Protection des données personnelles des Particuliers

Dernière mise à jour : 8 juin 2023

Objet et champ d’application de la politique

Cette politique, qui complète les CGV de Locomotive, est remise au Client afin de lui fournir des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles relatives aux traitements de données personnelles des clients du Client (clients finaux particuliers : « Particuliers ») qui sont confiés à Locomotive en sa qualité de sous-traitant. Ces garanties répondent à certaines exigences du RGPD et sont de nature à protéger les droits et libertés des Particuliers sur ces données.

Plus précisément, cette politique décrit comment Locomotive, ses équipes et sous-traitants ultérieurs :

Traitent les données personnelles des Particuliers qui sont confiées à Locomotive et/ou chargées sur sa plateforme ;
Respectent leurs propres obligations en qualité de sous-traitants de données personnelles ;
Permettent au Client de respecter certaines de ses propres obligations en qualité de responsable du traitement des données personnelles des Particuliers, dans la limite des prestations commandées à Locomotive et des instructions du Client.

Cette politique a été complétée et approuvée par le Client. Elle est élaborée et maintenue à jour par le Délégué à la Protection des Données de Locomotive ([email protected]), déclarée auprès de la CNIL.

Le Client peut communiquer cette politique et s’en prévaloir à l’égard de ses partenaires, des autorités de protection des données et de ses clients, pour démontrer la conformité au RGPD de ses relations avec Locomotive et des traitements de données personnelles confiés à Locomotive.

Description des traitements, instructions du Client et fonctionnalités de conformité dès la conception

Cette section décrit les caractéristiques des traitements de données personnelles confiés à Locomotive et permet :

Au Client et à Locomotive de respecter leurs obligations relatives au maintien à jour de leurs registres respectifs des activités de traitement de données ;
Au Client de fournir à Locomotive, s’il le souhaite, des instructions quant à ces traitements de données personnelles et aux mesures organisationnelles et techniques de protection de ces données.

Caractéristiques des traitements de données confiées à Locomotive

Cette section, pré-remplie par Locomotive en conformité avec ses CGV et les fonctionnalités de sa plateforme, peut être complétée par le Client, en sa qualité de responsable du traitement.

Objet et finalités des traitements de données

☒ Gestion de la création de la relation-client

☒ Gestion du suivi de la relation-client

☒ Gestion du support client

☒ Gestion du renouvellement de la relation-client

☐ Autre : __________________________________________

Durée des traitements de données

☒ Relation-client à l’initiative du Particulier n’ayant pas donné lieu à une relation commerciale : 3 ans à compter du dernier contact actif du Particulier

Relation-client ayant donné lieu à l’achat d’un bien ou d’un service :

☒ Durée de la relation commerciale, en ce compris toutes garanties légales et contractuelles, notamment support client : indéfinie, puis :

☒ A compter de l’expiration de la fin de la relation commerciale ou, le cas échéant, du dernier contact actif du Particulier ancien client, pour les cas de contentieux : 5 ans supplémentaires à compter de l’un ou l’autre des cas précités

☐ Autre : __________________________________________

Catégories de données traitées

☒ Nom, prénom, coordonnées et civilité du Particulier

☒ Date de naissance du Particulier

☒ Identifiant unique du Particulier

☒ Numéro de téléphone du Particulier

☒ Métadonnées et données de journalisation relatives aux communications entrantes et sortantes avec le Particulier

☒ Contenu des communications entrantes et sortantes avec le Particulier

☒ Informations relatives à la relation commerciale avec le Particulier : date de début et de fin du contrat, informations relatives à la commande et aux biens ou services commandées, évènements, données de facturations notamment financières

☒ Informations relatives aux préférences et habitudes de consommation du Particulier

☐ Autre : __________________________________________

Catégories de personnes concernées

☒ Prospect actif

☒ Client actif

☒ Ancien client

☐ Autre : __________________________________________

Bases légales des traitements de données standard

☒ Le traitement est nécessaire à l’exécution d’un contrat auquel le Particulier est partie ou de mesures précontractuelles prises à la demande de celui-ci ; ou

☒ Le client a donné son consentement au traitement de ses données personnelles pour une ou des finalités spécifiques ; ou

☐ Autre : __________________________________________

Registre des activités de traitement de Locomotive en qualité de sous-traitant

Nom et coordonnées du sous-traitant

Mercury SAS, 10 rue de Penthièvre, 75008 Paris

Nom et coordonnées du DPO du sous-traitant

DPO, Mercury SAS, 10 rue de Penthièvre, 75008 Paris, [email protected]

Nom et coordonnées du responsable du traitement

Voir informations de contact du bon de commande, ou de la notification numérique de Mise en Service

Catégories de traitements effectués pour le compte du Client

Voir section 2.3 ci-dessous

Pays extérieurs à l’Espace Economique Européen vers lesquels Locomotive transfert les données personnelles traitées pour le compte du Client et documents attestant de l’existence de garanties appropriées pour ces transferts

Voir section 3.2 ci-dessous

Description générale des mesures de sécurité techniques et organisationnelles appliquées pour la protection des traitements et des données

Voir sections 4.5 ci-dessous

Catégories de traitements effectuées pour le compte du Client

Cette section liste les traitements effectués par Locomotive :

Gestion des SMS entrants et sortants
Gestion des demandes entrantes de particuliers vers le Webchat et début de conversation SMS
Gestion des redirections d'appels et début de conversation SMS - Réceptionniste V1
Gestion des appels manqués et début de conversation SMS - Réceptionniste V2
Gestion d'envois automatiques de SMS via export de données (CSV, Excel), SFTP, et connexions avec des ERP et CRM

Le schéma suivant décrit les flux de données et les traitements concernant la gestion des SMS entrants et sortants :

Mesures de conformité « dès la conception » de la plateforme et du Webchat Locomotive

Afin d‘aider le Client à respecter ses propres obligations, Locomotive a mis en place les mesures suivantes :

Cette politique peut être remise aux autorités de protection et aux Particuliers pour leur fournir une assurance raisonnable quant à la conformité des services de Locomotive ;
Des fonctionnalités sont mises en place sur la plateforme, permettant d’assurer que les collaborateurs du Client ne traiteront pas les données personnelles chargées sur la plateforme ni n’enverront de SMS sans déclarer avoir une base légale adéquate pour ce faire ;
A conditions que le Client respecte ses obligations de responsable du traitement, le contenu des messages SMS pré-rédigés sont conformes au RGPD ;
En cas d’appels manqués :

Le Particulier accepte formellement d’être contacté par SMS dans le cadre de la relation-client, ou
Des fonctionnalités de la plateforme permettent de vous assurer que vos collaborateurs ne traiteront pas les données personnelles chargées sur la plateforme ni n’enverront de SMS sans déclarer avoir une base légale adéquate pour ce faire.

Limitation du périmètre des traitements de données aux instructions du Client

Les instructions relatives aux traitements de données personnelles confiés à Locomotive lui sont communiquées par le Client via :

Les CGV de Locomotive ;
La présente politique ;
Toute communication écrite ultérieure à la remise des CGV et de la présente politique, portant explicitement sur le traitement de données personnelles des Particuliers, faite par le Client à Locomotive.

Traitements de données réalisés par Locomotive en qualité de responsable du traitement

Locomotive peut traiter les données personnelles des Particuliers aux fins de réaliser des statistiques d’utilisation de sa plateforme. Ces traitements permettent à Locomotive d’améliorer ses offres et les fonctionnalités de sa plateforme, dans le respect du principe de minimisation des données.

Dans ce cadre, les données personnelles des Particuliers sont agrégées et pseudonymisées dans la mesure où seules des informations quantitatives et statistiques sont extraites/utilisées pour cette finalité d’analyse statistique et commerciale.

Les équipes de Locomotive se tiennent à la disposition du Client aux fins d’audit sur place permettant de démontrer que les finalités desdits traitements de données personnelles se limitent à l’utilisation d’informations agrégées et pseudonymisées.

Les transferts de données réalisées par Locomotive

Les sous-traitants de Locomotive

Afin de fournir ses prestations et permettre au Client de poursuivre de façon efficace et sécurisée les finalités de traitements listées à la section 2.1 ci-dessus, Locomotive a recours à des prestataires de services dont certains réalisent des traitements de données des Particuliers. Locomotive s’assure que ces prestataires, agissant en qualité de sous-traitants ultérieurs, fournissent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles conformes aux RGPD et de nature à protéger adéquatement les droits et libertés des Particuliers.

Pour ce faire, Locomotive a obtenu de ces sous-traitants ultérieurs qu’ils s’engagent contractuellement à mettre en œuvre lesdites mesures techniques et organisationnelles.

Le tableau ci-dessous fournit une liste de ces sous-traitants, une description des services fournis à Locomotive par ces sous-traitants et la documentation contractuelle relative à la conformité des relations de Locomotive avec ces sous-traitants.

Sous-traitant	Données traitées des clients finaux	Services	Convention de sous-traitance de données
Amazon Web Services, Inc. (AWS) ^[a]	Toutes les données	Hébergement et maintenance de la plateforme d’exécution de l’application Locomotive : maintenance des serveurs, systèmes d’exploitation, et infrastructure de la plateforme Locomotive (PaaS)	DPA (DPA)
Crunchy Data Solutions, Inc. (Crunchy Data)	Toutes les données	Moteur et hébergement des bases de données	DPA (DPA)^[b]^[c]^[d]
Datadog ^[e]^[f]	Toutes les données	Surveillance en temps réel des bases de données, serveurs web de la plateforme Locomotive (SaaS), traçage, identification des bugs et erreurs de la plateforme Locomotive (SaaS)	DPA (DPA)
Functional Software, Inc. (Sentry.io)	Toutes les données	Traçage, identification et résolution des bugs et erreurs de la plateforme Locomotive (SaaS)	Data Processing Addendum (Data Processing Addendum)
Cloudflare, Inc.	Toutes les données	Services de sécurité, de performance, de fiabilité, de protection contre les attaques, et d'accélération du contenu pour l'application Locomotive (SaaS)	DPA (DPA)
Peaberry Software Inc. (Customer.io) ^[g]	Toutes les données	Envoi de notifications mail aux utilisateurs de Locomotive (personnel du Client et non des Particuliers)	DPA (DPA)
Cloudinary ^[h]	Uniquement les documents internes au Client et échangés entre le Particulier et le Client	Stockage de documents	DPA (DPA)
Stripe, Inc.	Uniquement coordonnées rentrées par le Particulier lors des paiements	Prestation de paiements utilisée pour le service de paiements Locomotive	DPA (DPA)
Speechmatics	Uniquement données de messages vocaux, uniquement en transit (non stockées)^[i]^[j]	Transcription de messages vocaux	Non applicable
Amplitude	Données anonymes pour le prestataire	Traçage, identification et résolution des bugs et erreurs de la plateforme Locomotive (SaaS)	Non applicable
OVH	Données exportées par le Client	Stockage temporaire sécurisé de fichiers d’exports réalisés par le Client de son progiciel de gestion	DPA (DPA)
Sinch	Tous les données^[k]	Envoi et réception de SMS, voix	DPA (DPA^[l])
Mailgun	Toutes les données	Envoi de notifications mail aux utilisateurs de Locomotive (personnel du Client et non des Particuliers)	Mailgun Data Processing Agreement^[m]
Twilio	Tous les données	Envoi et réception de SMS, voix ETL, collection et routage de données entre les outils de la plateforme Locomotive (SaaS)	Data Processing Addendum (Data Processing Addendum)

^[n]

La liste des sous-traitants supplémentaires de Locomotive qui ne traitent que des données personnelles du personnel du Client (et non des Particuliers) et/ou vis-à-vis desquels Locomotive agit en qualité de responsable du traitement, est disponible ici.

Les transferts de données personnelles en dehors de l’Espace Economique Européen réalisés par Locomotive ou ses sous-traitants

Le personnel de Locomotive accède aux données personnelles des Particuliers uniquement depuis l’Espace Economique Européen.

Cependant, comme indiqué plus haut, Locomotive transfert des données personnelles à des sous-traitants ultérieurs dont certaines sociétés, certains employés ou leurs propres sous-traitants peuvent être situés en dehors de l’Espace Economique Européen. Locomotive s’est assurée, dans la mesure du possible et selon les déclarations de ces sous-traitants ultérieurs, que ces derniers :

Soient situés dans des pays dont la législation et les pratiques ont été reconnues par l’Union Européenne comme assurant une protection des données personnelles équivalente à la protection offerte au sein de l’Union Européenne et par le RGPD ; ou

Mettent en œuvre des garanties appropriées afin de respecter les règles du RGPD, en particulier que les Particuliers puissent exercer leurs droits sur leurs données.

Ces transferts de données personnelles en dehors de l’Espace Economique Européen, ainsi que les garanties appropriées que Locomotive peut fournir au client sur demande, sont listés ci-dessus :

Sous-traitant	Pays de destination des données hors Espace Economique Européen	Reconnaissance par l’UE d’une protection équivalente dans le pays de destination	Garanties appropriées pour le transfert
Functional Software, Inc. (Sentry.io)	Etats-Unis d’Amérique	Non	Clauses contractuelles types
Cloudflare	Etats-Unis d’Amérique	Non	Clauses contractuelles types ^[o]
Cloudinary ^[p]	Etats-Unis d’Amérique	Non	Clauses contractuelles types
Sinch	Etats-Unis d’Amérique	Non	Clauses contractuelles types^[q]
Speechmatics	Etats-Unis d’Amérique	Non	Clauses contractuelles types
Mailgun	Etats-Unis d’Amérique	Non	Clauses contractuelles types
Twilio	Etats-Unis d’Amérique	Non	Clauses contractuelles types
Stripe, Inc.	Etats-Unis d'Amérique	Non	Clauses contractuelles types

Mesures juridiques, organisationnelles et techniques mises en œuvre par Locomotive

Les garanties de confidentialités des données et les restrictions d’accès aux données

Locomotive met en œuvre des mesures juridiques, organisationnelles et techniques pour s’assurer que :

Les données des Particuliers sont traitées par le personnel de Locomotive dans la plus stricte confidentialité et ne sont communiquées à aucun tiers non-autorisé, par le biais de leur contrat de travail dont copie ci-dessous :

Excepté les traitements d’analyse statistique, les accès du personnel à ces données sont limités aux strictes nécessités de fourniture des prestations de Locomotive au Client, selon la matrice d’accès suivante :

Fonction	Finalité de l’accès
Commerciaux	Lancement, formation, dépannage
Equipe support	Support technique et opérationnel
Equipe produit	Analyses statistiques sur des données pseudonymisées
Développeurs	Résolutions des anomalies

L’assistance à l’exercice des droits des personnes concernées

En principe et compte tenu des prestations fournies, Locomotive n’est pas en contact direct avec les Particuliers et ne reçoit donc pas de demandes d’exercice de droits de leurs parts. Toutefois, si un tel cas survenait, Locomotive en informerait par écrit immédiatement le Client.

Dans le cas où le Client recevait une demande d’exercice des droits d’un Particulier pour des données traitées par Locomotive, il doit en informer Locomotive qui lui fournira toute l’assistance nécessaire pour répondre à cette demande de façon satisfaisante. A cet effet, les instructions de travail suivantes ont été communiquées à l’ensemble des employés de Locomotive :

Réception et transmission de la demande au Délégué à la Protection des Données de Locomotive

Quiconque reçoit une demande du Client concernant l’accès, la rectification, la suppression, la limitation des traitements, l’opposition à un traitement, la portabilité des données d’un Particulier, en informe et transfère immédiatement la demande au Délégué à la Protection des Données de Locomotive.

A réception de la demande par le Délégué à la Protection des Données, ce dernier en accuse réception auprès du Client.

Collecte des informations nécessaires

Le Délégué à la Protection des Données s’assure auprès du Client d’avoir obtenu toutes les informations nécessaires au traitement de la demande, en particulier :

Nom et prénom du Particulier
Numéro de téléphone du Particulier
Objet de la demande du Particulier

Traitement de la demande

Le Délégué à la Protection des Données donne instruction à l’équipe des développeurs d’identifier l’ensemble des données personnelles du Particulier ayant effectué la demande et concernées par cette demande. Les développeurs communiquent toute information quant à ces données au Délégué à la Protection des Données qui les analyse et décide, en collaboration avec les développeurs, du moyen technique adéquat pour répondre à la demande.

Le Délégué à la Protection des Données donne instruction aux développeurs de mettre en œuvre les opérations nécessaires pour répondre à la demande.

Résultat du traitement de la demande et communication avec le Client

Type de demande	Opération	Preuve à communiquer au Client
Demande d’accès	Listing des catégories de données et extraction des données	Fichier des catégories de données et des données, si nécessaire avec capture d’écran
Demande de rectification	Modification des données et extraction des données modifiées	Fichier des données rectifiées, si nécessaire avec capture d’écran
Demande de suppression ou d’opposition	Suppression des données au sein des applications et demande de suppression de la base de données auprès de l’hébergeur (sous-traitant ultérieur), dans le périmètre de la demande	Déclaration écrite et signée de suppression La même procédure est suivie pour la suppression des données des Particuliers à l’expiration des durées des traitements indiqués à la section 2.1 de la présente politique
Demande de limitation	Modification des traitements et extraction des données traitées après modification des traitements	Fichier des données dont les traitements sont limitées, si nécessaire avec capture d’écran

La notification et l’assistance à la mise en œuvre de mesures correctives relatives aux violations de données

Afin de notifier le Client dans les meilleurs délais de tout incident de sécurité pouvant donner lieu à une violation de données personnelles, la Direction de Locomotive a donné les instructions suivantes au DPO, au CTO et aux développeurs.

Détection et catégorisation des incidents de sécurité

Tout incident concernant la technique (SI), les matériels, les logiciels, les données, les documents papiers ou les locaux, doit donner lieu à une alerte immédiate du DPO et du CTO.

Lors de la déclaration d’un incident, le CTO analyse l’ensemble des informations relatives à l’évènement et vérifie s’il correspond à l’une des menaces de la liste suivante :

Menaces	Exemples matérialisant les menaces
Perte de disponibilité des services (déni de service, pannes, bugs, alimentation électrique, etc)	Panne serveurs, panne ligne telecom, panne d’un équipement réseau, coupure électrique, saturation de ligne, verrouillage de compte, etc.
Sécurité logique
Accès ou tentatives d’accès non autorisé à une information ou un système d’information (vol de compte sur un système, abus de droits, intrusion, écoute passive du réseau, vol de données, etc.)	Intrusion logique, usurpation de comptes
Divulgation malveillante ou involontaire et sans autorisation d’une donnée confidentielle ou sensible (mot de passe, clé de chiffrement)	Problème de confidentialité, communication de données confidentielles à des personnes ou tiers non habilités.
Altération (modification non autorisée ou destruction) d’une information/donnée ou d’un système d’information (configuration, logiciel, etc.)	Suppression de données à tort (volontaire ou non), renommage de fichiers, modifications non autorisées
Code malveillant	Vers, virus, malware, ransomware, etc
Faille 0Day	Divulgation d'une faille de sécurité majeure
Sécurité physique
Accès ou tentative d’accès non autorisé aux locaux	Intrusion physique sur un site.
Détérioration volontaire ou non d’un équipement critique ou de sécurité	Fuite d’eau, arrêt d’un équipement à tort, erreur de manipulation d’un équipement, détecteurs sécurité
Perte ou vol d’un équipement ou support de stockage (électronique ou papier)	Vol de PC, perte de téléphone mobile, perte de documents sensibles clients (papier ou fichiers)

Si l’incident de sécurité consiste uniquement en une perte de disponibilité (sans aucune possibilité d’atteinte à l’intégrité ou la confidentialité des données) de moins de 4h, l’incident ne donne pas nécessairement lieu à une notification du Client.

Dans les autres cas et si l’incident de sécurité porte sur des documents physiques, applications, fichiers ou bases de données contenant des données personnelles des Particuliers, le DPO et le CTO appliquent les instructions qui suivent.

Notification de la violation de données personnelles

Le CTO et DPO de Locomotive communiquent par écrit, dans les plus brefs délais, les informations suivantes au Client :

La nature de l’incident de sécurité et si possible, les catégories et le nombre approximatif de Particuliers concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données personnelles concernés ;

Les conséquences probables de la violation de données ;

Les mesures prises ou à prendre pour remédier à la violation de données personnelles.

Remédiation de la violation de données personnelles

En collaboration avec le Client, des actions immédiates doivent être prises pour identifier l’origine de l’incident, limiter le périmètre exposé à l’incident et rétablir le plus rapidement possible les systèmes impactés

Les équipes intervenant sur le traitement immédiat de l’incident doivent donc :

Tenir une chronologie précise des éléments observés et des mesures prises ;
Identifier l’ensemble des éléments impactés par l’incident ;
Regrouper les sauvegardes nécessaires à la restauration éventuelle des systèmes ;
Elaborer un plan d’action en concertation avec le CTO et le DPO et le Client afin de résoudre l’incident tout en essayant de limiter dans la mesure du possible l’impact sur la production ;
Restaurer les postes ou serveurs impactés afin d’être en mesure d’assurer un retour à la version la plus récente.

Une fois l’incident traité, le CTO, le DPO et le Client pourront mener une analyse approfondie afin de déterminer les actions correctives et préventives à mettre en place à moyen-long terme afin d’éviter le renouvellement d’un incident du même type.

L’information et l’assistance à la mise en œuvre d’analyses d’impacts

Dès lors que le Client déclare confier à Locomotive traitements de données sensibles, le Délégué à la Protection des Données l’informe de la nécessité, pour le Client, d’avoir à mener des analyses d’impact conformes au RGPD et au référentiel de la CNIL (lien).

Dans tous les cas, Locomotive se tient à la disposition du Client afin de l’assister dans la réalisation d’analyse d’impact qu’il considèrerait nécessaire.

Mesures de sécurité techniques et organisationnelles mises en œuvre par locomotive

Périmètre des mesures de sécurité mises en œuvre par les équipes de Locomotive elle-même : poste de travail, accès aux applications (serveurs etc.), accès du matériel de Locomotive.

Périmètre des mesures de sécurité mises en œuvre par Locomotive avec l’assistance de ces sous-traitants :

Locomotive a mis en place une politique de gestion des mots de passe adaptée à la matrice d’accès indiquée à la section 4.1.

Tout support électronique et tout logiciel sur lequel des données personnelles sont stockées est régulièrement mis à jour et protégé contre les malware et l’accès non-autorisé.

Les données personnelles ne sont pas stockées au sein d’environnements accessibles aux tiers et qui ne font pas l’objet d’une autorisation de Locomotive.

Les mesures de sécurité adéquates (ex : pare-feu etc..) sont en place à l’interface entre les environnements accessibles aux tiers et les zones de stockage de l’entreprise, ainsi que des mesures de lutte contre les attaques virtuelles menaçant la sécurité des données ;

Les données personnelles sont supprimées à l’aide de méthodes adéquates. La suppression des données personnelles stockées dans un environnement électronique doit avoir pour effet de rendre impossible toute récupération des données par Locomotive. Les données personnelles faisant l’objet d’un stockage physique (documents etc.) sont détruites par l’emploi des méthodes ou équipements adéquats (broyeur etc.).^[r]

[a]Stockage uniquement FR

[b]Est-ce que les données sont uniquement stockées en UE ?

[c]Ticket support envoyé à Crunchy

[d]Données stockées en France

When you create a cluster on Crunchy Bridge, you have the opportunity to specify a region in which to provision it. In your case, all three of your database clusters (loco-cluster-db-crunchy, its replica, and leadgen-db) are all three in the AWS eu-west-3 region, in Paris.

[e]Stockage uniquement UE

[f]Yes, la region de stockage dépend de notre "région datadog" associée au TLD de `app.datadoghq` et nous c'est `app.datadoghq.eu`

https://www.datadoghq.com/privacy/#:~:text=Location%20of%20data -> https://docs.datadoghq.com/getting_started/site/#access-the-datadog-site

[g]Stockage uniquement UE

[h]Hosting pas possible en UE hors Entreprise plan super cher => Idéalement on migre sur AWS

[i]Données sont stockés pendant 7 jours (mais on pourrait demander à Speechmatics de les supprimer direct dès la transcription)

[j]Terms of Service: https://www.speechmatics.com/legal/terms-of-service

[k]Demandé ce jour à Sinch de supprimer les données au bout de quelques jours

[l]Leur demander : le DPA ou garantie d’un traitement en transit uniquement

[m]Le DPA est à signer ici puis à mettre en hyperlien dans le tableau si possible, sinon citer l’intitulé du DPA.

[n]Pour plus tard :

Google LLC (Firebase Cloud Messaging)

Toutes les données, uniquement en transit (non stockées)

Envoi de notifications mobile aux utilisateurs de Locomotive (personnel du Client et non des Particuliers) connectés sur un smartphone Android

Firebase Data Processing and Security Terms

(Firebase Data Processing and Security Terms - https://firebase.google.com/terms/data-processing-terms)

---

Apple

Toutes les données, uniquement en transit (non stockées)

Envoi de notifications mobile aux utilisateurs de Locomotive (personnel du Client et non des Particuliers) connectés sur un smartphone iOS

Non applicable

https://blog.davidlibeau.fr/push-notifications-are-a-privacy-nightmare/

[o]https://www.cloudflare.com/trust-hub/gdpr/

[p]Hosting pas possible en UE hors Entreprise plan super cher => Idéalement on migre sur AWS

[q]Leur demander

[r]A modifier / corriger / compléter, en accord avec les mesures de sécurité réellement mises en œuvre par Locomotive. Puis à me fournir pour revue.