1) Définitions

a) « Lois sur la protection des données applicables » désigne, dans la mesure où le Vendeur fournit les Services au Client : (i) toutes les lois, règles, réglementations, directives et exigences gouvernementales fédérales, étatiques, provinciales et locales, actuellement en vigueur et au fur et à mesure de leur entrée en vigueur, relatives à la vie privée, à la confidentialité, à la sécurité, à la protection des consommateurs ou à la notification des violations qui sont applicables aux Données personnelles, y compris, mais sans s'y limiter, la Loi sur la protection des renseignements personnels et les documents électroniques et les lois provinciales essentiellement similaires, ainsi que toutes les lois fédérales ou provinciales sur la protection de la vie privée et toutes les autres lois et réglementations applicables en matière de protection des données liées aux Données personnelles.

b) « Infraction » signifie une acquisition non autorisée des données du client, y compris toute ” infraction “ de données personnelles (comme le terme ” infraction » et les termes similaires sont définis en vertu des lois sur la protection des données applicables).

c) « Responsable du traitement » : l'entité qui détermine les finalités et les moyens du traitement des données à caractère personnel.  Aux fins du présent DPA, le client est le contrôleur. 

d) « Données du Client » désigne toutes les Données à caractère personnel traitées par Continental pour le compte du Client afin de fournir les Services en vertu du Contrat.

e) « Processeur » désigne l'entité qui traite les Données à caractère personnel pour le compte du Contrôleur.  Aux fins du présent DPA, Continental est un Sous-traitant.

Tous les autres termes qui ne sont pas définis dans le présent document ont la signification qui leur est donnée dans le cadre du Contrat ou des Lois sur la protection des données applicables. 

2) Utilisation et divulgation des données

a) Continental agit uniquement en tant que sous-traitant du Client. Continental ne peut traiter les Données à caractère personnel que dans le cadre du Contrat et de la présente DPA, et conformément aux instructions du Client. Des détails supplémentaires sont présentés à l'Annexe I.

b) Sauf indication contraire dans les présentes, Continental est autorisé à utiliser et à divulguer les Données du Client uniquement aux fins de l'exécution des Services et à aucune autre fin. 

i) Sans limiter la généralité de ce qui précède, il est interdit à Continental de :

(1) de vendre ou de partager les Données relatives aux clients ;

(2) de conserver, d'utiliser ou de divulguer les Données relatives aux clients à toute fin autre que l'objectif spécifique de fournir les Services en vertu du Contrat ;

(3) conserver, utiliser ou divulguer les Données relatives aux clients en dehors de la relation commerciale directe entre le Client et Continental ; et

(4) combiner les Données relatives au Client avec des Données à caractère personnel qu'il reçoit de, ou au nom de, une ou plusieurs autres personnes, ou qu'il recueille dans le cadre de sa propre interaction avec une personne, sauf si les Lois applicables en matière de protection des données l'autorisent.

c) Continental peut utiliser des sous-traitants, des agents et des sous-traitants tiers pour traiter les Données du Client et apporter son soutien à la fourniture des Services en vertu du Contrat (collectivement, les « Sous-traitants ») à sa seule discrétion.  Le Client accorde par les présentes à Continental l'autorisation générale de sous-traiter la fourniture de services et le Traitement des Données du Client à un Sous-traitant conformément aux conditions du Contrat de service et de la présente DPA, à condition que (i) dans la mesure requise par les Lois applicables en matière de protection des données, Continental fournisse au Client une possibilité raisonnable de s'opposer à l'engagement de tout nouveau Sous-traitant pour des motifs raisonnables liés à la protection des données et (ii) ces Sous-traitants acceptent par écrit d'être liés par des conditions substantiellement similaires à celles qui s'appliquent à Continental par l'intermédiaire de la présente DPA. Dans le cas où le Client s'oppose à l'engagement d'un nouveau Sous-traitant, à la discrétion de Continental, soit (a) Continental fournira les Services sans utiliser le Sous-traitant auquel le Client s'est opposé, soit (b) Continental et le Client négocieront de bonne foi une solution à l'objection du Client. La liste des Sous-traitants de Continental figure à l'Annexe 3, telle que mise à jour de temps à autre, sous réserve de la présente Section 2(c).

d) Obligations supplémentaires de Continental

i) Continental a mis en œuvre et maintiendra des mesures de sécurité techniques et organisationnelles appropriées (« TOMS »), comme indiqué à l'Annexe 2. Continental peut modifier les TOMS à tout moment sans préavis tant qu'il maintient un niveau de sécurité comparable ou supérieur. Les mesures individuelles peuvent être remplacées par de nouvelles mesures qui servent le même objectif sans diminuer le niveau de sécurité protégeant les données à caractère personnel.  Continental déploiera des efforts commercialement raisonnables pour notifier au Client de telles modifications.

ii) Dans le cadre de l'exécution des Services, Continental sécurisera les Données du Client, y compris en : (i) se conformant aux Lois sur la protection des données applicables ; (ii) fournissant le même niveau de protection de la vie privée que celui requis par les Lois sur la protection des données applicables pour les Données du Client ; et (iii) s'assurant que chaque personne traitant les Données du Client (y compris, mais sans s'y limiter, les employés, agents et sous-traitants) est soumise à une obligation de confidentialité à l'égard de ces Données du Client ;

iii) Continental notifiera le Client s'il détermine qu'il ne peut plus respecter ses obligations en vertu des Lois sur la protection des données applicables et permettra au Client de prendre des mesures raisonnables et appropriées pour arrêter et remédier à tout Traitement non autorisé des Données du Client ;

iv) Dans la mesure requise par les Lois applicables sur la protection des données, Continental autorise et coopère à des évaluations raisonnables par le Client, son évaluateur désigné ou l'évaluateur qualifié de Continental des politiques et des mesures techniques et organisationnelles de Continental à l'appui des obligations en vertu des Lois applicables sur la protection des données en utilisant une norme ou un cadre de contrôle approprié et accepté ainsi qu'une procédure pour une telle évaluation.  Cette évaluation sera effectuée avec un préavis écrit d'au moins trente (30) jours à Continental, pas plus d'une fois au cours d'une période de douze mois, pendant les heures normales de bureau sans interférence déraisonnable avec les opérations de Continental, et selon des conditions convenues par écrit à l'avance par le Client et Continental.  Tous les rapports ou conclusions générés dans le cadre d'une telle évaluation seront considérés comme des informations confidentielles de Continental et, si l'évaluation est effectuée par l'évaluateur désigné par le client, cet évaluateur sera soumis à une obligation de confidentialité appropriée vis-à-vis de Continental.  Si Continental engage son propre évaluateur, il fournira un résumé raisonnable de l'évaluation au client si celui-ci le demande.  Continental mettra à la disposition du Client, si cela est nécessaire en vertu des Lois sur la protection des données applicables et à la demande raisonnable du Client, d'autres informations nécessaires pour démontrer le respect de ses obligations en vertu des Lois sur la protection des données applicables ;

v) Continental assistera raisonnablement le Client dans le respect de ses obligations en vertu des Lois sur la protection des données applicables.  Cette assistance comprendra :

(1) aider à remplir l'obligation du Client de répondre aux demandes de droits des personnes concernées en vertu des Lois applicables sur la protection des données (à condition, toutefois, que si une personne fait une telle demande à Continental, Continental dirige cette personne vers le Client si cela est raisonnablement possible et autorisé par la loi et ne réponde pas autrement à de telles demandes directement, à moins que le Client ne le demande) ; et

(2) fournir les informations nécessaires pour aider le Client à mener et à documenter des évaluations de la protection des données et des évaluations similaires, lorsque cela est requis par les Lois applicables en matière de protection des données.

3) Obligations de réponse aux incidents

a) Continental signale toute violation par écrit au Client sans délai déraisonnable, mais en aucun cas plus de trois (3) jours ouvrables, après avoir découvert une violation. Continental coopère à toute demande d'information raisonnable du Client et à toute enquête du Client concernant ladite violation.

b) Dans le cas où Continental subit une violation, Continental prend des mesures pour enquêter sur les effets de la violation, les atténuer et y remédier, et pour empêcher qu'une violation similaire ne se produise.

c) Dans la mesure maximale autorisée par la loi applicable, Continental ne sera pas responsable des dommages indirects, consécutifs, spéciaux, punitifs ou améliorés, exemplaires ou accessoires, ou des dommages pour perte de bénéfices ou de revenus, de clientèle, de diminution de valeur ou de revenus anticipés, découlant de ou en rapport avec une violation, indépendamment (a) du fait que ces dommages étaient raisonnablement prévisibles, (b) du fait que Continental a été informé de la possibilité de ces dommages, ou (c) de la théorie juridique ou équitable sur laquelle la réclamation est fondée.

4) Transferts de données

Afin de fournir les Services, Continental peut transférer, stocker ou traiter d'une autre manière les Données relatives aux clients en dehors de la province dans laquelle elles ont été collectées et généralement en dehors du Canada, y compris aux États-Unis et dans l'Union européenne.  Continental se conformera à toutes les lois applicables au transfert international des Données.  Continental utilise sa filiale Continental Reifen Deutschland GmbH, Vahrenwalder Str. 9, 30165 Hanovre, Allemagne ( » CRD ») en tant que Sous-traitant pour fournir les services au Client.  CRD est et traite les données du client au nom de Continental dans l'Union européenne (« UE »), et transfère ces données du client en dehors de l'UE à Continental et au client. Dans la mesure où ces transferts sont applicables sous réserve des Règles d'entreprise contraignantes de l'UE de Continental et du Règlement général sur la protection des données 2016/679 de l'UE, Continental, au nom de et avec l'autorisation de CRD, entre avec le Client dans le Module quatre : Transfert Processeur vers Contrôleur, des Clauses Contractuelles Types de l'UE, telles que définies dans la Décision 2021/914 de la Commission européenne du 4 juin 2021 (disponible sur https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en), telles que modifiées par la Commission européenne de temps à autre ( » CCN ») par référence.  Les CCAP s'appliquent comme suit :

a) La clause 7 (optionnelle - clause d'amarrage) ne s'applique pas et est réputée exclue ;

b) aux fins de la clause 11 (recours), la formulation facultative n'est pas incorporée et ne s'applique pas aux parties ;

c) les Clauses 14 et 15 ne seront pas incorporées, à condition que Continental ne combine pas les Données à caractère personnel reçues du Client avec d'autres Données à caractère personnel qu'il a collectées dans l'UE avant de retransférer les Données à caractère personnel au Client ;

d) aux fins de la Clause 17 (Droit applicable), les Parties conviennent que les CSC seront régis par le droit tel que défini dans l'Accord ;

e) aux fins de la clause 18 (Choix du for et de la juridiction), les parties conviennent que les litiges découlant des CSC seront résolus par les tribunaux tels que définis dans l'accord ;

Les instructions du client pour le traitement des données à caractère personnel sont les suivantes :

Comme indiqué dans l'Accord, y compris le DPA.

La nature et la finalité du traitement effectué par Continental sont les suivantes: :

L'objet du traitement des données contractuelles ressort de l'Accord conclu entre les Parties et de sa description de service, si elle est disponible.

Le(s) type(s) et les catégories de données à caractère personnel faisant l'objet d'un traitement par Continental sont les suivants :

Catégories de personnes concernées dont les données à caractère personnel sont traitées :

Clients, employés et sous-traitants indépendants du Client, clients, Utilisateurs de services, Participants aux communications, Fournisseurs et/ou Prestataires de services (et contacts individuels chez ces fournisseurs tiers), Employés, Personnes de contact pour les entreprises, Partenaires commerciaux, et Autres personnes concernées spécifiées par le Client (par exemple, conducteurs, personnel de service, gestionnaires de flotte/d'atelier).

 Catégories de données à caractère personnel traitées

Données générales / coordonnées privées

☑ Noms Profils personnels                                        ☐ Image               

☐ Données d'adresses privées                                  ☐ Date de naissance

☐ Données relatives à la carte d'identité (par exemple, passeport, sécurité sociale, permis de conduire)

☑ Autre (veuillez préciser) :

- Données de base du véhicule (plaque d'immatriculation, VIN, numéro d'identification du véhicule du client, nom du dépôt) ;

- Données relatives à l'heure et à l'emplacement (GPS, emplacement et température, données relatives à l'itinéraire et à la route, distance, horodatage) ;

- Données relatives aux pneus et à la dynamique du véhicule (données télémétriques [par exemple, vitesse, accélération], données relatives aux pneus [par exemple, pression, température, kilométrage, profondeur de la bande de roulement, vitesse de lacet], heures de travail et temps d'immobilisation, consommation d'énergie et de carburant, charge, forces exercées sur les pneus) ;

- Données relatives à l'utilisateur et à l'utilisation (identifiant de l'utilisateur, informations de connexion, adresse IP, comportement d'utilisation) ;

- Données de contact (nom, client, téléphone, courriel)

Données relatives à l'utilisation des services et des technologies de l'information

☑ Identifiants des appareils                                ☑ Données d'utilisation et de connexion

☐ Données image/vidéo                                     ☑ Contenu des données/messages de télécommunication

☐ Audio / données vocales                                ☑ Données d'identification

☑ Données d'accès                                              ☑ Authorisation

☐ Données Méta

 

Données personnelles sensibles et catégories particulières de données personnelles

☐ Origine raciale ou ethnique                                    ☐ Croyances religieuses ou philosophiques

☐ Santé physique ou mentale                                   ☐ Opinions politiques

☐ Données biométriques                                           ☐ Données génétiques

☐ Adhésion syndicale                                                 ☐ Vie sexuelle/orientation sexuelle

☐ Infractions pénales, condamnations ou jugements

☑ Géolocalisation spécifique    

☐ Autre, veuillez préciser : ________________________________________________

Les données sensibles traitées (le cas échéant) et les restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, comme par exemple une limitation stricte de la finalité, des restrictions d'accès (y compris un accès réservé au personnel ayant suivi une formation spécialisée), la tenue d'un registre d'accès aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires.

Durée du traitement par Continental :

Pour la durée de l'Accord et toute période de résiliation/transition ultérieure, comme indiqué dans l'Accord.

Fréquence du transfert par Continental :

Le transfert et le traitement auront lieu de manière continue pendant toute la durée de l'Accord.

Aux fins des CSC uniquement :

Exportateur(s) de données

Nom (dénomination légale complète) : Continental Reifen Deutschland GmbH

Adresse : Vahrenwalderstrasse 9, 30165 Hannover, Allemagne Vahrenwalderstrasse 9, 30165 Hannover, Allemagne

Nom de la personne de contact, fonction/titre du poste et coordonnées (y compris l'adresse électronique) : À METTRE À JOUR

Activités relatives aux données transférées en vertu des présentes clauses : Comme indiqué dans l'accord

Rôle (responsable du traitement/traitement) : Responsable du traitement (en tant que sous-traitant de Continental)

Importateur(s) de données

Nom (nom légal complet) : Client, comme indiqué dans l'Accord

Adresse : Comme indiqué dans l'Accord

Nom, fonction et coordonnées de la personne de contact (y compris l'adresse électronique) : Comme indiqué dans l'accord

Activités en rapport avec les données transférées en vertu des présentes clauses : Comme indiqué dans l'accord

Rôle (responsable du traitement/traitement) : Responsable du traitement

1. Physical Access Control

Safeguarding admission/access to processing systems with which processing is carried out against unauthorized parties (e.g. through physical property protection: fence, gatekeeper, personnel barrier, turnstile, door with card reader, camera surveillance, organizational property security, regulation on access authorizations, access registration)

The following technical and organizational measures have been implemented by the Continental for the Processing of Personal Data described in the Agreement:

☑   Alarm system
☑   Automatic access control system
☑   Locking system with code lock
☐   Biometric access barriers
☑   Light barriers/motion sensors
☑   Manual locking system including key regulation (key book, key issue)
☑   Visitor logging
☑   Careful selection of security staff
☑   Chip cards/transponder locking systems
☑   Video monitoring of access doors
☑   Safety locks
☑   Personnel screening by gatekeeper/reception
☑   Careful selection of cleaning staff
☑   Obligation to wear employee/guest ID cards
☐   Other:

2. Data Access Control/User Control

Prevention of third parties using automatic processing systems with equipment for data transmission (authentication with user and password).

The following technical and organizational measures have been implemented by the Continental for the Processing of Personal Data described in the Agreement:

☑   Authentication with user name/password (passwords assigned based on the valid password regulations)
☑   Usage of intrusion detection systems
☑   Usage of anti-virus software
☑   Usage of a software firewall
☑   Creation of user profiles
☑   Assignment of user profiles to IT systems
☑   Usage of VPN technology
☑   Encryption of mobile data storage media
☐   Encryption of data storage media in laptops
☐   Usage of central smartphone administration software (e.g. for the external erasure of data)
☐   Other:

3. Data Usage Control/Data Storage Media Control/Memory Control

Prevention of unauthorized reading, copying, changing or erasure of data storage media (data storage media control), prevention of unauthorized entry of personal data and unauthorized access to it, changing and deleting saved personal data (memory control). Ensuring that the parties authorized to use an automated processing system only have access to the personal data appropriate for their access authorization (e.g. through authorization concepts, passwords, regulations for leaving the company and for moving employees to other departments.) (data usage control).

The following technical and organizational measures have been implemented by the Continental for the Processing of Personal Data described in the Agreement:

☐   Roles and authorizations based on a “need to know principle”
☑   Number of administrators reduced to only the “essentials”
☑   Logging of access to applications, in particular the entry, change and erasure of data
☐   Physical erasure of data storage media before reuse
☐   Use of shredders or service providers
☑   Administration of rights by defined system administrators
☑   Password guidelines, incl. password length and changing passwords
☑   Secure storage of data storage media
☐   Proper destruction of data storage media (DIN 66399)
☐   Logging of destruction
☐   Other:

4. Transfer Control/Transportation Control

Ensuring that the confidentiality and integrity of data is protected during the transfer of personal data and the transportation of data storage media (e.g. through powerful encryption of data transmissions, closed envelopes used in mailings, encrypted saving on data storage media).

The following technical and organizational measures have been implemented by the Continental for the Processing of Personal Data described in Agreement:

☑   Establishment of dedicated lines or VPN tunnels
☑   Encrypted data transmission on the Internet (such as HTTPS, SFTP, etc.)
☐   E-mail encryption
☐   Documentation of the recipients of data and time frames of planned transmission or agreed erasure deadlines
☐   In case of physical transportation: careful selection of transportation personnel and vehicles
☐   Transmission of data in an anonymized or pseudonymized form
☐   In case of physical transportation: secure containers/packaging
☐   Other:

5. Entry Control/Transmission Control

Ensuring that it is possible to subsequently review and establish which personal data has been entered or changed at what time and by whom in automated processing systems, for instance through logging (entry control).

Depending on the system, ensuring that it is possible to review and determine to which offices/locations personal data has been transmitted or provided using equipment for data transmission, or to which offices/locations it could be transmitted (transmission control).

The following technical and organizational measures have been implemented by the Continental for the Processing of Personal Data described in the Agreement:

☐   Logging of the entry, change and erasure of data
☐   Traceability of the entry, change and erasure of data through unique user names (not user groups)
☑   Assignment of rights for the entry, change and erasure of data based on an authorization concept
☑   Creating an overview showing which data can be entered, changed and deleted with which applications
☐   Maintaining forms from which data is taken over in automated processing
☐   Other:

6. Availability Control/Restoration/Reliability/Data Integrity

Ensuring that systems used can be restored in case of a disruption (restorability). Ensuring that all system functions are available and that any malfunctions are reported (reliability). Ensuring that saved personal data cannot be damaged through system malfunctions (data integrity). Ensuring that personal data is protected from accidental destruction or loss (availability control), e.g. by implementing appropriate back-up and disaster recovery concepts.

The following technical and organizational measures have been implemented by the Continental for the Processing of Personal Data described in the Agreement:

☑   Uninterruptible Power Supply (UPS)
☑   Devices for monitoring temperature and moisture in server rooms
☑   Fire and smoke detector systems
☑   Alarms for unauthorized access to server rooms
☑   Tests of data restorability
☑   Storing data back-ups in a separate and secure location
☑   In flood areas the server is located above the possible flood level
☑   Air conditioning units in server rooms
☑   Protected outlet strips in server rooms
☑   Fire extinguishers in server rooms
☑   Creating a back-up and recovery concept
☑   Creating an emergency plan
☐   Other:

7. Separation Control/Separability

Ensuring that data processed for different purposes can be processed separately (for instance through logical separation of customer data, specialized access controls (authorization concept), separating testing and production data).

The following technical and organizational measures have been implemented by the Continental for the Processing of Personal Data described in the Agreement:

☑   Physically separated storing on separate systems or data storage media
☑   Including purpose attributions/data fields in data sets
☑   Establishing database rights
☑   Logical client separation (software-based)
☑   For pseudonymized data: separation of mapping file and storage on a separate, secured IT system
☑   Separation of production and testing systems
☐   Other: