Conditions de Traitement des Données – Quartix

1. Préambule et objet

La personne physique ou morale acceptant ces conditions (le « Client ») et Quartix Technologies plc, Quartix Limited, Quartix SAS, Quartix Inc ou toute autre entité contrôlée directement ou indirectement par Quartix Technologies plc (selon le cas, « Quartix ») ont conclu un contrat (le « Contrat ») par lequel Quartix fournit des Services au Client.

Dans le cadre de ce Contrat, le Client partagera des données avec Quartix. L’objet de ces Conditions de Traitement des Données Quartix (les « Conditions ») est d’assurer la mise en place de mécanismes appropriés pour la transmission de Données entre le Client et Quartix. Les présentes Conditions font partie du Contrat et, en cas de divergence entre le Contrat et les présentes Conditions, le Contrat prévaut.

2. Définitions et Interprétation

Dans le cadre des présentes Conditions :

Le terme « Législation sur la Protection des Données » désigne l’ensemble des lois (relevant du droit primaire ou du droit dérivé), règlements, réglementations et directives d’une Autorité de contrôle (ou son équivalent au Royaume-Uni) relatifs à la vie privée, à la confidentialité, à la sécurité, à la prospection ou à la protection des Données à caractère personnel ou des données d’entreprise (y compris les directives 95/46/CE, 2002/58/CE et 97/66/CE), la loi britannique Data Protection Act 2018, le règlement britannique Privacy and Electronic Communications (EC Directive) Regulations 2003 (512003/2426), la loi britannique Regulation of Investigatory Powers Act 2000, la loi britannique Investigatory Powers Act 2016, le règlement britannique Telecommunications (Lawful Business Practice) (Interception of Communications) Regulations 2000 (SI 2000/2699) et le RGPD.

Le terme « Données » désigne toutes les données visées par la Législation sur la Protection des Données, y compris, mais sans s’y limiter, les données à caractère personnel et les données sensibles telles que définies par le RGPD.

Le terme « RGPD » désigne le règlement général sur la protection des données ou son équivalent britannique (tel que défini dans la loi britannique Data Protection Act de 2018), selon le cas.

Le terme « Services » désigne les services fournis par le Fournisseur dans le cadre du Contrat.

Le terme « Responsable du traitement » a la signification qui lui est donnée dans la Législation sur la Protection des Données.

Le terme « Personne concernée » a la signification qui lui est donnée dans la Législation sur la Protection des Données.

Le terme « Données à caractère personnel » a la signification qui lui est donnée dans la Législation sur la Protection des Données.

Le terme « Sous-traitant » a la signification qui lui est donnée dans la Législation sur la Protection des Données.

Le terme « Sous-traitant ultérieur » a la signification qui lui est donnée dans la Législation sur la Protection des Données. Le terme « Autorité de contrôle » a la signification qui lui est donnée dans la Législation sur la Protection des Données.

3. Traitement des Données

Le Client garantit, déclare et promet à Quartix qu’il s’appuie sur des motifs légitimes pour traiter les Données, qu’il a informé et continuera d’informer les Personnes concernées de la finalité du traitement des Données et qu’il se conformera à tout moment à ses obligations en vertu de la Législation sur la Protection des Données.

. Quartix assurera la confidentialité des Données et accepte de traiter les Données uniquement conformément à la Législation sur la Protection des Données et aux stipulations suivantes (dans la mesure où elles sont imposées par la Législation sur la Protection des Données) :

a) Quartix traitera les Données :

(i) comme indiqué dans la Note d’information sur le respect de la vie privée à l’intention des clients de Quartix https://www.quartix.com/fr-fr/declaration-de-confidentialite-clients-quartix/, qui spécifie les données qui peuvent être collectées et les finalités pour lesquelles elles peuvent être utilisées ;

(ii) uniquement d’une manière qui s’avère nécessaire à la fourniture des Services et conformément aux instructions du Client telles qu’elles figurent dans le Contrat ou sont par ailleurs convenues par écrit entre les parties ;

(iii) uniquement dans l’Espace économique européen ou au Royaume-Uni, à moins que le transfert n’ait été autorisé par le Client ou qu’il ait lieu vers un pays qui, d’après la Commission européenne ou, dans le cas d’un transfert depuis le Royaume-Uni, la Commission européenne ou une Autorité de contrôle compétente, assure à tout moment un niveau de protection adéquat conformément à la Législation sur la Protection des Données, ou que le transfert soit assorti de garanties appropriées, comme le prévoit le RGPD ;

(iv) le cas échéant, conformément aux clauses contractuelles types (Sous-traitants) approuvées par la Commission européenne dans la décision C(2010)593 de la Commission ;

b) Quartix s’assurera que tous les salariés et autres représentants de Quartix accédant aux données :

(i) ont connaissance des présentes Conditions et

(ii) ont reçu une formation sur la Législation sur la Protection des Données et sur les bonnes pratiques en la matière et

(iii) sont liés par des obligations de confidentialité ;

c) Quartix et le Client ont convenu de mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque ;

d) le Client accorde à Quartix le droit de faire intervenir des tiers (y compris des agents et des sous-traitants ultérieurs) dans le traitement des Données. Quartix s’engage à conclure avec ces tiers des accords qui offrent un niveau de protection des données équivalent à celui spécifié dans les présentes Conditions. Quartix restera responsable envers le Client de l’exécution par ces tiers des obligations de confidentialité concernant les Données ;

e) compte tenu de la nature du traitement, Quartix adoptera les mesures techniques et organisationnelles nécessaires pour lui permettre, dans la mesure du possible, d’aider le Client à remplir son obligation de répondre aux demandes des Personnes concernées exerçant leurs droits définis au chapitre III du RGPD (droits à l’effacement, de rectification, d’accès, à la limitation, à la portabilité, d’opposition et de ne pas faire l’objet d’une décision automatisée, etc.) ;

f) Quartix fournira au Client l’assistance nécessaire pour permettre au Client de se conformer à ses obligations en vertu des articles 32 à 36 du RGPD : sécurité, notification des violations de données, communication des violations de données aux Personnes concernées, analyses d’impact relatives à la protection des données et, si nécessaire, consultation de l’ICO (ou de l’Autorité de contrôle compétente) ;

g) Quartix doit tenir un registre écrit de toutes les catégories d’activités de traitement effectuées au nom du Client, contenant toutes les informations requises par la Législation sur la Protection des Données, et mettre ce registre à la disposition de toute Autorité de contrôle compétente de l’Union européenne ou d’un État membre (et/ou son équivalent au Royaume-Uni) à la demande de l’organisme de contrôle concerné ;

h) dans la mesure où la Législation sur la Protection des Données l’exige, Quartix supprimera les Données si le Client le lui demande raisonnablement à tout moment et, dans tous les cas, à la fin du traitement conformément à la Législation sur la Protection des Données (après toute période de conservation). Lorsque le Client est un client de la solution de suivi de flotte de véhicules, il a la possibilité de définir la période de conservation des données en se connectant à l’application de suivi de flotte. Lorsque Quartix doit supprimer les Données, la suppression comprend la destruction de toutes les copies existantes (dans la mesure où la Législation sur la Protection des Données l’impose) ;

i) dans la mesure où la Législation sur la Protection des Données l’exige, Quartix mettra à la disposition du Client, si celui-ci le lui demande raisonnablement à tout moment, les informations nécessaires pour démontrer le respect des obligations définies dans les présentes Conditions et accédera à toute demande raisonnable d’audit de la part du Client, sous réserve du respect des conditions suivantes : le Client dédommagera Quartix de tous les coûts supportés pour répondre aux exigences de l’audit (y compris les coûts liés au temps de travail du personnel), l’accès à certains documents peut être restreint par Quartix lorsque ces documents sont considérés comme commercialement sensibles par Quartix (à l’entière appréciation de Quartix), aucun test de pénétration, scanner de vulnérabilité ou autre test de sécurité ne sera effectué, aucun document ou copie de document ne pourra sortir des sites de Quartix, Quartix recevra un préavis de 30 jours avant l’audit et des accords de non-divulgation seront signés par toutes les parties souhaitant effectuer l’audit (y compris toutes les parties agissant pour le compte du Client) ;

j) Quartix prendra les dispositions nécessaires pour assurer le transfert sécurisé des Données du Client à Quartix et la conservation sécurisée des Données par Quartix ;

k) Quartix préservera l’intégrité des Données, sans altération, en s’assurant que les Données peuvent être séparées de toute autre information créée ;

l) dans la mesure où la Législation sur la Protection des Données l’exige, Quartix s’engage, si le Client le demande raisonnablement, à renvoyer, modifier, transférer, copier ou supprimer sans délai toutes les Données.

4. Obligations de notification et autres

Dans la mesure où la Législation sur la Protection des Données l’exige, Quartix informera le Client : dès qu’elle aura connaissance d’un cas avéré, d’une présomption ou d’un risque de perte, de fuite ou de traitement ou de divulgation non autorisés d’une quelconque Donnée ; dès la réception d’une notification d’une Autorité de contrôle qui concerne directement ou indirectement le traitement des Données à caractère personnel du Client (et Quartix s’engage à coopérer avec cette Autorité de contrôle) ; sans délai si l’une des Données à caractère personnel du Client en possession et/ou sous le contrôle de Quartix est perdue, corrompue ou rendue inutilisable pour quelque raison que ce soit ; sans délai si Quartix a des raisons de croire qu’une action ou une instruction du Client enfreint la Législation sur la Protection des Données.

5. Résiliation

À l’expiration ou à la résiliation de ces Conditions, Quartix cessera immédiatement d’utiliser, et fera en sorte que ses agents et sous-traitants cessent d’utiliser, les Données et prendra les dispositions nécessaires pour permettre leur retour ou leur destruction (au choix du Client) en toute sécurité au moment approprié (à moins que la législation de l’Union européenne, de l’État membre et/ou du Royaume-Uni n’exige la conservation des Données à caractère personnel).

6. Droits relatifs aux Données à caractère personnel

Quartix compile les données collectées dans le cadre des Services sous forme agrégée et anonyme (les « Données agrégées ») et le Client autorise Quartix à le faire. Quartix acquiert tous les droits relatifs aux Données agrégées, dont elle est propriétaire, et cesse d’être un Sous-traitant agissant au nom du Client au moment où ces données sont compilées sous une forme anonyme. De même, Quartix n’a aucune obligation de confidentialité, de suppression, de retour ou de modification des Données agrégées ou de toute partie de celles-ci.