Accord de traitement des données
Dernière mise à jour : 2 juillet 2026
Il s'agit de l'accord de traitement des données au titre de l'article 28 du RGPD, couvrant les éléments obligatoires avec des dispositions opérationnelles complètes. Il ne constitue pas un avis juridique ; un examen final au regard de votre situation particulière est recommandé avant le lancement. L'accord est conçu pour être intégré par référence dans les conditions d'utilisation du service et pour devenir contraignant lorsque le client accepte ces conditions.
Le présent accord de traitement des données (l'« Accord ») fait partie des conditions d'utilisation du service entre SDHC AS, numéro d'organisation 926 038 060, Postboks 570 Vestre Glemmen, 1612 Fredrikstad, Norvège (le « Sous-traitant », « nous ») et le client qui accepte les conditions (le « Responsable du traitement », « vous »). Il régit notre traitement des données personnelles contenues dans le contenu que vous téléversez dans le service, et s'applique là où et dans la mesure où le RGPD s'applique à ce traitement.
Lorsque le présent Accord entre en contradiction avec les conditions d'utilisation du service en ce qui concerne le traitement des données personnelles, le présent Accord prévaut.
Les termes commençant par une majuscule utilisés dans le présent Accord sans y être définis ont le sens qui leur est donné dans les conditions d'utilisation du service.
1. Rôles des parties
Pour les données personnelles contenues dans votre contenu (y compris les images pouvant montrer des personnes identifiables et des véhicules), vous êtes le Responsable du traitement et SDHC est le Sous-traitant. Vous déterminez les finalités et les moyens de ce traitement ; SDHC traite les données uniquement pour votre compte.
(Pour les données de compte, d'abonnement, de facturation et d'analyse du site, SDHC est un responsable du traitement autonome comme décrit dans la politique de confidentialité ; ces données ne relèvent pas du présent Accord.)
2. Objet, durée, nature et finalité
- Objet : le traitement des données personnelles contenues dans les images et le contenu associé que vous téléversez dans le service.
- Durée : pendant la durée de l'abonnement et jusqu'à la suppression ou la restitution des données conformément à la section 10.
- Nature et finalité : l'hébergement, le stockage, l'organisation et l'analyse automatisée (classification de la faune et détection de la présence d'humains/de véhicules) du contenu téléversé, ainsi que la mise à disposition des résultats pour vous et les membres de l'équipe auxquels vous donnez accès.
3. Types de données personnelles et catégories de personnes concernées
- Types de données personnelles : images pouvant contenir des personnes identifiables et des véhicules ; coordonnées de l'emplacement de la caméra ; métadonnées d'image (date, heure, nom de la caméra, marque de la caméra) ; résultats de détection automatisée.
- Catégories de personnes concernées : les personnes captées incidemment par vos caméras (par exemple des passants, des visiteurs ou d'autres personnes à portée de la caméra).
Vous ne devez pas téléverser sciemment de données personnelles sensibles (article 9 du RGPD) ni utiliser le service pour traiter systématiquement de telles données, sauf convention contraire distincte et écrite. Notre détection automatisée « humain présent » n'identifie pas de personnes et n'est pas conçue pour traiter des données biométriques ou d'autres données personnelles sensibles.
4. Instructions et obligations du Responsable du traitement
Nous ne traitons les données personnelles que sur la base de vos instructions documentées, y compris telles que définies dans le présent Accord et dans votre utilisation des fonctionnalités du service, sauf si nous sommes tenus d'agir en vertu du droit norvégien ou de l'EEE (auquel cas nous vous en informerons, sauf interdiction légale).
Vous garantissez que : (a) vous disposez d'une base juridique valable pour le traitement que vous demandez ; (b) vous avez respecté toutes les obligations applicables d'information, de signalisation et de consentement à l'égard des personnes captées ; et (c) vos instructions sont conformes au droit applicable. Vous êtes responsable de la licéité des données personnelles et des instructions que vous fournissez.
Si nous constatons qu'une instruction enfreint le RGPD ou une autre loi applicable en matière de protection des données, nous vous en informerons.
5. Confidentialité
Nous veillons à ce que les personnes autorisées à traiter les données personnelles soient soumises à une obligation de confidentialité appropriée et aient été informées du caractère confidentiel des données.
6. Sécurité
Compte tenu de l'état de l'art, des coûts ainsi que de la nature, de la portée, du contexte et des finalités du traitement, nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque (article 32 du RGPD), y compris selon les circonstances :
- le chiffrement des données personnelles en transit (TLS) ;
- le contrôle d'accès, l'authentification et le principe du moindre privilège pour le personnel et les systèmes ;
- la protection des identifiants de session, y compris l'utilisation des attributs HttpOnly, Secure et SameSite sur les cookies de session ;
- la séparation logique des données des clients, de sorte qu'un client ne puisse pas accéder au contenu d'un autre client ;
- la restriction des interfaces d'administration (par exemple au moyen d'un contrôle d'accès par mot de passe et par IP) ;
- la journalisation et la surveillance des accès et événements pertinents ; et
- des mesures pour rétablir la disponibilité et l'accès aux données personnelles après un incident physique ou technique (sauvegardes).
Nous réexaminons ces mesures à intervalles réguliers et les mettons à jour au besoin. Un aperçu à jour est disponible sur demande.
7. Sous-traitants ultérieurs
Vous accordez une autorisation générale pour que nous recourions à des sous-traitants ultérieurs afin de fournir le service. Nous recourons actuellement à :
| Sous-traitant ultérieur | Rôle | Localisation |
|---|---|---|
| Hosting.com | Hébergement / infrastructure | Allemagne (EEE) |
| Cloudflare, Inc. | DNS, CDN et sécurité | États-Unis |
| Mapbox, Inc. | Carte interactive (tuiles/styles/polices) | États-Unis |
| Paddle.com Market Limited | Traitement des paiements (Merchant of Record) | Royaume-Uni |
Nous imposons à chaque sous-traitant ultérieur des obligations de protection des données non moins protectrices que celles définies dans le présent Accord. Nous vous informons au moins 30 jours à l'avance de tout ajout ou remplacement envisagé d'un sous-traitant ultérieur. Pendant cette période, vous pouvez vous opposer pour des motifs raisonnables de protection des données ; si nous ne pouvons pas donner suite à votre opposition, vous pouvez résilier la partie concernée du service à titre de recours.
8. Assistance au Responsable du traitement
Compte tenu de la nature du traitement, nous vous prêtons assistance par des mesures techniques et organisationnelles appropriées et dans la mesure du possible :
- pour répondre aux demandes des personnes concernées exerçant leurs droits (accès, rectification, effacement, limitation, portabilité des données, opposition). Le service vous permet également de consulter et de supprimer vous-même les images téléversées et les données associées ;
- pour respecter vos obligations en matière de sécurité (article 32), de notification des violations (articles 33-34) ainsi que d'analyses d'impact relatives à la protection des données et de consultation préalable (articles 35-36).
Si nous recevons une demande directement d'une personne concernée relative à votre contenu, nous n'y répondrons pas nous-mêmes (si ce n'est pour la réorienter de manière appropriée) et vous la transmettrons sans retard injustifié.
9. Violation de données à caractère personnel
Nous vous informons sans retard injustifié après avoir pris connaissance d'une violation de données à caractère personnel affectant des données personnelles traitées au titre du présent Accord, et fournissons les informations dont nous disposons raisonnablement pour vous aider à remplir vos obligations de notification auprès de la Datatilsynet (article 33) et, lorsque cela est requis, auprès des personnes concernées (article 34). La notification d'une violation ne constitue pas une reconnaissance de responsabilité.
10. Suppression ou restitution des données
À la fin du service ou à votre demande, nous supprimerons ou restituerons toutes les données personnelles traitées pour votre compte et supprimerons les copies existantes dans un délai de 30 jours, sauf si le droit norvégien ou de l'EEE exige une conservation. Vous pouvez à tout moment supprimer vos images et les données associées dans le service. Sur demande formulée avant la suppression, nous vous restituerons les données dans un format couramment utilisé et lisible par machine.
11. Audit et informations
Nous mettons à votre disposition les informations raisonnablement nécessaires pour démontrer le respect de l'article 28 du RGPD et permettons les audits — y compris les inspections — réalisés par vous ou par un auditeur que vous avez mandaté, et y contribuons. Nous répondons à une demande d'audit écrite raisonnable dans un délai de 30 jours, au maximum une fois par période de 12 mois (sauf exigence d'une autorité de contrôle ou à la suite d'une violation de données), sous réserve d'un préavis d'au moins 14 jours, d'engagements de confidentialité appropriés, et à condition que chaque partie supporte ses propres coûts. Les audits ne doivent pas perturber de manière déraisonnable notre exploitation ni compromettre la confidentialité ou la sécurité des données d'autres clients.
12. Transferts internationaux
Les données personnelles relevant du présent Accord sont hébergées au sein de l'EEE (Allemagne). Lorsqu'un sous-traitant ultérieur est situé hors de l'EEE (voir la section 7) :
- les transferts vers Paddle au Royaume-Uni sont couverts par la décision d'adéquation de l'EEE/UE pour le Royaume-Uni ;
- les transferts vers Cloudflare et Mapbox aux États-Unis s'effectuent selon un mécanisme de transfert approprié reconnu par le RGPD, tel que le cadre de protection des données UE–États-Unis (EU–U.S. Data Privacy Framework) et/ou les clauses contractuelles types.
Nous ne transférons pas de données personnelles hors de l'EEE, sauf sous de telles garanties.
13. Dispositions générales
Le présent Accord est régi par le droit de la Norvège. Si une disposition venait à être jugée invalide, les autres dispositions demeurent en vigueur. En cas de conflit avec les conditions d'utilisation du service concernant le traitement des données personnelles, le présent Accord prévaut.
SDHC AS — numéro d'organisation 926 038 060 — Postboks 570 Vestre Glemmen, 1612 Fredrikstad, Norvège — [email protected]