Accord sur le traitement des données

Stand : 18 juin 2024

Accord sur le traitement des données conformément à l'art. 28 RGPD

  1. Objet et durée de l'accord
    1. Objet
      • Le présent contrat de traitement des données (" DPA ") est conclu entre Smoobu GmbH (" Smoobu ", " Processeur ", " Contractant ") et une société en tant qu'utilisateur de la Plateforme Smoobu et de ses services (" Utilisateur ", " Client ", " Contrôleur "), les détails des parties étant exposés dans le Contrat principal et les CG applicables au Contrat de Plateforme SaaS pour la fourniture de services numériques (" CG ") par Smoobu. Le présent DPA constitue un complément au Contrat principal, dans la mesure où il y est incorporé par référence, définit les droits et obligations du Client et de Smoobu et s'applique à tous les services exécutés et décrits dans le Contrat principal et fournis par Smoobu au Client.
      • Le présent RGPD s'applique dans la mesure où le Client utilise les services numériques (y compris les sites web et les applications mobiles) de Smoobu sur la Plateforme ou Smoobu traite des données à caractère personnel conformément aux instructions du Client, y compris les données à caractère personnel fournies au Contractant par le Client ou en son nom, dans le but de fournir des services dans le cadre du Contrat principal. Si aucune des conditions susmentionnées ne s'applique, le présent DPA ne s'applique pas.
      • Si d'autres lois locales auxquelles le client est soumis exigent des précautions supplémentaires en matière de protection des données dans le cadre de l'exécution du contrat principal, qui ne sont pas mentionnées ou suffisamment décrites dans le DPA, les parties prendront ces précautions, à condition que le client en informe le contractant suffisamment à l'avance et que le contractant puisse les mettre en œuvre économiquement et techniquement après examen.
    2. La durée
      • La durée du présent DPA ("durée") correspond à la durée de l'accord principal. Le contractant traite les données à caractère personnel du client pendant la durée de la fourniture des services et, par la suite, jusqu'à ce que les données soient supprimées ou renvoyées conformément à une instruction correspondante. L'annulation ou toute autre forme de résiliation de la relation contractuelle principale entraîne la résiliation simultanée du présent DPA.
      • Nonobstant le paragraphe précédent, le présent DPA s'applique aussi longtemps que le contractant traite les données à caractère personnel du client (y compris les copies de sauvegarde, etc.). En tant que mesure nécessaire pour garantir l'intégrité et la disponibilité des données, le contractant peut conserver des copies de sauvegarde des données à caractère personnel du client même après la fin de la prestation des services. Le contractant veillera à ce que ces données personnelles ne soient pas utilisées activement et que leur accès soit strictement limité.
    3. Annulation
      • Le client peut résilier le présent DPA avec effet immédiat si le contractant ou l'un de ses sous-traitants enfreint les dispositions du présent DPA ou les lois pertinentes en matière de protection des données.
      • Le contractant peut résilier le présent DPA si le client s'oppose à un sous-traitant que le contractant juge nécessaire à la fourniture des services ou si le client émet une instruction que le contractant juge impossible à mettre en œuvre.
    4. Définitions
      • Aux fins du présent DPA, les termes "mesures techniques et organisationnelles appropriées", "responsable du traitement", "données à caractère personnel", "violation de données à caractère personnel", "traitement", "sous-traitant" et "autorité de contrôle" (ou des termes équivalents) ont chacun la signification qui leur est donnée dans la législation applicable en matière de protection des données.
      •  Les lois sur la protection des données pertinentes  sont (i) le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ("GDPR") ; (ii) le règlement (UE) 2016/679 du Royaume-Uni ("GDPR UK"), les références au GDPR s'entendant comme des références aux dispositions correspondantes du GDPR UK ; (iii) la législation nationale qui complète le RGPD et réglemente le traitement des données à caractère personnel.
      • Les données personnelles du client comprennent toutes les données personnelles, y compris les données du client et de ses clients, utilisant les services du client ("client") traitées par le contractant conformément aux instructions dans le but de fournir les services, y compris les données personnelles fournies au contractant par le client ou en son nom. Pour éviter toute ambiguïté, les données personnelles du client n'incluent pas (i) les données personnelles dont le contractant disposerait indépendamment de l'utilisation des services par le client, en particulier les données de trafic provenant de tiers, telles que les informations techniques liées aux appareils utilisés (adresse IP, ID de cookies, autres métadonnées) (le cas échéant) et (ii) les informations statistiques agrégées qui ne constituent pas des données personnelles.
      • Instruction désigne une instruction concernant la portée et la manière du traitement des données à caractère personnel du client que le client donne au contractant sous quelque forme que ce soit, telle que, mais sans s'y limiter, certaines dispositions de l'accord principal et du présent DPA, des ordres écrits du client, des courriels ou des paramètres sur la plate-forme fournis au client par le contractant.
      • Un Sous-Traitant est un tiers chargé par le Contractant du traitement des données qui a accès aux données du Client en tant que sous-traitant ou qui les traitera conformément aux instructions données.
      • Les Clauses contractuelles types (CCN) sont les Clauses contractuelles types approuvées par la Commission européenne pour le transfert de données à caractère personnel de l'Union européenne vers des pays tiers, telles que modifiées, remplacées, complétées ou annulées de temps à autre, et dont la version complète et actuelle peut être consultée à l'adresse suivante : https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.
      • DPF : le cadre de protection des données UE-États-Unis et/ou le cadre de protection des données Suisse-États-Unis ou tout programme d'autocertification qui lui succède, géré par le ministère américain du commerce et approuvé par la Commission européenne, qui n'a pas été invalidé (et qui, dans chaque cas, comprend l'extension britannique du cadre de protection des données UE-États-Unis et toute autre extension nationale de ce cadre qui étend l'application du cadre de protection des données UE-États-Unis à ce pays).
  2. Spécification du contenu du DPA
    1. L'utilisateur en tant que client et contrôleur charge Smoobu en tant que contractant de traiter les données personnelles du client en tant que sous-traitant conformément aux instructions documentées.
    2. Dans le cadre des obligations générales, le client doit s'assurer et documenter que le contractant peut, dans le but de fournir les services, traiter les données personnelles fournies par le client, y compris les données personnelles de ses clients utilisées par le client, conformément aux instructions du client et dans le respect des lois applicables à un tel traitement. Le client s'assurera que le traitement des données personnelles du client repose sur une base juridique appropriée et fournira aux personnes concernées des informations précises et complètes sur le traitement des données personnelles du client, comme l'exigent les lois sur la protection des données. En conséquence, le client informera ses clients de manière transparente, conformément aux exigences légales pertinentes.

      De plus amples détails peuvent être trouvés dans l'Accord principal et l'Annexe 1.
  3. Mesures techniques et organisationnelles
    1. Le contractant prend toutes les mesures techniques et organisationnelles nécessaires dans son domaine de responsabilité conformément à l'art. 32 RGPD pour protéger les données personnelles et fournira au Client la documentation pour examen, jointe en Annexe 2. Le client peut demander des informations supplémentaires sur les mesures techniques et organisationnelles mises en œuvre par le contractant de temps à autre.

      Si elles sont acceptées par le client, les mesures documentées constituent la base du DPA. Le contractant met en œuvre et maintient les mesures, y compris les mesures de sécurité appropriées, nécessaires pour protéger les données à caractère personnel du client contre l'accès non autorisé ou accidentel, la perte, l'altération, la divulgation ou la destruction, et il aide le client à assurer le respect de ses obligations à cet égard, en tenant compte de la nature du traitement et des informations disponibles. Le contractant doit mettre en place une sécurité conformément à l'art. 28 para. 3 lit. c, 32 RGPD, en particulier en liaison avec l'Art. 5 para. 1, paragraphe 2 du RGPD. Globalement, les mesures à prendre sont des mesures de sécurité des données et des mesures visant à assurer un niveau de protection adapté au risque en ce qui concerne la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes. Il convient de tenir compte de l'état de l'art, des coûts de mise en œuvre, de la nature, de la portée et des finalités du traitement, ainsi que de la probabilité et de la gravité variables du risque pour les droits et libertés des personnes physiques.
    2. Si l'inspection/l'audit du client révèle un besoin d'ajustement, celui-ci est mis en œuvre d'un commun accord.
    3. Les mesures techniques et organisationnelles convenues sont soumises au progrès technique et au développement ultérieur. À cet égard, le contractant est autorisé à mettre en œuvre d'autres mesures adéquates à l'avenir. Ce faisant, le niveau de sécurité des mesures spécifiées ne doit pas être réduit. Le client doit être informé immédiatement de toute modification importante, qui doit être documentée par le contractant.
  4. Droits des personnes concernées
    1. Le contractant soutient le client dans son domaine de responsabilité et, dans la mesure du possible, au moyen de mesures techniques et organisationnelles appropriées, dans la réponse et la mise en œuvre des demandes des personnes concernées en ce qui concerne leurs droits en matière de protection des données. Il ne peut pas fournir d'informations sur les données traitées pour le compte du client, ni les porter, les corriger, les supprimer ou en limiter le traitement sans autorisation, mais uniquement conformément aux instructions documentées du client. Si une personne concernée contacte directement le contractant à cet égard, le contractant transmet cette demande au client sans délai. Le client bénéficie de l'aide du contractant pour répondre aux demandes des personnes concernées et rembourse ensuite les frais encourus par le contractant en conséquence.
    2. S'ils sont couverts par l'étendue des services, les droits à l'information, à la rectification, à la limitation du traitement, à l'effacement et à la portabilité des données sont assurés directement par le contractant conformément aux instructions documentées du client.
  5. Assurance qualité et autres obligations du contractant
    1. Outre le respect des dispositions du présent DPA, le contractant a ses propres obligations légales en vertu du RGPD ; à cet égard, il garantit le respect des exigences suivantes en particulier :
      • Maintenir la confidentialité conformément à l'art. 28 para. 3 phrase 2 lit. b, 29, 32 para. 4 DU RGPD. Lors de l'exécution des travaux, le mandataire ne fait appel qu'à des employés, des collaborateurs, des représentants, des prestataires de services et des sous-traitants qui sont tenus de respecter la confidentialité et qui ont été préalablement informés des dispositions relatives à la protection des données qui les concernent. Le contractant et toute personne subordonnée au contractant ayant un accès autorisé aux données personnelles ne peuvent traiter ces données que conformément aux instructions du client, y compris les autorisations accordées dans le présent DPA, à moins qu'ils ne soient légalement obligés de les traiter.
      • Le client et le contractant coopèrent avec l'autorité de contrôle dans l'accomplissement de ses tâches sur demande.
      • Informer immédiatement le client de toute inspection et de toute mesure prise par l'autorité de contrôle dans la mesure où elles se rapportent à la présente DPA. Il en va de même si une autorité compétente enquête sur le traitement de données à caractère personnel dans le cadre d'une infraction administrative ou d'une procédure pénale relative au traitement de données à caractère personnel par le contractant.
      • Si le client fait l'objet d'une inspection de l'autorité de contrôle, d'une infraction administrative ou d'une procédure pénale, d'une action en responsabilité de la part d'une personne concernée ou d'un tiers, d'une autre action ou d'une demande d'information en rapport avec le traitement commandé au contractant, ce dernier soutient le client au mieux de ses possibilités.
      • Le contractant contrôle régulièrement les processus internes et les mesures techniques et organisationnelles afin de s'assurer que le traitement dans son domaine de responsabilité est effectué conformément aux exigences du droit applicable en matière de protection des données et que la protection des droits de la personne concernée est garantie.
      • Vérification des mesures techniques et organisationnelles prises à l'égard du client dans le cadre de ses pouvoirs de contrôle conformément à la section 8 du présent DPA.
      • Compte tenu du type de traitement et des informations disponibles, le contractant notifie immédiatement au client toute violation de la protection des données à caractère personnel de manière à ce que le client puisse remplir ses obligations légales, en particulier conformément aux articles 33 et 34 du RGPD. 33 ET 34 DU RGPD. Il prépare une documentation sur l'ensemble du processus, qu'il met à la disposition du client pour d'autres mesures.
      • Le contractant soutient le client dans son domaine de compétence et, dans la mesure du possible, dans le cadre des obligations d'information existantes à l'égard des autorités de contrôle et des personnes concernées, et lui fournit sans délai toutes les informations pertinentes dans ce contexte.
      • Le contractant ne communique pas avec les autorités de contrôle, les personnes concernées ou les médias au sujet de violations de données, de réponses à des demandes d'exercice des droits de protection des données ou d'autres incidents relatifs aux données à caractère personnel du client sans les instructions de ce dernier, à moins que les lois sur la protection des données ne l'exigent.
      • Dans la mesure où le client est tenu d'effectuer une analyse d'impact relative à la protection des données conformément à l'article 35 du RGPD, le contractant l'appuie, en tenant compte du type de traitement et des informations dont il dispose. Il en va de même pour toute obligation existante de consulter l'autorité de contrôle compétente en matière de protection des données.
    2. Le présent DPA ne dispense pas le contractant de se conformer aux autres dispositions du RGPD.
  6. Relations de sous-traitance
    1. Les relations de sous-traitance au sens de la présente disposition s'entendent comme les services directement liés à la fourniture du service principal. Cela n'inclut pas les services auxiliaires que le contractant utilise, par exemple les services de télécommunications, les services postaux/de transport, les services de nettoyage ou les services de sécurité. Les services de maintenance et d'essai constituent une relation de sous-traitance s'ils sont fournis pour des systèmes informatiques en rapport avec un service fourni par le contractant dans le cadre du présent DPA. Toutefois, le contractant est tenu de conclure des accords contractuels appropriés et conformes à la loi et de prendre des mesures de contrôle pour assurer la protection et la sécurité des données du client, même dans le cas de services auxiliaires externalisés.

      Le client autorise le contractant à désigner des sous-traitants dans le cadre du traitement des données spécifié dans le présent DPA et accepte que ces sous-traitants mandatent d'autres sous-traitants pour le traitement des données personnelles du client. Le client consent à ce que les sous-traitants secondaires spécifiés à l'annexe 3 soient mandatés sous réserve d'un accord contractuel avec les sous-traitants secondaires conformément à l'article 28, paragraphes 2 à 4, du RGPD. 28 (2-4) RGPD.

      L'accord contractuel sera présenté au client sur demande, à l'exception des clauses commerciales non liées à la loi sur la protection des données.
    2. L'externalisation vers des sous-traitants ou le changement de sous-traitant existant conformément à l'annexe 3 sont autorisés, à condition que
      • le contractant notifie au client cette externalisation ou ce changement de sous-traitant à l'avance de manière appropriée sous forme numérique ou autre conformément à l'annexe 3, dans un délai raisonnable qui ne peut être inférieur à 14 jours, et
      • le client ne s'oppose pas à l'externalisation prévue par écrit ou sous forme de texte au contractant au moment de la transmission des données, et
      • est basé sur un accord contractuel conformément à l'art. 28 (2-4) RGPD.
      • À cette fin, le client s'informera des modifications à intervalles irréguliers sur le site web sur lequel le contractant informe dûment de l'identité et de l'étendue de la commande.
    3. Le transfert de données à caractère personnel du client au sous-traitant et les activités initiales du sous-traitant ne sont autorisés que lorsque toutes les conditions de la sous-traitance ont été remplies. Le respect et la mise en œuvre des mesures techniques et organisationnelles du sous-traitant sont vérifiés avant le traitement des données à caractère personnel, en tenant compte des risques encourus par le sous-traitant, puis régulièrement par le contractant.
    4. Si le sous-traitant fournit le service convenu en dehors de l'UE/EEE, le contractant doit s'assurer que le service est autorisé par la législation sur la protection des données en prenant les mesures appropriées.
  7. Transferts internationaux de données
    1. Tout transfert de données à caractère personnel vers un pays tiers ou vers une organisation internationale nécessite des instructions documentées de la part du Client et requiert le respect des exigences relatives au transfert de données à caractère personnel vers des pays tiers conformément au chapitre V du RGPD.  Le Client autorise le transfert de données vers un pays tiers aux destinataires énumérés à l'annexe 3. Les mesures autorisées par le Client pour assurer un niveau de protection adéquat en vertu des art. 44 et ss. RGPD dans le cadre de la sous-traitance. Ces mesures peuvent notamment inclure la mise en œuvre des clauses types de protection des données (CCP) visées à l'article 46, paragraphe 2, point c), du RGPD ou, comme dans le cas d'un transfert vers un prestataire aux États-Unis, conformément aux règles du DPF.
    2. Si le client demande le transfert de données à des tiers dans un pays tiers, le client est responsable du respect du chapitre V du RGPD.
  8. Droits de contrôle du client
    1. Le client a le droit d'effectuer des contrôles en concertation avec le contractant ou de les faire effectuer par des auditeurs indépendants à désigner au cas par cas. Il a le droit de s'assurer que le contractant respecte le présent DPA dans le cadre de ses activités commerciales pendant les heures de bureau normales, au moyen de contrôles aléatoires qui doivent généralement être notifiés en temps utile. Le client informe le contractant par écrit (un courriel suffit) à l'avance de tout contrôle à effectuer conformément au présent article, en précisant l'étendue, la forme et la contribution souhaitée de la coopération du contractant. En fonction du travail à effectuer, des frais encourus et du degré de perturbation des activités commerciales en cours, le contractant transmet au client un accord de rémunération approprié à l'avance et le facture ultérieurement.
    2. Le contractant veillera à ce que le client puisse s'assurer du respect par le contractant de ses obligations au titre de l'art. 28 RGPD. Le contractant s'engage à fournir au client les informations nécessaires sur demande et, en particulier, à fournir la preuve de la mise en œuvre des mesures techniques et organisationnelles.
    3. La preuve des mesures techniques et organisationnelles visant à respecter les exigences particulières de la protection des données en général ainsi que celles relatives à la commande peut être apportée sur demande écrite expresse du client par l'envoi de rapports correspondants ou d'extraits de rapports d'organismes indépendants (par exemple, auditeurs, audit interne, responsable de la protection des données, service de sécurité informatique, auditeurs de la protection des données, auditeurs de la qualité) sur la base des normes informatiques et de protection des données actuellement reconnues et de mesures économiquement proportionnées.
  9. Autorisation du client à donner des instructions
    1. Pendant la durée du présent DPA, le client peut donner des instructions à Smoobu en tant que contractant. Le contractant ne traite les données à caractère personnel que sur la base d'instructions documentées du client, à moins qu'il ne soit obligé de le faire en vertu du droit de l'État membre ou du droit de l'Union. Le client confirme sans délai ses instructions verbales (au moins sous forme de texte). Les instructions initiales du client sont déterminées par la présente DPA. Si le client donne des instructions supplémentaires au contractant, il doit rembourser au contractant tous les frais encourus à la suite de ces instructions.
    2. Le contractant informe immédiatement le client s'il estime qu'une instruction viole les règles de protection des données ou qu'une instruction spécifique conduit à une violation. Le contractant a le droit de suspendre la mise en œuvre de l'instruction en question jusqu'à ce qu'elle soit confirmée ou modifiée par le client.
    3. À l'expiration du contrat et de la prestation de services au titre de l'accord principal, et sans préjudice des délais légaux de conservation et de suppression des données du client, le client donne par la présente instruction au contractant de supprimer ou de rendre anonymes les données personnelles des clients du client en sa possession dans un délai de 120 jours à compter de l'expiration du contrat, à moins qu'une instruction ou les lois sur la protection des données n'exigent qu'il en soit autrement.
  10. Suppression et restitution des données à caractère personnel
    1. Aucune copie ou duplication des données ne sera créée à l'insu du client. Sont exclues les copies de sauvegarde, dans la mesure où elles sont nécessaires pour assurer un traitement correct des données, ainsi que les données nécessaires pour respecter les obligations légales de conservation.
    2. Après l'achèvement des travaux convenus par contrat ou plus tôt à la demande du client - mais au plus tard à la résiliation du contrat principal - le mandataire remet au client tous les documents, résultats de traitement et d'utilisation et données relatifs à la relation contractuelle qui sont entrés en sa possession ou, avec l'accord préalable, les détruit conformément aux dispositions relatives à la protection des données. Il en va de même pour le matériel d'essai et de rebut. Le protocole de suppression doit être présenté sur demande.
  11. Responsabilité
    1. Le contractant indemnise le client pour tout dommage direct subi par ce dernier à la suite d'une violation du présent DPA, y compris la perte, la divulgation, la destruction ou l'endommagement accidentels de données à caractère personnel du client par le contractant ou l'un de ses sous-traitants, à moins que l'un des événements susmentionnés ne soit dû au respect des instructions du client. Pour éviter toute ambiguïté, les limitations de la responsabilité du contractant énoncées dans l'accord principal ne s'appliquent pas à la présente section.
  12. Dispositions finales
    1. Dans la mesure où d'autres accords sur la protection des données à caractère personnel découlent d'autres accords entre le client et le contractant, la présente DPA sur le traitement commandé prévaut, sauf si les parties en conviennent expressément autrement.
    2. Si une partie du présent DPA est jugée invalide ou inapplicable, le reste du DPA sera interprété de manière à préserver les intentions des parties dans toute la mesure du possible.
    3. Chaque partie peut proposer des modifications au présent DPA qu'elle juge nécessaires en raison des lois sur la protection des données ou d'autres règlements, interprétations, décisions ou lignes directrices. Dans ce cas, les parties coopèrent pour modifier le présent DPA en conséquence.
    4. Sauf si les litiges entre les parties sont réglés à l'amiable, le présent DPA sera interprété et appliqué conformément au droit et par les tribunaux de la République fédérale d'Allemagne, comme le prévoit l'accord principal.
    5. Pour toute question concernant le traitement des données à caractère personnel du client, ce dernier doit contacter le contractant à l'adresse suivante : [email protected].

Version : Juin 2024

Annexe 1 - Champ d'application du traitement

Contrôleur☒  Client
Processeurs☒  Entrepreneur - Smoobu

Description du traitement :

  1. Nature et finalité du traitement prévu des données
    La nature et la finalité du traitement des données à caractère personnel par le contractant pour le client sont spécifiquement décrites dans le contrat de service (contrat principal). Le contractant traite en permanence les données personnelles du client sous forme électronique et peut effectuer les opérations suivantes sur instruction : Collecte, enregistrement, organisation, structuration, stockage, utilisation, divulgation et suppression.
  2. Type de données
    Les types de données suivants font l'objet d'un traitement de données à caractère personnel conformément à l'accord principal et concernent à la fois le client et les clients du client avec lesquels ce dernier entretient une relation juridique :
    • Données de base personnelles
    • Données de communication (par exemple, téléphone, courrier électronique)
    • Activités des personnes concernées dans le cadre des services spécifiés par le client
    • Données de base du contrat (relation contractuelle, produit ou intérêt contractuel) 
    • Historique du client 
    • Données de facturation des contrats
    • Aucune catégorie particulière de données à caractère personnel n'est traitée.
  3. Catégories de personnes concernées
    Les catégories de personnes concernées par le traitement sont les suivantes, conformément au contrat principal :
    • Client
    • Clients du client
    • Employés du client
    • Fournisseurs de services d'intégration et leurs personnes de contact

Annexe 2 - Mesures techniques et organisationnelles

Description des mesures techniques et organisationnelles prises par le contractant, en tenant compte de la nature, de la portée, du contexte et des finalités du traitement, ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes concernées.

Mesures de pseudonymisation et de cryptage des données à caractère personnel :

Selon le type de données à traiter, des exigences de sécurité différentes s'appliquent à chaque catégorie.

Les données personnelles du client (et de ses employés) sont pseudonymisées (et anonymisées si nécessaire) par le contractant, si possible et selon les besoins, conformément à la norme définie par le contractant.

Le contractant utilise des connexions cryptées via VPN pour l'accès à distance, SSL, etc. et utilise des mécanismes d'authentification à plusieurs niveaux lorsque cela est possible. Il veille également à ce qu'il n'y ait pas d'utilisation non autorisée du système en mettant en place l'utilisation de mots de passe sécurisés, des mécanismes de verrouillage automatique après un certain temps, le cryptage des supports de données, l'utilisation d'un pare-feu, le cryptage des ordinateurs portables, la gestion des autorisations des utilisateurs, la création de profils d'utilisateurs et des lignes directrices générales sur la protection des données et l'attribution des mots de passe.

Description des mesures visant à garantir en permanence la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et des services liés au traitement.

Le contractant assume les responsabilités et les procédures de gestion et d'exploitation de toutes les installations de traitement de l'information afin d'assurer un traitement complet, valide et précis des données.

Le contractant veille à ce qu'il n'y ait pas d'accès non autorisé aux systèmes de traitement des données en sécurisant le système à l'aide d'un système d'alarme avec transpondeur ou blocage par code, de serrures de sécurité, de règles d'attribution des clés et d'un règlement stipulant que les visiteurs ne doivent être accompagnés que par des employés.

Description des mesures visant à garantir la disponibilité des données à caractère personnel et l'accès rapide aux données en cas d'incident physique ou technique

Les systèmes du contractant sont conçus pour se défendre contre les attaques courantes ou les prévenir et pour garantir leur disponibilité aux fins de l'exploitation, du contrôle et de la maintenance. À cette fin, le contractant procède régulièrement à des tests de simulation et à des audits pour confirmer que ses systèmes restent disponibles.

La disponibilité et la fiabilité sont contrôlées afin de garantir que la plateforme du contractant reste en ligne avec un minimum d'interruption de service.

Description des mesures visant à garantir un processus d'examen, d'évaluation et d'appréciation réguliers de l'efficacité des mesures techniques et organisationnelles destinées à assurer la sécurité du traitement

Les mesures techniques et organisationnelles, les instructions applicables et les lignes directrices pertinentes sont régulièrement examinées par des prestataires de services externes et par des tests internes.

Le contractant procède à des évaluations régulières des risques, y compris des tests de vulnérabilité, des tests de pénétration internes et externes, des analyses et des vérifications du réseau, du système et du pare-feu. 

Description des mesures d'identification et d'authentification des utilisateurs

Les systèmes du contractant sont alignés sur les normes et pratiques reconnues du secteur et disposent de procédures de communication permettant d'identifier les utilisateurs, ainsi que de solides contrôles des mots de passe et de l'authentification. L'accès au système est enregistré et les administrateurs peuvent gérer les droits des utilisateurs.

Description des mesures prises pour protéger les données à caractère personnel lors de leur transmission et de leur stockage

Le contractant maintient des procédures visant à empêcher l'accès non autorisé ou l'utilisation abusive des informations et utilise, le cas échéant, les meilleures pratiques du secteur, telles que des identifiants uniques pour l'authentification et à des fins de mappage sécurisé lors du transfert et du stockage dans les systèmes de production.

Description des mesures visant à assurer la sécurité physique des lieux où des données à caractère personnel sont traitées

Les locaux du contractant sont protégés sur place par une surveillance vidéo des zones d'entrée et un système d'accès personnalisé pour empêcher les tiers d'y pénétrer.  

Les centres de données utilisés appliquent des droits d'administration stricts et ont des structures de base de données claires, de sorte que chaque client ne peut accéder qu'aux enregistrements de données qui lui sont attribués.

Seules les personnes expressément autorisées et ayant besoin d'informations pour leur travail ont accès aux données personnelles.

Description des exigences en matière d'enregistrement des événements (par exemple, pour l'authentification du client ou la saisie, la modification ou la suppression de données)

La politique de conservation des données du contractant prévoit différentes périodes de conservation et des copies de sauvegarde en fonction de la catégorie de données, y compris des obligations légales ou d'autres exceptions qui exigent la conservation de ces données jusqu'à l'expiration de certaines obligations légales, par exemple à des fins fiscales et comptables. S'il n'est pas possible de détruire les données à caractère personnel, les dispositions de protection pertinentes régissant ces données à caractère personnel continueront de s'appliquer et tout traitement ultérieur cessera.

Annexe 3 - Relations de sous-traitance autorisées

Une liste des sous-traitants qui traitent des données à caractère personnel est présentée sur le site web des sous-traitants   (et sera mise à jour de temps à autre) et le Client confirme par la présente son consentement aux sous-traitants en place lors de la conclusion du Contrat. Le site web des sous-traitants comprend une procédure permettant aux clients de s'inscrire pour recevoir des notifications concernant les nouveaux sous-traitants ou les changements apportés à la liste des sous-traitants. Pour recevoir des mises à jour ou des modifications de cette liste, vous devez vous inscrire via le mécanisme prévu à cet effet.