Aperçu général
Le Règlement général sur la protection des données (RGPD) s'applique à tout traitement de données personnelles de personnes situées dans l'Espace économique européen (EEE), quel que soit le lieu d'établissement du responsable du traitement. OctoHex traite les données personnelles des utilisateurs professionnels basés dans l'UE et s'engage pleinement à respecter le RGPD.
Notre approche suit les principes fondamentaux du RGPD :
- Licéité, loyauté et transparence — nous traitons les données uniquement sur une base juridique valide et sommes transparents sur leur utilisation
- Limitation des finalités — les données sont collectées pour des finalités déterminées, explicites et légitimes, et ne sont pas traitées ultérieurement d'une manière incompatible avec ces finalités
- Minimisation des données — nous collectons uniquement ce qui est strictement nécessaire pour le service
- Exactitude — nous prenons des mesures raisonnables pour garantir que les données sont exactes et tenues à jour
- Limitation de la conservation — les données ne sont conservées que le temps nécessaire (voir notre calendrier de conservation)
- Intégrité et confidentialité — des mesures techniques et organisationnelles appropriées protègent les données contre le traitement non autorisé, la perte et la destruction
- Responsabilité — nous tenons des registres de nos activités de traitement et sommes en mesure de démontrer notre conformité
Responsable du traitement
Aux fins du RGPD, le responsable du traitement est :
Service professionnel d'anti-démarrage d'ECU
E-mail : privacy@octohex.com
Contact pour la protection des données : dpo@octohex.com
Lorsque nous agissons en tant que sous-traitant pour votre compte (par exemple, lors du traitement des données du véhicule que vous téléchargez), nous nous engageons à traiter ces données uniquement selon vos instructions documentées et conformément à l'Art. 28 du RGPD.
Base juridique du traitement
| Activité de traitement | Base juridique | Article du RGPD |
|---|---|---|
| Création et gestion de compte | Exécution d'un contrat | Art. 6(1)(b) |
| Traitement des commandes d'ECU | Exécution d'un contrat | Art. 6(1)(b) |
| Envoi d'e-mails transactionnels (statut de commande, vérification) | Exécution d'un contrat | Art. 6(1)(b) |
| Maintien des registres d'audit de commande | Obligation légale + Intérêts légitimes | Art. 6(1)(c) + 6(1)(f) |
| Détection de la fraude et prévention des abus | Intérêts légitimes | Art. 6(1)(f) |
| Réponse aux ordonnances juridiques ou demandes d'application des lois | Obligation légale | Art. 6(1)(c) |
Nous ne nous appuyons pas sur le consentement comme base juridique pour nos activités de traitement principales. Si un consentement est obtenu (par exemple pour des communications marketing facultatives, si elles sont introduites à l'avenir), il sera documenté séparément, donné librement, spécifique, éclairé et univoque — et pourra être retiré à tout moment sans affecter l'accès au service.
Droits des personnes concernées
Vous pouvez exercer l'un des droits suivants en nous contactant à l'adresse privacy@octohex.com. Nous accuserons réception de votre demande sous 72 heures et y répondrons dans un délai de 30 jours calendaires. Les demandes complexes ou multiples peuvent faire l'objet d'une prolongation de deux mois supplémentaires, avec notification préalable.
| Droit | Ce que cela signifie | Limites |
|---|---|---|
| Accès (Art. 15) | Obtenir une copie de toutes les données personnelles que nous détenons à votre sujet, ainsi que des détails sur la manière dont elles sont traitées | Nous pouvons masquer les données relatives à des tiers |
| Rectification (Art. 16) | Corriger des données personnelles inexactes ou incomplètes | Ne peut pas modifier les registres d'audit requis par la loi |
| Effacement (Art. 17) | Demander la suppression de vos données personnelles ("droit à l'oubli") | Les journaux d'audit de commande sont conservés pour conformité légale ; les dossiers financiers sont conservés pendant 5 ans |
| Limitation (Art. 18) | Demander que nous limitions le traitement pendant la résolution d'un litige | La fonctionnalité du compte actif peut être affectée |
| Portabilité (Art. 20) | Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (JSON/CSV) | S'applique aux données que vous nous avez fournies et traitées par des moyens automatisés |
| Opposition (Art. 21) | Vous opposer au traitement basé sur des intérêts légitimes | Nous cesserons le traitement à moins que nous puissions démontrer des motifs légitimes et impérieux |
| Retrait du consentement (Art. 7) | Retirer votre consentement lorsqu'il s'agit de la base juridique du traitement | N'affecte pas la licéité du traitement antérieur |
Comment soumettre une demande
- Envoyez un e-mail à privacy@octohex.com avec pour objet : "Demande RGPD — [Votre adresse e-mail enregistrée]"
- Indiquez clairement le droit que vous exercez
- Nous pouvons vous demander de vérifier votre identité avant de traiter la demande
- Les demandes sont gratuites, sauf si elles sont manifestement infondées ou excessives
Droit de déposer une plainte
Si vous estimez que nous n'avons pas traité vos données conformément au RGPD, vous avez le droit de déposer une plainte auprès de votre autorité de contrôle nationale. En France, il s'agit de la CNIL (cnil.fr). En Allemagne, contactez votre Datenschutzbeauftragter compétent. Une liste complète des autorités de contrôle de l'UE est disponible sur edpb.europa.eu.
Transferts internationaux de données
Notre objectif est de stocker et de traiter toutes les données personnelles au sein de l'Espace économique européen (EEE). Lorsque nous utilisons des infrastructures ou des sous-traitants en dehors de l'EEE (par exemple des services cloud basés aux États-Unis), nous garantissons une protection adéquate par le biais d'un ou de plusieurs des mécanismes suivants :
- Des Clauses contractuelles types (CCT) approuvées par la Commission européenne (Décision 2021/914)
- La certification au Cadre de protection des données UE-États-Unis le cas échéant
- Des décisions d'adéquation émises par la Commission européenne
Vous pouvez demander une copie des garanties de transfert applicables en contactant privacy@octohex.com.
Sous-traitants
Nous faisons appel aux sous-traitants suivants qui peuvent traiter des données personnelles pour notre compte :
| Sous-traitant | Finalité | Emplacement | Garantie |
|---|---|---|---|
| Fournisseur d'hébergement cloud | Infrastructure serveur, hébergement de base de données | UE (principalement) | Accord de traitement des données (DPA) / CCT |
| PayPal (Europe) S.à r.l. | Traitement des paiements | Luxembourg / UE | Entité de l'UE — le RGPD s'applique directement |
| NOWPayments | Traitement des paiements en crypto-monnaie | International | CCT + DPA |
| Service de distribution d'e-mails | E-mails transactionnels (vérification de compte, notifications de commande) | UE / EEE | DPA |
Nous effectuons une vérification préalable de tous les sous-traitants avant leur engagement et maintenons des accords écrits de traitement des données (DPA) avec chacun d'eux. Nous vous informerons de tout ajout de nouveau sous-traitant susceptible d'affecter matériellement vos données.
Politique de violation de données
En cas de violation de données personnelles, nous suivons les procédures requises par les Art. 33 et 34 du RGPD :
- Détection : Nous maintenons une surveillance et des alertes pour détecter rapidement les violations potentielles
- Évaluation : Les violations sont évaluées en termes de gravité, d'étendue et de probabilité de préjudice dans les 24 heures suivant leur découverte
- Notification à l'autorité de contrôle : Le cas échéant, nous notifions l'autorité de contrôle compétente dans les 72 heures après avoir pris connaissance de la violation, à moins que celle-ci ne soit pas susceptible de présenter un risque pour les droits et libertés des personnes physiques
- Notification aux personnes concernées : Lorsqu'une violation est susceptible d'entraîner un risque élevé pour vos droits et libertés, nous vous en informerons directement et dans les meilleurs délais, en décrivant la nature de la violation, ses conséquences probables et les mesures prises
- Documentation : Toutes les violations, y compris celles ne nécessitant pas de notification, sont documentées en interne
Pour signaler un incident de sécurité suspecté, contactez security@octohex.com immédiatement.
Analyse d'impact relative à la protection des données (AIPD)
Nous avons réalisé une analyse d'impact relative à la protection des données pour nos activités de traitement de base, en particulier concernant le traitement des fichiers binaires d'ECU, qui peuvent être considérés comme des données techniques sensibles relatives aux systèmes de sécurité des véhicules.
Principales conclusions et mesures d'atténuation de notre AIPD :
- Risque : Les fichiers ECU pourraient théoriquement être utilisés pour identifier un véhicule spécifique
Atténuation : Les fichiers sont supprimés immédiatement après le traitement ; seul un hachage SHA-256 est conservé à des fins d'audit - Risque : Les registres d'audit contenant des adresses IP et des détails sur les véhicules
Atténuation : Accès strictement limité au personnel autorisé ; registres conservés uniquement pendant la période minimale requise par la loi - Risque : Interception des données de paiement
Atténuation : Aucune donnée de carte n'est stockée sur nos serveurs ; toute la gestion des paiements est déléguée à des processeurs certifiés conformes PCI-DSS
Délégué à la protection des données (DPO)
Bien que cela ne soit pas légalement obligatoire pour toutes les organisations, OctoHex a désigné un contact pour la protection des données pour toutes les demandes relatives au RGPD :
E-mail : dpo@octohex.com
Objet du message : "RGPD — [nature de la demande]"
Délai de réponse : Sous 5 jours ouvrés
Pour les questions générales de confidentialité, consultez notre Politique de confidentialité. Pour les questions relatives à vos droits, consultez la section Droits des personnes concernées ci-dessus.