La protection de la vie privée chez ABAX

Les données constituant l’actif le plus important d’ABAX, leur protection est notre première priorité. En lisant ces pages, vous en saurez plus sur la manière dont nous traitons les données de nos clients et dont nous assurons leur sécurité à tout moment.


Protection de la vie privée

ABAX traite les données en conformité avec le règlement général sur la protection des données (RGPD) et les instructions du client. Nous ne collectons, ne conservons ni ne traitons de données à caractère personnel au-delà de ce qui est nécessaire pour accomplir nos tâches en tant que responsable du traitement ou de sous-traitant de données.

Procédures de traitement des données

Nous utilisons des systèmes à la fois manuels et automatisés pour supprimer toutes les données inutiles et pour rendre anonymes les données. Nos procédures de sécurité, nos contrôles d’accès et nos outils protègent vos données à chaque instant.

Protection intégrée de la vie privée

Notre service se base sur les principes de protection intégrée de la vie privée et de protection de la vie privée par défaut. Les données sont protégées sans que les utilisateurs n’aient à faire quoi que ce soit. Les utilisateurs de notre service n’ont rien à faire pour assurer la sécurité de leurs données ; elles doivent être en sécurité par défaut.


Anonymisation

Anonymisation des lacs de données 

L’anonymisation des données, également appelée « effacement sécurisé des données », est un processus qui vise à protéger la vie privée de l'utilisateur. Les informations personnelles dans les ensembles de données sont cryptées ou éliminées pour assurer l’anonymat.

Les données que nous conservons chez ABAX comprennent des données de localisation. 

L’approvisionnement d’un lac de données s’effectue à partir de sauvegardes. Une anonymisation est ensuite réalisée en utilisant des scripts (lorsqu'ils ont été établis et vérifiés). Le lac de données est uniquement accessible par l’équipe de data scientists et les données sont utilisées à des fins d’analyse, par exemple pour améliorer les algorithmes sur les dispositifs de suivi. 

Le lac de données contient les informations suivantes :

  • Distance
  • Vitesse maximale
  • Début et fin du trajet
  • Heure d’enregistrement d’un trajet par nos serveurs
  • Type de trajet (professionnel ou privé)
  • Identifiant numérique pour le conducteur (aucun lien vers des données confidentielles). Utilisé pour fournir les informations suivantes :
    • Identité de la société
    • Type de compte : compte utilisateur ou compte Administrateur
    • Compte actif
    • Langue paramétrée pour le compte
    • Date de la dernière connexion
    • Date de la dernière déconnexion
    • Si l’indicateur Afficher la page d’accueil est réglé sur vrai ou faux
    • Si l’indicateur Forcer la réinitialisation du mot de passe est réglé sur vrai ou faux
    • Whether the Force password reset flag is set to true or false
    • Domicile fiscal
    • Si le compte client a des trajets
    • Si le compte client a un conducteur actif
    • Si le compte client a quitté la société
    • Si les coordonnées ont été mises à jour
  • Date de la dernière modification du compte
  • Paramètres du trajet
  • ID numérique identifiant l’unité de suivi
  • ID numérique identifiant le siège de l’entreprise
  • ID numérique identifiant le véhicule

Aucune information personnelle telle que nom, numéro de téléphone et adresse électronique n’est transférée au lac de données. 

Les positions sont rendues anonymes de manière à ce qu'il soit impossible d’identifier l’adresse d’un individu derrière un point de données ou le positionnement exact du point de données initial. Les localisations de début et de fin de trajet sont regroupées avec celles qui concernent les autres unités de suivi de manière à ce qu’aucune localisation soit commencée ou arrêtée par une seule unité de suivi et qu’aucune localisation individuelle de début et de fin ne permette de remonter à une personne identifiable.

En termes plus techniques 

Les trajets sont rendus anonymes par un système de géocodage (geohash) des positions de début et de fin. Le geohash convertit une position (paires de latitude et longitude) en un hashcode qui identifie un rectangle dans une grille recouvrant la carte du monde. La taille de la grille dépend de la longueur du geohash (voir https://fr.wikipedia.org/wiki/Geohash).

e processus d’anonymisation est itératif et commence par un geohash de valeur élevée (petits rectangles). La valeur du geohash commence par 12 (superficie de 7 cm²) et descend jusqu’à 1 (superficie de  25 009 930 km²). Si une seule carte SIM a une position à l’intérieur d’un rectangle de valeur 12, la valeur du geohash est réduite d’une unité et le processus est répété jusqu’à ce que d’autres cartes SIM aient une position ayant le même geohash ou que la valeur du geohash soit 4 ; à ce stade, la superficie de la zone représentée est de 762 km² (voir figure 1).

L’anonymisation est également utilisée lorsque les données de localisation sont vendues à des utilisateurs tiers ou partagées avec ceux-ci, auxquels cas une approche similaire est utilisée pour rendre les données anonymes.

geohashing ENG

Figure 1 – Geohash, carrés verts représentant la nouvelle position (remplace les positions rouges à l’intérieur du carré)

Traitement des données

Contrat de traitement de données 

Outre nos conditions générales et notre politique de confidentialité, tous les clients d’ABAX doivent signer un contrat de traitement de données.  

Les documents destinés à tous nos marchés sont accessibles ici : https://www.abax.com/terms-and-conditions

Sous-traitants ultérieurs chez ABAX 

Le RGPD présente deux différentes formes d’autorisation devant être obtenue auprès du responsable du traitement avant que le sous-traitant n’engage un sous-traitant ultérieur :  

  1. Avant l’autorisation spécifique d’utiliser un sous-traitant ultérieur. Cette alternative convient lorsque les tâches/services fournis par le sous-traitant au responsable du traitement ont une nature précise, c’est-à-dire que le sous-traitant ultérieur est engagé pour fournir des services précis à un client ou à un petit groupe de clients. Ceci est généralement le cas lorsque la solution apportée par le sous-traitant doit être adaptée aux besoins du responsable du traitement.
  2. Autorisation générale d’utiliser un sous-traitant ultérieur. Cette alternative convient lorsque les services fournis par le sous-traitant au responsable du traitement sont les mêmes, ou en grande partie les mêmes, pour un grand nombre de clients. Dans ces cas, le sous-traitant doit tenir le responsable du traitement informé du recours à des sous-traitants ultérieurs et de tout changement dans les sous-traitants ultérieurs utilisés avant d’engager un nouveau sous-traitant ultérieur. Le responsable du traitement a toujours le droit de s’opposer à l’utilisation de certains sous-traitants ultérieurs.

ABAX utilise l’option d’autorisation générale pour les clients qui utilisent nos services. ABAX développe et améliore continuellement ses services. Une fonctionnalité nouvelle ou améliorée peut nécessiter le recours à de nouveaux sous-traitants ultérieurs. Si ABAX devait obtenir l’approbation écrite de tous ses clients, cela rendrait impossible tout nouveau développement. 

Une liste à jour des sous-traitants ultérieurs que nous utilisons est accessible surhttps://www.abax.com/terms-and-conditions

Protection de la vie privée

Comment la protection de la vie privée est-elle gérée dans votre service ? 

Proactivité et prévention

La protection intégrée de la vie privée répond de manière proactive aux risques pour la vie privée. Ces risques doivent être évités avant qu’ils ne se réalisent et des mesures doivent être prises pour atténuer les risques potentiels avant même qu’ils apparaissent. Les pratiques insuffisantes en matière de sécurité et de protection de la vie privée doivent également être détectées et améliorées à un stade précoce, avant qu’elles ne puissent nuire.

Ceci requiert une volonté d’appliquer de manière systématique les normes de protection de la vie privée qui sont imposées par le RGPD. Des évaluations d'impact de la protection des données avant le début des opérations de traitement vont dans ce sens. Les responsabilités des responsables de traitement et des sous-traitants sont également clairement énoncées et doivent être respectées. Ceci nécessite un engagement sans faille en faveur d’une mise en œuvre correcte.

Protection de la vie privée par défaut  

Le principe de protection de la vie privée par défaut exige que les données des utilisateurs soient protégées sans que ceux-ci n’aient à faire quoi que ce soit. Les individus ne doivent pas être obligés de faire quelque chose pour assurer la sécurité de leurs données – elles doivent être en sécurité par défaut.

Ceci est prévu par les articles 25 et 32 du RGPD et les délégués à la protection des données (DPD) sont chargés d’assurer le respect de ces règles. Le RGPD comprend aussi clairement les trois éléments de base de la protection de la vie privée par défaut, à savoir :

Précision des finalités – les individus doivent être informés de ce à quoi leurs données vont être utilisées

Limitation de la collecte – la collecte des données personnelles doit être licite et transparente

Minimisation des données – il convient de collecter le moins de données possible, et uniquement aux fins de leur traitement immédiat.

Protection intégrée de la vie privée 

Lors du développement des technologies qui seront utilisées par les entreprises et les services en ligne, il convient de veiller soigneusement à les concevoir de manière à ce que la protection de la vie privée reste une partie intégrante du système.

Avant même que les systèmes atteignent les utilisateurs finaux, toutes les bonnes mesures de protection de la vie privée doivent déjà avoir été prises. Les fonctionnalités pour les utilisateurs ne doivent pas être affectées par ces mesures de protection de la vie privée et des systèmes doivent être mis en place pour que des mauvaises configurations ou erreurs potentielles ne portent pas atteinte à la vie privée. Encore une fois, ce principe est, pour l’essentiel, prévu par les articles 25 et 32 ainsi que plusieurs considérants.

Pleine fonctionnalité – Effets positifs 

L’objectif de la protection intégrée de la vie privée est de créer une situation avantageuse pour toutes les parties prenantes. L’idée est que ces mesures de protection de la vie privée apportent des bénéfices pour les entreprises comme pour les utilisateurs. Au lieu d’une situation à somme nulle qui profite uniquement aux utilisateurs au détriment des entreprises et vice versa, ces mesures de protection intégrée de la vie privée visent à créer des effets positifs nets sans présenter ces inconvénients.

Sécurité de bout en bout 

La sécurité et la confidentialité des données doivent être assurées depuis le point de collecte jusqu’à la destruction finale des données. À chaque étape du cycle de vie des données, celles-ci doivent être continuellement protégées et recensées.

Le RGPD est notamment très directif à cet égard. Ses nombreuses dispositions sur la collecte, la conservation et la destruction des données reflètent totalement l’esprit de cette règle. L’objectif est de veiller à ce qu’il n’y ait aucune faille dans la sécurité des données, la sécurité étant considérée comme une contrepartie essentielle de la confidentialité.

Ainsi, le RGPD requiert l'utilisation de plusieurs méthodes pour honorer l’obligation de responsabilité (comme la tenue de registres) et la sécurité (anonymisation, contrôles d’accès, etc.).

Visibilité et transparence 

L'élément indispensable pour la responsabilité (et le respect du RGPD) est la transparence. L’ensemble des parties prenantes, partenaires et co-traitants doivent être examinés, vérifiés et être ouverts à une vérification externe. Sans transparence ni visibilité, il n’y a aucun véritable moyen de s’assurer que les principes de protection intégrée de la vie privée ont été appliqués correctement.

Respect de la vie privée 

Le meilleur moyen d’obtenir de bons résultats lors de la mise en œuvre des fonctions de protection intégrée de la vie privée est de créer des produits en ayant à l’esprit les utilisateurs finaux. Ils doivent être conçus pour répondre aux besoins des utilisateurs et comprendre des moyens simples leur permettant de contrôler et surveiller comment leurs données sont traitées.

Comment garantir la confidentialité lors de l’introduction de nouvelles fonctions ?

Avant même de décider de mettre en œuvre une nouvelle fonction ou un nouveau produit, nous évaluons minutieusement l’aspect confidentialité. Nous demandons l’aide de notre DPD et de conseillers juridiques (cabinets juridiques) en cas de doute. En plus, nos testeurs de logiciels accordent une attention particulière à l’aspect confidentialité et tous les risques potentiels sont éliminés avant le lancement d’une nouvelle fonctionnalité sur le marché.

Assistant vie privée 

Laissez-nous gérer le travail lié au RGPD. En raison du RGPD, vos employés ont maintenant le droit de demander quelles données personnelles vous détenez à leur sujet et ils ont un « droit à l’oubli ». Certains de vos employés vous adresseront probablement des demandes en ce sens. Avez-vous le temps de prendre en charge toutes les demandes de vos employés ou voulez-vous que nous nous en chargions ? Avec l’Assistant vie privée, nous assurerons la majeure partie des échanges avec vos employés concernant la vie privée afin que vous puissiez vous concentrer sur la gestion d’une activité rentable.

L’Assistant vie privée : 
  • veille à ce que votre entreprise utilise les produits et services ABAX d’une manière qui assure votre conformité au RGPD ;
  • s’occupe des demandes des employés pour que vous puissiez vous concentrer sur vos affaires ;
  • informe vos employés d’une manière simple et conforme par des documents adaptés, spécifiques à votre activité.

Sécurité des informations

La sécurité des informations est une grande priorité d’ABAX. Voici les réponses à certaines des questions les plus courantes que nous posent nos clients sur notre site Internet, abax.com, à propos de la sécurité des informations.

Où ABAX conserve-t-elle les données de ses clients ? 

Les données des clients constituant notre actif le plus précieux, nos solutions de conservation doivent être sûres et fiables. Nous utilisons une combinaison de nos propres centres de données et de fournisseurs de cloud public. Notre principal centre de données est situé en Suède. Vous trouverez une liste de nos fournisseurs de cloud public dans notre liste régulièrement mise à jour de sous-traitants ultérieurs de données sur https://www.abax.com/terms-and-conditions

Comment ABAX crypte-t-elle nos données lorsqu’elles sont conservées ? 

Dans notre centre de données, les données sont conservées sur des disques durs à auto-cryptage afin que nos clients soient assurés que leurs données sont en sécurité chez nous.

Comment ABAX crypte-t-elle les données en transit vers ses clients ? 

Lorsque vous utilisez nos produits, soit via votre navigateur internet, soit via nos applications, toutes les communications sont cryptées par un cryptage TLS standard du secteur. La barre d’adresse de votre navigateur affichera un symbole de cadenas indiquant que votre connexion est cryptée.

Quels types de normes de sécurité sont respectées par ABAX ? 

Nous sommes conformes à la norme sur les systèmes de management de la sécurité de l’information ISO 27001. Cette norme comprend une série de contrôles permettant d’assurer que tout traitement est effectué de manière sûre, sans faire courir de risque aux données de nos clients. 

Quels sont les fournisseurs utilisés par ABAX pour transférer les données ? 

Notre matériel communique via le réseau mobile de Telenor et son réseau mondial de partenaires. De nombreux fournisseurs de services Internet (FSI) facilitent la communication entre nos clients et nos systèmes grâce à des solutions tout à fait redondantes. L’infrastructure d’ABAX est reliée à des autoroutes de l’information à plusieurs points d'échange internet clés. 

Comment ABAX assure-t-elle la sécurité de ses serveurs ? 

Pour garantir la sécurité continue de nos serveurs, nous configurons toujours notre infrastructure sur la base des normes et des bonnes pratiques du secteur. Toute l’infrastructure est tenue à jour avec les derniers correctifs de sécurité publiés par nos fournisseurs. 

Quels types de routines de sauvegarde ABAX applique-t-elle pour les données de ses clients ? 

Nous effectuons des sauvegardes régulières de toutes les précieuses données de nos clients et les conservons en lieu sûr à l’extérieur du centre. Pour vous qui êtes notre client, cela signifie que nous pouvons récupérer vos données et réduire à un minimum les pertes de données en cas de catastrophe. 

Comment ABAX sécurise-t-elles les données de ses clients dans ses réseaux ? 

Afin d’assurer la sécurité de nos serveurs, nous avons recours à la segmentation réseau, ce qui signifie que nous divisons notre réseau en segments plus petits. Ceci pour protéger notre infrastructure contre les cyberattaques.

Comment ABAX assure-t-elle le contrôle d’accès à ses serveurs et systèmes ? 

Nous utilisons une méthode de contrôle d’accès largement utilisée, appelée le principe du moindre privilège (POLP). Concrètement, cela signifie que nous limitons l’accès aux comptes dans nos systèmes, accordant uniquement l’accès minimum nécessaire à la réalisation de tâches spécifiques. Pour garantir notre adhésion aux principes POLP, nous procédons à des audits réguliers de tous les comptes et leurs droits d’accès dans le cadre de nos procédures de conformité à ISO 27001.

Mise en route

Mise en route du service : partez sur de bonnes bases 

Fixez un objectif valide pour le service 

Lorsque vous commencez à utiliser le service d’ABAX, vous devez penser à le mettre en œuvre correctement afin d’être certain de respecter les réglementations en matière de vie privée. Cela signifie que votre société doit disposer d’une base juridique licite pour traiter les données, conformément à l’article 6, points a) à f), du règlement général sur la protection des données (RGPD), qui est libellé comme suit :  

Le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :

(a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;

(b) le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci ;

(c) le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis ;

(d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique ;

(e) le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ;

(f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

Dans les différents domaines d’activité d’ABAX, certaines finalités proposées peuvent être pertinentes et utilisées pour nos clients.

FINALITÉS PROPOSÉES POUR LE SERVICE TRIPLOG D’ABAX 

Documentation pour les autorités fiscales 

ABAX Triplog est mis en place pour prouver l'utilisation professionnelle de véhicules conformément aux réglementations publiées par les autorités fiscales. Pour les véhicules commerciaux, il y aura une documentation continue sur tous les trajets achevés. Des routines seront établies afin d’assurer la conformité avec les réglementations en vigueur.

Trajets privés et professionnels séparés à des fins fiscales

ABAX Triplog est utilisé pour séparer les trajets privés des trajets professionnels à des fins fiscales. La classification des trajets est réalisée par le conducteur, l’administrateur et/ou automatiquement par le système.

Demandes des clients

Les données d’ABAX Triplog peuvent être utilisées pour répondre aux demandes et aux plaintes des clients. Ceci doit uniquement être effectué suite à une demande spécifique du client, et uniquement pour répondre à cette demande particulière.

Sécurité

ABAX Triplog peut être utilisé pour localiser un employé si l’employeur a perdu le contact et suspecte qu’un accident s’est produit.

Facturation des clients

Les données d’ABAX Triplog peuvent servir de base pour facturer les clients (durée du trajet et kilométrage).

Fiches de pointage incorrectes

ABAX Triplog peut être utilisé lorsqu’il y a une suspicion concrète de fiche de pointage incorrecte. L’employé en question doit avoir la possibilité d’être présent pendant la vérification et l’assistance d’un représentant de l’employé ou d’une autre partie doit lui être proposée.

Suivi des entretiens

Les données d’ABAX Triplog peuvent être utilisées pour suivre la périodicité d’entretien d’un véhicule. Les notifications d’entretien peuvent être envoyées par mail ou SMS à partir du système.

Efficacité

ABAX Fleet Management suit le positionnement actuel de vos véhicules. Ceci peut être utilisé pour guider le véhicule situé le plus près d’un travail.

Planification d’itinéraire

ABAX Fleet Management peut afficher sur la carte tous les trajets effectués un jour donné. Ceci permet d’optimiser les itinéraires de conduite.

Réduire l’impact environnemental

ABAX Driving Behaviour peut noter les conducteurs en fonction de leur comportement au volant. Des scores de conduite élevés réduisent l'impact environnemental.

Responsabilité sociale

ABAX Driving Behaviour peut être utilisé pour conseiller à vos conducteurs de conduire de manière plus sûre et efficace.

Améliorer les habitudes de conduite

ABAX Driving Behaviour peut être utilisé pour conseiller à vos conducteurs de conduire de manière plus sûre et efficace, réduisant ainsi le nombre d’incidents.

Réduire les coûts associés à la flotte 

ABAX Driving Behaviour peut contribuer à optimiser les performances de conduite afin de réduire les coûts de carburant et d’entretien.

 

FINALITÉS PROPOSÉES POUR ABAX EQUIPMENT CONTROL 

Suivre et repérer

ABAX Equipment Control peut être utilisé pour localiser et retrouver des équipements perdus.

Efficacité

ABAX Equipment Control peut être utilisé pour localiser un équipement spécifique pour un travail spécifique. 

Économies

ABAX Equipment Control peut consigner l’utilisation d’un équipement autonome. Ces données peuvent être utilisées pour réduire une utilisation excessive.

Facturation de l'utilisation effective

ABAX Equipment Control peut consigner l’utilisation d’un équipement autonome. Ces données peuvent être utilisées par le propriétaire pour facturer le client sur la base de l’utilisation effective.

Facturation par utilisation dans une zone

ABAX Equipment Control peut consigner l’utilisation d’un équipement autonome dans une zone spécifique. Ces données peuvent être utilisées par le propriétaire pour facturer le client sur la base des heures passées à un projet.

Suivi des entretiens

Les données d’ABAX Equipment Control peuvent être utilisées pour un suivi des entretiens d’un équipement. Les notifications d’entretien peuvent être envoyées par mail ou SMS à partir du système.

Important à retenir 

Lors de la mise en œuvre d’un nouveau service qui comporte des mesures de contrôle, les autorités recommandent que l’entreprise fasse participer les employés à un stade précoce du processus. (En général, un représentant de l’employé est l’idéal pour cette participation.) 

La direction de l’entreprise devrait organiser une réunion avec le représentant de l’employé et/ou d’autres employés pertinents de la société afin de discuter des différentes mesures de contrôle qu’un service comme celui d’ABAX surveillerait. 

En plus, la société doit indiquer l’objet de la mesure de contrôle, les conséquences possibles d’une mesure (par exemple comment fonctionne la technologie, quelles données sont mesurées et communiquées à l’administrateur) et combien de temps la mesure de contrôle va durer (normalement une période contractuelle). 

Ces informations peuvent être données oralement ou par écrit aux employés. Dans certains cas, la société peut organiser une réunion d’information afin d’informer tous les employés et de recevoir les retours des employés. 

Il appartient à nos clients de préciser une finalité de traitement qui convient le mieux à leur activité. Les finalités proposées ne sont que des suggestions. Nos clients peuvent spécifier d’autres finalités mieux adaptées à leurs exigences. Conformément à la loi sur l’environnement de travail, il est recommandé aux employés de participer à la mise en œuvre des services ABAX pour une mise en route en douceur pour toute la société.

Chaque finalité doit être conforme à une base juridique énoncée dans le RGPD (article 6, points a) à f)). Qu’est-ce qu'il est important de retenir ? Les points clés suivants devraient être pertinents pour nos clients lorsqu’ils mettent en œuvre la ou les finalités et la base juridique du traitement des données. 

À ne pas oublier :

  • Vous devez disposer d’une base juridique licite pour traiter des données personnelles.
  • Il existe six bases juridiques possibles pour le traitement. Aucune base n’est « meilleure » ou plus importante que les autres. La base la mieux adaptée à l’utilisation dépend de votre finalité et de votre relation avec le client.
  • La plupart des bases juridiques exigent que le traitement soit « nécessaire » à une finalité spécifique. Si vous pouvez raisonnablement atteindre la même finalité sans le traitement, vous n’avez aucune base juridique.
  • Vous devez déterminer votre base juridique avant de commencer le traitement, et vous devez la documenter. Nous avons un outil interactif qui peut vous aider.
  • Assurez-vous de partir sur de bonnes bases – vous ne devez pas indiquer ultérieurement une base juridique différente sans motif valable. En particulier, vous ne pouvez pas normalement permuter entre la base juridique de consentement et une base juridique différente.
  • Votre déclaration de confidentialité doit comprendre la base juridique de votre traitement ainsi que la ou les finalités du traitement des données.
  • Si votre finalité change, vous pouvez continuer le traitement dans le cadre de la base juridique initiale si la nouvelle finalité est compatible avec votre finalité initiale (sauf si votre base juridique initiale était le consentement).
  • Si vous traitez une catégorie spéciale de données, vous devez identifier à la fois une base juridique pour le traitement général et une condition supplémentaire pour le traitement de ce type de données.
  • Si vous traitez des données relatives à une condamnation pénale ou des données sur des infractions, vous devez identifier à la fois une base juridique pour le traitement général et une condition supplémentaire pour le traitement de ce type de données.

Puis-je utiliser les données dans le système pour faire ce que je veux ? 

Lors de la mise en œuvre du service ABAX, vous devez préciser exactement ce pour quoi vous voulez utiliser les données. Vous ne pouvez pas utiliser les données et les informations dont vous disposez autrement que pour la finalité spécifiée.

Si vous changez la finalité ou si vous spécifiez une finalité supplémentaire, vous devez organiser une autre réunion avec le représentant de l’employé/l’employé concerné et vous assurer que tous les employés sont informés en conséquence. Bien entendu, la nouvelle finalité doit être licite et avoir un lien clair avec la base juridique dans le RGPD. 

La société doit communiquer la finalité qui décrit exactement ce pour quoi les données personnelles vont être utilisées, pas ce pour quoi elles peuvent être utilisées. Autrement dit, la finalité doit être précisée et communiquée et elle ne doit ni être trop large ni trop vague. La finalité précisée détermine ce pour quoi les données personnelles vont être utilisées. L’utilisation de données personnelles à d’autres fins que celles qui ont été précisées constitue une violation des réglementations relatives à la protection de la vie privée. 

Analyses d'impact relatives à la protection des données (AIPD)

L’Autorité de protection des données déclare ceci : Une analyse des conséquences sur la vie privée (Analyse d'impact relative à la protection de la vie privée - AIPD) doit assurer la protection de la vie privée des personnes enregistrées dans la solution. Ceci est une obligation au titre des nouvelles réglementations relatives à la protection de la vie privée. L’article 35 définit à quel moment une AIPD doit être faite, ce qu’elle doit contenir et qui doit la mettre en œuvre.

Nos clients qui intègrent ABAX dans leur entreprise doivent évaluer si une analyse des conséquences sur la vie privée doit être effectuée. Exemples de cas où une AIPD est requise :
- traitement de données de localisation combiné à au moins un autre critère
- compilation systématique de la localisation de la personne concernée et des données sur la circulation provenant des opérateurs de télécommunications ou traitement de données personnelles concernant l’utilisation du réseau de télécommunication ou des services de l’opérateur télécom du souscripteur. (Informations très personnelles et surveillance systématique.)
- traitement des données sur la localisation combiné à une catégorie d’employés.

En cas de doute, l’Autorité de protection des données définit sur son site Internet les activités de traitement qui requièrent toujours une AIPD.
Pour des conseils sur la réalisation d’une AIPD, voir ici

Technologie

LE RGPD dans notre technologie

Résiliation et suppression

Lorsqu’un client a résilié son contrat et n’a pas acheté Data Storage, les données qui lui appartiennent sont supprimées après la résiliation. Data Storage est un produit que le client peut acheter. S’il l’achète, nous garantissons que nous conservons les données des clients en lieu sûr après la résiliation du contrat. La suppression des données peut être déclenchée pour toutes les données relevant du contrat avec le client ou par un utilisateur/conducteur individuel relevant du client. Lorsqu’un utilisateur/conducteur individuel demande la suppression, seules les données associées à cet utilisateur/conducteur spécifique sont supprimées. La suppression pour un utilisateur individuel est déclenchée via l’« Assistant vie privée » (voir figure 2). L’utilisateur précise le type de données à supprimer en remplissant un formulaire (les entreprises peuvent créer un modèle de formulaire afin de faciliter le processus pour les utilisateurs). Lorsqu’un contrat de client arrive à expiration, toutes les données associées à l’ensemble de ses utilisateurs/conducteurs sont supprimées. 

À titre de contrôle qualité supplémentaire, nous créons une « liste de nettoyage » avec tous les clients à supprimer. Cette liste fait l’objet d’un contrôle de confirmation lors duquel nous retirons de la liste les clients qui, pour une raison ou une autre, ne doivent pas être supprimés (renouvellement de contrat, etc.). 

Lorsque nous recevons une demande de suppression, les données doivent être supprimées dans les 30 jours. Ceci vaut à la fois pour la suppression de clients et la suppression d’utilisateurs individuels.

Lorsque la suppression commence, nous utilisons un service spécifique qui envoie des instructions à tous nos services dans différents domaines. Les instructions déclenchent la suppression des données pouvant être associées à une personne (données relatives à la vie privée) dans tous les domaines pour le client ou l'utilisateur actuel.

Avant la suppression, nous extrayons les points de données précieux et les faisons passer à travers notre lac de données. Par le biais de nos procédures de lac de données, nous rendons anonymes les données de sorte qu’elles ne permettent plus de remonter jusqu’à un quelconque client ou utilisateur. À l’avenir, le projet est d’automatiser le lac de données lorsque nous recevons les données des unités de suivi. Les données rendues anonymes sont conservées à des fins d’analyse même si une suppression est demandée (voir Anonymisation). 

termination

Figure 2 : Processus de suppression en cas de résiliation

Politique de protection de la vie privée

Comment nous traitons les données personnelles

Nous sommes tributaires de la confiance de nos clients. C’est la raison pour laquelle la protection de votre vie privée est importante pour nous. Vos données personnelles sont en sécurité chez nous. Ceci englobe tout ce qui peut être associé à vous en tant que personne, par exemple l’adresse, les coordonnées, les positions GPS et d’autres données personnelles.  

Collecte des données personnelles

ABAX traite les données personnelles principalement dans le cadre de contrats conclus avec nos clients, du service clientèle, de l’assistance à la clientèle, de la gestion des clients, du marketing et de la facturation.  

Pour l’essentiel, ABAX collecte des données personnelles directement auprès de vous. Parfois, nous recueillons des informations auprès d’autres sources, des institutions publiques ou privées. En plus, les positions GPS sont automatiquement collectées lors de l'utilisation de nos produits. Ces positions GPS sont considérées comme des données personnelles.

Si ABAX reçoit vos données générées en tant que liste dans le cadre d’activités de marketing, vous aurez le droit de vous désinscrire. Dans les cas où ABAX collecte des données personnelles pour le compte de ses clients et agit comme un responsable de traitement pour ses clients, ceux-ci sont responsables des informations que vous recevez. Dans ces cas-là, nous pourrons aussi vous donner les informations directement, mais alors à la demande de nos clients.  

ABAX enregistre les appels téléphoniques à des fins de sécurité et de formation.  

Indicateurs de la satisfaction des clients

Lorsque vous contactez ABAX, nous nous renseignons parfois sur votre expérience du service clientèle. Ce retour d’information est utilisé pour donner aux clients des produits et services améliorés, mesurer l’effet des améliorations et examiner la satisfaction des clients et leur comportement dans la durée.  

Si vous ne souhaitez pas partager ce type de données, évitez simplement d’effectuer les enquêtes que vous recevez.  

Newsletter et marketing

Vous pouvez recevoir du matériel de marketing, des informations et des notifications d’ABAX. Ceci peut être communiqué par mail, sur notre site Internet ou par d’autres canaux appropriés. Ces informations sont divisées en trois différentes catégories :

  • Informations et actualités, normalement sous forme de newsletter envoyée par mail
  • Campagnes et invitations
  • Notifications système concernant vos services

Vous pouvez vous abonner ou vous désabonner à tout moment.

Extraction de données personnelles

En interne

Nous disposons au sein du groupe ABAX d’un registre commun de clients, accessible à toutes les sociétés du groupe.

Chez ABAX, nous disposons d’un registre commun pour tous nos clients accessible à toutes les sociétés de notre groupe. Il vise à donner à nos clients le meilleur service possible et à fournir des informations et des propositions concernant les produits et les services que nous proposons. Le registre peut contenir les données suivantes à votre sujet : 

  • Nom  
  • Coordonnées
  • Société d’emploi
  • Groupe dont vous faites partie
  • Détails du contrat
  • Données historiques concernant vos contacts avec ABAX
Responsable du traitement

Le responsable du traitement est celui qui détermine la finalité de la méthode de traitement des données personnelles. Dans le groupe ABAX, le responsable du traitement est la société ABAX avec laquelle vous avez conclu un contrat. Pour les données personnelles collectées sur la base de contrats conformes conclus avec nos clients, les clients eux-mêmes (dans la plupart des cas) sont les responsables des données.

Sous-traitant

Lorsqu’un client d’ABAX est le responsable du traitement, ABAX agit comme un sous-traitant. À cette fin, un Contrat de traitement de données a été conclu entre le client et ABAX. ABAX a également signé des contrats avec des sous-traitants sur le traitement de données. Nos sous-traitants ne peuvent pas utiliser ces informations à d’autres fins que celles définies par le responsable du traitement.

Vos droits

Accès

Vous avez le droit d’obtenir des informations sur la nature des données personnelles que nous traitons et sur le mode de traitement. La plupart des informations dont nous disposons au sujet de vous en tant que client vous sont accessibles dans votre profil. Les demandes d’accès étendu sont effectuées par le responsable du traitement.

Les employés des clients d’ABAX peuvent avoir accès à des données qui ne sont pas visibles par l’administrateur (par exemple des trajets privés dans ABAX Triplog). Cependant, si l’administrateur (responsable du traitement) reçoit une demande de copie de toutes les données enregistrées sur l’employé, ces données peuvent être visibles pour l’administrateur durant ce processus.

Rectifications

Afin de fournir le meilleur service, il est important que les informations dont disposons à votre sujet soient correctes et nécessaires pour mettre en œuvre les contrats. Vous pouvez nous demander de rectifier et d’effacer des informations à votre sujet si elles sont incertaines ou inutiles. Les demandes sont adressées au responsable du traitement.

Effacement

ABAX efface les données personnelles lorsqu’elles ne sont plus nécessaires pour répondre à la finalité pour laquelle elles ont été collectées. Cela signifie que tant que avez un contrat avec nous, nous stockons des informations nécessaires à votre sujet. À l’expiration d’un contrat, les données sont effacées, à moins qu’un contrat sur la poursuite de la conservation ait été conclu. Pour plus d’informations sur l’effacement, voir les Conditions générales de nos services. Les demandes d’effacement d’informations sont adressées au responsable du traitement. Si un règlement stipule une durée minimale de stockage, par exemple à des fins comptables, un effacement n’est pas effectué avant la fin de la durée minimale de stockage. 

Cookies

Objectif

Les cookies sont de petits fichiers stockant des informations sur la manière dont vous utilisez un site Internet. Les informations sont stockées dans le navigateur que vous utilisez, donc avec vous / sur votre ordinateur.

ABAX utilise des cookies sur la page Internet pour 

  • mieux connaître votre comportement et améliorer les fonctionnalités, votre expérience d’utilisateur et nos contenus ; 
  • adapter le contenu pour qu’il vous soit utile ;
  • vous fournir une commercialisation pertinente et sur mesure sur d’autres pages Internet que vous consultez.

Vous pouvez voir des publicités à notre sujet sur d’autres pages Internet, en fonction des contenus et des sites Internet que vous avez consultés. Les cookies sont utilisés pour collecter des informations sur les pages que vous consultez sur notre site Internet et non pour vous identifier en tant que client. Les informations que nous collectons lorsque vous utilisez notre site Internet peuvent, dans certains cas, être combinées avec des informations provenant de vos relations clientèle antérieures.  

En utilisant notre site Internet sans désactiver la fonction d’utilisation des cookies, vous acceptez l’utilisation de cookies par ABAX.  

Comment éviter les cookies

Si vous ne souhaitez pas autoriser le stockage de cookies sur votre ordinateur, vous pouvez désactiver cette fonction dans votre navigateur. Sachez que ceci peut affecter les fonctionnalités sur www.abax.com/uk et d’autres sites Internet. 

Vous pouvez supprimer les cookies en suivant les instructions d’effacement des cookies dans votre navigateur.  

Si vous souhaitez autoriser les cookies, mais en même temps avoir accès à ce que nous stockons, vous pouvez installer une extension dans votre navigateur : www.ghostery.com 

Protection de la vie privée activée www.abax.com www.abax.com

Utilisation d’outils d’analyse

Sur www.abax.com, nous enregistrons les informations suivantes à votre sujet :

  • votre position à l’aide de votre adresse IP, de données sur le positionnement et autre ;
  • vos traces électroniques, c’est-à-dire les sites Internet que vous consultez et les produits que vous commandez ;
  • des informations techniques sur votre navigateur Internet et votre système d’exploitation.

Les informations sur votre comportement sur notre site Internet sont utilisées aux fins suivantes :

  • analyses
  • adaptation personnelle du site Internet
  • service clientèle
  • commercialisation

Nous utilisons Google Analytics pour analyser le trafic sur notre site Internet et les pages Internet supplémentaires que nous avons. Si vous ne souhaitez pas que Google Analytics collecte des informations à votre sujet, veuillez vous rendre sur la page suivante : Google Analytics (https://tools.google.com/dlpage/gaoptout)

Vous pouvez être contacté

Si vous utilisez un guide pour un produit sur notre site Internet, il se peut que nous vous contactions à des fins commerciales.

Profils personnels

Chez ABAX, nous utilisons dans certains cas des profils personnels pour adapter nos offres à votre cas. Les profils personnels sont un ensemble d’informations que nous avons reçues de votre part, comme le nom, l’adresse, d’autres informations personnelles que vous avez fournies, les services que vous utilisez et des informations sur le trafic. Lorsque nous utilisons le profilage pour le marketing, nous vous en informons.

Délégué à la protection des données

Le délégué à la protection des données d’ABAX est Christine Blomquist. Pour toute question concernant notre manière de traiter les données personnelles, n’hésitez pas à la contacter à : dpo@abax.no

Pour des renseignements supplémentaires, consultez la législation gouvernementale concernant le traitement des données personnelles.