Accord sur la protection des données
Le Règlement général sur la protection des données (RGPD) de l’UE est un règlement sur la confidentialité et la protection des données dans l’Union européenne qui est entré en vigueur le 25 mai 2018.
Le GDPR de l’UE impose de nouvelles obligations aux organisations qui contrôlent ou traitent des données personnelles et introduit de nouveaux droits et protections pour les citoyens de l’UE.
ORdigiNAL s’engage à veiller à ce que votre vie privée soit protégée, et nous respectons strictement les dispositions de toutes les législations pertinentes en matière de protection des données, y compris la directive GDPR de l’UE et la directive GDPR révisée du Royaume-Uni, en veillant à ce que toutes les données personnelles soient traitées conformément aux principes énoncés dans le règlement qui énoncent.
Le GDPR britannique reflète le GDPR de l’UE mais introduit de nouvelles procédures permettant au Royaume-Uni de prendre ses propres décisions d’adéquation et d’approuver d’autres garanties de transfert spécifiques au Royaume-Uni. La directive GDPR du Royaume-Uni s’aligne étroitement sur la loi sur la protection des données (Data Protection Act) de 2018, plus d’informations sont disponibles ici.
ORdigiNAL s’engage à se conformer au GDPR en tant que processeur de données personnelles et a mis en place un groupe de travail pour diriger notre projet de mise en œuvre du GDPR afin d’assurer la conformité sur une base continue.
1. Définitions
1.1. Aux fins du présent DPA :
« Données à caractère personnel » : toute information se rapportant à une personne physique identifiée ou identifiable (« personne concernée ») ; une personne physique identifiable peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques propres à l’identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne physique ;
« Loi sur la protection des données » : toutes les lois, réglementations et autres exigences légales applicables concernant (a) la protection de la vie privée, la sécurité des données, la protection des consommateurs, le marketing, la promotion, la messagerie textuelle, le courrier électronique et d’autres communications ; et (b) l’utilisation, la collecte, la conservation, le stockage, la sécurité, la divulgation, le transfert, l’élimination et d’autres traitements de toute donnée à caractère personnel ;
L’expression « société affiliée » désigne toute entité qui, directement ou indirectement, contrôle la société, est contrôlée par elle ou est sous contrôle commun avec elle. Aux fins de la présente définition, on entend par « contrôle » la propriété ou le contrôle direct ou indirect de plus de 50 % des intérêts avec droit de vote de l’entité concernée ;
« Services » : tous les services suivants fournis par la Société : (a) les offres de produits portant la marque de la Société et disponibles sur le site web de la Société, (b) les services de conseil ou de formation fournis par la Société à distance via Internet ou en personne, et (c) tous les services d’assistance fournis par la Société, y compris l’accès au service d’assistance de la Société ;
les termes « responsable du traitement des données », « sous-traitant des données », « personne concernée », « données à caractère personnel », « traitement » et « mesures techniques et organisationnelles appropriées » ont la signification qui leur est donnée en vertu de la législation applicable en matière de protection des données.
2. Objet, nature et finalité du traitement des données à caractère personnel par la Société
2.1. L’objet, la nature et la finalité du traitement des données personnelles en vertu du présent DPA sont l’exécution des services par la Société, conformément aux instructions écrites du client dans le cadre de son utilisation des services, à moins que la loi sur la protection des données ne l’exige autrement, auquel cas, dans la mesure permise par la loi sur la protection des données, la Société informera le client de cette exigence légale avant d’effectuer le traitement. La Société ne collectera ou ne traitera les données personnelles pendant la période de prestation des services que dans la mesure et de la manière nécessaires à la fourniture des services et conformément au RGPD et à la loi sur la protection des données applicable à la Société.
3. Durée du contrat
3.1. Le traitement des données à caractère personnel sera effectué par la Société tant que le compte de services du Client existe ou si cela est nécessaire pour l’exécution des obligations et des droits entre la Société et le Client, sauf accord contraire par écrit.
4. Type de données personnelles traitées
4.1. Le client peut soumettre aux services des données personnelles le concernant, dont l’étendue est déterminée et contrôlée par le client à sa seule discrétion, et qui peuvent inclure, sans s’y limiter, les catégories de données personnelles suivantes :
– Informations sur le compte. Lorsque le client s’inscrit à un compte de services, il doit fournir certaines informations telles que son nom et son adresse électronique. Le client peut mettre à jour ou corriger ses informations et ses préférences en matière d’e-mail à tout moment en visitant son compte de services. La Compagnie peut fournir au Client une assistance supplémentaire pour accéder, corriger, supprimer ou modifier les informations que le Client a fournies à la Compagnie et qui sont associées au Compte de Services.
fournies par le Client à la Compagnie et associées au Compte de Services du Client. Pour protéger la sécurité, la Société prend des mesures raisonnables (telles que la demande d’informations juridiques) pour vérifier l’identité du Client avant d’effectuer des corrections. Le Client est responsable du maintien de la confidentialité du mot de passe et des informations de son compte de services à tout moment.
Informations supplémentaires sur le profil. Le client peut choisir de fournir des informations supplémentaires dans le cadre de son profil. Ces informations aident le client à mieux profiter des services. Le client est libre d’inclure ou non des informations sensibles dans son profil.
Autres informations. Le client peut choisir de fournir à la société des informations lorsqu’il remplit un formulaire, effectue une recherche, met à jour ou ajoute des informations à son compte de services, répond à des enquêtes, s’inscrit à des forums communautaires, participe à des promotions ou utilise d’autres fonctions de la plate-forme de services. 3. Obligations de la société
3.1. La Société accepte et/ou garantit
(a) traiter les données personnelles uniquement pour le compte du client et conformément à ses instructions et au RGPD ; si elle ne peut pas assurer cette conformité pour quelque raison que ce soit, elle s’engage à informer rapidement le client de son incapacité à se conformer, auquel cas le client est en droit de suspendre le transfert de données et/ou de résilier les services ;
(b) que toutes les données à caractère personnel traitées pour le compte du client restent la propriété du client et/ou des personnes concernées ;
(c) qu’il n’a aucune raison de croire que la législation qui lui est applicable l’empêche de respecter les instructions reçues du client et ses obligations au titre du RGPD et qu’en cas de modification de cette législation susceptible d’avoir un effet négatif important sur les garanties et obligations prévues par le RGPD, il notifiera rapidement la modification au client dès qu’il en aura connaissance, auquel cas le client est en droit de suspendre le transfert de données et/ou de résilier les services ;
(d) qu’il a mis en œuvre les mesures de sécurité techniques et organisationnelles spécifiées à l’annexe 1 avant de traiter les données à caractère personnel transférées ;
(e) qu’il notifiera rapidement le client à ce sujet :
toute demande juridiquement contraignante de divulgation des données à caractère personnel par une autorité chargée de l’application de la loi, sauf interdiction contraire, telle qu’une interdiction en vertu du droit pénal visant à préserver la confidentialité d’une enquête menée par les autorités chargées de l’application de la loi ;
tout accès accidentel ou non autorisé ; et
toute demande reçue directement de la part des personnes concernées, sans répondre à cette demande, sauf si elle a été autorisée à le faire ;
(f) traiter rapidement et correctement toutes les demandes du client relatives à son traitement des données à caractère personnel faisant l’objet du transfert et se conformer à l’avis de l’autorité de contrôle en ce qui concerne le traitement des données transférées ;
(g) à la demande du client, à soumettre ses installations de traitement des données à un audit des activités de traitement couvertes par le RGPD ;
(h) qu’en cas de sous-traitance, il a préalablement informé le client et obtenu son consentement écrit ;
(i) que les services de traitement par le sous-traitant seront effectués conformément à la section 7 ;
(j) de désigner un délégué à la protection des données, qui exerce ses fonctions conformément à la loi sur la protection des données. Les coordonnées du délégué à la protection des données sont disponibles sur la page web de l’entreprise.
(k) de ne confier le traitement des données décrit dans le présent DPA qu’à des employés qui ont été tenus à la confidentialité et ont été préalablement familiarisés avec les dispositions relatives à la protection des données qui s’appliquent à leur travail. La société et toute personne agissant sous son autorité qui a accès à des données à caractère personnel ne traitera ces données que sur instruction du client, à moins que la loi sur la protection des données ne l’y oblige ;
(l) contrôler périodiquement les processus internes pour s’assurer que le traitement dans le domaine de responsabilité de la Société est conforme aux exigences de la loi sur la protection des données et à la protection des droits de la personne concernée.
5. Obligations des clients
5.1. Le client accepte et/ou garantit
(a) que le traitement, y compris le transfert lui-même, des données personnelles a été et continuera d’être effectué conformément aux dispositions pertinentes de la loi sur la protection des données et ne viole pas les dispositions pertinentes ;
(b) qu’il a donné et donnera pendant toute la durée des services de traitement des données personnelles des instructions à la Société pour qu’elle traite les données personnelles transférées uniquement pour le compte du Client et conformément à la Loi sur la protection des données et au RGPD ;
(c) que la Compagnie fournira des garanties suffisantes en ce qui concerne les mesures de sécurité techniques et organisationnelles spécifiées à l’annexe 1 du présent DPA ;
(d) qu’après évaluation des exigences de la loi sur la protection des données, les mesures de sécurité sont appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la divulgation ou l’accès non autorisé, notamment lorsque le traitement implique la transmission de données sur un réseau, et contre toute autre forme illicite de traitement, et que ces mesures assurent un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger, compte tenu de l’état de l’art et du coût de leur mise en œuvre ;
(e) qu’il veillera au respect des mesures de sécurité ;
(f) à n’accéder aux services et à ne les utiliser qu’à des fins légales, autorisées et acceptables. Le client n’utilisera pas (ou n’aidera pas d’autres personnes à utiliser) les services d’une manière qui : (a) violer, détourner ou enfreindre les droits de la Société, de ses utilisateurs ou d’autres personnes, y compris la vie privée, la publicité, la propriété intellectuelle ou d’autres droits de propriété ; (b) être illégal, obscène, diffamatoire, menaçant, intimidant, harcelant, haineux, racialement ou ethniquement offensant, ou instiguer ou encourager une conduite qui serait illégale, ou autrement inappropriée ; (c) impliquer la publication de faussetés, de déclarations inexactes ou trompeuses ; (d) usurper l’identité de quelqu’un ; (e) impliquer l’envoi de communications illégales ou inadmissibles telles que la messagerie en vrac, la messagerie automatique, la numérotation automatique et autres ; ou (f) impliquer toute autre utilisation des services prescrite dans le présent DPA, sauf autorisation contraire de l’entreprise ;
(g) ne pas accéder (ou aider d’autres personnes à accéder), utiliser, copier, adapter, modifier, préparer des travaux dérivés, distribuer, accorder une licence, accorder une sous-licence, transférer, afficher, exécuter ou exploiter de toute autre manière la plate-forme de services d’une manière inadmissible ou non autorisée, ou d’une manière qui grève, compromet ou nuit à la société, à la plate-forme de services, aux systèmes, aux autres utilisateurs ou à d’autres personnes, y compris le fait que le client ne doit pas, directement ou par le biais de moyens automatisés : (a) faire de l’ingénierie inverse, altérer, modifier, créer des œuvres dérivées, décompiler ou extraire du code de la plate-forme de services ; (b) envoyer, stocker ou transmettre des virus ou d’autres codes informatiques nuisibles via ou sur la plate-forme de services ; (c) obtenir ou tenter d’obtenir un accès non autorisé à la plate-forme de services ou aux systèmes ; (d) interférer avec ou perturber l’intégrité ou la performance de la plate-forme de services ; (e) créer des comptes pour les services de la plate-forme de services ; (f) créer des comptes pour les services de la plate-forme de services ; (g) créer des comptes pour les services de la plate-forme de services ; (e) créer des comptes pour la plate-forme de services par des moyens non autorisés ou automatisés ; (f) collecter des informations sur d’autres utilisateurs d’une manière inadmissible ou non autorisée ; (g) vendre, revendre, louer ou facturer la plate-forme de services ; ou (h) distribuer ou rendre la plate-forme de services disponible sur un réseau où elle pourrait être utilisée par plusieurs appareils en même temps ;
(h) que le client est responsable de la sécurité de son compte de services et qu’il notifiera rapidement à la Société toute utilisation non autorisée ou violation de la sécurité du compte du client ou de la plate-forme de services ;
(i) que la Société accorde au Client une licence limitée, révocable, non exclusive, non sous-licenciable et non transférable pour l’utilisation de la plate-forme de services. Cette licence a pour seul but de permettre au client d’utiliser la plate-forme de services, de la manière autorisée par le présent DPA. Aucune licence ni aucun droit n’est
Aucune licence ni aucun droit n’est accordé au client par implication ou autrement, à l’exception des licences et des droits expressément accordés au client.
6. Mesures techniques et organisationnelles
6.1. La Société prend les mesures techniques et organisationnelles appropriées pour protéger de manière adéquate les données à caractère personnel contre la destruction, la perte, l’altération, la divulgation ou l’accès non autorisés, accidentels ou illicites, aux données à caractère personnel décrites à l’annexe 1. Ces mesures comprennent, sans s’y limiter, des mesures physiques et informatiques, ainsi que des mesures organisationnelles visant à :
(a) empêcher les personnes non autorisées d’accéder aux systèmes de traitement des données à caractère personnel (contrôle d’accès physique),
(b) empêcher que les systèmes de traitement des données à caractère personnel soient utilisés sans autorisation (contrôle d’accès logique),
(c) veiller à ce que les personnes autorisées à utiliser un système de traitement des données à caractère personnel n’aient accès qu’aux données à caractère personnel auxquelles elles sont autorisées à accéder conformément à leurs droits d’accès et que, au cours du traitement ou de l’utilisation et après stockage, les données à caractère personnel ne puissent être lues, copiées, modifiées ou supprimées sans autorisation (contrôle d’accès aux données),
(d) veiller à ce que les données à caractère personnel ne puissent être lues, copiées, modifiées ou effacées sans autorisation pendant leur transmission électronique, leur transport ou leur stockage sur des supports de stockage, et à ce que les entités cibles de tout transfert de données à caractère personnel au moyen d’installations de transmission de données puissent être établies et vérifiées (contrôle du transfert des données),
(e) veiller à l’établissement d’une piste d’audit permettant de savoir si et par qui des données à caractère personnel ont été introduites dans les systèmes de traitement des données à caractère personnel, modifiées dans ces systèmes ou supprimées de ces systèmes (contrôle de l’introduction),
(f) veiller à ce que les données à caractère personnel soient protégées contre la destruction ou la perte accidentelle (contrôle de la disponibilité).
6.2. Les mesures techniques et organisationnelles sont soumises au progrès technique et au développement. À cet égard, l’entreprise peut mettre en œuvre une mesure alternative adéquate, mais le niveau de sécurité des mesures définies ne doit jamais être réduit. Les changements majeurs doivent être documentés.
7. Sous-traitants
7.1. Le Client accepte que la Société puisse engager des sociétés affiliées à la Société ou des tiers pour traiter les données personnelles afin d’aider la Société à fournir les services au nom du Client (« Sous-traitants »). La Société a conclu ou conclura avec chaque sous-traitant ultérieur un accord écrit contenant des obligations en matière de protection des données qui ne sont pas moins protectrices que celles prévues dans le présent DPA, dans la mesure où elles sont applicables à la nature des services fournis par ledit sous-traitant ultérieur. Si le Sous-traitant traite les Services en dehors de l’UE/EEE, la Société veillera à ce que le transfert soit effectué conformément aux clauses contractuelles types approuvées par la Commission européenne pour le transfert de données à caractère personnel que le Client autorise la Société à conclure en son nom, ou à ce que d’autres mécanismes légaux appropriés de transfert de données soient utilisés.
7.2. Les sous-traitants actuels pour les services sont indiqués sur le site Web de la Société (« Liste des sous-traitants ») et le Client accepte et approuve que la Société ait engagé ces sous-traitants pour traiter les données à caractère personnel comme indiqué dans la liste. La Société doit fournir une notification de nouveau(x) Sous-Traitant(s) avant d’autoriser tout nouveau Sous-Traitant à traiter les Données Personnelles dans le cadre de la fourniture du Service applicable.
7.3. La Société notifie au Client trente (30) jours à l’avance tout changement prévu concernant l’ajout ou le remplacement d’un Sous-Traitant, période pendant laquelle le Client peut soulever des objections à la nomination du Sous-Traitant. Toute objection doit être soulevée rapidement (et en tout état de cause au plus tard quatorze (14) jours après la notification par la Société des changements envisagés). Si la Société choisit de conserver le Sous-traitant ayant fait l’objet d’une objection, elle en informera le client au moins quatorze (14) jours avant d’autoriser le Sous-traitant à traiter les Données à caractère personnel, puis le Client pourra immédiatement cesser d’utiliser la partie concernée des Services et pourra résilier la partie concernée des Services.
7.4. Pour éviter toute ambiguïté, si un Sous-traitant ne remplit pas ses obligations en vertu d’un accord de sous-traitance ou de la loi applicable, la Société restera entièrement responsable envers le Client de l’exécution de ses obligations en vertu du présent DPA.
8. Audit
8.1. Afin de confirmer le respect du présent DPA, le client est libre de procéder à un audit en désignant un tiers indépendant qui est tenu de respecter la confidentialité à cet égard. Tout audit de ce type doit avoir lieu pendant les heures normales d’ouverture de la compagnie et n’est autorisé que dans la mesure nécessaire pour permettre au client d’évaluer le respect du présent DPA par la compagnie. Dans le cadre d’un tel audit, le client veille à ce que l’auditeur (a) examiner toute information se trouvant dans les locaux de la compagnie ; (b) respecter les restrictions raisonnables d’accès au site et autres restrictions raisonnablement imposées par la compagnie ; (c) se conformer aux politiques et procédures de la compagnie, et (d) ne pas interférer de manière déraisonnable avec les activités commerciales de la compagnie. La Société se réserve le droit de restreindre ou de suspendre tout audit en cas de violation des conditions spécifiées dans la présente section 8.
8.2. Si le client, un régulateur ou une autorité de protection des données exige des informations supplémentaires ou un audit lié aux services, la société accepte de soumettre ses installations de traitement des données, ses fichiers de données et la documentation nécessaire au traitement des données à caractère personnel à l’audit du client (ou de tout tiers tel que des agents d’inspection ou des auditeurs, sélectionnés par le client) afin de s’assurer de la conformité avec le présent DPA, sous réserve d’en être informé et que l’auditeur conclue un accord de non-divulgation directement avec la société. La société s’engage à coopérer raisonnablement avec le client au cours de ces opérations, notamment en lui fournissant toutes les informations pertinentes et en lui donnant accès à l’ensemble des équipements, logiciels, données, fichiers, systèmes d’information, etc. utilisés pour l’exécution des services, y compris le traitement des données à caractère personnel. Ces audits sont effectués aux frais du client.
8.3. L’audit ne peut être entrepris que lorsqu’il existe des raisons précises de soupçonner une utilisation abusive des données à caractère personnel, et au plus tôt deux semaines après que le Client en a informé la Société par écrit.
8.4. Les conclusions de l’audit effectué seront discutées et évaluées par les parties et, le cas échéant, mises en œuvre en conséquence, selon le cas, par l’une des parties ou conjointement par les deux parties. Les coûts de l’audit sont à la charge du client.
9. Notification d’une violation de données
9.1. Si la Société a connaissance d’une violation de la sécurité entraînant la destruction accidentelle, non autorisée ou illégale, la divulgation non autorisée de données à caractère personnel ou l’accès non autorisé à ces données, elle doit, dans la mesure du possible, en informer le Client dans les meilleurs délais, après quoi le Client doit déterminer s’il convient ou non d’informer les personnes concernées et/ou la ou les autorités de régulation compétentes. Cette obligation de notification s’applique quel que soit l’impact de la fuite. La Société s’efforcera de faire en sorte que les informations fournies soient complètes, correctes et précises.
9.2. Si la loi et/ou la réglementation l’exigent, la Société coopérera pour notifier les autorités compétentes et/ou les personnes concernées. Le Client reste responsable de toute obligation légale à cet égard.
9.3. L’obligation de notification comprend en tout état de cause l’obligation de notifier le fait qu’une fuite s’est produite, y compris les détails concernant :
la cause (présumée) de la fuite ;
les conséquences (actuellement connues et/ou prévues) de la fuite ; la solution (proposée) ;
les mesures déjà prises.
10. Suppression et restitution des données à caractère personnel
10.1. Les parties conviennent qu’à la fin de la fourniture des services de traitement des données, la Société et ses sous-traitants doivent, au choix du Client, restituer au Client toutes les Données à caractère personnel transférées et les copies de celles-ci ou détruire toutes les Données à caractère personnel et certifier au Client qu’elle l’a fait, à moins que la législation imposée à la Société ne l’empêche de restituer ou de détruire tout ou partie des Données à caractère personnel transférées. Dans ce cas, la Société garantit qu’elle assurera la confidentialité des données à caractère personnel transférées et qu’elle ne traitera plus activement les données à caractère personnel transférées.
plus. La Société et ses sous-traitants garantissent que, sur demande du Client et/ou de l’autorité de contrôle, ils soumettront leurs installations de traitement des données à un audit des mesures visées à la section 8.
11. Droit applicable/forum
11.1. Le présent DPA est régi et interprété conformément aux dispositions de l’accord relatives au droit applicable et à la juridiction compétente, à moins que les lois applicables en matière de protection des données n’en disposent autrement.
11.2. Les parties conviennent de garder strictement confidentiels tous les détails de la procédure d’arbitrage et de la sentence arbitrale et de déployer tous les efforts raisonnables pour prendre les mesures appropriées afin d’empêcher la divulgation non autorisée de la procédure, de toute information divulguée dans le cadre de celle-ci et de la sentence rendue.
Annexe n° 1
Description des mesures techniques et organisationnelles mises en œuvre par la Société :
La Société met en œuvre les mesures décrites dans la présente annexe, à condition que ces mesures contribuent ou puissent contribuer directement ou indirectement à la protection des données à caractère personnel pendant la durée de la prestation des services de la Société au Client. Si la Société estime qu’une mesure n’est pas nécessaire pour le service concerné ou une partie de celui-ci, elle le justifiera et parviendra à un accord avec le client.
Les mesures techniques et organisationnelles sont soumises au progrès technique et au développement. À cet égard, la Société est autorisée à mettre en œuvre d’autres mesures adéquates. Le niveau de sécurité doit être conforme aux meilleures pratiques de l’industrie en matière de sécurité et ne doit pas être inférieur aux mesures énoncées dans le présent document. Tous les changements majeurs doivent être convenus avec le client et documentés.
1. Gestion des risques
1.1. Gestion des risques de sécurité
La société identifie et évalue les risques de sécurité liés à la confidentialité, à l’intégrité et à la disponibilité et, sur la base de cette évaluation, met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque.
L’entreprise doit disposer de processus et de procédures documentés pour gérer les risques dans le cadre de ses activités.
L’entreprise évalue périodiquement les risques liés aux systèmes d’information et au traitement, au stockage et à la transmission des informations.
1.2. Gestion des risques de sécurité pour les données à caractère personnel
1.2.1. L’entreprise identifie et évalue les risques de sécurité liés à la confidentialité, à l’intégrité et à la disponibilité et, sur la base de cette évaluation, met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque des types de données à caractère personnel spécifiques et des finalités traitées par l’entreprise, y compris, entre autres, le cas échéant :
la pseudonymisation et le cryptage des données à caractère personnel ;
La capacité à assurer la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et services de traitement ;
La capacité à restaurer la disponibilité et l’accès aux données du client en temps opportun en cas d’incident physique ou technique ;
Un processus permettant de tester, d’apprécier et d’évaluer régulièrement l’efficacité des mesures techniques et organisationnelles visant à garantir la sécurité du traitement.
1.2.2. Les
Les données à caractère personnel sont traitées pour le compte du client.
L’entreprise doit disposer de processus et de routines documentés pour gérer les risques lors du traitement des données à caractère personnel.
1.2.3. La société évalue périodiquement les risques liés aux systèmes d’information et au traitement, au stockage et à la transmission des données à caractère personnel.
1.3. Politiques de sécurité de l’information
1.3.1. L’entreprise dispose d’un système de gestion de la sécurité de l’information défini et documenté, comprenant une politique et des procédures de sécurité de l’information, qui doivent être approuvées par la direction de l’entreprise. Elles doivent être publiées au sein de l ́organisation de l ́entreprise et communiquées au personnel concerné de l ́entreprise.
1.3.2. L’entreprise examine périodiquement ses politiques et procédures de sécurité et les met à jour si nécessaire pour garantir leur conformité avec le présent appendice.
2. Organisation de la sécurité de l’information
– L’entreprise doit avoir défini et documenté les rôles et responsabilités en matière de sécurité au sein de son organisation.
– La Compagnie désigne au moins un délégué à la protection des données qui possède des compétences appropriées en matière de sécurité et qui a la responsabilité générale de la mise en œuvre des mesures de sécurité prévues par la présente annexe et qui sera la personne de contact pour le personnel de sécurité du Client.
3. Sécurité des ressources humaines
– L’Entreprise veille à ce que son personnel traite les informations conformément au niveau de confidentialité requis par le RGPD.
– L’entreprise veille à ce que le personnel concerné de l’entreprise soit informé de l’utilisation approuvée (y compris les restrictions d’utilisation, le cas échéant) des informations, des installations et des systèmes en vertu du DPA.
– L’entreprise s’assure que tout membre de son personnel effectuant des missions dans le cadre de l’accord est digne de confiance, répond aux critères de sécurité établis et a fait l’objet, et continuera de faire l’objet pendant la durée de la mission, d’une enquête et d’une vérification des antécédents appropriées.
– La Société veille à ce que le personnel de la Société ayant des responsabilités en matière de sécurité reçoive une formation adéquate pour s’acquitter des tâches liées à la sécurité.
– L’Entreprise fournit ou veille à ce que le personnel concerné de l’Entreprise reçoive une formation périodique de sensibilisation à la sécurité. Cette formation de l’entreprise porte notamment sur les points suivants
(a) Comment gérer la sécurité des informations des clients (c’est-à-dire la protection de la confidentialité, de l’intégrité et de la disponibilité des informations) ;
(b) Pourquoi la sécurité de l’information est nécessaire pour protéger les informations et les systèmes des clients ;
(c) les types courants de menaces à la sécurité (telles que l’usurpation d’identité, les logiciels malveillants, le piratage, la fuite d’informations et les menaces internes)
(d) l’importance du respect des politiques de sécurité de l’information et de l’application des normes/procédures associées ;
(e) la responsabilité personnelle en matière de sécurité de l’information (comme la protection des informations relatives à la vie privée des clients et le signalement des violations de données réelles ou présumées).
4. Contrôle d’accès
L’entreprise dispose d’une politique de contrôle d’accès définie et documentée pour les installations, les sites, les réseaux, les systèmes, les applications et l’accès aux informations/données (y compris les contrôles d’accès physiques, logiques et à distance), d’un processus d’autorisation pour l’accès et les privilèges des utilisateurs, de procédures de révocation des droits d’accès et d’une utilisation acceptable des privilèges d’accès pour le personnel de l’entreprise.
L’entreprise met en œuvre un processus formel et documenté d’enregistrement et de désenregistrement des utilisateurs pour permettre l’attribution des droits d’accès.
L’entreprise attribue tous les privilèges d’accès sur la base du principe du besoin d’en connaître et du principe du moindre privilège.
L’entreprise utilise une authentification forte (multi-facteurs) pour les utilisateurs d’accès à distance et les utilisateurs se connectant à partir d’un réseau non fiable.
L’entreprise veille à ce que son personnel dispose d’un identifiant personnel et unique (ID utilisateur) et utilise une technique d’authentification appropriée qui confirme et garantit l’identité des utilisateurs.
5. Sécurité physique et environnementale
L’entreprise protège les installations de traitement de l’information contre les menaces et les risques externes et environnementaux, y compris les pannes d’électricité/de câblage et autres perturbations causées par des défaillances des services d’utilité publique. Cette protection comprend le périmètre physique et la protection de l’accès.
6. Sécurité des opérations
L’entreprise dispose d’un système de gestion des changements pour apporter des modifications aux processus opérationnels, aux installations de traitement de l’information et aux systèmes. Le système de gestion des changements comprend des tests et des examens avant la mise en œuvre des changements, tels que des procédures pour gérer les changements urgents, des procédures de retour en arrière pour récupérer les changements qui ont échoué, des journaux qui indiquent ce qui a été modifié, quand et par qui.
La société met en œuvre une protection contre les logiciels malveillants afin de s’assurer que tout logiciel utilisé pour la fourniture des services par la société au client est protégé contre les logiciels malveillants.
La société effectue des copies de sauvegarde des informations critiques et teste les copies de sauvegarde pour s’assurer que les informations peuvent être restaurées comme convenu avec le client.
La société enregistre et surveille les activités, telles que la création, la lecture, la copie, la modification et la suppression des données traitées, ainsi que les exceptions, les erreurs et les événements liés à la sécurité de l’information, et les passe régulièrement en revue. En outre, la société protège et stocke (pendant au moins six mois ou pendant la période fixée par la loi sur la protection des données) les informations du journal et, sur demande, fournit les données de suivi au client. Les anomalies/incidents/indicateurs de compromission doivent être signalés conformément aux exigences en matière de gestion des violations de données énoncées à la clause 9 ci-dessous.
La société gère les vulnérabilités de toutes les technologies pertinentes, telles que les systèmes d’exploitation, les bases de données et les applications, de manière proactive et en temps utile.
L’entreprise établit des lignes de base en matière de sécurité (renforcement) pour toutes les technologies concernées telles que les systèmes d’exploitation, les bases de données et les applications.
L’entreprise veille à ce que le développement soit séparé de l’environnement de test et de production.
7. Sécurité des communications
L’entreprise met en œuvre des contrôles de sécurité du réseau tels que le niveau de service, le pare-feu et la séparation pour protéger les systèmes d’information.
8. Relations de l’entreprise avec les sous-traitants
L’entreprise tient compte du contenu de la présente annexe dans les accords qu’elle conclut avec les sous-traitants qui exécutent les tâches qui leur sont confiées dans le cadre du DPA.
La société contrôle, examine et vérifie régulièrement le respect de la présente annexe par le sous-traitant ultérieur.
À la demande du client, la compagnie lui fournit les preuves du respect de la présente annexe par le sous-traitant ultérieur.
9. Gestion des violations de données
La Société a mis en place des procédures de gestion des violations de données.
La Société informe le Client de toute violation de données (y compris, mais sans s’y limiter, les incidents liés au traitement des données à caractère personnel) dès que possible et au plus tard dans les 36 heures suivant l’identification de la violation de données.
Tous les rapports d’incidents liés à la sécurité sont traités comme des informations confidentielles et sont cryptés, à l’aide de méthodes de cryptage standard.
Le rapport sur la violation de données contient au moins les informations suivantes :
(a) (b) (c) (d) (e) (f) (g)
La nature de la violation de données,
La nature des données à caractère personnel concernées,
Les catégories et le nombre de personnes concernées,
le nombre d’enregistrements de données à caractère personnel concernés,
les mesures prises pour remédier à la violation de données
les conséquences et les effets négatifs possibles de la violation de données, et
toute autre information que le client est tenu de communiquer à l’autorité de régulation compétente ou à la personne concernée.
Aux
qui ne sont pas imputables à des manquements de la part de la compagnie.
Dans la mesure où cela est légalement possible, la compagnie peut demander une indemnisation pour les services d’assistance en vertu de la présente clause 9.
10. Gestion de la continuité des activités
L’entreprise identifie les risques liés à la continuité des activités et prend les mesures nécessaires pour contrôler et atténuer ces risques.
L’Entreprise doit disposer de processus et de routines documentés pour gérer la continuité des activités.
L’entreprise veille à ce que la sécurité de l’information soit intégrée dans les plans de continuité des activités.
L’entreprise évalue périodiquement l’efficacité de sa gestion de la continuité des activités et la conformité aux exigences de disponibilité (le cas échéant).
Pour plus d’informations, veuillez contacter [email protected].
