Accord de Traitement des Données (DPA)

Le présent Accord de Traitement des Données (ci-après « ATD ») est conclu entre Azimut Mobility SAS (ci-après « le Sous-traitant ») et le Client (ci-après « le Responsable de traitement »), conformément à l'article 28 du Règlement (UE) 2016/679 relatif à la protection des données à caractère personnel (RGPD). Il encadre l'ensemble des traitements de données à caractère personnel effectués par Azimut Mobility pour le compte du Responsable de traitement dans le cadre de la fourniture de la solution de gestion de flotte par télématique OBD. Il complète et fait partie intégrante du contrat de service conclu entre les parties.

Nature du traitement : collecte, enregistrement, organisation, structuration, stockage, consultation, utilisation, transmission, analyse et suppression de données à caractère personnel relatives aux conducteurs et véhicules de la flotte. Finalités autorisées par le présent ATD : (a) Géolocalisation en temps réel des véhicules de la flotte (b) Suivi des trajets, kilométrages et temps de conduite (c) Maintenance préventive via diagnostic OBD embarqué (d) Calcul et suivi des scores d'écoconduite (e) Génération de rapports d'activité et de performance flotte (f) Émission d'alertes et de notifications opérationnelles Tout traitement à des fins non listées ci-dessus nécessite une instruction écrite préalable du Responsable de traitement.

Personnes concernées : conducteurs salariés, prestataires ou mandataires du Responsable de traitement utilisant les véhicules équipés. Catégories de données traitées : — Données de localisation : coordonnées géographiques GPS, horodatage, adresses de départ et d'arrivée — Données de conduite : vitesse, accélération, décélération, freinages brusques, style de conduite — Données OBD : régime moteur, consommation de carburant, codes de défaut moteur — Données d'identification conducteur : identifiant de connexion, numéro de badge — Données kilométriques : kilométrage total, kilométrage par trajet, kilométrage professionnel/privé — Données temporelles : durées de conduite, durées d'arrêt, horodatages de début et fin de trajet Aucune donnée relevant des catégories particulières de l'article 9 RGPD n'est collectée dans le cadre du présent ATD.

Le présent ATD prend effet à la date de signature du contrat de service auquel il est annexé et expire automatiquement à la résiliation de ce contrat, quelle qu'en soit la cause. À compter de la date effective de résiliation, Azimut Mobility s'engage à : — Cesser tout traitement actif des données dans un délai de 5 jours ouvrés — Restituer l'ensemble des données au format CSV ou JSON sur demande écrite dans les 30 jours — Détruire de manière sécurisée toutes les copies résiduelles et fournir une attestation écrite de destruction La conservation de données au-delà de ce délai n'est autorisée que dans la mesure requise par une obligation légale applicable à Azimut Mobility.

Azimut Mobility s'engage à : (a) Ne traiter les données à caractère personnel que sur instruction documentée du Responsable de traitement, y compris en ce qui concerne les transferts vers un pays tiers ou une organisation internationale ; (b) Garantir la confidentialité des données — l'accès est restreint aux seuls membres du personnel dûment habilités, soumis à une obligation contractuelle de confidentialité ; (c) Mettre en œuvre les mesures de sécurité techniques et organisationnelles appropriées (art. 32 RGPD) : chiffrement TLS 1.3 en transit et AES-256 au repos, authentification multi-facteurs, journaux d'audit conservés 1 an, sauvegardes quotidiennes géographiquement distinctes, tests de pénétration annuels ; (d) Ne pas recruter un autre sous-traitant ultérieur sans accord préalable écrit du Responsable de traitement ; (e) Aider le Responsable de traitement à répondre aux demandes d'exercice des droits des personnes concernées ; (f) Notifier toute violation de données à caractère personnel dans un délai de 72 heures après en avoir pris connaissance, conformément à l'article 33 RGPD ; (g) Mettre à disposition toutes les informations nécessaires pour démontrer le respect des obligations du présent ATD et permettre la réalisation d'audits.

Le Responsable de traitement s'engage à : (a) Ne fournir à Azimut Mobility que des instructions licites, documentées et conformes au RGPD ; (b) Informer individuellement chaque conducteur concerné conformément aux articles 13 et 14 du RGPD, avant la mise en service du dispositif — un modèle de notice est disponible sur azimut-mobility.com/notice-conducteur ; (c) Consulter le Comité Social et Économique (CSE) préalablement au déploiement, conformément à l'article L. 2312-38 du Code du travail — un guide de consultation est disponible sur azimut-mobility.com/guide-cse ; (d) S'assurer de la licéité de la base légale retenue pour chaque finalité de traitement ; (e) Configurer les durées de conservation des données dans la plateforme Azimut conformément au référentiel CNIL ; (f) Activer et maintenir accessible le mode vie privée conducteur pour les trajets effectués en dehors du temps de travail.

Le Responsable de traitement autorise, par la signature du présent ATD, le recours au sous-traitant ultérieur suivant : Scaleway SAS 8 rue de la Ville-l'Évêque, 75008 Paris, France RCS Paris 433 115 904 Prestation : hébergement de l'infrastructure technique Tout recours à un nouveau sous-traitant ultérieur fera l'objet d'une notification écrite au Responsable de traitement avec un délai d'opposition de 30 jours calendaires. En l'absence d'opposition dans ce délai, l'autorisation est réputée accordée. Les sous-traitants ultérieurs sont soumis aux mêmes obligations de protection des données que celles fixées dans le présent ATD.

Mesures techniques de sécurité en vigueur : — Chiffrement des données en transit : protocole TLS 1.3 — Chiffrement des données au repos : algorithme AES-256 — Authentification multi-facteurs (MFA) pour l'ensemble des accès à la plateforme — Journaux d'accès et d'audit conservés pendant 1 an — Sauvegardes quotidiennes stockées dans un lieu géographiquement distinct — Tests de pénétration annuels réalisés par un prestataire indépendant — Cloisonnement des données par client (architecture multi-tenant isolée) Mesures organisationnelles de sécurité : — Habilitations nominatives révisées trimestriellement et à chaque changement de poste — Procédure documentée de gestion et de notification des incidents de sécurité — Formation annuelle de l'ensemble du personnel aux exigences du RGPD — Politique de gestion des vulnérabilités et des correctifs de sécurité

Sur demande écrite du Responsable de traitement, Azimut Mobility l'assistera dans la gestion des demandes d'exercice des droits suivants : — Droit d'accès (art. 15) : fourniture d'une copie des données de la personne concernée — Droit de rectification (art. 16) : correction des données inexactes — Droit à l'effacement (art. 17) : suppression des données dans les limites légales — Droit à la limitation du traitement (art. 18) : suspension temporaire du traitement — Droit à la portabilité (art. 20) : export des données au format CSV ou JSON — Droit d'opposition (art. 21) : traitement des demandes fondées sur l'intérêt légitime Délai de traitement des demandes d'assistance : 5 jours ouvrés à compter de la réception de la demande écrite.

Le Responsable de traitement ou son mandataire peut réaliser un audit de conformité, sous réserve d'un préavis de 15 jours ouvrés. Azimut Mobility peut satisfaire à cette obligation par la communication de certifications ou rapports équivalents (rapport de test de pénétration annuel, attestation de certification ISO 27001 le cas échéant). Les coûts liés à l'audit sont à la charge du Responsable de traitement, sauf constatation d'une non-conformité imputable à Azimut Mobility.

Azimut Mobility s'engage à ne pas transférer de données à caractère personnel en dehors de l'Espace Économique Européen (EEE) sans l'accord préalable écrit du Responsable de traitement et la mise en place des garanties appropriées requises par les articles 44 à 46 du RGPD. L'intégralité de l'infrastructure technique d'Azimut Mobility est hébergée en France (région Île-de-France). Aucun transfert hors EEE n'est effectué dans le cadre des traitements couverts par le présent ATD.

En cas de violation de données à caractère personnel constatée ou raisonnablement suspectée, Azimut Mobility notifie le Responsable de traitement dans un délai de 72 heures après en avoir pris connaissance. La notification comprend au minimum : — La nature de la violation et les circonstances dans lesquelles elle est survenue — Les catégories et le nombre approximatif de personnes concernées — Les catégories et le nombre approximatif d'enregistrements de données concernés — Les coordonnées du délégué à la protection des données (DPO) — Les conséquences probables de la violation — Les mesures prises ou envisagées pour remédier à la violation

À compter de la date effective de résiliation du contrat de service, Azimut Mobility procède comme suit : (a) Cessation de tout traitement actif des données dans les 5 jours ouvrés suivant la résiliation ; (b) Restitution de l'ensemble des données au format CSV ou JSON sur demande écrite dans un délai de 30 jours calendaires ; (c) Destruction sécurisée de toutes les copies résiduelles sur tous les supports, y compris les sauvegardes, et fourniture d'une attestation écrite de destruction. La conservation de données au-delà de ce délai n'est autorisée que dans la mesure strictement nécessaire au respect d'une obligation légale applicable à Azimut Mobility.

Le présent ATD est soumis au droit français. En cas de litige relatif à son interprétation ou à son exécution, les parties s'engagent à tenter de parvenir à une résolution amiable dans un délai de 30 jours à compter de la notification du différend. À défaut de résolution amiable dans ce délai, compétence exclusive est attribuée aux tribunaux compétents de [Ville], France.

Délégué à la Protection des Données (DPO) Azimut Mobility : privacy@azimut-mobility.com — Réponse garantie sous 72 heures ouvrées Adresse : Azimut Mobility SAS — À l'attention du DPO — [Adresse complète], France Entrée en vigueur : à compter de la date de signature du contrat de service auquel le présent ATD est annexé. Version : 1.0 — Juin 2026 Document mis à jour à chaque évolution réglementaire significative. La version publiée sur azimut-mobility.com/dpa est toujours la version en vigueur.