Politique de Confidentialité

1. Généralités

Bienvenue sur notre site Web. En poursuivant votre navigation et votre utilisation de ce site Web, vous acceptez les conditions générales d’utilisation suivantes qui, associées à notre politique de confidentialité, régissent la relation entre CMS SupaTrak LTD et vous concernant ce site Web. Si vous n’acceptez pas ces conditions d’utilisation, veuillez ne pas utiliser notre site.
Les termes « CMS SupaTrak » ou « CMS » ou « nous » ou « notre » se rapportent au propriétaire du site Web dont le siège social se situe à Delta 1200. Welton Road. Swindon. Wiltshire. SN5 7XZ – Royaume-Uni. Notre société est immatriculée sous le numéro 02836006. Le terme « vous » ou « votre » se rapporte à l’utilisateur ou à la personne qui consulte notre site Web.

L’utilisation de ce site Web est soumise aux conditions d’utilisation suivantes :

  • Le contenu des pages de ce site Web vous est proposé à titre d’information et d’utilisation générales uniquement. Il peut faire l’objet de modifications sans avis préalable.
  • Cliquez ici pour lire notre Politique de confidentialité.
  • CMS SupaTrak, ou tout autre tiers, ne fournit aucune garantie quant à l’exactitude, la pertinence, la performance, l’exhaustivité ou l’adéquation des informations et du contenu publiés ou proposés sur ce site pour quelque utilisation que ce soit. Vous reconnaissez que lesdites informations et lesdits contenus peuvent contenir des inexactitudes ou des erreurs, et nous ne saurions être tenus responsables de telles inexactitudes ou erreurs, dans les limites prévues par la loi.
  • Vous utilisez les informations ou le contenu fourni(e)s sur ce site Web à vos propres risques et nous ne saurons en être tenus responsables. Il relève de votre responsabilité de vous assurer que tout produit, service ou information disponible sur ce site Web répond à vos exigences spécifiques.
  • Ce site Web comporte un contenu qui nous appartient ou dont nous détenons la licence. Ce contenu comprend, sans toutefois s’y limiter, la conception, la configuration, l’aspect, l’apparence et les graphismes. Toute reproduction, autre que conformément aux règles juridiques sur les droits d’auteur faisant partie de ces conditions générales, est interdite.
  • Toutes les marques commerciales reproduites sur ce site Web qui n’appartiennent pas à, ou dont la licence n’est pas détenue par l’exploitant, sont indiquées comme telles sur le site Web.
  • Toute utilisation non autorisée de ce site Web est susceptible d’engager la responsabilité civile et pénale du contrevenant.
  • Ce site Web peut également de temps en temps comprendre des liens vers d’autres sites Web. Ce liens sont fournis pour vous permettre d’obtenir d’autres informations. Ils ne signifient pas que nous cautionnons les sites Web. Nous n’assumons aucune responsabilité pour le contenu du/des site(s) Web auquel/auxquels les liens font référence.
  • Votre utilisation de ce site Web et tout différend résultant d’une telle utilisation du site Web sont régis par les lois en vigueur en Angleterre, en Irlande du nord, en Écosse et au Pays de Galles.

2. Responsabilité du traitement des données

Le Responsable de traitement pour CMS SupaTrak Ltd est John M. Lancaster, BEM. Si vous rencontrez des difficultés concernant ce site ou nos politiques, vous pouvez le contacter à john.lancaster@supatrak.com ou par téléphone au +44-(0)-7792-565796. Notre responsable de traitement sous-traitant est Claranet Limited.

Claranet est certifié ISO9001, ISO27001 et ISO22301, et utilise un système de gestion intégré avancé pour gérer ces normes. De plus, tous les centres de données Claranet sont certifiés PCI-DSS (norme de sécurité des données de transaction par carte) et sécurité physique. Claranet était et reste conforme à la législation et aux exigences antérieures et actuelles en matière de confidentialité des données. La société a réalisé un examen complet de nos contrôles de sécurité internes et mécanismes de protection des données à la demande d’une société de conseil indépendante en matière de sécurité des données personnelles (A. A. Security Consultants Ltd), afin de garantir qu’ils répondent ou excèdent les exigences relatives au RGPD. Ce projet était de grande envergure. La responsable du RGPD chez Claranet est Sobia Nadeen – Sobia.Nadeem@uk.clara.net

Les principaux éléments étaient les suivants :

  • Un examen de l’emplacement des données, la façon dont elles sont sécurisées et qui peut accéder ou modifier ces données
  • Une mise à niveau de la formation de sensibilisation à la confidentialité des données que nous dispensons à notre personnel
  • Des mises à jour de nos processus de sécurité internes de manière à être conformes aux exigences du RGPD, y compris des processus liés à la gestion des incidents, de la sécurité du développement et de la conformité des tiers
  • Des mises à jour des politiques internes pour faire face aux changements de la législation
  • Un examen des clauses contractuelles qui régissent la relation entre Claranet et ses clients et ses fournisseurs

3. Quelles données à caractère personnel collectons-nous ?

Nous collectons des données à caractère personnel vous concernant quand vous vous connectez sur notre site, envoyez un bon de commande ou vous abonnez à l’une de nos newsletters.

Quand vous accédez à ou vous inscrivez sur l’un de nos sites, le cas échéant, nous pourrons vous demander d’indiquer vos : nom, adresse email, adresse postale et numéro de téléphone. Vous pouvez cependant vous rendre sur notre site de manière anonyme et refuser de nous fournir ces informations, sauf si elles sont requises à des fins professionnelles.

Quand vous utilisez un portail de CMS pour gérer les comportements de conduite ou pour obtenir des informations de géolocalisation, vous avez en tant que client la possibilité d’inclure les données du conducteur ou du véhicule. Cela peut s’avérer nécessaire en cas de vérification de la conformité du tachygraphe ou du permis de conduire. Ces données sont conservées sur les serveurs sécurisés de Claranet et sont gérées par vous le client. CMS a eu une visibilité sur ces données uniquement à des fins de gestion du système et ne montrerait pas ces informations ni ne les mettrait à la disposition d’un tiers.

4. Traitement sécurisé des données client

Le rôle de CMS consiste à fournir une connectivité, des services gérés et d’hébergement pour le transport et le stockage sécurisés des données des clients. CMS n’est pas un gestionnaire des informations des données client et par conséquent n’accède pas au contenu informationnel des données qui transitent sur ses réseaux ou ses services (sauf en cas de virus, pour détecter des programmes malveillants ou toute intrusion, abus ou activité criminelle). Par conséquent, les données client ne sont pas susceptibles d’être communiquées aux employés dans le cadre des activités habituelles de gestion et d’administration du service client, sauf si CMS a accepté la responsabilité spécifique de gestion de bases de données sous forme d’un service géré.

Les employés et les sous-traitants doivent traiter toutes les données client comme étant confidentielles et les manipuler en conséquence. Ces données comprennent, mais sans toutefois s’y limiter, le nom, les coordonnées et les détails du compte du client.

Dans le cadre de leur contrat de travail, tous les nouveaux employés de CMS doivent signer un accord de non-divulgation et un contrat de travail comprenant l’acceptation de la politique de l’entreprise.

5. À quelles fins utilisons-nous vos données à caractère personnel ?

Toutes les données à caractère personnel que nous collectons auprès de vous peuvent être utilisées de l’une des manières suivantes :

Pour améliorer le service client
(vos données à caractère personnel nous aident à répondre plus efficacement à vos demandes au service client ainsi qu’à vos besoins d’assistance)

Pour traiter les transactions
Vos données à caractère personnel, qu’elles soient publiques ou privées, ne seront pas vendues, échangées, transférées ou communiquées à une autre société pour quelque raison que ce soit, sans votre consentement, à des fins autres que la prestation des services que vous avez demandés.

Pour envoyer des emails ponctuellement
Si vous choisissez de vous inscrire à notre liste de diffusion, nous vous enverrons une newsletter mensuelle ou bimensuelle,

Remarque : Si à tout moment vous souhaitez vous désabonner de la liste pour ne plus recevoir nos emails, vous trouverez au bas de chacun de nos emails des instructions détaillées pour vous désabonner. Nous ne transférerons, n’échangerons ou ne communiquerons jamais votre adresse email à un tiers.

6. Formation et sensibilisation à la sécurité

CMS maintient un niveau élevé de sensibilisation à la sécurité dans l’entreprise, en s’assurant que tous les nouveaux employés suivent la formation à la sécurité. CMS réalise régulièrement des audits internes sur le respect des politiques de sécurité de la part des employés.
Les employés sont sensibilisés au fait que la sécurité des données à caractère personnel fait partie intégrante des activités quotidiennes de l’entreprise ; ils comprennent leurs responsabilités individuelles, et ont conscience que la sécurité des données et de l’entreprise sont aussi importantes pour l’entreprise que pour ses clients.

La formation est renforcée pendant toute la période d’emploi en fonction des besoins, par le biais de briefings réguliers, d’une formation pratique, de bulletins de sécurité et d’emails contenant des conseils sur des sujets de sécurité spécifiques. Le plan de formation est révisé chaque année dans le cadre du bilan de performance et du plan de développement personnel de chaque employé.

7. Dispositifs de sécurité physique

Plusieurs dispositifs ont été mis en place pour assurer la sécurité physique dans les bureaux de CMS et dans les centres de données de Claranet. L’emplacement de chaque site détermine quels dispositifs de sécurité externes sont mis en place. Si un centre de données Claranet se situe hors voirie, une palissade est installée avec des barrières d’accès.
Tous les sites possèdent un système de vidéosurveillance interne et externe, des alarmes anti-intrusion et des agents de sûreté. Toutes les portes sont équipées d’un dispositif d’accès par carte magnétique. Claranet utilise un processus de contrôle d’accès conforme à la norme ISO27001 et auquel le personnel, les clients et les fournisseurs doivent adhérer pour accéder à chaque centre de données. Une copie du processus de contact avec le client peut être demandée au service d’assistance de Claranet.

8. Dispositifs de sécurité environnementale

Les bureaux de CMS et les centres de données de Claranet ont été conçus avec un niveau de protection élevé afin de réduire ou d’atténuer les vulnérabilités face à des menaces majeures. Les bureaux de CMS et les centres de données de Claranet ont mis en place les dispositifs suivants :

  • Une protection de la source d’alimentation non interruptible contre les pannes de courant, y compris des générateurs diesel de secours.
  • Filtre et stabilisation secteur ;
  • Détection et suppression des incendies ;
  • Détection des fuites/eau ;
  • Climatisation et autres contrôles de l’environnement.

    • Les éléments essentiels de notre infrastructure ont été conçus avec un niveau de protection technique élevé, et sont contrôlés 24h/24 et 7j/7 par notre réseau et nos centres d’hébergement par le biais de l’outil IBM Tivoli.

9. Procédures opérationnelles et responsabilités

CMS s’efforce d’améliorer de manière constante l’efficacité et la sécurité de ses opérations internes, et la manière dont sont livrés ses services à ses clients. Pour poursuivre cet objectif, CMS est une société certifiée ISO9001 (certification en cours). Les procédures opérationnelles sont documentées et tenues à jour dans l’ensemble de l’entreprise et sont régulièrement révisées par des auditeurs internes et externes pour s’assurer qu’elles demeurent pertinentes. Ce service est également géré par le Délégué à la protection des données.

10. Gestion du changement

CMS suit des procédures strictes de contrôle du changement. Avant de réaliser tout changement important dans les processus ou les systèmes, l’employé responsable doit planifier de manière appropriée le changement et s’assurer que les niveaux de contrôle qualité et de validation sont adéquats. La planification du changement prend en compte :

  • Le besoin et la justification du changement, y compris une analyse coûts-avantages,
  • L’évaluation du risque et l’impact commercial potentiel,
  • Le calendrier du changement pour refléter l’urgence tout en évitant tout conflit avec les autres activités ou une incompatibilité avec les systèmes et les processus existants,
  • Des plans d’urgence dans le cas improbable où le changement entraînerait des conséquences néfastes imprévues,
  • Les contrôles de qualité par des supérieurs hiérarchiques ou des évaluations par des pairs.

Dans la mesure où cela est possible et réalisable, les nouveaux systèmes, processus et changements des systèmes et processus existants sont vérifiés dans un environnement de développement et de test distinct avant d’être mis en production.

Les changements sont programmés par l’équipe de développement et de gestion du changement qui se réunit toutes les semaines pour prendre en compte toute nouvelle demande de changement et examiner l’efficacité des changements récemment mis en œuvre.

L’équipe de gestion du changement s’assure que chaque changement proposé a été planifié de manière appropriée et comprend des plans de tests et de renonciation. Si un changement a des répercussions sur la disponibilité du service, les clients doivent en être informés de manière efficace et rapide.

11. Gestion de la prestation de service de tiers

L’équipe du développement de CMS est chargée de s’assurer que les services fournis à CMS et à nos clients sont en adéquation avec les accords de service et maintiennent un niveau approprié de sécurité de l’information. CMS organise régulièrement des réunions d’examen des services avec les fournisseurs et les clients pour contrôler la qualité de la prestation de service. Pour toute période de dégradation ou de perte de service, notamment celles qui ont des répercussions sur ou qui menacent le respect des niveaux de service convenus, la cause principale est recherchée et les mesures correctives à appliquer sont définies. Le cas échéant, une explication et des solutions à de telles dégradations de service sont fournies à nos clients dans nos rapports d’Incidents majeurs.

Tout problème de service causé par un fournisseur tiers est contrôlé dans le cadre du processus de gestion des incidents de CMS pour identifier les tendances en matière de dégradation ou de mauvaise performance, et prendre les mesures correctives adéquates. Les fournisseurs doivent produire un rapport de « motif d’arrêt prolongé » en cas d’incident majeur
ayant une répercussion sur le service.

12. Protection contre les codes malveillants mobiles

De concert avec Claranet, CMS utilise plusieurs outils de prévention et de détection des incidents ainsi qu’une protection d’analyse des pages Web comme élément principal de ses contrôles de sécurité. Cela est destiné à nous protéger contre un vaste éventail de menaces pesant sur les données confidentielles, la réorientation non autorisée vers des pages Web inappropriées et la perte de performance de service. Cette protection utilise des moteurs d’analyse de signature multiples de premier ordre pour fournir une protection contre les menaces ciblées et basées sur le Web les plus sophistiquées, y compris les logiciels espions, les chevaux de Troie ou autres programmes malveillants. Elle s’assure que les demandes Web (y compris les pages Web, les images et les fichiers volumineux tels que les PDF, ou les fichiers audio ou vidéo) ne comportent aucun code malveillant avant de parvenir à nos employés. Le service comprend également la toute dernière fonctionnalité de filtrage des URL et de protection et blocage contre les attaques DDoS.

CMS a installé un logiciel antivirus sur tous ses ordinateurs de bureau, ordinateurs portables, tablettes et téléphones mobiles professionnels. Les disques des appareils mobiles et portatifs sont cryptés. Les signatures de virus sont tenues à jour par un processus automatisé qui communique les mises à jour aux appareils des utilisateurs finaux dès qu’elles sont disponibles.

De plus, Claranet, pour le compte de CMS, analyse ses réseaux internes toutes les semaines pour s’assurer qu’aucun virus ou programme malveillant n’est parvenu à s’introduire par quelque autre moyen que ce soit. L’analyse régulière de vulnérabilité est utilisée pour détecter les failles des adresses IP à usage externe.

13. Sauvegarde du système

Claranet, pour le compte de CMS, réalise des sauvegardes quotidiennes des principaux services et informations de l’entreprise. Les sauvegardes suivent des cycles de deux semaines, permettant de restituer les données à différents points de sauvegarde durant cette période. De plus, jusqu’à 14 versions de fichiers modifiés sont conservées, qu’il s’agisse de changements survenus dans les 14 derniers jours ou non. CMS conserve les données des transactions commerciales pour une durée illimitée dans un système de gestion de bases de données. CMS fournit par défaut aux clients un service complet de restitution des archives. De plus, CMS est en mesure de proposer un service de sauvegarde personnalisé aux clients qui en font la demande. Ceci est convenu entre CMS et le client pendant la phase de planification de mise en œuvre, et mis en place en conséquence par notre équipe des opérations. Dans des conditions normales et sauf refus du client, les données sont conservées pendant 10 ans.

14. Gestion des incidents de sécurité

CMS a mis en place des procédures de rapports, d’enquêtes et de gestion des événements et des incidents opérationnels et de sécurité. Elles sont accompagnées par un registre dans lequel les événements sont consignés et suivis jusqu’à leur résolution positive.
Il existe 3 types d’incidents de sécurité :

  • Violation de la sécurité physique (ou tentative de violation)
  • Violation de la sécurité du réseau (ou tentative de violation)
  • Divulgation des données sensibles ou confidentielles (accidentelle ou volontaire)

La réponse face aux incidents de sécurité est la suivante :

  • Découverte de la violation
  • Intervention immédiate
  • Préservation des preuves physiques
  • Signalement et remontée de l’information

Les incidents de sécurité signalés sont consignés dans le registre de sécurité et gérés par l’équipe de la sécurité. La nature et la gravité des incidents sont consignées. La gestion de chaque incident est attribuée à une personne qui est chargée de le gérer jusqu’à sa résolution. Cela comprend la communication avec toutes les parties concernées, et l’encouragement de leur participation active, y compris les clients et les fournisseurs si nécessaire.

Un rapport interne est produit, comprenant les enseignements tirés, les opportunités d’amélioration et un examen des contrôles. Si un incident a des répercussions sur les clients de CMS, un rapport est communiqué aux clients sur demande par le biais de notre service d’assistance.

Une analyse des incidents est réalisée tous les 6 mois pour identifier les tendances sous-jacentes et s’assurer que les opportunités d’amélioration identifiées ont été concrétisées.

15. L’approche de CMS envers la gestion de la continuité des activités

Dans le cadre de sa prestation de produit et de service auprès de ses clients, CMS s’est assuré d’avoir mis en place toutes les mesures raisonnables et réalisables, visant à garantir la résilience et à gérer les incidents afin de minimiser les répercussions des événements majeurs. Notre partenaire Claranet est certifié ISO22301, ce qui garantit que notre gestion de la continuité des activités est à jour et est régulièrement testée par un tiers externe. Nous avons mis en place plusieurs processus de soutien pour nous assurer que notre entreprise continue de fonctionner efficacement pendant tout événement interrompant le service ou les activités :

  • Processus d’incident de service majeur : pour gérer les incidents qui ont des répercussions sur la disponibilité des services fournis aux clients via CMS.
  • Processus d’incident de sécurité : pour gérer les incidents qui peuvent menacer la sécurité de l’infrastructure ou des données de CMS.
  • Processus de continuité des activités : pour gérer les incidents qui ont des répercussions sur la capacité de CMS à réaliser les activités courantes.

CMS teste régulièrement sa gestion de la continuité des activités. La performance est examinée au cours de ces séances et utilisée pour perfectionner les processus, les outils et les mesures de résilience.

16. Responsabilités des clients

Les solutions pour les conducteurs et les véhicules qui sont gérées par CMS facilitent grandement les activités courantes de nos clients. Cependant, les clients conservent la responsabilité de leur propre gestion de la continuité des activités. Par le biais de notre partenaire Claranet, et en complément de son offre de service standard, CMS dispose de produits et de services supplémentaires lui permettant de fournir des niveaux de résilience et de redondance accrus aux clients dont les services sont absolument essentiels à leur activité.

17. Loi sur la protection des données

CMS se conforme à la loi sur la protection des données. La société est inscrite auprès de l’Information Commissioner’s Office (ICO – organisme britannique de régulation de la protection des données), en tant que fournisseur dans les domaines de la télématique et des communications. À leur prise de fonctions, tous les employés reçoivent une formation pour les sensibiliser à la loi et s’assurer
qu’elle est mise en œuvre dans l’ensemble des activités. Afin de se conformer aux principes fondamentaux de la loi, CMS ne stocke jamais de données hébergées en dehors de l’Espace économique européen (EEE).

18. PCI-DSS

CMS s’engage à se conformer aux exigences énoncées dans les sections 9 et 12 de la norme PCI-DSS. Cela signifie que les centres de données de nos partenaires répondent aux exigences de sécurité physique pour les sites qui stockent des données de cartes de paiement et que des réévaluations sont réalisées par un évaluateur accrédité en matière de sécurité pour garantir le respect de ces exigences.

19. Reconnaissance de l’ICO

Une copie du certificat d’inscription de CMS auprès de l’ICO est disponible en cliquant ici pour afficher le certificat