Accord de Traitement des Donnees Personelles
1. Définitions
1.1 Dans le présent Avenant relatif à la Protection des Données, les termes définis ont la même signification et les mêmes règles d’interprétation s’appliquent que dans le reste de notre Contrat. En outre, dans le présent Avenant relatif à la Protection des Données, les définitions suivantes ont la signification donnée ci-dessous:
Autorité de Contrôle désigne tout organisme, département, fonctionnaire, parlement, personne publique ou statutaire, local, national ou multinational, ou tout gouvernement ou organisme professionnel, autorité de réglementation ou de contrôle, conseil ou autre organisme chargé d’administrer les Lois sur la Protection des Données;
Clauses Contractuelles Type les clauses contractuelles Types adoptées par la Commission européenne comme garantie appropriée pour se conformer aux règles de transfert restreint du RGPD;
Conditions Générales désigne la dernière version des Conditions Générales du Fournisseur, telle que Mise à Jour de temps à autre;
Demande de la Personne Concernée désigne une demande formulée par une Personne Concernée en vue d’exercer tous droits de Personnes concernées en vertu des Lois sur la Protection des Données;
Données à Caractère Personnel a le sens donné à ce terme dans les Lois sur la Protection des Données;
Données Protégées désigne les Données à Caractère Personnel dans les Données du Client:
Garanties Appropriées désigne le(s) mécanisme(s) juridiquement contraignant(s) de Transferts de Données à Caractère Personnel autorisés, de temps à autre, en vertu des Lois sur la Protection des Données;
Instructions de Traitement a la signification donnée à ce terme au paragraphe 3.1.1;
Loi Applicable désigne les lois applicables de l’Union européenne (UE), de l’Espace économique européen (EEE) ou de tout autre État membre de l’UE ou de l’EEE, ainsi que la loi n°78-17 « Informatique et Libertés », le cas échéant;
Lois Françaises sur la Protection des Données désigne les Lois sur la Protection des Données qui font partie du droit français (la loi n°78-17 « Informatique et Libertés » et le RGPD) de temps à autre.
Lois sur la Protection des Données désigne l’ensemble des Lois applicables relatives au traitement, à la confidentialité et/ou à l’utilisation des Données à Caractère Personnel, telles qu’elles s’appliquent à l’une ou l’autre des parties ou aux Services, y compris les lois suivantes, dans la mesure où elles sont applicables en l’espèce:
a) le RGPD ;
b) la loi britannique de 2018 sur la protection des données (Data Protection Act 2018) ;
c) toute loi qui mette en œuvre de telles lois ; et
d) toute loi qui remplace, étend, réadopte, consolide ou modifie l’une des législations précédentes (y compris, le cas échéant, le RGPD tel qu’il fait partie du droit d’Angleterre et du Pays de Galle,d’Écosse et d’Irlande du Nord en vertu de la loi britannique de 2018 sur le retrait de l’Union européenne (European Union (Withdrawal) Act 2018), telle que modifiée par le droit national applicable de temps à autre)
Personne Concernée a le sens donné à ce terme dans les Lois sur la Protection des Données;
Pertes Liées à la Protection des Données signifie toutes les responsabilités, y compris tous:
(a)les frais (y compris les frais de justice), les réclamations, les demandes, les actions, les règlements, les intérêts, les charges, les procédures, les dépenses, les pertes et les dommages (y compris ceux liés à des dommages matériels ou immatériels); et
(b)dans la mesure permise par la Loi Applicable:
(i)les amendes administratives, pénalités, sanctions, responsabilités ou autres réparations imposées par une Autorité de Contrôle;
(ii)l’indemnisation qu’une Autorité de Contrôle ordonne de verser à une Personne Concernée; et;
(iii)les frais raisonnables de mise en conformité avec les enquêtes par une Autorité de Contrôle;
Responsable du Traitement a le sens donné à ce terme dans les Lois sur la Protection des Données;
RGPD désigne le règlement général sur la protection des données, règlement (UE) 2016/679;
Sous-traitant a le sens donné à ce terme dans les Lois sur la Protection des Données;
Sous-traitant Ultérieur désigne un autre Sous-traitant auquel le Fournisseur recourt pour effectuer des activités de traitement des Données Protégées pour le compte du Client;
Traitement a la signification donnée à ce terme dans les Lois sur la Protection des Données (et les termes connexes, comme traiter, ont des significations correspondantes);
Transfert a la même signification que le mot « transfert » à l’article 44 du RGPD (ou la définition plus large du terme « transfert » dans les dispositions équivalentes des Lois Françaises sur la Protection des Données). Les notions connexes telles que Transferts et Transférer sont interprétées en conséquence; et
Transfert Restreint un transfert de Données Protégées du Client au Fournisseur qui serait interdit par les Lois sur la Protection des Données en l’absence de signature par le Client et le Fournisseur des Clauses Contractuelles Types. Afin d’éviter toute ambiguïté, sans limiter la portée de ce qui précède, (i) les transferts de Données Protégées de l’EEE vers le Royaume-Uni, à la suite de toute sortie du Royaume-Uni de l’Union européenne, sont des Transferts Restreints durant la période et dans la mesure où ils seraient interdits par les Lois sur la Protection des Données en l’absence des Clauses Contractuelles Types; et ii) lorsqu’un transfert de Données Protégées est d’un type autorisé par les Lois sur la Protection des Données du pays exportateur, par exemple un transfert d’un pays de l’EEE vers un pays agréé par la Commission européenne comme garantissant un niveau de protection adéquat ou un transfert qui relève d’une dérogation autorisée, ce transfert ne doit pas être un Transfert Restreint; et
Violation des Données à Caractère Personnel désigne toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de Données Protégées, ou l’accès non autorisé à de telles données;
2. Sous-traitant et Responsable du Traitement
2.1 Les parties conviennent que, pour les Données Protégées, le Client est le Responsable du Traitement et le Fournisseur le Sous-traitant. Aucune disposition du présent Contrat ne dégage le Client de ses responsabilités ou obligations en vertu des Lois sur la Protection des Données.
2.2 Le Fournisseur traite les Données Protégées conformément:
2.2.1 aux obligations prévues par les Lois sur la Protection des Données en ce qui concerne l’exécution de ses obligations en vertu de notre Contrat ; et
2.2.2 aux termes de notre Contrat.
2.3 Le Client veille à ce que lui-même, ses Sociétés Liées et chaque Utilisateur Autorisé se conforment à tout moment :
2.3.1 à toutes les Lois sur la Protection des Données en rapport avec le traitement des Données Protégées, l’utilisation des Services (et de chaque partie de ceux-ci), et l’exercice et l’exécution des droits et obligations qui découlent pour lui de notre Contrat, y compris le maintien de tous les enregistrements et notifications réglementaires pertinents comme l’exigent les Lois sur la Protection des Données ; et
2.3.2 aux termes de notre Contrat.
2.4 Le Client garantit, déclare et prend l’engagement, qu’à tout moment :
2.4.1 toutes les Données Protégées (si elles sont traitées conformément à notre Contrat) doivent être conformes à tous égards, y compris en ce qui concerne leur collecte, leur stockage et leur traitement, aux Lois sur la Protection des Données ;
2.4.2 toutes les Données Protégées doivent être conformes à la clause 9.2 des Conditions Générales ;
2.4.3 des notifications de traitement loyal et d’autres informations ont été fournies aux Personnes concernées par les Données Protégées (et tous les consentements nécessaires de ces Personnes concernées ont été obtenus et maintenus à tout moment) dans la mesure requise par les Lois sur la Protection des Données en rapport avec toutes les activités de traitement des Données Protégées qui peuvent être entreprises par le Fournisseur et ses Sous-traitants ultérieurs conformément à notre Contrat ;
2.4.4 les Données Protégées sont exactes et à jour ;
2.4.5 il conserve des sauvegardes complètes et exactes de toutes les Données Protégées fournies au Fournisseur (ou à toute personne agissant en son nom) de manière à pouvoir récupérer et reconstituer immédiatement ces Données Protégées en cas de perte, de dommage ou de corruption de ces Données Protégées par le Fournisseur ou toute autre personne ; et
2.4.6 toutes les instructions qu’il donne au Fournisseur en ce qui concerne les Données à Caractère Personnel doivent à tout moment être conformes aux Lois sur la Protection des Données.
3. Instructions et détails du traitement
3.1. Dans la mesure où le Fournisseur traite des Données Protégées pour le compte du Client, le Fournisseur :
3.1.1 à moins que la Loi Applicable n’en décide autrement, traite (et prend des mesures pour veiller à ce que chaque personne agissant sous son autorité traite) les Données Protégées uniquement sur la base et conformément aux instructions documentées du Client telles que définies dans le présent paragraphe 3.1 et les paragraphes 3.3 et 3.4, telles que Mises à jour de temps à autre (Instructions de Traitement) ;
3.1.2 si la Loi Applicable requiert qu’il traite les Données Protégées autrement que conformément aux Instructions de Traitement, il doit en informer le Client avant de traiter les Données Protégées (à moins que la Loi Applicable n’interdise cette information pour des raisons importantes d’intérêt public) ; et
3.1.3 informe rapidement le Client si le Fournisseur prend connaissance d’une Instruction de traitement qui, selon le Fournisseur, enfreint les Lois sur la Protection des Données, et dans la mesure maximale permise par le droit impératif, le Fournisseur n’assume aucune responsabilité, quelle qu’en soit la cause (contractuelle, délictuelle (y compris la négligence) ou autre), pour les pertes, coûts, dépenses ou responsabilités (y compris les Pertes Liées à la Protection des Données) découlant de ou en rapport avec tout traitement conforme aux Instructions de Traitement du Client après la réception de cette information par le Client.
3.2 Le Client est responsable de veiller à ce que toutes les Sociétés Liées Autorisées et tous les Utilisateurs Autorisés lisent et comprennent la Politique en matière de respect de la vie privée (telle que Mise à Jour de temps à autre).
3.3 Le Client reconnaît et accepte que l’exécution de toute commande transmise par ordinateur visant à traiter (y compris supprimer) toute Donnée protégée, dans le cadre de l’utilisation de l’un des Services Souscrits par un Utilisateur Autorisé constitue une Instruction de traitement. Le Client veille à ce que les Utilisateurs Autorisés n’exécutent pas une telle commande sans son autorisation (et celle de tout autre Responsable du Traitement). Il reconnaît que si des Données Protégées sont supprimées suite à un tel ordre, le Fournisseur n’est pas tenu de chercher à les restaurer.
3.4 Sous réserve de la Commande, le traitement des Données Protégées par le Fournisseur dans le cadre de notre Contrat est effectué pour l’objet, la durée, la nature et les finalités reprises à l’Annexe 1. Il implique les types de Données à Caractère Personnel et les catégories de Personnes concernées qui y sont reprises.
4. Mesures techniques et organisationnelles
4.1 Compte tenu de la nature du traitement, le Fournisseur met en œuvre et maintient des mesures techniques et organisationnelles (comme indiqué à l’annexe 2) appropriées pour protéger contre le traitement non autorisé ou illicite des Données Protégées et contre la perte ou la destruction accidentelle ou la détérioration des Données Protégées, adapté au préjudice qui pourrait résulter du traitement non autorisé ou illicite ou de la perte, de la destruction ou de la détérioration accidentelle et de la nature des Données Protégées à protéger, compte tenu de l’état d’avancement de la technologie.
5. Utilisation de personnel et d’autres sous-traitants
5.1 Le Client donne par la présente au Sous-traitant une autorisation générale de désigner les Sous-traitants ultérieurs énumérés sur la page web du Fournisseur à l’adresse www.esendex.co.uk/subprocessors (la page web). Le Fournisseur peut mettre à jour la page web de temps à autre. Le Client est réputé être informé de ce changement lors de la mise à jour de la page web. Il incombe au Client de vérifier régulièrement la page web. Le Client peut s’opposer à tout ajout ou remplacement par notification écrite au Fournisseur, dans les 20 jours suivant la modification.
5.2 Le Fournisseur :
5.2.1 avant que le Sous-traitant Ultérieur concerné n’effectue des activités de traitement concernant les Données Protégées, nomme chaque Sous-traitant Ultérieur dans le cadre d’un contrat écrit contenant substantiellement les mêmes obligations que celles prévues aux paragraphes 2 à 12 (inclus), et opposable au Fournisseur (y compris celles relatives aux garanties suffisantes pour mettre en œuvre les mesures techniques et organisationnelles appropriées) ;
5.2.2 s’assure que chaque Sous-traitant Ultérieur respecte toutes ces obligations ; et
5.2.3 reste pleinement responsable de tous les actes et omissions de chaque Sous-traitant Ultérieur comme s’ils étaient les siens.
5.3 Le Fournisseur est tenu de veiller à ce que toutes les personnes autorisées par lui (ou par tout Sous-traitant Ultérieur) à traiter les Données Protégées soient soumises à une obligation contractuelle écrite contraignante de maintenir le caractère confidentiel des Données Protégées (sauf si la divulgation est requise conformément à la Loi Applicable, auquel cas le Fournisseur doit, lorsque cela est possible et autorisé par la Loi Applicable, informer le Client de cette exigence avant de procéder à la divulgation).
6. Assistance en matière de conformité et de droits des Personnes concernées
6.1 Le Fournisseur transmet sans délai au Client toutes les Demandes des Personnes concernées qu’il reçoit.
6.2 Le Fournisseur fournit au Client toute l’assistance raisonnable que ce dernier peut raisonnablement exiger (compte tenu de la nature du traitement et des informations dont il dispose) pour assurer le respect des obligations du Client au titre des Lois de protection des données, concernant :
6.2.1 la sécurité du traitement ;
6.2.2 les analyses d’impact relatives à la protection des données (telles que définies dans les Lois de protection des données) ;
6.2.3 la consultation préalable d’une Autorité de Contrôle en ce qui concerne les traitements comportant un risque élevé ; et
6.2.4 les notifications à l’Autorité de Contrôle et/ou les communications aux Personnes concernées par le Client en réponse à toute Violation des Données à Caractère Personnel,
7. Transferts internationaux de données
7.1 Lorsque le transfert de Données Protégées du Client au Fournisseur constitue un Transfert Restreint, les Clauses Contractuelles Types s’appliqueront au présent Avenant relatif à la Protection des Données. En cas de conflit ou d’incohérence entre le présent Avenant relatif à la Protection des Données et les Clauses Contractuelles Types, les Clauses Contractuelles Types s’appliqueront.
7.2 Le Fournisseur ne Transfère aucune Donnée protégée vers tout pays situé en dehors de l’EEE, à moins que :
7.2.1 ce transfert ne soit effectué qu’aux finalités reprises à l’Annexe 1 ;
7.2.2 une décision d’adéquation n’ait été prise en ce qui concerne le pays concerné ou des Garanties Appropriées soient en place ;
7.2.3 la Personne Concernée ne dispose de droits exécutoires et de recours juridiques effectifs ; et
7.2.4 ce Transfert est conforme aux Lois de protection des données et à notre Contrat, et les dispositions de notre Contrat devront constituer les instructions du Client en ce qui concerne les Transferts conformément au paragraphe 3.1.1.
8. Information et audit
8.1 le Fournisseur doit tenir, conformément aux Lois sur la Protection des Données qui le lient, des registres écrits de toutes les catégories d’activités de traitement effectuées pour le compte du Client.
8.2 Le Fournisseur met à la disposition du Client, à la demande de ce dernier, conformément aux Lois sur la Protection des Données, les informations raisonnablement nécessaires pour démontrer que le Fournisseur respecte les obligations qui découlent pour lui du présent Avenant relatif à la Protection des Données et de l’article 28 du RGPD (et de toute Loi sur la protection des données équivalente à cet article 28). Il permet des audits, y compris des inspections, par le Client (ou un autre auditeur mandaté par le Client) à cette fin, à condition que :
8.2.1 cet audit, cette inspection ou cette Demande d’Information soit raisonnable, limitée aux informations en possession ou sous le contrôle du Fournisseur (ou de tout Sous-traitant Ultérieur) et que le Client donne au Fournisseur un préavis raisonnable de cet audit, cette inspection ou cette Demande d’Information ;
8.2.2 le Client paie les frais raisonnables du Fournisseur pour permettre tout audit ou inspection (sauf si cet audit ou inspection est requis par une Autorité de Contrôle de surveillance ou en raison d’une violation par le Fournisseur de ce Contrat) ;
8.2.3 les parties (chacune agissant raisonnablement et consentant à ne pas différer ou retarder leur décision de manière déraisonnable) conviendront du moment, de la portée et de la durée de l’audit, de l’inspection ou de la divulgation d’informations ainsi que de toute politique spécifique ou autre mesure à laquelle le Client ou le tiers auditeur devra se conformer (y compris pour protéger la sécurité et la confidentialité des autres clients, pour garantir que le Fournisseur ne viole pas tout autre accord avec tout autre client, et de manière à se conformer avec le reste du présent paragraphe 8.2);
8.2.4 les droits du Client au titre du présent paragraphe 8.2 ne peuvent être exercés qu’une fois par période de 12 mois consécutifs, sauf si une Autorité de Contrôle en décide autrement ou si le Client (agissant raisonnablement) estime que le Fournisseur enfreint le présent Avenant relatif à la Protection des Données ;
8.2.5 le Client signale rapidement au Fournisseur tout manquement identifié par l’audit, l’inspection ou la divulgation d’informations ;
8.2.6 le Client veille à ce que toutes les informations obtenues ou générées par le Client ou son (ses) auditeur(s) en relation avec ces demandes d’information, inspections et audits restent strictement confidentielles (sauf les divulgations requises par la Loi Applicable) ;
8.2.7 le Client veille à ce que tout audit ou inspection de ce type soit effectué pendant les heures normales de travail, en perturbant le moins possible les activités du Fournisseur et de chaque Sous-traitant Ultérieur ; et
8.2.8 le Client veille à ce que chaque personne agissant en son nom dans le cadre d’un tel audit ou d’une telle inspection (y compris le personnel de tout auditeur tiers) ne cause ou ne contribue, par tout acte ou omission, le/au moindre dommage, destruction, perte ou corruption de ou à tout système, équipement ou donnée sous le contrôle ou en possession du Fournisseur ou de tout Sous-traitant Ultérieur pendant la réalisation d’un tel audit ou d’une telle inspection.
9. Notification de violation
9.1 En ce qui concerne toute Violation de Données à Caractère Personnel impliquant des Données Protégées, le Fournisseur doit, sans délai excessif :
9.1.1 informer le Client de la Violation de Données à Caractère Personnel ; et
9.1.2 fournir au Client les détails de la Violation de Données à Caractère Personnel.
10. Suppression des Données Protégées et des copies Après la fin de la fourniture des Services (ou d’une partie de ceux-ci) relatifs au traitement des Données Protégées, le Fournisseur élimine les Données Protégées conformément à ses obligations en vertu du présent Contrat. Le Fournisseur n’assume aucune responsabilité (quelle qu’en soit la cause, y compris en cas de négligence) pour toute suppression ou destruction de ces Données Protégées entreprise conformément à notre Contrat.
11. Indemnisation et réclamations
11.1 Sous réserve de la clause 13 des Conditions Générales, le Fournisseur est responsable des Pertes Liées à la Protection des Données (quelle qu’en soit la cause, contractuelle, délictuelle (y compris la négligence) ou autre) dans le cadre ou en relation avec notre Contrat :
11.1.1 uniquement dans la où elles sont causées par le traitement de Données Protégées dans le cadre de notre Contrat et résultent directement de la violation de notre Contrat par le Fournisseur ; et
11.1.2 en aucun cas dans la mesure où les Pertes Liées à la Protection des Données (ou les circonstances qui y ont donné lieu) sont dues à ou causées par une violation de notre Contrat par le Client (y compris conformément au paragraphe 3.1.3).
11.2 Si une partie reçoit une demande d’indemnisation d’une personne concernant le traitement de Données Protégées dans le cadre de notre Contrat ou des Services, elle doit en informer rapidement l’autre partie et lui fournir tous les détails de cette demande. La partie chargée de la conduite de l’action :
11.2.1 ne reconnaît aucune responsabilité et n’accepte aucun règlement ou transaction concernant la demande concernée sans le consentement écrit préalable de l’autre partie (ce consentement ne devant pas être refusé ni retardé de manière déraisonnable) ; et
11.2.2 consulte pleinement l’autre partie en ce qui concerne une telle action, étant entendu que les conditions de tout règlement ou transaction concernant la réclamation relèvent exclusivement de la décision de la partie qui est responsable, en vertu de notre Contrat, du paiement de l’indemnisation.
11.3 Le présent paragraphe 11 est censé s’appliquer à la répartition de responsabilité pour les Pertes Liées à la Protection des Données entre les parties, y compris en ce qui concerne l’indemnisation des Personnes concernées, nonobstant toute disposition contraire des Lois sur la Protection des Données, sauf :
11.3.1 dans la mesure où la Loi Applicable (y compris les Lois sur la Protection des Données) ne le permet pas ; et
11.3.1 qu’elle n’affecte pas la responsabilité de l’une ou l’autre partie envers une Personne Concernée.
12. Applicabilité après la résiliation ou expiration Le présent Avenant relatif à la Protection des Données reste applicable après la résiliation (pour quelque raison que ce soit) ou l’expiration de notre Contrat. Il continue à s’appliquer jusqu’à ce qu’aucune Donnée protégée ne reste en possession ou sous le contrôle du Fournisseur ou de tout Sous-traitant Ultérieur. Les paragraphes 10 à 12 (inclus) restent applicable indéfiniment.
Annexe 1
Détails sur le traitement des données
Objet du traitement :
Envoi de communications commerciales
Durée du traitement :
Jusqu’à la première des deux dates suivantes : la résiliation ou l’expiration finale de notre Contrat, sauf disposition contraire expresse dans notre Contrat
Nature et finalité du traitement :
traitement conforme aux droits et obligations des parties en vertu de notre Contrat ;
Traitement raisonnablement nécessaire pour fournir les services ;
Traitement tel qu’initié, requis ou ordonné par les Utilisateurs Autorisés dans le cadre de leur utilisation des Services, ou par le Client, dans chaque cas d’une manière compatible avec notre Contrat ; et/ouEn ce qui concerne chaque Service Souscrit, autrement, en conformité avec la nature et la finalité identifiées dans sa Commande ;
Type de Données à Caractère Personnel :
Nom ;
Adresse ;
Numéro de téléphone portable ; et
comme décrit plus en détail dans une Commande.
Catégories de Personnes concernées :
Clients et/ou employés du Client
Annexe 2
Ces mesures décrivent comment Commify assure le traitement sécurisé des données personnelles conformément à l’article 32 du RGPD.
Commify gère la sécurité de la plateforme et des bureaux, tandis que Microsoft Azure, notre fournisseur de services cloud (CSP), est responsable de la sécurité physique et environnementale des centres de données et de l’infrastructure sous-jacente (« Sécurité du cloud »).
Nous mettrons en œuvre tous les efforts raisonnables pour répondre et résoudre tous les problèmes liés à la Plateforme dans les délais indiqués ci-dessous, par ordre de priorité. La priorité de chaque incident sera déterminée conformément au tableau suivant :
Mesures techniques et organisationnelles
2.1 Contrôle d’accès (Sécurité physique)
Objectif : Empêcher l’accès physique aux équipements de traitement de données par des personnes non autorisées.
Mesures mises en œuvre :
Sécurité des bureaux : Accès restreint par des systèmes de verrouillage manuels et une procédure de gestion des clés rigoureuse.
Gestion des visiteurs : Les visiteurs de nos bureaux doivent être accompagnés d’un employé en permanence.
Vérification des prestataires : Les prestataires nécessitant un accès physique à nos bureaux sont rigoureusement sélectionnés et vérifiés.
Mesures mises en œuvre au niveau de l’infrastructure cloud (Microsoft Azure) :
Sécurité périmétrique du centre de données : Utilisation de barrières physiques, notamment des clôtures haute sécurité, des points d’accès biométriques et du personnel de sécurité qualifié.
Surveillance : Vidéosurveillance 24 h/24 et 7 j/7 et systèmes d’alarme automatisés pour les tentatives d’accès non autorisées.
2.2 Contrôle d’accès au système (Logique)
Objectif : Empêcher toute utilisation non autorisée des systèmes de traitement de données (ordinateurs et réseaux).
Mesures mises en œuvre :
Authentification : Connexion obligatoire avec un identifiant et un mot de passe uniques.
Accès biométrique : Connexion sécurisée par données biométriques le cas échéant. Sécurité des terminaux et des serveurs : Utilisation d’un logiciel antivirus sur les serveurs et les postes clients.
Protection du réseau : Mise en place de pare-feu et de systèmes de détection d’intrusion (IDS).
Sécurité mobile : Gestion centralisée des appareils via la gestion des appareils mobiles (MDM).
Accès distant sécurisé : Utilisation obligatoire d’un VPN (réseau privé virtuel) pour tout accès distant à l’infrastructure.
Chiffrement : Chiffrement intégral de tous les supports de données, y compris les ordinateurs portables, les tablettes et les smartphones.
Sécurité matérielle : Protection du BIOS avec des mots de passe distincts et verrouillage des interfaces externes (ex. : ports USB).
Protection automatisée : Mise en place d’une politique de verrouillage automatique des postes de travail.
Gestion des utilisateurs : Procédures formelles pour la gestion des autorisations des utilisateurs et la création de profils utilisateurs spécifiques.
Administration des mots de passe : Attribution centralisée des mots de passe régie par une politique de sécurité.
Politiques internes : Application d’une politique de bureau propre et exigence de verrouillage manuel des postes de travail. Gouvernance des données : Respect d’une politique générale de protection et de sécurité des données, d’une politique relative aux appareils mobiles et de procédures de suppression des données.
2.3 Contrôle d’accès aux données
Objectif : Garantir que les utilisateurs autorisés n’accèdent qu’aux données relevant de leur champ de compétences. Mesures mises en œuvre :
Utilisation de concepts d’autorisation : Mise en place d’un cadre strict de contrôle d’accès basé sur les rôles (RBAC) afin de limiter l’accès aux données au périmètre des fonctions de chaque employé.
Gestion des droits d’utilisateur : Administration centralisée des permissions utilisateur, gérée exclusivement par les administrateurs autorisés.
Journalisation des accès aux applications : Journalisation technique exhaustive des interactions avec le système, notamment la saisie, la modification et la suppression des données, afin de maintenir une piste d’audit claire.
Suppression physique des supports de données : Mise hors service sécurisée et définitive des supports de stockage afin de garantir l’irrécupération des données après utilisation.
Dématérialisation : Engagement opérationnel en faveur d’un environnement sans papier afin de minimiser les risques de divulgation physique non autorisée des données.
2.4 Séparation et pseudonymisation
Objectif : Garantir que les données collectées à des fins différentes puissent être traitées séparément et qu’elles ne soient pas mélangées entre différents environnements clients. Mesures mises en œuvre :
Séparation des environnements de production et de test : Séparation logique ou physique stricte entre les données de production et les environnements de développement/test afin de prévenir toute divulgation accidentelle de données.
Capacité multi-clients : Les applications sont conçues pour prendre en charge le multi-tenant, garantissant ainsi l’isolation stricte des ensembles de données des différents clients.
Contrôle par autorisation : Utilisation de contrôles d’accès précis afin de garantir que les utilisateurs n’interagissent qu’avec les ensembles de données spécifiques requis par leur rôle.
Définition des droits d’accès aux bases de données : Gestion stricte des autorisations au niveau des bases de données afin de restreindre l’accès selon le principe du moindre privilège.
2.5. Contrôle de la divulgation
Objectif : Garantir que les données personnelles ne puissent être lues, copiées, modifiées ou supprimées sans autorisation lors de leur transmission ou de leur transport électronique, et qu’il soit possible de vérifier les organismes destinataires des données.
Mesures mises en œuvre :
Connexions chiffrées : Les données sont fournies via des protocoles sécurisés et conformes aux normes du secteur.
Chiffrement des courriels : Mise en œuvre du chiffrement des communications par courriel afin de protéger le contenu des messages en transit. Accès distant sécurisé : Utilisation obligatoire d’un VPN (réseau privé virtuel) pour la transmission sécurisée des données sur les réseaux publics.
Journalisation des accès : Enregistrement systématique de tous les accès et extractions de données afin de maintenir une piste d’audit claire des mouvements de données, y compris l’utilisation d’un transport sécurisé pour tout déplacement physique de données.
Documentation et supervision : Tenue d’une documentation détaillée concernant les destinataires des données, la durée des transferts prévus et les délais de suppression établis.
Transparence des processus : Maintien d’une vue d’ensemble claire de tous les processus réguliers d’extraction et de transmission de données.
2.7 Protection des données dès la conception et par défaut
Objectif : Garantir l’intégration de la protection des données dans les activités de traitement et veiller à ce que, par défaut, seules les données personnelles nécessaires à chaque finalité spécifique soient traitées.
Mesures mises en œuvre :
Minimisation des données : Des mesures techniques et organisationnelles sont mises en place afin de garantir que seules les données personnelles strictement nécessaires à la finalité concernée soient collectées ou traitées.
Retrait du consentement : Nous mettons en œuvre des mesures techniques permettant aux personnes concernées d’exercer leur droit de retrait ou de retrait à tout moment, leur assurant ainsi le contrôle de leurs données personnelles.
3.1 Contrôle des tiers
Objectif : Garantir que les données personnelles traitées par des tiers le soient conformément aux instructions du responsable du traitement et selon les mêmes normes de sécurité élevées.
Mesures mises en œuvre :
Vérification préalable et examen approfondi : Sélection rigoureuse des sous-traitants sur la base de critères de vérification préalable spécifiques, avec une attention particulière portée à leurs mesures techniques et organisationnelles de protection des données.
Garanties contractuelles : Conclusion d’accords de traitement des données (ATD) ou de clauses contractuelles types (CCT) de l’UE, conformément à la loi. Instructions écrites : Les activités de traitement sont encadrées par des instructions écrites claires adressées au prestataire.
Obligations de confidentialité : Nous veillons à ce que tout le personnel du prestataire impliqué dans le traitement des données soit légalement tenu à la confidentialité.
Contrôle de la conformité : Nous exigeons des prestataires qu’ils désignent un délégué à la protection des données (DPO) lorsqu’ils y sont légalement tenus.
Droits d’audit et d’inspection : Un accord contractuel prévoit des droits effectifs d’inspection et d’audit afin de vérifier la conformité du prestataire.
Réglementation des sous-traitants : Des règles strictes encadrent le recours à d’autres sous-traitants, garantissant qu’aucune donnée n’est transmise sans transparence et sans autorisation.
Suppression des données : Des procédures sont mises en place pour la destruction sécurisée ou la restitution des données une fois la prestation terminée.
Surveillance continue : Nous effectuons une vérification régulière et continue du niveau de sécurité et des normes de protection du prestataire.