Accord sur la protection des données (GDPR)

1. Définitions
1.1. Aux fins du présent DPA :

"Une personne physique identifiable peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques propres à l'identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne physique ;

"Loi sur la protection des données" : toutes les lois, réglementations et autres exigences légales applicables concernant (a) la protection de la vie privée, la sécurité des données, la protection des consommateurs, le marketing, la promotion, la messagerie textuelle, le courrier électronique et d'autres communications ; et (b) l'utilisation, la collecte, la conservation, le stockage, la sécurité, la divulgation, le transfert, l'élimination et tout autre traitement de toute donnée à caractère personnel ;

"la société affiliée" : toute entité qui, directement ou indirectement, contrôle la société, est contrôlée par elle ou est sous contrôle commun avec elle. Aux fins de la présente définition, on entend par "contrôle" la propriété ou le contrôle direct ou indirect de plus de 50 % des intérêts avec droit de vote de l'entité concernée ;

On entend par "services" les services suivants fournis par la société : (a) les offres de produits portant la marque de la société et disponibles sur le site web de la société, (b) les services de conseil ou de formation fournis par la société à distance via Internet ou en personne, et (c) tout service d'assistance fourni par la société, y compris l'accès au service d'assistance de la société ;

les termes "responsable du traitement des données", "sous-traitant des données", "personne concernée", "données à caractère personnel", "traitement" et "mesures techniques et organisationnelles appropriées" ont la signification qui leur est donnée en vertu de la législation applicable en matière de protection des données.

2. Objet, nature et finalité du traitement des données à caractère personnel par la société

2.1. L'objet, la nature et la finalité du traitement des données personnelles en vertu du présent DPA sont l'exécution des services par la Société, conformément aux instructions écrites du client dans son utilisation des services, à moins que la loi sur la protection des données ne l'exige autrement, auquel cas, dans la mesure permise par la loi sur la protection des données, la Société informera le client de cette exigence légale avant d'effectuer le traitement. La Société ne collecte ou ne traite les données à caractère personnel pendant la période de prestation des services que dans la mesure et de la manière nécessaires à la fourniture des services et conformément au RGPD et à la loi sur la protection des données applicable à la Société.

3. La durée

3.1. Le traitement des données à caractère personnel sera effectué par la société tant que le compte de services du client existe ou si cela est nécessaire pour l'exécution des obligations et des droits entre la société et le client, sauf accord écrit contraire.

4. Type de données à caractère personnel traitées

4.1. Le client peut soumettre aux services des données à caractère personnel le concernant, dont l'étendue est déterminée et contrôlée par le client à sa seule discrétion, et qui peuvent inclure, sans s'y limiter, les catégories de données à caractère personnel suivantes :

- Informations sur le compte. Lorsque le client s'inscrit à un compte de services, il doit fournir certaines informations telles que son nom et son adresse électronique. Le client peut à tout moment mettre à jour ou corriger ses informations et ses préférences en matière d'e-mail en se rendant sur son compte de services. La Société peut fournir au Client une assistance supplémentaire pour accéder, corriger, supprimer ou modifier les informations qu'il a fournies.

fournies à la Société et associées au compte de services du Client. Pour protéger la sécurité, la Société prend des mesures raisonnables (telles que la demande d'informations juridiques) pour vérifier l'identité du Client avant d'effectuer des corrections. Le Client est responsable du maintien de la confidentialité du mot de passe et des informations du Compte de services du Client à tout moment.

• Informations supplémentaires sur le profil. Le client peut choisir de fournir des informations supplémentaires dans le cadre de son profil. Ces informations aident le client à mieux profiter des services. Le client est libre d'inclure ou non des informations sensibles dans son profil.
• Autres informations. Le client peut choisir de fournir à la société des informations lorsqu'il remplit un formulaire, effectue une recherche, met à jour ou ajoute des informations à son compte de services, répond à des enquêtes, s'inscrit à des forums communautaires, participe à des promotions ou utilise d'autres fonctions de la plate-forme de services.3 Obligations de la société

  3.1. L'entreprise accepte et/ou garantit :

1. (a) traiter les données à caractère personnel uniquement pour le compte du client et conformément à ses instructions et au RGPD ; s'il ne peut assurer cette conformité pour quelque raison que ce soit, il s'engage à informer rapidement le client de son incapacité à se conformer, auquel cas le client est en droit de suspendre le transfert de données et/ou de résilier les services ;
2. (b) que toutes les données à caractère personnel traitées pour le compte du client restent la propriété du client et/ou des personnes concernées ;
3. (c) qu'il n'a aucune raison de croire que la législation qui lui est applicable l'empêche de respecter les instructions reçues du client et ses obligations au titre du RGPD et qu'en cas de modification de cette législation susceptible d'avoir un effet négatif important sur les garanties et obligations prévues par le RGPD, il notifiera rapidement la modification au client dès qu'il en aura connaissance, auquel cas le client est en droit de suspendre le transfert de données et/ou de résilier les services ;
4. (d) qu'il a mis en œuvre les mesures de sécurité techniques et organisationnelles spécifiées à l'annexe 1 avant de traiter les données à caractère personnel transférées ;
5. (e) qu'il informera rapidement le client à ce sujet :
   1. toute demande juridiquement contraignante de divulgation des données personnelles par les autorités chargées de l'application de la loi, sauf interdiction contraire, telle qu'une interdiction en vertu du droit pénal visant à préserver la confidentialité d'une enquête des autorités chargées de l'application de la loi ;
   2. tout accès accidentel ou non autorisé ; et
   3. toute demande reçue directement des personnes concernées sans répondre à cette demande, à moins qu'il n'ait été autrement autorisé à le faire ;
6. (f) traiter rapidement et correctement toutes les demandes du client relatives au traitement des données à caractère personnel faisant l'objet du transfert et se conformer à l'avis de l'autorité de contrôle en ce qui concerne le traitement des données transférées ;
7. (g) à la demande du client, soumettre ses installations de traitement des données à un audit des activités de traitement couvertes par le RGPD ;

(h) qu'en cas de sous-traitance, il a préalablement informé le client et obtenu son consentement écrit ;

(i) que les services de traitement par le sous-traitant ultérieur seront effectués conformément à la section 7 ;

(j) nommer un délégué à la protection des données, qui exerce ses fonctions conformément à la loi sur la protection des données. Les coordonnées du délégué à la protection des données sont disponibles sur la page web de l'entreprise.

(k) à ne confier le traitement des données décrit dans le présent DPA qu'à des employés qui ont été tenus à la confidentialité et ont été préalablement familiarisés avec les dispositions relatives à la protection des données applicables à leur travail. La société et toute personne agissant sous son autorité qui a accès aux données personnelles ne traitera ces données que sur instruction du client, à moins que la loi sur la protection des données ne l'y oblige ;

(l) contrôler périodiquement les processus internes afin de garantir que le traitement des données dans le domaine de compétence de la société est conforme aux exigences de la loi sur la protection des données et à la protection des droits de la personne concernée.

5. Obligations du client

5.1. Le client accepte et/ou garantit :

1. (a) que le traitement, y compris le transfert lui-même, des données à caractère personnel a été et continuera d'être effectué conformément aux dispositions pertinentes de la loi sur la protection des données et qu'il ne viole pas ces dispositions ;
2. (b) qu'il a donné instruction et qu'il donnera instruction à la Société, pendant toute la durée des services de traitement des données personnelles, de traiter les données personnelles transférées uniquement pour le compte du client et conformément à la loi sur la protection des données et au RGPD ;
3. (c) que la société fournira des garanties suffisantes en ce qui concerne les mesures de sécurité techniques et organisationnelles spécifiées à l'annexe 1 du présent DPA ;

(d) qu'après évaluation des exigences de la loi sur la protection des données, les mesures de sécurité sont appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés, notamment lorsque le traitement implique la transmission de données sur un réseau, et contre toute autre forme de traitement illicite, et que ces mesures assurent un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger, compte tenu de l'état de l'art et du coût de leur mise en œuvre ;

5. (e) qu'il veillera au respect des mesures de sécurité ;
6. (f) accéder aux services et les utiliser uniquement à des fins légales, autorisées et acceptables. Le Client n'utilisera pas (ou n'aidera pas d'autres personnes à utiliser) les Services d'une manière qui : (a) violer, détourner ou enfreindre les droits de la Société, de ses utilisateurs ou d'autres personnes, y compris la vie privée, la publicité, la propriété intellectuelle ou d'autres droits de propriété ; (b) être illégal, obscène, diffamatoire, menaçant, intimidant, harcelant, haineux, racialement ou ethniquement offensant, ou instiguer ou encourager une conduite qui serait illégale, ou autrement inappropriée ; (c) impliquent la publication de faussetés, d'affirmations erronées ou de déclarations trompeuses ; (d) usurpent l'identité de quelqu'un ; (e) impliquent l'envoi de communications illégales ou inadmissibles telles que la messagerie en vrac, la messagerie automatique, la numérotation automatique et autres ; ou (f) impliquent toute autre utilisation des services prescrite dans le présent DPA, sauf autorisation contraire de l'Entreprise ;
7. (g) ne pas accéder (ou aider d'autres personnes à accéder), utiliser, copier, adapter, modifier, préparer des travaux dérivés, distribuer, concéder des licences, accorder des sous-licences, transférer, afficher, exécuter ou exploiter de toute autre manière la plate-forme de services d'une manière inadmissible ou non autorisée, ou d'une manière qui entrave, compromet ou nuit à la société, à la plate-forme de services, aux systèmes, aux autres utilisateurs ou à d'autres personnes, y compris le fait que le client ne doit pas, directement ou par le biais de moyens automatisés : (a) faire de l'ingénierie inverse, altérer, modifier, créer des œuvres dérivées, décompiler ou extraire du code de la plate-forme de services ; (b) envoyer, stocker ou transmettre des virus ou d'autres codes informatiques nuisibles via ou sur la plate-forme de services ; (c) obtenir ou tenter d'obtenir un accès non autorisé à la plate-forme de services ou aux systèmes ; (d) interférer avec ou perturber l'intégrité ou la performance de la plate-forme de services ; (e) créer des comptes pour les services de la plate-forme de services ; (f) créer des comptes pour les services de la plate-forme de services ; (g) créer des comptes pour les services de la plate-forme de services ; (e) créer des comptes pour la plate-forme de services par des moyens non autorisés ou automatisés ; (f) collecter des informations sur d'autres utilisateurs d'une manière inadmissible ou non autorisée ; (g) vendre, revendre, louer ou facturer la plate-forme de services ; ou (h) distribuer ou rendre la plate-forme de services disponible sur un réseau où elle pourrait être utilisée par plusieurs appareils en même temps ;

(h) que le client est responsable de la sécurité de son compte de services et qu'il doit informer rapidement la société de toute utilisation non autorisée ou de toute atteinte à la sécurité de son compte ou de la plate-forme de services ;

(i) que la Société accorde au Client une licence limitée, révocable, non exclusive, non sous-licenciable et non transférable pour l'utilisation de la plate-forme de services. Cette licence a pour seul but de permettre au client d'utiliser la plate-forme de services, de la manière autorisée par le présent DPA. Aucune licence ni aucun droit n'est

accordés au client par implication ou autrement, à l'exception des licences et des droits expressément accordés au client.

6. Mesures techniques et organisationnelles

6.1. La Société prend les mesures techniques et organisationnelles appropriées pour protéger de manière adéquate les données à caractère personnel contre la destruction accidentelle ou illicite, la perte, l'altération, la divulgation non autorisée de données à caractère personnel ou l'accès non autorisé à ces données, décrits à l'annexe 1. Ces mesures comprennent, sans s'y limiter, des mesures physiques et informatiques, ainsi que des mesures organisationnelles visant à :

1. (a) empêcher les personnes non autorisées d'accéder aux systèmes de traitement des données à caractère personnel (contrôle d'accès physique),
2. (b) la prévention de l'utilisation sans autorisation des systèmes de traitement des données à caractère personnel (contrôle d'accès logique),
3. (c) veiller à ce que les personnes autorisées à utiliser un système de traitement des données à caractère personnel n'aient accès qu'aux données à caractère personnel auxquelles elles sont autorisées à accéder conformément à leurs droits d'accès et que, au cours du traitement ou de l'utilisation et après stockage, les données à caractère personnel ne puissent être lues, copiées, modifiées ou effacées sans autorisation (contrôle de l'accès aux données),

(d) veiller à ce que les données à caractère personnel ne puissent être lues, copiées, modifiées ou effacées sans autorisation lors de leur transmission électronique, de leur transport ou de leur stockage sur des supports de stockage, et à ce que les entités cibles de tout transfert de données à caractère personnel au moyen d'installations de transmission de données puissent être établies et vérifiées (contrôle du transfert de données),

5. (e) garantir l'établissement d'une piste d'audit permettant de savoir si et par qui des données à caractère personnel ont été introduites dans les systèmes de traitement des données à caractère personnel, modifiées dans ces systèmes ou supprimées de ces systèmes (contrôle d'entrée),
6. (f) veiller à ce que les données à caractère personnel soient protégées contre la destruction accidentelle ou la perte (contrôle de la disponibilité).

6.2. Les mesures techniques et organisationnelles sont soumises au progrès technique et au développement. À cet égard, l'entreprise peut mettre en œuvre une mesure alternative adéquate, mais le niveau de sécurité des mesures définies ne doit jamais être réduit. Les changements majeurs doivent être documentés.

7. Sous-traitants

7.1. Le Client accepte que la Société puisse engager des sociétés affiliées à la Société ou des tiers pour traiter les données à caractère personnel afin d'aider la Société à fournir les services au nom du Client ("Sous-traitants"). La Société a conclu ou conclura avec chaque sous-traitant ultérieur un accord écrit contenant des obligations en matière de protection des données qui ne sont pas moins protectrices que celles prévues dans le présent DPA, dans la mesure où elles sont applicables à la nature des services fournis par ledit sous-traitant ultérieur. Si le Sous-traitant traite les Services en dehors de l'UE/EEE, la Société veillera à ce que le transfert soit effectué conformément aux clauses contractuelles types approuvées par la Commission européenne pour le transfert de données à caractère personnel que le Client autorise la Société à conclure en son nom, ou à ce que d'autres mécanismes légaux appropriés de transfert de données soient utilisés.

7.2. Les sous-traitants actuels pour les Services sont indiqués sur le site web de la Société ("Liste des sous-traitants") et le Client accepte et approuve que la Société ait engagé ces sous-traitants pour traiter les Données à caractère personnel comme indiqué dans la liste. La Société doit notifier tout nouveau Sous-Traitant avant d'autoriser tout nouveau Sous-Traitant à traiter les Données Personnelles dans le cadre de la fourniture du Service applicable.

7.3. La Société notifie au Client trente (30) jours à l'avance tout changement envisagé concernant l'ajout ou le remplacement d'un Sous-Traitant, période pendant laquelle le Client peut formuler des objections à la nomination du Sous-Traitant. Toute objection doit être soulevée rapidement (et en tout état de cause au plus tard quatorze (14) jours après la notification par la Société des changements envisagés). Si la Société choisit de conserver le Sous-traitant ayant fait l'objet d'une objection, elle en informera le client au moins quatorze (14) jours avant d'autoriser le Sous-traitant à traiter les Données à caractère personnel, puis le Client pourra immédiatement cesser d'utiliser la partie concernée des Services et pourra résilier la partie concernée des Services.

7.4. Pour éviter toute ambiguïté, si un sous-traitant ultérieur ne remplit pas ses obligations en vertu d'un accord de sous-traitance ultérieur ou de la législation applicable, la société restera entièrement responsable envers le client de l'exécution de ses obligations en vertu du présent DPA.

8. Audit

8.1. Afin de confirmer le respect du présent DPA, le client est libre de procéder à un audit en désignant un tiers indépendant qui est tenu de respecter la confidentialité à cet égard. Cet audit doit avoir lieu pendant les heures normales d'ouverture de la compagnie et n'est autorisé que dans la mesure où il est nécessaire au client pour évaluer le respect du présent DPA par la compagnie. Dans le cadre d'un tel audit, le client veille à ce que l'auditeur (a) examiner toute information se trouvant dans les locaux de la compagnie ; (b) respecter les restrictions raisonnables d'accès au site et autres restrictions raisonnablement imposées par la compagnie ; (c) se conformer aux politiques et procédures de la compagnie, et (d) ne pas interférer de manière déraisonnable avec les activités commerciales de la compagnie. La Société se réserve le droit de restreindre ou de suspendre tout audit en cas de violation des conditions spécifiées dans la présente section 8.

8.2. Si le client, un régulateur ou une autorité de protection des données exige des informations supplémentaires ou un audit lié aux services, la société accepte de soumettre ses installations de traitement des données, ses fichiers de données et la documentation nécessaire au traitement des données à caractère personnel à l'audit du client (ou de tout tiers tel que des agents d'inspection ou des auditeurs, sélectionnés par le client) afin de vérifier la conformité avec le présent DPA, sous réserve d'en être informé et que l'auditeur conclue un accord de non-divulgation directement avec la société. La société s'engage à coopérer raisonnablement avec le client au cours de ces opérations, notamment en lui fournissant toutes les informations pertinentes et en lui donnant accès à l'ensemble des équipements, logiciels, données, fichiers, systèmes d'information, etc. utilisés pour l'exécution des services, y compris le traitement des données à caractère personnel. Ces audits sont effectués aux frais du client.

8.3. L'audit ne peut être entrepris que lorsqu'il existe des raisons précises de soupçonner une utilisation abusive des données à caractère personnel, et au plus tôt deux semaines après que le client en a informé la société par écrit.

8.4. Les conclusions de l'audit effectué seront discutées et évaluées par les parties et, le cas échéant, mises en œuvre en conséquence, selon le cas, par l'une des parties ou conjointement par les deux parties. Les coûts de l'audit sont à la charge du client.

9. Notification d'une violation de données

9.1. Si la Société a connaissance d'une violation de la sécurité entraînant la destruction accidentelle, non autorisée ou illégale, la divulgation non autorisée de données à caractère personnel ou l'accès non autorisé à de telles données, elle doit, dans la mesure du possible, en informer le client dans les meilleurs délais, après quoi le client doit déterminer s'il convient ou non d'informer les personnes concernées et/ou l'autorité ou les autorités réglementaires compétentes. Cette obligation de notification s'applique quel que soit l'impact de la fuite. La Société s'efforcera de faire en sorte que les informations fournies soient complètes, correctes et exactes.

9.2. Si la loi et/ou la réglementation l'exigent, la Société coopérera à la notification des autorités compétentes et/ou des personnes concernées. Le Client reste responsable de toute obligation légale à cet égard.

9.3. L'obligation de signaler comprend en tout état de cause l'obligation de signaler le fait qu'une fuite s'est produite, y compris les détails concernant :

la cause (présumée) de la fuite ;
ses conséquences (actuellement connues et/ou prévues) ; la solution (proposée) ;
les mesures qui ont déjà été prises.

10. Suppression et restitution des données à caractère personnel

10.1. Les parties conviennent qu'à la fin de la fourniture des services de traitement des données, la Société et ses sous-traitants doivent, au choix du Client, restituer au Client toutes les Données à caractère personnel transférées et les copies de celles-ci ou détruire toutes les Données à caractère personnel et certifier au Client qu'ils l'ont fait, à moins que la législation imposée à la Société ne l'empêche de restituer ou de détruire tout ou partie des Données à caractère personnel transférées. Dans ce cas, la Société garantit qu'elle assurera la confidentialité des données à caractère personnel transférées et qu'elle ne traitera pas activement les données à caractère personnel transférées.

plus. La Société et ses sous-traitants garantissent que, sur demande du client et/ou de l'autorité de contrôle, ils soumettront leurs installations de traitement des données à un audit des mesures visées à la section 8.

11. Droit applicable/forum

11.1. Le présent DPA est régi et interprété conformément aux dispositions de l'accord relatives au droit applicable et à la juridiction compétente, à moins que les lois applicables en matière de protection des données n'en disposent autrement.

11.2. Les parties conviennent de garder strictement confidentiels tous les détails de la procédure d'arbitrage et de la sentence arbitrale et de déployer tous les efforts raisonnables pour prendre les mesures appropriées afin d'empêcher la divulgation non autorisée de la procédure, de toute information divulguée dans le cadre de celle-ci et de la sentence rendue.

Annexe n° 1

Description des mesures techniques et organisationnelles mises en œuvre par l'entreprise :

la Société met en œuvre les mesures décrites dans la présente annexe, à condition que ces mesures contribuent ou puissent contribuer directement ou indirectement à la protection des données à caractère personnel pendant la période de prestation des services de la Société au Client. Si la Société estime qu'une mesure n'est pas nécessaire pour le service concerné ou une partie de celui-ci, elle le justifiera et parviendra à un accord avec le client.

Les mesures techniques et organisationnelles sont soumises au progrès technique et au développement. À cet égard, l'entreprise est autorisée à mettre en œuvre d'autres mesures adéquates. Le niveau de sécurité doit être conforme aux meilleures pratiques de l'industrie en matière de sécurité et ne doit pas être inférieur aux mesures énoncées dans le présent document. Tous les changements majeurs doivent être convenus avec le client et documentés.

1. La gestion des risques

1.1. Gestion des risques de sécurité

1. L'entreprise identifie et évalue les risques de sécurité liés à la confidentialité, à l'intégrité et à la disponibilité et, sur la base de cette évaluation, met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque.
2. L'entreprise doit disposer de processus et de routines documentés pour gérer les risques dans le cadre de ses activités.
3. L'entreprise évalue périodiquement les risques liés aux systèmes d'information et au traitement, au stockage et à la transmission des informations.

1.2. Gestion des risques de sécurité pour les données à caractère personnel

1.2.1. La société identifie et évalue les risques de sécurité liés à la confidentialité, à l'intégrité et à la disponibilité et, sur la base de cette évaluation, met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque des types de données à caractère personnel spécifiques et des finalités traitées par la société, y compris, entre autres, le cas échéant :

• la pseudonymisation et le cryptage des données à caractère personnel ;
• La capacité à assurer la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et services de traitement ;
• La capacité de rétablir la disponibilité et l'accès aux données du client en temps utile en cas d'incident physique ou technique ;
• un processus permettant de tester, d'évaluer et d'apprécier régulièrement l'efficacité des mesures techniques et organisationnelles destinées à garantir la sécurité du traitement.

1.2.2. Le
Données à caractère personnel pour le compte du client.

L'entreprise dispose de processus et de routines documentés pour gérer les risques lors de la transformation

1.2.3. L'entreprise évalue périodiquement les risques liés aux systèmes d'information et au traitement, au stockage et à la transmission des données à caractère personnel.

1.3. Politiques de sécurité de l'information

1.3.1. L'entreprise doit disposer d'un système de gestion de la sécurité de l'information défini et documenté, comprenant une politique et des procédures de sécurité de l'information, qui doivent être approuvées par la direction de l'entreprise. Elles doivent être publiées au sein de l ́organisation de l ́entreprise et communiquées au personnel concerné de l ́entreprise.

1.3.2. L'entreprise réexamine périodiquement ses politiques et procédures de sécurité et les met à jour, le cas échéant, afin de garantir leur conformité avec le présent appendice.

2. Organisation de la sécurité de l'information

- L'entreprise doit avoir défini et documenté les rôles et responsabilités en matière de sécurité au sein de son organisation.

- La Société désigne au moins un délégué à la protection des données ayant des compétences appropriées en matière de sécurité, qui assume la responsabilité générale de la mise en œuvre des mesures de sécurité prévues par le présent appendice et qui sera la personne de contact pour le personnel de sécurité du Client.

3. Sécurité des ressources humaines

- L'entreprise veille à ce que son personnel traite les informations conformément au niveau de confidentialité requis par le DPA.

- La société veille à ce que le personnel concerné de la société soit informé de l'utilisation approuvée (y compris les restrictions d'utilisation, le cas échéant) des informations, des installations et des systèmes dans le cadre du DPA.

- La société s'assure que tout membre de son personnel effectuant des missions dans le cadre de l'accord est digne de confiance, répond aux critères de sécurité établis et a fait l'objet, et continuera de faire l'objet pendant la durée de la mission, d'une enquête appropriée et d'une vérification de ses antécédents.

- L'entreprise veille à ce que le personnel de l'entreprise ayant des responsabilités en matière de sécurité reçoive une formation adéquate pour s'acquitter des tâches liées à la sécurité.

- L'entreprise fournit ou veille à ce que le personnel concerné de l'entreprise reçoive une formation périodique de sensibilisation à la sécurité. Cette formation de l'entreprise comprendra, sans s'y limiter, les éléments suivants

1. (a) Comment gérer la sécurité de l'information des clients (c'est-à-dire la protection de la confidentialité, de l'intégrité et de la disponibilité de l'information) ;
2. (b) Pourquoi la sécurité de l'information est nécessaire pour protéger les informations et les systèmes des clients ;
3. (c) les types courants de menaces pour la sécurité (telles que l'usurpation d'identité, les logiciels malveillants, le piratage, la fuite d'informations et les menaces internes) ;
4. (d) l'importance du respect des politiques de sécurité de l'information et de l'application des normes/procédures associées ;
5. (e) Responsabilité personnelle en matière de sécurité de l'information (protection des informations relatives à la vie privée des clients et signalement des violations de données réelles ou présumées).

4. Contrôle d'accès

L'entreprise dispose d'une politique de contrôle d'accès définie et documentée pour les installations, les sites, les réseaux, les systèmes, les applications et l'accès aux informations/données (y compris les contrôles d'accès physiques, logiques et à distance), d'un processus d'autorisation pour l'accès et les privilèges des utilisateurs, de procédures de révocation des droits d'accès et d'une utilisation acceptable des privilèges d'accès pour le personnel de l'entreprise.

L'entreprise dispose d'un processus formel et documenté d'enregistrement et de désenregistrement des utilisateurs afin de permettre l'attribution des droits d'accès.

L'entreprise attribue tous les privilèges d'accès sur la base du principe du besoin d'en connaître et du principe du moindre privilège.

L'entreprise doit utiliser une authentification forte (multi-facteurs) pour les utilisateurs d'accès à distance et les utilisateurs se connectant à partir d'un réseau non fiable.

L'entreprise veille à ce que son personnel dispose d'un identifiant personnel et unique (ID utilisateur) et utilise une technique d'authentification appropriée qui confirme et garantit l'identité des utilisateurs.

5. Sécurité physique et environnementale

L'entreprise protège les installations de traitement de l'information contre les menaces et les risques externes et environnementaux, y compris les pannes d'électricité/de câblage et autres perturbations causées par des défaillances des services d'utilité publique. Cette protection comprend le périmètre physique et la protection de l'accès.

6. Sécurité des opérations

L'entreprise doit disposer d'un système de gestion des changements pour apporter des modifications aux processus opérationnels, aux installations de traitement de l'information et aux systèmes. Le système de gestion des modifications comprend des tests et des examens avant la mise en œuvre des modifications, tels que des procédures pour gérer les modifications urgentes, des procédures de retour en arrière pour récupérer les modifications qui ont échoué, des journaux qui indiquent ce qui a été modifié, quand et par qui.

La société mettra en œuvre une protection contre les logiciels malveillants afin de s'assurer que tout logiciel utilisé pour la fourniture des services par la société au client est protégé contre les logiciels malveillants.

La société effectue des copies de sauvegarde des informations critiques et teste les copies de sauvegarde pour s'assurer que les informations peuvent être restaurées comme convenu avec le client.

La société enregistre et surveille les activités, telles que la création, la lecture, la copie, la modification et la suppression des données traitées, ainsi que les exceptions, les erreurs et les événements liés à la sécurité de l'information, et les révise régulièrement. En outre, la société protège et stocke (pendant au moins six mois ou pendant la période fixée par la loi sur la protection des données) les informations du journal et, sur demande, fournit les données de suivi au client. Les anomalies/incidents/indicateurs de compromission doivent être signalés conformément aux exigences en matière de gestion des violations de données énoncées dans la clause 9 ci-dessous.

L'entreprise gère les vulnérabilités de toutes les technologies pertinentes, telles que les systèmes d'exploitation, les bases de données et les applications, de manière proactive et en temps opportun.

L'entreprise établit des lignes de base en matière de sécurité (renforcement) pour toutes les technologies concernées, telles que les systèmes d'exploitation, les bases de données et les applications.

L'entreprise veille à ce que le développement soit séparé de l'environnement de test et de production.

7. Sécurité des communications

L'entreprise met en œuvre des contrôles de sécurité du réseau tels que le niveau de service, le pare-feu et la séparation pour protéger les systèmes d'information.

8. Relations de l'entreprise avec les sous-traitants

La société reflète le contenu de la présente annexe dans les accords qu'elle conclut avec les sous-traitants secondaires qui exécutent les tâches qui leur sont confiées en vertu du DPA.

La Société contrôle, examine et vérifie régulièrement le respect de la présente annexe par le sous-traitant ultérieur.

À la demande du client, la compagnie lui fournit des preuves du respect du présent appendice par le sous-traitant.

9. Gestion des violations de données

L'entreprise doit avoir mis en place des procédures de gestion des violations de données.

La société informe le client de toute violation de données (y compris, mais sans s'y limiter, les incidents liés au traitement des données à caractère personnel) dès que possible et au plus tard dans les 36 heures suivant l'identification de la violation de données.

Tous les rapports d'incidents liés à la sécurité sont traités comme des informations confidentielles et sont cryptés à l'aide de méthodes de cryptage conformes aux normes de l'industrie.

Le rapport sur les violations de données contient au moins les informations suivantes :

(a) (b) (c) (d) (e) (f) (g)

La nature de la violation de données,
La nature des données à caractère personnel concernées,
Les catégories et le nombre de personnes concernées,
Le nombre d'enregistrements de données à caractère personnel concernés,
Les mesures prises pour remédier à la violation de données,
Les conséquences et les effets négatifs possibles de la violation de données, et
Toute autre information que le client est tenu de communiquer à l'autorité de régulation compétente ou à la personne concernée.

Aux
qui ne sont pas imputables à des manquements de la part de la société.

Dans la mesure où cela est légalement possible, l'entreprise peut demander une compensation pour les services de soutien en vertu de la présente clause 9.

10. Gestion de la continuité des activités

L'entreprise identifie les risques liés à la continuité des activités et prend les mesures nécessaires pour contrôler et atténuer ces risques.

L'entreprise doit disposer de processus et de routines documentés pour gérer la continuité des activités.
L'entreprise doit veiller à ce que la sécurité de l'information soit intégrée dans les plans de continuité des activités.

L'entreprise évalue périodiquement l'efficacité de sa gestion de la continuité des activités et le respect des exigences de disponibilité (le cas échéant).

Pour plus d'informations, veuillez contacter [email protected].