Accord de traitement des données (ATD)
État : juin 2026
Informations sur l’intégration aux contrats
Veuillez noter : Le présent Accord de traitement des données (« ATD ») constitue une partie intégrante du contrat principal (par exemple, contrat de logiciel en tant que service, conditions de service ou commande individuelle) conclu entre syniotec GmbH (ci-après dénommé le « Sous-traitant ») et la partie contractante cliente respective (ci-après dénommée le « Responsable du traitement »).
En concluant le contrat principal ou en utilisant nos services de logiciels et de télématique, cet ATD est légalement incorporé par référence. Une signature séparée n’est pas requise. Les détails spécifiques concernant l’identité du Responsable du traitement et les coordonnées précises sont dérivés du contrat principal respectif.
Préambule
Le Sous-traitant fournit des services au Responsable du traitement sur une base contractuelle dans les domaines de la fourniture de logiciels, de la personnalisation, de la maintenance ou de services similaires. Lorsqu’il en est convenu avec le Responsable du traitement, le Sous-traitant fournit en outre des services dans le domaine du traitement et de l’analyse des données en rapport avec les systèmes télématiques distribués par le Sous-traitant, lesquels sont intégrés dans les machines de construction, les équipements ou d’autres véhicules et installations utilisés par le Responsable du traitement.
Une partie de l’exécution du contrat respectif implique le traitement de données à caractère personnel par le Sous-traitant en tant que sous-traitant au sens de l’art. 4(8) du RGPD pour le compte du Responsable du traitement en tant que responsable du traitement au sens de l’art. 4(7) du RGPD. En particulier, l’art. 28 du RGPD énonce des exigences spécifiques pour un tel traitement de données, afin d’assurer la conformité desquelles le présent Accord est établi.
1. Champ d’application
1.1 Les dispositions suivantes s’appliquent à tous les services de traitement de données au sens de l’art. 28 du RGPD fournis par le Sous-traitant au Responsable du traitement.
1.2 Cet ATD précise les obligations de protection des données des parties contractantes découlant de l’accord sous-jacent (ci-après le « Contrat principal »).
1.3 Partout où le terme « traitement de données » ou « traitement » est utilisé dans le présent Accord, il désigne généralement l’utilisation de données à caractère personnel conformément à l’art. 4(2) du RGPD. L’utilisation de données à caractère personnel comprend, en particulier, la collecte, l’enregistrement, la transmission, le verrouillage, l’effacement, l’anonymisation, la pseudonymisation, le chiffrement ou toute autre utilisation de données. Il est fait référence aux définitions complémentaires de l’art. 4 du RGPD.
2. Objet et durée du traitement
2.1 Le Sous-traitant ne traitera les données à caractère personnel en rapport avec le Contrat principal que pour le compte et conformément aux instructions du Responsable du traitement.
2.2 L’objet de la commande est la fourniture d’un logiciel pour la disposition, le suivi, la relocalisation et la facturation des équipements utilisés par le Responsable du traitement, tels que les machines de construction, conformément au Contrat principal. Lorsqu’il est mandaté, l’objet comprend également la collecte et la transmission de données télématiques par les unités télématiques du Sous-traitant ainsi que la préparation et le traitement de ces données pour le compte du Responsable du traitement.
2.3 La durée du présent Accord correspond à la durée du Contrat principal.
3. Étendue, nature et finalité de la collecte, du traitement ou de l’utilisation des données
3.1 L’étendue, la nature et la finalité de la collecte, du traitement et/ou de l’utilisation des données à caractère personnel par le Sous-traitant sont définies dans le Contrat principal. Cela comprend, entre autres, les activités et finalités suivantes pour les solutions logicielles « Ram » & « SAM » (ci-après le « Logiciel ») utilisées par le Responsable du traitement (sous réserve d’une mise en service individuelle le cas échéant) :
- 3.1.1 Fourniture du Logiciel via un accès à distance basé sur le cloud (SaaS).
- 3.1.2 Conseil concernant le déploiement du Logiciel.
- 3.1.3 Mise en œuvre d’ajustements et d’extensions du Logiciel selon les spécifications du Responsable du traitement.
- 3.1.4 Migration initiale des données à partir des systèmes tiers du Responsable du traitement.
- 3.1.5 Exécution de sessions de formation.
- 3.1.6 Maintenance et administration du Logiciel.
- 3.1.7 Utilisation des données à caractère personnel des employés du Responsable du traitement ou d’autres utilisateurs stockées dans le Logiciel conformément à la « Politique de confidentialité télématique » distincte, disponible auprès du Sous-traitant à tout moment sur demande.
- 3.1.8 Collecte, transmission et traitement des données générées et capturées par les unités télématiques du Sous-traitant déployées sur le site du Responsable du traitement, conformément à la « Politique de confidentialité télématique » distincte, disponible auprès du Sous-traitant à tout moment sur demande.
4. Catégories de personnes concernées
4.1 Les catégories de personnes concernées par le traitement des données à caractère personnel dans le cadre du contrat sous-jacent comprennent :
- 4.1.1 Fournisseurs / Sous-traitants / Prestataires de services / Partenaires de coopération du Responsable du traitement.
- 4.1.2 Utilisateurs du système.
- 4.1.3 Employés du Responsable du traitement ou autres personnes agissant pour ou au nom du Responsable du traitement qui utilisent les machines et équipements gérés via le Logiciel.
- 4.1.4 Employés du Responsable du traitement ou autres personnes agissant pour ou au nom du Responsable du traitement dont les données à caractère personnel sont saisies dans le Logiciel par le Responsable du traitement.
5. Types de données à caractère personnel
5.1 Selon l’étendue de l’utilisation et les saisies effectuées par le Responsable du traitement, les données/catégories de données suivantes peuvent généralement faire l’objet d’un traitement :
- 5.1.1 Données de base/de contact des employés / utilisateurs des machines et équipements : Nom, date de naissance, nationalité, contact d’urgence (nom, prénom, numéro de téléphone), adresse professionnelle, e-mail/téléphone professionnel, poste professionnel, véhicule de fonction, qualifications liées au chantier, certificats, permis de conduire, photographies (voir la « Politique de confidentialité télématique » distincte).
- 5.1.2 Données contractuelles
- 5.1.3 Données télématiques des machines et équipements (voir la « Politique de confidentialité télématique » distincte).
- 5.1.4 Données de localisation/suivi des machines et équipements (voir la « Politique de confidentialité télématique » distincte).
6. Droits et obligations du Responsable du traitement
6.1 Le Responsable du traitement est seul responsable de l’évaluation de la licéité de la collecte, du traitement et de l’utilisation des données, ainsi que de la sauvegarde des droits des personnes concernées, et est donc le « Responsable du traitement » au sens de l’art. 4(7) du RGPD.
6.2 Le Responsable du traitement est en droit d’émettre des instructions concernant la nature, l’étendue et les procédures de traitement des données. Les instructions peuvent être données et transmises par le Responsable du traitement par écrit ou sous format électronique (forme textuelle). Les instructions orales doivent être confirmées par écrit ou sous forme textuelle sans délai.
6.3 Dans la mesure où le Responsable du traitement le juge nécessaire, des personnes habilitées à donner des instructions peuvent être désignées. Tout changement concernant les personnes autorisées doit être communiqué au Sous-traitant sous forme textuelle.
6.4 Le Responsable du traitement doit informer immédiatement le Sous-traitant si des erreurs ou des irrégularités sont détectées en rapport avec le traitement des données à caractère personnel par le Sous-traitant.
6.5 Conformément aux dispositions de la section 8, le Responsable du traitement est en droit de vérifier le respect des mesures techniques et organisationnelles prises par le Sous-traitant avant le début du traitement des données et régulièrement par la suite. Tous les frais encourus en raison d’un audit sont à la charge du Responsable du traitement.
7. Obligations du Sous-traitant
7.1 Traitement des données : Le Sous-traitant est tenu de traiter les données à caractère personnel exclusivement dans le cadre des accords conclus et conformément aux instructions du Responsable du traitement. Tout traitement de données s’en écartant est interdit. Aucune copie ou duplicata ne peut être créé, sauf si la loi ou le Contrat principal l’exige.
7.2 Assistance pour les demandes / requêtes : Compte tenu de la nature du traitement, le Sous-traitant doit aider le Responsable du traitement, dans la mesure du possible, par des mesures techniques et organisationnelles appropriées, à s’acquitter de son obligation de répondre aux demandes d’exercice des droits des personnes concernées prévus au chapitre III du RGPD.
7.3 Rectification, effacement et limitation du traitement : Le Sous-traitant doit rectifier, effacer ou limiter le traitement des données à caractère personnel sur instruction du Responsable du traitement. Si une personne concernée contacte directement le Sous-traitant, celui-ci doit transmettre cette demande au Responsable du traitement sans délai.
7.4 Obligations d’audit : Le Sous-traitant s’engage à s’assurer, par des contrôles appropriés, que le traitement est effectué exclusivement en conformité avec le présent Accord et les instructions. Le Sous-traitant confirme qu’il a nommé un délégué à la protection des données lorsque la loi l’exige.
7.5 Obligations d’information : Le Sous-traitant doit immédiatement alerter le Responsable du traitement si, à son avis, une instruction émise par ce dernier viole des dispositions légales. Le Sous-traitant doit aider le Responsable du traitement à assurer le respect des obligations découlant des articles 32 à 36 du RGPD.
7.6 Lieu de traitement des données : La collecte, le traitement et l’utilisation des données du Responsable du traitement ont lieu en Allemagne, dans un autre État membre de l’UE ou dans un État contractant de l’EEE. Tout transfert vers un pays tiers nécessite le consentement préalable du Responsable du traitement et ne peut avoir lieu que si les exigences de l’art. 44 et suivants du RGPD sont satisfaites.
7.7 Effacement lors de la résiliation : À la résiliation du contrat, le Sous-traitant est tenu de restituer toutes les données à caractère personnel en sa possession au Responsable du traitement ou de les effacer de manière conforme et sécurisée selon les instructions du Responsable du traitement.
8. Audits de protection des données
8.1 Le Sous-traitant accorde au Responsable du traitement le droit de vérifier le respect des réglementations sur la protection des données dans une mesure appropriée pendant les heures normales d’ouverture. Le Sous-traitant peut soumettre les inspections à un préavis raisonnable et à la signature d’un accord de confidentialité concernant les données d’autres clients.
8.2 Le Sous-traitant doit assister le Responsable du traitement dans la réalisation des audits. Tous les frais encourus en raison d’un audit sont à la charge du Responsable du traitement.
8.3 Le Sous-traitant doit tolérer toute mesure de contrôle prise par l’autorité de contrôle de la protection des données compétente et en informer immédiatement le Responsable du traitement.
9. Relations de sous-traitance
9.1 Le recours à des sous-traitants en tant que sous-traitants ultérieurs est autorisé. Le Sous-traitant fait actuellement appel aux sous-traitants énumérés à l’Annexe 1 du présent Accord.
9.2 Avant d’engager ou de remplacer des sous-traitants, le Sous-traitant est tenu d’en informer le Responsable du traitement par écrit (forme textuelle / e-mail / notification au sein de la plateforme suffit). Le Responsable du traitement a le droit de s’y opposer dans un délai de quatorze (14) jours à compter de la réception de l’information, sur la base de motifs objectifs.
9.3 Le recours à des sous-traitants fournissant des services purement accessoires pour soutenir l’exécution (par exemple, services postaux, de transport, de coursier ou de nettoyage) ne nécessite pas de consentement.
9.4 Le contrat de sous-traitance doit prévoir un niveau de protection adéquat comparable à celui du présent contrat.
10. Secret des données / Confidentialité
10.1 Le Sous-traitant est tenu au secret des données et à la confidentialité lors du traitement des données pour le compte du Responsable du traitement.
10.2 Le Sous-traitant s’engage à ne déployer que des employés qui ont été liés par le secret des données et qui sont dûment familiarisés avec les exigences de protection des données.
11. Mesures techniques et organisationnelles (MTO)
11.1 Les mesures techniques et organisationnelles décrites à l’Annexe 2 sont établies comme contraignantes.
11.2 Les mesures techniques et organisationnelles peuvent être adaptées aux évolutions techniques au cours de la relation contractuelle, à condition que le niveau de sécurité ne soit pas réduit.
11.3 Le Sous-traitant doit informer immédiatement le Responsable du traitement de tout dysfonctionnement, violation des dispositions relatives à la protection des données ou suspicion de violation de données (critique au regard des obligations de notification du Responsable du traitement en vertu des art. 33, 34 du RGPD).
12. Dispositions finales
12.1 En cas de conflit entre les dispositions du présent Accord et celles du Contrat principal, les dispositions du présent Accord prévaudront.
12.2 Le présent Accord est soumis au droit allemand. Le tribunal compétent est Brême, Allemagne.
ANNEXE 1 – SOUS-TRAITANTS
Le Sous-traitant utilise les sous-traitants ultérieurs suivants au sens de l’art. 28(2) du RGPD pour fournir les services convenus par contrat :
| Sous-traitant ultérieur | Service / Finalité | Siège social | Lieu / Région de traitement |
| Amazon Web Services EMEA SARL / Amazon Web Services, Inc. | Hébergement cloud, infrastructure, exploitation de centres de données | Luxembourg / États-Unis | Exclusivement au sein de l’Union européenne (par ex., région AWS Francfort-sur-le-Main, Allemagne) |
| MongoDB, Inc. | Hébergement et gestion de bases de données (MongoDB Atlas) | États-Unis | Au sein de régions de centres de données sélectionnées dans l’Union européenne |
Note sur les transferts vers des pays tiers : Dans la mesure où des sous-traitants ultérieurs basés en dehors de l’UE/EEE sont engagés, tout transfert de données à caractère personnel s’effectue exclusivement en conformité avec les exigences de l’art. 44 et suivants du RGPD (notamment via les clauses contractuelles types de l’UE et des MTO supplémentaires).
ANNEXE 2 – MESURES TECHNIQUES ET ORGANISATIONNELLES (MTO)
Le Sous-traitant assure un niveau de sécurité approprié au risque grâce aux mesures suivantes :
1. Contrôle de l’accès physique (Zutrittskontrolle) :
- Systèmes de verrouillage manuels et électroniques, serrures de sécurité, politiques de gestion des clés/transpondeurs.
- Systèmes d’alarme, agents de sécurité, enregistrement des visiteurs à la réception, badges de visiteur obligatoires, journalisation des visiteurs, barrières d’accès biométriques.
2. Contrôle de l’accès au système (Zugangskontrolle) :
- Gestion et régulation des droits d’utilisateur, identification/authentification via nom d’utilisateur/mot de passe.
- Déploiement de pare-feu clients, pare-feu serveurs (DMZ) et logiciels antivirus/logiciels espions régulièrement mis à jour.
- Technologies VPN standard, supports de données chiffrés, verrouillage automatique des postes de travail, segmentation logique du réseau.
3. Contrôle de l’accès aux données (Zugriffskontrolle) :
- Concepts d’autorisation basés sur les rôles, minimisation des comptes administrateurs.
- Politiques de mots de passe strictes (exigences de longueur, intervalles de rotation obligatoires).
- Journalisation des accès au système et des tentatives d’abus, autorisations d’accès basées sur PKI, intégration LDAP, destruction professionnelle de documents et de supports incluant un suivi.
4. Contrôle de la transmission (Weitergabekontrolle) :
- Transmission de données via des conteneurs chiffrés, chiffrement HTTPS, tunnels VPN.
- Préparation et assainissement côté serveur des requêtes de base de données pour prévenir activement les injections SQL.
- Conteneurs de transport sécurisés et personnel soigneusement sélectionné pour le transport physique.
5. Contrôle de la saisie (Eingabekontrolle) :
- Allocation restrictive des droits de saisie, de modification et de suppression des données sur la base de concepts d’autorisation ; journalisation complète du système.
6. Contrôle de la commande (Auftragskontrolle) :
- Fourniture de preuves et de documentation concernant les MTO pour permettre au délégué à la protection des données du Responsable du traitement de vérifier la conformité.
7. Contrôle de la disponibilité (Verfügbarkeitskontrolle) :
- Alimentation sans interruption (ASI), générateurs de secours, climatisation et protection contre les surtensions dans les centres de données.
- Systèmes automatiques de détection d’incendie/fumée avec lignes d’intervention directes vers les services d’incendie locaux, systèmes d’extinction d’incendie par réduction d’oxygène.
- Connexions redondantes par fibre optique (Darkfiber).
- Concepts standardisés de sauvegarde et de récupération, sauvegardes de données physiquement séparées, tests de récupération réguliers.
8. Exigence de séparation (Trennungsgebot) :
- Architecture logique multi-entités, instances de base de données séparées selon la finalité.
- Séparation stricte des environnements de production et de test/développement.
- Réseaux Wi-Fi invités déconnectés ; instances d’accès isolées pour les clients au sein de l’infrastructure AWS.
(Si un client a besoin d’une copie PDF de cet ATD pour sa documentation juridique interne, vous pouvez fournir une version PDF pré-signée par e-mail sur demande, en vous référant à cette page en ligne).