE.

Opérations de traitement réalisées dans le cadre du contrat

Les opérations de traitement réalisées sur les données sont les suivantes : collecte, transmission, stockage, corrélation, agrégation, affichage et présentation, mise à disposition pour réutilisation.

Personnes concernées

La solution traite des données relatives aux :

  • conducteurs associés à des trajets et des véhicules ;

  • responsables d’exploitation du système.

Ces catégories de personnes sont sous l’autorité et la responsabilité du Client.

Données relatives aux utilisateurs des « Apps » : la Solution ne traite pas de données relatives aux usagers utilisant le site internet pysae.com ou l’Application Voyageurs disponible pour les systèmes iPhone et Android. Les informations relatives aux préférences de l’utilisateur, à sa position géographique et aux notifications de prochain passage sont uniquement stockées sur le terminal téléphonique de l’usager. De même, aucune information d’identification n’est collectée (identité, adresse de messagerie, adresse IP, numéro de téléphone, identifiant du téléphone…). L’application ne fournit pas de services d’abonnement à des informations ou alertes par sms, email ou tout autre moyen.

La solution traite en outre des données relatives aux Administrateurs de la solution pour le compte de l'Editeur. Pour ces personnes, les traitements et les données concernées sont de la seule responsabilité de l'Editeur.

Données traitées

Personnes concernées

Données traitées

Durées de conservation standard (modifiables) *

Conducteurs

· terminal associé : ID, modèle, version, n° de téléphone

· date et heure de prise de service et de fin de service

· voyages : ligne, positions théoriques du véhicule, position réelle du véhicule relevée toutes les 5 secondes, cap, avance/retard, vitesse calculée

· échanges : contenu et horodatage des accusés de réception des alertes et consignes

Historique des positions des véhicules et des horaires de passage : Données conservées jusqu'à supression du compte

Historique des prises et des fins de service, lignes et véhicules associés : maximum 36 mois

Historique des échanges et des consignes : Données conservées jusqu'à supression du compte

Le Client peut supprimer un compte Conducteur à tout moment et sans limite.

Responsables d’exploitation

· nom, prénom, identifiants de connexion, mot de passe chiffré, date de création du compte, date et adresse IP de la dernière connexion, historique des actions réalisées dans l’application

Historique des connexions : maximum 36 mois

Le Client peut demander à tout moment et sans limite technique la suppression d’un compte Responsable d’exploitation.

* Afin de modifier vos paramètres RGPD, vous pouvez cliquer >ici<

Tableau : Personnes concernées, données traitées et durées de conservation standard

Confidentialité

Les contrats de travail des collaborateurs de l'Editeur comportent une clause de confidentialité assurant la protection des données traitées pour le compte des Clients.

Sécurité des données

Le sous-traitant est conscient de ses obligations en matière de sécurité et met en œuvre les mesures suivantes, définies en application des principales recommandations de l’ANSSI.

Contrôle d’accès aux systèmes

Tous les systèmes fonctionnent sous les dernières versions d'Amazon Linux EKS, appliquant les bonnes pratiques de sécurité usuelles. Tous les systèmes sont mis à jour automatiquement.

L'accès au réseau et aux systèmes n'est possible qu'aux personnels autorisés de l'Editeur.

L'accès technique aux serveurs est effectué via la console de l'orchestrateur grâce à un couple clé d'api et secret. Ces identifiants sont personnels et administrés. Les accès par le système traditionnel « code + mot de passe » sont désactivés.

Aucun accès direct n'est accordé à partir d'un réseau externe.

L’accès aux serveurs d’application et aux serveurs de base de données est protégé par des firewalls et des reverse proxies.

Chaque serveur implémente des systèmes de protection, y compris à l’intérieur du réseau (pare-feu, blocage d’attaques brute-force…).

Tous les accès aux serveurs sont enregistrés et surveillés.

Lors du déclassement d’un système, toutes les données sont effacées en toute sécurité avec des outils approuvés par le Département de la Défense des États-Unis.

Sécurité physique

Les données sont stockées uniquement sur des serveurs hébergés dans des datacenters certifiés ISO 27001 ou équivalent. Ces datacenters fournissent au minimum un périmètre clôturé, des accès aux locaux par badge personnel ou biométrie, une vidéo-surveillance 24/24h des accès, des salles et des serveurs.

Les locaux de l'Editeur sont protégés par vidéo-surveillance. L’accès aux locaux est protégé par 3 portes successives ouvrant à l’aide de badges personnels

Sécurité des applications

Les méthodes de développement appliquent les bonnes pratiques de sécurité, telles que définies par l’OWASP, afin de limiter les risques de modification indue, d’injection ou de modification de données.

L’ensemble des composants du Système est identifié. L'Editeur veille activement sur la sécurité de ces composants et applique les corrections de sécurité en tant que de besoin, sans délai.

Contrôle de l’accès à l’application et aux données

Seuls les collaborateurs habilités de l'Editeur ont accès aux données traitées pour le compte des Clients.

L’accès est accordé Client par Client.

L’ensemble des accès, via les interfaces d’administration ou les accès système, est réalisé exclusivement au moyen de comptes personnels et est tracé.

En standard, les mots de passe des comptes des responsables d’exploitation du Client appliquent les règles suivantes : taille minimale : 8 caractères ; nombre minimal de classes de caractères : 3.

Ces mots de passe sont salés et chiffrés en base de données (SHA256 HMAC).

Chiffrement des données

Les données à caractère personnel et les données techniques sont chiffrées lors de toutes les transmissions, du terminal de l’utilisateur jusqu’au serveur de base de données :

  • d’un appareil connecté vers les serveurs d’application : cryptage TLS avec certificat fort RSA 2048 bits ;

  • du poste de travail des des responsables d’exploitation vers les serveurs d’application : cryptage TLS avec certificat fort RSA 2048 bits ;

  • du serveur d’application au serveur de base de données (TLS+VPC) ;

  • entre serveurs de base de données (TLS+VPS) ;

Contrôle des flux de données

Toutes les opérations d’insertion, de mise à jour et de suppression sont authentifiées et tracées.

Les données sont contrôlées et assainies avant d’être insérées en base de données.

Disponibilité et résilience

Tous les composants du Système sont conçus et exploités de manière à résister aux pannes. Les applications et les données sont répliquées en temps réel sur au moins 3 serveurs, chez 3 fournisseurs différents, dans des datacenters situés à 3 emplacements différents.

La résilience du système est testée régulièrement et a déjà fonctionné avec succès lors d’une panne majeure de l’un des trois fournisseurs.

Les données sont sauvegardées 4 fois par jour, 1 fois par semaine, et 1 fois par mois. Les sauvegardes sont conservées 13 mois.

Supervision

L'Editeur met en œuvre un système de centralisation des journaux de connexion et de supervision du bon état de fonctionnement des systèmes.

Maîtrise des données

Le Client peut avoir accès aux sauvegardes de ses données sur simple demande.

Ségrégation des données

Les données de chaque Client sont isolées dans la base de données.

Sous-traitance

Sous-traitants à date

Les sous-traitants suivants réalisent les prestations d’hébergement de données pour le compte de l'Editeur:

Les prestations sont réalisées dans le cadre de contrats assurant la sécurité des données et la conformité au RGPD.

Nouveaux sous-traitants

Le Client autorise l'Editeur, de manière générale, à recourir à d’autres sous-traitants, sous réserve que la relation contractuelle entre l'Editeur et le nouveau sous-traitant définit, établit et contrôle les garanties suffisantes à assurer un niveau de conformité au Règlement au moins équivalent au niveau défini par la présente Annexe ;

Localisation des données

L'Editeur certifie que l’ensemble des données à caractère personnel est stocké dans des centres de données et des serveurs situés sur le territoire de l’Espace Économique Européen.

Durée de conservation des données

Les durées de conservation des données indiquées au Tableau 1: Personnes concernées, données traitées et durées de conservation standard.

Conformément à l’article 25.2 du Règlement, le Client, responsable de traitement, peut déterminer des durées de conservation des données spécifiques et différentes, et donner Instruction à l'Editeur de les appliquer.

Évaluation du risque pour les personnes concernées

Le traitement est mis en place dans le strict cadre de l’activité des conducteurs. Il est prévu pour la seule finalité de mesurer et d’améliorer la qualité de service. Bien que les données collectées et la fréquence de collecte élevée puissent permettre le contrôle de l’activité individuelle des conducteurs, le traitement n’est pas prévu pour cet usage ; il ne fournit pas d’écrans, d’interfaces ou de transactions permettant de retracer l’activité ou les performances d’un individu ; l’absence de ces fonctionnalités est une décision volontaire de protection de la vie privée (privacy by design).

Le traitement ne porte pas sur un nombre important de personnes.

Le traitement ne comporte pas de données provenant des catégories particulières de données visées par l‘article 9 du Règlement (données dites « sensibles »).

Les personnes concernées sont informées de l’existence et des finalités du traitement.

Les données sont conservées pendant une durée limitée.

L’accès à l’application est limité aux utilisateurs autorisés et est protégé par un mot de passe conforme aux recommandations de la CNIL. Les accès et les actions sont journalisés.

La divulgation non autorisée des données n’est pas susceptible de créer une atteinte grave à la vie professionnelle ou à la vie privée des personnes concernées.

Par conséquent, et en application des critères précédents, le risque pour les personnes concernées est évalué comme suit :

  • Risque intrinsèque lié au principe de mise en œuvre du traitement :
    NégligeableLimité Important - Maximal

  • Risque résiduel suite à l’application des mesures organisationnelles et techniques :
    NégligeableLimité ImportantMaximal

Nécessité de réalisation d’une étude d’impact relative à la protection des données (non)

En l’absence de risque élevé pour les personnes, tel que défini par l’article 35 et les considérants 89 à 92, il n’est pas nécessaire de réaliser une analyse d’impact relative à la protection des données pour le présent traitement.

Devenir des données en fin de contrat – Réversibilité

En cas de fin du contrat d’abonnement, quelle qu’en soit la raison, l'Editeur :

  • rend l’ensemble des données au Client, sous un format standard et exploitable, par des canaux sécurisés ;

  • supprime de manière sécurisé et irréversible l’ensemble des données relatives aux opérations réalisées pour le compte du Client – à l’exception des données nécessaires à l'Editeur pour s’acquitter de ses propres obligations et diligences ;

  • confirme au Client, par voie écrite ou électronique, la bonne fin de ces opérations de suppression.

Information aux personnes concernées

Information collective

Le Client est responsable de l’information à ses personnels.

Le Système enregistre les activités individuelles des conducteurs et des responsables d’exploitation.

Pour le secteur privé, le Système constitue un dispositif visé par l’article L2323-32 du Code du travail :

« (Le comité d’entreprise) est aussi informé, préalablement à leur introduction dans l'entreprise, sur les traitements automatisés de gestion du personnel et sur toute modification de ceux-ci.

Le comité d'entreprise est informé et consulté, préalablement à la décision de mise en œuvre dans l'entreprise, sur les moyens ou les techniques permettant un contrôle de l'activité des salariés. »

Dans le secteur public, le Système est soumis à l’article 33 de la loi n° 84-53 du 26 janvier 1984, disposant que

« Les comités sociaux territoriaux connaissent des questions relatives :

(…)

7° A la protection de la santé physique et mentale, à l'hygiène, à la sécurité des agents dans leur travail, à l'organisation du travail, au télétravail, aux enjeux liés à la déconnexion et aux dispositifs de régulation de l'utilisation des outils numériques, à l'amélioration des conditions de travail et aux prescriptions légales y afférentes ;

Sous réserve de cas particulier dans le contexte du Client, il convient que le Client fournisse des informations relatives au système aux instances représentatives du personnel appropriées.

Information individuelle

En application des articles 5 1. a) et 12 du Règlement et de l’article L1222-4 du Code du travail, le Responsable de traitement doit fournir aux utilisateurs les informations prévus par l’article 13 du Règlement.

Cette information peut prendre la forme d’un document papier remis aux utilisateurs lors de leur formation au système, lors de la remise d’un terminal individuel, et/ou être affichée à l’utilisateur à la première connexion au système. Elle demeure disponible à l’utilisateur tout au long de l’utilisation du système sur une page dédiée de l’application, accessible via un lien « Protection des données ».

Le présent document comporte une Proposition de mention d’information individuelle aux utilisateurs du système. Le Client est responsable des adaptations et de la validation de cette mention, ainsi que de sa diffusion directe à ses utilisateurs.

Information au Registre des traitements du Client

En application de l’article 30 du Règlement européen, le Client doit tenir un Registre des activités de traitement effectuées sous sa responsabilité.

Le présent document comporte une Proposition de fiche à porter au Registre des traitements du Client. Le Client est responsable des adaptations et de la validation de cette proposition.

Autres mécanismes propres à assurer la conformité des opérations de traitement au Règlement européen et à protéger les données à caractère personnel

Néant.

Collaboration entre les parties

3.1. Interlocuteurs

Afin de faciliter la collaboration entre les Parties sur le sujet de la protection des données à caractère personnel, les Parties désignent les interlocuteurs suivants :

Nom

Fonction

Coordonnées

Pour le Client

Le représentant indiqué dans le Contrat avec PYSAE

Voir contrat avec PYSAE

Voir contrat avec PYSAE

Pour l'Editeur

Nicolas JAULIN

Directeur

+33 1 84 80 07 49

3.2. Participation à la gestion des demandes d'exercice de droits des personnes

Conformément à l'article 28 3 e) du Règlement, l'Editeur aide dans la mesure du possible le Client à s'acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d'exercer leurs droits prévus au chapitre III.

Si une personne concernée saisit directement l'Editeur, ce dernier transmet sous 24h ouvrées la demande à l’interlocuteur désigné du Client et en informe la personne concernée par courrier papier ou électronique, selon le type de demande, au moyen du courrier-type défini en pièce complémentaire, modifié le cas échéant par les Instructions du Client.

Si la CNIL saisit directement l'Editeur d’une demande relative à une personne concernée, l'Editeur en informe immédiatement l’interlocuteur désigné du Client et lui transmet tous les éléments de la demande.

Il est interdit à l'Editeur de communiquer directement avec la CNIL sur ces sujets, sauf Instruction écrite contraire du Client dans des cas d’espèce spécifiques.

Il est interdit à l'Editeur de constituer un fichier de suivi de telles demandes ou de conserver des pièces relatives à ces demandes.

L'Editeur conserve un journal écrit des dates de réception et de transmission des demandes, ainsi que de leur type, sans que ce journal ne comporte de données à caractère personnel telles que les noms ou coordonnées des personnes concernées.

La mise en œuvre de cette mesure ne donne pas lieu à facturation de la part de l'Editeur, dans la limite de 10 saisines par an.

Participation à la gestion des violations de sécurité

Si le Client découvre une violation de données telle que définie par l’article 4 12) du Règlement, l'Editeur apporte toute son assistance au Client pour l’analyse et la résolution de la violation, conformément aux articles 28 3. f) et 33 2 du Règlement.

Si l'Editeur découvre une telle violation de données, il en informe l’interlocuteur désigné du Client au plus tôt, et au maximum sous 24 heures à partir de la constatation de la violation.

Si l'Editeur constate une telle violation de données dans le cadre d’un contrat avec un autre Client, l'Editeur conduit une analyse de la sécurité du système dans le cadre du contrat avec le Client.

Il est interdit à l'Editeur de notifier directement à la CNIL des violations de sécurité, sauf Instruction écrite contraire du Client dans des cas d’espèce spécifiques.

La mise en œuvre de cette mesure ne donne pas lieu à facturation de la part de l'Editeur, quelle que soit la Partie découvrant la violation.

Réalisation d’audits

Conformément à l’article 28 3. h) du Règlement, l'Editeur met à la disposition du Client toutes les informations nécessaires pour apporter la preuve du respect des obligations prévues par le Règlement et la présente Annexe au Contrat, et pour permettre la réalisation d'audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits.

Sauf urgence, le Client peut procéder ou faire procéder à de tels audits en en prévenant l'Editeur au moins 7 jours à l’avance. Le Client informe l'Editeur de l’identité des auditeurs, du périmètre et des conditions de l’audit. L'Editeur peut formuler des remarques sur ces points.

Le Client transmet les résultats de l’audit à l'Editeur.

Le Client peut réaliser ou faire réaliser un audit par l'Editeur. Les conditions sont à définir avec l'Editeur.

Contrôle CNIL

En cas de contact, contrôle, sanction de la CNIL concernant l’une des Parties, cette dernière évalue sans délai la possibilité d’une implication de l’autre Partie et le cas échéant lui transmet tous éléments utiles.

Les Parties se coordonnent avant toute réponse sur un sujet concernant les deux Parties.

Pièces complémentaires

Proposition de mention d’information individuelle aux utilisateurs du système

(Cette proposition de mention peut être utilisée sur les documents papier remis aux utilisateurs lors de leur formation au système, lors de la remise d’un terminal individuel, et/ou être affichée à l’utilisateur à la première connexion au système. Elle demeure disponible à l’utilisateur tout au long de l’utilisation du système sur une page dédiée de l’application, accessible via un lien « Protection des données ».)

En application de l’article 12 du Règlement européen de protection des données, la société XXXXXXXX, responsable de traitement, porte à la connaissance des utilisateurs l’existence d’un traitement décidé en application de l’intérêt légitime de la Société à une saine gestion, destiné à l’aide à l’exploitation et à l’information des voyageurs, à l’exclusion de tout suivi individuel ou profilage des conducteurs ou des responsables d’exploitation. Les données collectées portent sur le terminal utilisé et l’utilisateur associé, la ligne concernée, la position théorique et réelle du véhicule, l’historique des échanges avec les conducteurs et des accusés de réception associés. Ces données sont conservées pendant 13 mois. Elles ne sont traitées que par un nombre réduit de personnes à la Direction de la Société, et peuvent être transmises à des autorités légalement habilitées. Les données sont exclusivement traitées sur le territoire de l’Union européenne.

Vous disposez d’un droit d’accès, de rectification, d’effacement de vos données ou de limitation du traitement que vous pouvez exercer auprès du Délégué à la protection des données de la Région des Hauts-de-France. Si après l’avoir contacté, vous estimez que vos droits à la protection de vos données ne sont pas respectés ou que le traitement n’est pas conforme aux règles de protection des données, vous pouvez adresser une réclamation auprès de la CNIL.

Proposition de fiche à porter au Registre des traitements du Client

(Cette proposition de fiche au Registre des activités de traitement prévu par l’article 30 du Règlement peut être reprise, ou adaptée, par la Direction du Client en charge de décrire le traitement, ou par le DPO du client)

Responsable de traitement

Nom et adresse du client

Finalités

Aide à l’exploitation et information des voyageurs, à l’exclusion de tout suivi individuel ou profilage des conducteurs ou des responsables d’exploitation

Catégories de personnes concernées

Conducteurs, Responsables d’exploitation

Catégories de données traitées

Pour les conducteurs :

- terminal utilisé et utilisateur associé,

- ligne concernée,

- position théorique et réelle du véhicule,

- historique des échanges avec les conducteurs et des accusés de réception associés.

Pour les responsables d’exploitation : nom, prénom, identifiants de connexion, mot de passe chiffré, date de création du compte, date et adresse IP de la dernière connexion, historique des actions réalisées dans l’application.

Destinataires

Nom et adresse du client

Transfert de données hors de l’Union européenne

Pas de transfert

Délais pour l’effacement des données

Pour les données relatives aux trajets, aux journaux d’exploitation : 13 mois glissants.

Pour les données relatives aux utilisateurs : suppression immédiate à la suppression du profil d’un utilisateur

Description générale des mesures de sécurité techniques et organisationnelles

Le sous-traitant concessionnaire met en œuvre un ensemble de mesures, validées par le Responsable de la sécurité des systèmes d’information (RSSI) de la Région comme étant conforme à la Politique de Sécurité des Systèmes d’Information (PSSI). La bonne application de ces mesures est contrôlable.

Avez-vous trouvé la réponse à votre question ?