ACCORD SUR LE TRAITEMENT DES DONNÉES PERSONNELLES
ACCORD SUR LE TRAITEMENT DES DONNÉES PERSONNELLES
« CLIENT » ou « RESPONSABLE DU TRAITEMENT DES DONNÉES » :
Nom de la
société : Adresse :
« MAPP » ou « SOUS-TRAITANT DES DONNÉES » :
L’entité Mapp indiquée à l’Annexe 3 qui est Partie au MSA.
Informations sur la société :
Le présent Accord sur le traitement de données personnelles (« DPA ») fait Partie de l’Accord-cadre de services ou de tout autre accord pour l’achat des services Mapp (ci-après dénommé « MSA ») entre le Client et Mapp.
En signant le présent DPA, le Client adhère au DPA pour son compte et, dans la mesure requise par les Lois applicables en matière de protection des données, au nom et pour le compte de ses Affiliés.
Comment conclure le présent DPA :
• Si le présent DPA est présigné au nom de Mapp, veuillez : (1) compléter ci-dessus les informations du Client ; (2) choisir l’entité Mapp qui est Partie au MSA ; (3) revoir l’Annexe 1 et la modifier si nécessaire ; (4) signer le DPA ; et (5) le soumettre par courrier électronique à xxxxxxx@xxxx.xxx.
• Dès réception du DPA dûment signé, ce dernier deviendra juridiquement contraignant et fera partie du MSA.
• Si le Client apporte au présent DPA des révisions qui n’ont pas fait l’objet d’un accord mutuel, ces dernières seront considérées comme nulles et non avenues. Le signataire du Client déclare à Mapp qu’il possède l’autorité légale nécessaire pour lier le Client. Le présent DPA prendra automatiquement fin au terme des MSA.
1. DÉFINITIONS
1.1 Le terme Affilié désigne toute entité qui possède ou contrôle directement ou indirectement, qui est détenue ou contrôlée, ou qui est sous un régime de propriété ou de contrôle commun de la partie en question.
1.2 Le terme Loi(s) applicable(s) en matière de protection des données désigne toutes les lois et réglementations et toute législation pouvant exister dans les juridictions compétentes et s’appliquant au traitement des données personnelles en question y compris : la réglementation de l’Union européenne sur la protection des personnes physiques à l’égard du traitement des Données Personnelles et à la libre circulation de ces données (le
« Règlement général sur la protection des données » ou « RGPD »), 2002/58/CE, la California Consumer Privacy Act ((loi sur la protection des données personnelles des consommateurs résidant en Californie), la « CCPA »)) et toute loi ou réglementation applicable en matière de protection des données, supplémentaire ou associée, chacune telle que mise à jour, modifiée ou remplacée ponctuellement.
1.3 Le terme Personne Concernée a la même signification que celle qui lui est donnée dans la Loi applicable en matière de protection des données.
1.4 Le terme Violation des Données Personnelles désigne une violation de la sécurité entraînant la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès illégal ou accidentel à des Données Personnelles transmises, stockées ou traitées.
1.5 Le terme Services, décrit de façon plus détaillée dans l’Annexe 4, fait référence aux Services Mapp souscrits par le Client auprès de Mapp tel que défini dans le MSA.
1.6 Tous les autres termes portant une majuscule auront la signification qui leur est donnée dans la Loi applicable en matière de protection des données ou dans le MSA.
2. TRAITEMENT DES DONNÉES
2.1 Les Parties reconnaissent et acceptent, en ce qui concerne les Traitements des Données Personnelles, que le Client est le Responsable du Traitement et que Mapp est le Sous-Traitant des données.
2.2 Chaque Partie se doit de se conformer à leurs obligations respectives en vertu des Lois applicables en matière de protection des données. Chaque Partie se doit, lors de son utilisation des Services Mapp, de traiter uniquement les Données Personnelles conformément aux exigences des Lois applicables en matière de protection des données.
2.3 Les instructions du Client pour le Traitement des Données Personnelles doivent être conformes aux Lois applicables en matière de protection des données. Mapp informera immédiatement le Client si, selon lui, une instruction du Client enfreint les Lois applicables en matière de protection des données.
2.4 Mapp, en tant que prestataire de service, traitera uniquement les Données Personnelles pour le compte et, conformément aux instructions documentées du Client, à des fins commerciales de (i) Traitement conforme au MSA ; (ii) Traitement initié par les Utilisateurs lors de l’utilisation des Services ; (iii) Traitement pour se conformer à d’autres instructions raisonnables documentées fournies par le Client ; (iv) Protection de la confidentialité, de
l’intégrité et de la disponibilité des Données Personnelles et des Services conformément au présent accord ; et
(v) Collecte de données statistiques non identifiables.
2.5 Mapp agit en tant que prestataire de service pour le Client et ne conservera, n’utilisera ou ne divulguera d’aucune autre manière les Données personnelles, sauf dans les cas décrits à la Section 2.4 ci-dessus. Xxxx reconnaît en outre qu’il ne vendra pas les Données personnelles collectées conformément aux Services.
2.6 L’objet, la durée, la nature et la finalité du Traitement, ainsi que le type de Données Personnelles et les catégories de Personnes concernées sont définis dans les MSA.
3. DROITS DES PERSONNES CONCERNÉES
3.1 Mapp doit, dans la mesure où la loi le permet, informer rapidement le Client si Mapp reçoit une demande de la part d’une Personne concernée pour exercer un ou plusieurs de ses droits, tels que définis dans les Lois applicables en matière de protection des données (« Demande DSR »).
3.2 Compte tenu de la nature du Traitement, Mapp assistera le Client par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour remplir son obligation envers le Client de répondre à une Demande DSR en vertu des Lois en matière de protection des données.
3.3 Dans la mesure où le Client, lorsqu’il utilise les Services, n’est pas en mesure de traiter une Demande DSR, Mapp doit, à la demande du Client, déployer des efforts commercialement raisonnables pour aider le Client à répondre à cette Demande DSR, dans la mesure où Xxxx est légalement autorisé à le faire et dans la mesure où la réponse à cette Demande DSR est requise en vertu des Xxxx en matière de protection des données. Dans la mesure permise par la loi, le Client sera responsable de tous les coûts découlant de la fourniture d’une telle assistance par Mapp.
4. ÉVALUATIONS DE L’INCIDENCE SUR LA PROTECTION DES DONNÉES
Mapp fournira au Client une assistance raisonnable lors de toute évaluation de l’incidence sur la protection des données et des consultations préalables avec une Autorité de surveillance, requises par les Lois en matière de protection des données, dans chaque cas, et ce, en ce qui concerne le Traitement des Données Personnelles, et en tenant compte de la nature du Traitement et des informations disponibles.
5. NOTIFICATION D’UNE VIOLATION DE DONNÉES À CARACTÈRE PERSONNEL
5.1 Mapp informera le Client, dans les meilleurs délais, après avoir pris connaissance d’une Violation de données Personnelles. Mapp fournira au Client des informations suffisantes lui permettant de respecter toute obligation de notifier une Autorité de surveillance de la Violation de données Personnelles et/ou de communiquer la Violation de données Personnelles aux Personnes concernées conformément à la Législation en matière de protection des données.
5.2 Mapp doit déployer des efforts raisonnables pour identifier la cause d’une Violation de Données Personnelles et prendre les mesures qu’elle juge nécessaires et raisonnables pour remédier à la cause d’un tel Incident relatif aux données des clients dans la mesure où la réparation relève du contrôle raisonnable de Mapp.
5.3 Les obligations énoncées dans les présentes ne s’appliquent pas aux incidents causés par le Client.
6. SOUS-TRAITANCE
6.1 Les Affiliés de Mapp et les autres Sous-traitants utilisés par Mapp pour fournir ses services contractuels, y compris leur rôle, la nature de l’opération sous-traitée et la zone géographique dans laquelle l’opération est sous-traitée, figurent sur la Liste des Sous-traitants de Mapp disponible sur demande et/ou accessible sur xxx.xxxx.xxx/xxxxxxxxx. Ces Sous-traitants doivent être acceptés et consentis par le Client. En signant le présent DPA, le Client accepte la liste des Sous-traitants ci-jointe en Annexe 3 et autorise Mapp à transférer des Données Personnelles à ses Affiliés et/ou à d’autres Sous-traitants vers des sites extérieurs à l’Espace économique européen, dans la mesure du nécessaire, pour fournir une assistance, réaliser des projets techniques ou effectuer d’autres types de services dans le cadre du MSA, à condition, si le Client est intégré à l’UE, que : (i) ces sites soient reconnus par la Commission européenne comme offrant une protection adéquate des données ; ou (ii) Mapp ait exécuté les Clauses contractuelles types de l’UE avec de tels Affiliés et/ou d’autres Sous-traitants.
6.2 Mapp a conclu avec chaque Sous-traitant un accord écrit contenant des obligations de protection des Données Personnelles assurant un niveau de protection identique à celles du présent DPA en ce qui concerne la protection des Données Personnelles dans la mesure applicable à la nature des Services fournis par ce sous-traitant.
6.3 Mapp sera responsable des actes et des omissions de ses Sous-traitants dans la même mesure que Xxxx sera responsable comme si les services de chaque Sous-traitant étaient rendus directement par Mapp en vertu des termes du présent DPA, sauf indication contraire dans le MSA.
6.4 Si Mapp anticipe la nécessité de changer ou d’ajouter un sous-traitant, Xxxx informera le Client de tout changement de sous-traitant et le Client sera autorisé à s’opposer à tout changement dans un délai raisonnable. Si le Client omet de s’opposer à un tel changement dans le délai imparti, le Client est réputé avoir consenti à un tel changement. Lorsqu’il existe une raison substantiellement importante à cette opposition et en l’absence
d’une résolution amiable par les parties, le Client est en droit de mettre un terme au DPA. Mapp veillera à ce que tout nouveau sous-traitant respecte les mêmes normes applicables que les Sous-traitants précédemment convenus.
7. SÉCURITÉ
Compte tenu de l’état de la technique, des coûts de mise en œuvre ainsi que de la nature, de la portée, du contexte et des finalités du traitement, ainsi que du risque de probabilité variable et de gravité des droits et libertés des personnes physiques, Mapp doit mettre en place des mesures techniques et organisationnelles appropriées pour la protection de la sécurité (y compris la protection contre tout Traitement non autorisé ou illégal et contre la destruction, la perte ou l’altération accidentelle ou illicite, la divulgation non autorisée, ou l’accès à des Données des clients), la confidentialité et l’intégrité des Données Personnelles, tel qu’énoncés dans l’Annexe de sécurité de Mapp (Annexe 2) du présent DPA. Mapp veille régulièrement au respect de ces mesures. Mapp ne diminuera pas de manière significative la sécurité globale des Services pendant la durée des MSA. Mapp limitera l’accès aux Données Personnelles à ses employés ou Sous-traitants pour lesquels l’accès à ces données est raisonnablement nécessaire pour respecter les obligations de Mapp envers le Client. Mapp veillera à ce que les personnes autorisées pour le Traitement des Données Personnelles soient liées par les mêmes obligations de confidentialité ou par des obligations équivalentes à celles de Mapp ou par une obligation légale de confidentialité appropriée. Des informations sur la Politique de sécurité de Mapp peuvent être fournies sur demande si le Client souhaite des détails supplémentaires concernant la présente section.
8. SUPPRESSION OU RENVOI DES DONNÉES À CARACTÈRE PERSONNEL
8.1 Mapp supprimera les Données Personnelles lors de la résiliation/expiration des MSA comme spécifié dans les MSA ou sur demande raisonnable du Client dans un délai de 30 jours et s’assurera que les données supprimées sont irrécupérables. Mapp peut conserver des Données Personnelles dans la mesure requise par les lois applicables et uniquement dans la mesure et pour la période requise par les lois applicables et toujours à condition que Mapp garantisse la confidentialité de toutes ces Données Personnelles et veille à ce que ces Données Personnelles fassent l’objet d’un Traitement nécessaire aux fins spécifiées dans les lois applicables et nécessitant leur conservation et à aucune autre fin.
8.2 Mapp fournira au Client, à la demande de ce dernier, une confirmation écrite que la suppression a eu lieu conformément à la présente section 8.
8.3 Mapp renverra les Données Personnelles au Client conformément à la procédure et aux délais spécifiés dans le MSA.
9. VÉRIFICATIONS ET CONTRÔLES
9.1 Mapp mettra à la disposition du Client toutes les informations nécessaires pour démontrer la conformité au présent DPA et permettra et contribuera aux audits du Client ou d’un auditeur tiers mandaté par le Client concernant le Traitement des Données Personnelles. Sur demande écrite du Client, Mapp remplira avec précision, pas plus d’une fois par an, un questionnaire de sécurité des informations fourni par le Client concernant les pratiques et politiques de Mapp en matière de protection des données et de sécurité des informations.
9.2 Le Client ou un auditeur tiers mandaté par le Client peut, aux frais de ce dernier et pas plus d’une fois par an, procéder à une inspection sur site des pratiques et politiques de Mapp en matière de protection des données et de sécurité des informations au moyen d’un préavis écrit envoyé au moins dix jours ouvrables à l’avance. L’inspection ne doit pas excéder une journée et doit se dérouler durant les heures normales de bureau de Mapp, selon un calendrier convenu d’un commun accord, de manière à minimiser l’incidence de l’inspection sur les opérations de Mapp. Le Client ou l’auditeur tiers mandaté par le Client doit se conformer aux exigences de sécurité de Mapp concernant l’exécution de l’inspection. En raison des exigences de confidentialité et de sécurité, de telles inspections doivent exclure les inspections sur site des environnements multilocataires (tels que les centres de données IaaS utilisés par Mapp). Les examens sur site de tels environnements peuvent être remplacés par une documentation détaillée fournie par Mapp à la demande du Client concernant les mesures de protection et de sécurité des données respectives prises et des certifications spécifiques émises par des auditeurs tiers réputés.
9.3 Le Client doit notifier rapidement à Mapp tout cas de non-conformité découvert lors d’un tel audit et/ou inspection.
10. RESPONSABILITÉ
10.1 La responsabilité de chaque partie découlant ou liée au présent DPA et à tous les DPA entre les Affiliés et Mapp, que ce soit sous la forme d’un contrat, d’une responsabilité délictuelle ou en vertu de toute autre théorie de la responsabilité, est sujette à la section « Limitation de responsabilité » agréée au sein du MSA, et toute référence dans la présente section de la responsabilité d’une partie désigne la responsabilité globale de cette partie et de tous ses Affiliés en vertu du MSA et de tous les DPA réunis.
10.2 Pour éviter toute ambiguïté, la responsabilité totale de Mapp pour toutes les réclamations du Client et de tous ses Affiliés découlant ou liées au MSA et à chaque DPA s’appliquera à l’échelle mondiale pour toutes les
réclamations émises en vertu du MSA et de tous les DPA établis en vertu du présent Accord.
10.3 Lorsqu’une Personne concernée fait valoir ses droits à l’encontre d’une partie pour le présent DPA conformément aux Lois applicables en matière de protection des données, l’autre partie doit soutenir, dans la mesure du possible, la défense contre de telles réclamations.
Annexe 1 : Personnes concernées et catégories Annexe 2 : Annexe de sécurité
Annexe 3 : Liste des Sous-traitants
Annexe 4 : Description des Service de Mapp
RESPONSABLE DU TRAITEMENT
SOUS- TRAITANT
Signature : Signature :
Nom imprimé,
Nom imprimé,
Xxxxxx Xxxxxx, CEO
titre : titre :
Date : Date :
ANNEXE 1 : PERSONNES CONCERNÉES ET CATÉGORIES
Personnes concernées. Les Données Personnelles traitées concernent les catégories de personnes concernées suivantes :
▪ Les clients du Client ;
▪ Les prospects du Client ;
▪ Les visiteurs du site Internet du Client ;
▪ Les employés du Client.
Catégories de données. Les Données Personnelles traitées concernent les catégories de données suivantes :
▪ L’adresse e-mail ;
▪ Le numéro de portable ;
▪ Le numéro de téléphone fixe ;
▪ Le nom et le prénom ;
▪ L’adresse postale ;
▪ La date de naissance ;
▪ L’ouverture des e-mails reçus ;
▪ Le nombre de clics sur les liens dans les e-mails reçus ;
▪ Les adresses IP ;
▪ Le comportement d’utilisation du site.
ANNEXE 2 : ANNEXE DE SÉCURITÉ
INFORMATIONS TECHNIQUES ET ORGANISATIONNELLES SUR LES MESURES DE SÉCURITÉ SELON L’ART.28(3) RGPD
1. Confidentialité (Article 32, section 1, paragraphe a et b du RGPD et Article 25, paragraphe 1 du RGPD) | |
Contrôle d’accès physique | Mise en œuvre |
Mapp prendra des mesures appropriées pour empêcher les personnes non autorisées d’accéder à l’équipement de traitement de données où les Données Personnelles sont traitées ou utilisées. | - Les zones de sécurité établies ont des points d’entrée/sortie protégés. - Les procédures d’autorisation s’appliquent aux employés et les tiers. - Les procédures de gestion des visiteurs sont en place afin d’assurer une authentification et une supervision appropriée. - Tous les centres de données et les principaux bureaux sont sous vidéosurveillance et ceux-ci couvrent tous les points d’entrée et de sortie. - Tout accès à l’équipement du centre de données nécessite, au minimum, deux facteurs d’authentification différents. - L’équipement est placé de manière à le protéger efficacement contre la divulgation non autorisée d’informations. - Les centres de données et les principaux bureaux sont équipés de systèmes de d’alarme de sécurité. - Tous les centres de données ont une réception et/ou des gardiens de sécurité. - Les clés d’authentification sécurisées et/ou l’inscription de données biométriques sont délivrés suivant la procédure. - Un système d’accès électronique est en place et enregistre tous les accès aux centres de données et principaux bureaux. |
Contrôle d’accès au système | Mise en œuvre |
Mapp doit prendre des mesures appropriées pour empêcher ses systèmes de traitement de Données Personnelles d’être utilisés par des personnes non autorisées. | - La politique de contrôle d’accès est mise en place. - La procédure de gestion des comptes utilisateurs et des comptes privilégiés suit le cycle de vie de l’emploi tel que reporté sur le répertoire central. - Une authentification multi-facteurs est requise pour avoir un accès privilégié à l’infrastructure. - Mapp a mis en place une politique de mot de passe qui requiert techniquement au moins 8 caractères qui contient au moins trois des quatre éléments suivants : majuscule(s), minuscule(s), numéro(s), symbole(s) ; un mot de passe différent des 8 mots de passe précédemment utilisés ; les mots de passe des utilisateurs internes sont réinitialisés après leur expiration et si ceux-ci sont compromis ; et une longueur minimale de 14 caractères est requise pour les comptes d’administrateur et de service. Les utilisateurs sont tenus de modifier les mots de passe initiaux lors de leur première connexion. - Il y a l’option d’activer l’authentification multi-facteurs ou authentification unique via une source d’identité personnalisée afin d’améliorer le contrôle de l’accès client (s’applique à Mapp Engage, Mapp Intelligence et Mapp Acquire) - Les employés sont tenus de respecter le principe du « Clean Desk Policy ». Les écrans sont verrouillés automatiquement au plus tard après 15 minutes d’inactivité. - L’accès au réseau interne de Mapp est limité aux appareils autorisés de l’entreprise. - Des systèmes anti-programmes malveillants sont installés sur tous les systèmes Windows et les serveurs Linux susceptibles d’être infectés par des programmes malveillants. - La surveillance des événements de sécurité liés aux systèmes internes et de production de Mapp Cloud. - Le non-traitement de données sur les appareils mobiles tels que les téléphones mobiles ou les tablettes. - La politique interdisant le transfert de données sur un support amovible. - Le Client reste responsable de la protection des informations d’identification GUI et API, sous son contrôle. - Un processus de gestion des vulnérabilités techniques est en place, cela comprend le renforcement des serveurs physiques et virtuels de l’infrastructure, l’analyse de code statique, des évaluations internes périodiques des vulnérabilités et des tests d’intrusion tiers ; et la correction des failles de sécurité en temps voulu et suivant une approche centrée sur les risques. Le Client peut effectuer ses propres évaluations techniques, avec l’accord de Mapp. - Les principes de codage sécurisés sont mis en place conformément au Top 10 de l’OWASP, et sont régulièrement enseignés aux développeurs de Mapp. - Les réseaux de physiques et virtuels de production sont efficacement contrôlés, séparés et protégés par des pares-feux. Aucune donnée n’est stockée dans la zone de présentation d’un réseau. - Mapp met en place et surveille le système de détection et/ou de prévention des intrusions sur réseau (s’applique à Mapp Engage et Mapp Intelligence). - Mapp met en place et surveille le système de détection d’intrusion basé sur l’hôte (s’applique à Mapp Engage). |
Contrôle d’accès aux données | Mise en œuvre |
Mapp a mis en place, et maintient, des mesures appropriées afin de prévenir toute opération non autorisée de lecture, copie, modification ou suppression dans | - Une procédure de gestion des droits d’accès des comptes utilisateurs Mapp et des comptes privilégiés est en appliquée conformément au cycle de vie de l’emploi basé sur un répertoire central. - L’accès aux données est limité aux groupes autorisés. - Les droits d’accès privilégiés sont donnés suivant le principe « de moindre privilège ». |
les systèmes d’information. | - Le modèle de rôle et de permission optimisé a été implémenté pour Mapp Cloud et pour permettre la personnalisation de l’accès client en fonction du principe du besoin d’en connaître. - Les comptes de l’annuaire central de Mapp sont examinés tous xxx xxx mois. - Les comptes privilégiés de Mapp ayant accès à l’infrastructure, ainsi que leurs droits, sont examinés au moins une fois par an. - L’activité des comptes utilisateurs et des comptes privilégiés, ainsi que d’autres événements liés à la sécurité, est enregistrée et les logs sont protégés contre la perte et la manipulation. - Les logs des comptes privilégiés Mapp sont régulièrement examinés, manuellement et/ou automatiquement. - Le Client reste responsable des révisions d’accès spécifiques à l’application, de l’exactitude de la liste de contrôle d’accès et de la protection des identifiants attribués - Les fichiers sont stockés de façon cryptée selon AES-256 (ou équivalent) (s’applique à Mapp Engage et à Mapp Acquire). - Mapp applique un système de fichiers cryptés pour les ordinateurs portables des entreprises. - Mapp utilise des supports amovibles techniquement limités. - Mapp met en place des procédures pour la mise au dépotoir sécurisée des équipements et la suppression définitive des données applicable lors du processus de désinscription du client. |
Contrôle de séparation | Mise en œuvre |
Mapp a mis en place, et maintient, des mesures appropriées afin de séparer le traitement des données collectées à des fins différentes. | - Mapp applique une séparation logique des données du locataire dans les environnements de production et de service, que ce soit au niveau des données ou de la base de données. - Les environnements de développement et de test sont séparés de ceux de production. - Aucune donnée de production n’est utilisée à des fins de test. |
Pseudonymisation / Anonymisation | Mise en œuvre |
Les Données Personnelles sont traitées de façon à empêcher l’association des données à une personne en particulier sans informations supplémentaires. Ces dernières sont conservées séparément grâce aux mesures techniques ou organisationnelles appropriées mises en place. | - Les procédures de développement mises en place incluent les principes de design pour la minimisation des données, la limitation de la collecte et la protection des données par défaut, y compris l’exigence d’un pseudonymisation dans la mesure du possible. - Les données liées au comportement de l’utilisateur sont stockées sous une forme pseudonymisée et sont séparées du profil de contact correspondant lorsque cela est possible (s’applique à Mapp Engage). - Le suivi en ligne est pseudonymisé par défaut. Il est possible de pseudonymiser et d’anonymiser les attributs personnalisés collectés, par exemple, via le hashing ou la troncation (s’applique à Mapp Acquire et Mapp Intelligence). - Les logs du système sont anonymisés dans la mesure du possible. - Si la fonctionnalité du service implique une analyse des données et prédictions, les données sont anonymisées avant d’effectuer le dit traitement ou rapport. |
2. Intégrité (Article 32, section 1, paragraphe b du RGPD) | |
Contrôle de transfert | Mise en œuvre |
Mapp a mis en place, et maintient, des mesures appropriées afin d’empêcher toute opération non autorisée de lecture, copie, modification ou suppression pendant le transfert ou le transport. | - Les données transférées sur des réseaux publics de transmission de données sont efficacement protégées à l’aide de normes et d’algorithmes conformes aux bonnes pratiques du secteur, tels que TLS ou SSH, avec des configurations sécurisées. - Les données ne sont pas transférées physiquement, ni sur papier ni sur des périphériques de stockage mobiles. - Des messageries électroniques sécurisées sont en place pour les communications internes et externes, mais nous n’autorisons pas le transfert de données (traitées en vertu du présent DPA) par e-mail. Si les clients envoient des données par e-mail ou demandent à Mapp de le faire, le client sera tenu pour responsable pour toutes les conséquences qui en dérivent. - Il est possible de protéger l’intégrité du domaine e-mail avec l’outil DMARC (s’applique à Mapp Engage) |
Contrôle d’entrée | Mise en œuvre |
Mapp a mis en place, et maintient, des mesures appropriées afin de déterminer si les Données Personnelles ont été saisies, modifiées ou supprimées des systèmes d’information. | - Les comptes utilisateur et les comptes privilégiés sont uniques et identifiables lorsque cela est techniquement possible. Néanmoins, les comptes racines sont strictement contrôlés. - L’accès aux données au niveau de l’application et de la base de données est journalisé de manière exhaustive et les journaux sont protégés contre la perte et la manipulation. - Les sources de journal utilisent une source de synchronisation du temps (NTP). - Le système de détection d’intrusion basé sur l’hôte en place et surveillé (s’applique à Mapp Engage). - Le système de détection et de prévention des intrusions basé sur le réseau en place et surveillé (s’applique à Mapp Engage). - Les processus de gestion des vulnérabilités techniques, y compris l’analyse de code statique, des évaluations internes périodiques des vulnérabilités et des tests d’intrusion tiers. Les clients peuvent effectuer leurs propres évaluations techniques en accord avec Mapp. - Des systèmes anti-programmes malveillants sont installés sur tous les systèmes Windows et les serveurs Linux susceptibles d’être infectés par des programmes malveillants. |
3. Disponibilité et résilience (Article 32, section 1, paragraphe b et c du RGPD) | |
Contrôle de disponibilité | Mise en œuvre |
Mapp a mis en place, et maintient, des mesures appropriées afin de protéger contre la perte ou la destruction accidentelle ou intentionnelle. | - Des systèmes de détection et de suppression sont installés dans les centres de données afin de minimiser les risques liés aux incendies et au dégât des eaux. Ceux-ci sont entretenus et testés au moins une fois par an. - Les équipements sont situés de manière à les protéger efficacement contre les dommages environnementaux ou le sabotage. |
- Des mécanismes de sécurité et de redondances sont mis en place pour protéger les équipements des pannes de services publics. Nous avons installé des systèmes de batterie et des générateurs au diesel, pouvant tenir au moins 24 heures. Ces deniers sont testés plusieurs fois par an afin d’assurer une alimentation sans interruption. - Les composants de système critiques (par exemple, les serveurs Web ou les équilibreurs de charge) sont redondants pour éviter les points de défaillance uniques. - Les données sont répliquées et les données relationnelles sont sauvegardées quotidiennement. - Les processus de gestion des vulnérabilités techniques comprennent l’analyse de code statique, des évaluations internes périodiques des vulnérabilités et des tests d’intrusion de tiers. Les clients peuvent effectuer leurs propres évaluations techniques avec l’accord de Mapp. - Mapp a mis en place une planification et surveillance de la capacité informatique, de stockage et du réseau. - L’état du système ainsi que sa disponibilité sont surveillés. - Des procédures sont mises en place afin de gérer le changement de gestion pendant les opérations normales et les urgences. - Des systèmes anti-malware sont installés sur tous les systèmes Windows et les serveurs Linux susceptibles d’être infectés par des malware. - Mapp met en place et surveille le système de détection et prévention des intrusions sur réseau (s’applique à Mapp Engage et Mapp Intelligence). | |
Capacité de récupération | Mise en œuvre |
Mapp a mis en place, et maintient, des mesures appropriées afin garder sa capacité de récupération dans un délai approprié après un événement perturbateur. | - Les plans de continuité des activités et de reprise après sinistre pour les centres de données et les services logiciels sont mis à jour et testés régulièrement. - Les générateurs UPS et diesel sont installés dans les centres de données pour pallier aux pannes de courant pendant au moins 24 heures. Ceux-ci sont entretenus et testés au moins une fois par an. - Les données sont répliquées et les données relationnelles sont sauvegardées quotidiennement. Les procédures de récupération de sauvegarde sont régulièrement testées. |
4. Processus d’évaluation régulière de l’efficacité des mesures (Article 32, section 1, paragraphe d du RGPD, Article 25, section 1 et 2 du RGPD) | |
Gestion de la protection des données | Mise en œuvre |
Mapp suit une approche systématique de la gestion de la protection des données. | - Les rôles et responsabilités sont clairement définis et communiqués en ce qui concerne la sécurité de l’information et la protection de la vie privée, notamment sans s’y limiter : le responsable de la sécurité des systèmes d’information et le délégué à la protection des données (DPO). - Mapp a mis en place des procédures de gouvernance pour la gestion des risques liés à l’information, le respect et la communication des politiques, les évaluations de conformité internes et externes des tiers, l’établissement de rapports et d’évaluations de la gestion, ainsi que le suivi des améliorations continues. - Mapp a implémenté un programme de sensibilisation à la sécurité de l’information et à la protection des données, comprenant des formations obligatoires pour les nouveaux employés et des formations de mise à jour annuelles, ainsi que des mesures de sensibilisation supplémentaires. - Un audit de la gestion de la sécurité de l’information et du système de protection des données est effectué chaque année par un tiers indépendant. |
Gestion de la réponse aux incidents | Mise en œuvre |
Mapp suit une approche systématique de la gestion des incidents. | - Mapp a mis en place une procédure de signalement des incidents, instruite à tous les employés. - Mapp a mis en place une procédure d’intervention en cas d’incident, y compris la vérification, la classification, le confinement, l’éradication et le rétablissement et des guides pour certains types d’incidents. - Mapp a mis en place une procédure de notification conforme aux exigences juridiaues et contractuelles. - Mapp a mis en place une analyse rétrospective requise pour les incidents significatifs. - Mapp a mis en place des contrôles de sécurité supplémentaires comme prévu au sein de la politique de sécurité de l’information de Mapp. |
Protection des données par défaut | Mise en œuvre |
Mapp a mis en place, et maintient, des mesures appropriées afin d’assurer le respect de la protection des données tout au long du cycle de vie des technologies et des procédures. | - Mapp a mis en place des procédures de développement intégrant les principes de conception pour la minimisation des données, la limitation de la collecte et la protection des données par défaut. Nos services logiciels sont hautement personnalisables. Les options de configuration sont disponibles dans l’aide en ligne respective. - Les clients restent responsables de l’utilisation des services logiciels de Mapp conformément aux lois en matière de protection de données. De plus, la Politique d’utilisation acceptable s’applique : xxxxx://xxxx.xxx/xxxxxxxxxx-xxx-xxxxxx/ |
Contrôle de la commande (Article 28 du RGPD) | Mise en œuvre |
Mapp a mis en place, et maintient, des mesures appropriées afin d’empêcher que le traitement de données soit fait sans l’instruction du Responsable. | - Mapp traite les données uniquement sur la base des instructions du Client, c’est-à-dire sur la base d’accords contractuels, de bons de commandes ou d’instructions supplémentaires. Les clients doivent fournir des instructions uniquement sous forme écrite ou les confirmer par écrit lorsqu’elles ont été communiquées par oral. - Mapp ne répondra pas aux demandes des Personnes Concernées mais les enverra au Client. - Mapp met en place des procédures pour la mise au dépotoir sécurisée des équipements et la suppression définitive des données applicable lors du processus de désinscription du Client. |
- Le traitement des données est restreint de manière efficace. Les données sont conservées à des fins juridiques par le biais du cryptage des fichiers de sauvegarde, le cryptage des systèmes de fichiers, des contrôles d’accès stricts, le log d’audit et des procédures de restauration des données basées sur des tickets. |
ANNEXE 3 : LISTE DES SOUS-TRAITANTS
Sous-Traitant | Lieu du Traitement des Données Personnelles traitées selon les garanties légales (ex-Art.46 EU GDPR, si applicable) | Finalité du Traitement | |
SOCIETE MAPP | Mapp Digital Germany GmbH Xxxxxxx. 0, Xxxxxx, Xxxxxxxxx | Union Européenne (Allemagne) | Recherche et Développement Support et Services Professionnels |
Mapp Digital France S.A.S. 00 xxx Xxxxxxxxx, 00000 Xxxxx, Xxxxxx | Union Européenne (Francia) | Support et Services Professionnels | |
Mapp Digital Italy SrL Xxx Xxxxxx Xxxxxxx, 00, Xxxxxx, Xxxxxx | Union Européenne (Italia) | Support et Services Professionnels | |
Webtrekk GmbH Xxxxxx-Xxxx-Xxxxx 0, Xxxxxxx, Xxxxxxxx | Union Européenne (Allemagne et Italie) | Recherche et Développement Support et Services Professionnels | |
Mapp Digital Poland sp. z.o.o. xx. Xxxxxxxxxxxx 00, Xxxxxxxx, Xxxxxxx | Xxxxxxx | Recherche et Développement | |
Mapp Digital Netherlands B.V. Xxxxxxxxxx 00, XX Xxxxxxxxx, Xxxx-Xxx | Xxxx-Xxx | Recherche et Développement | |
Mapp Digital UK Ltd 0xx Xxxxx, 00 Xxxxxxx Xxxxxx, Xxxxxxx, Xxxxxxx-Xxx | Xxxxxxx-Xxx (Décision d’Adéquation) | Support et Services Professionnels | |
Mapp Digital XX, XXX 0000 Xxxxx Xx Xxxxx 000, Xxx Xxxxx, XX, Xxxxx-Xxxx | Xxxxx-Xxxx (Clauses Contractuelles Standard) | Support et Services Professionnels [facultatif pour les clients européens] | |
TIERS EXTERNES | Global Access Internet Services GmbH Xxxxxxxxx Xxx. 0, Xxxxxx, Xxxxxxxxx | Xxxxx Xxxxxxxxxx (Xxxxxxxxx) | Infrastructure du centre de données |
IP Exchange GmbH Xx Xxxxx 0, Xxxxxxxxxx, Xxxxxxxxx | Union Européenne (Allemagne) | Infrastructure du centre de données | |
Amazon Web Services EMEA SARL 38 Avenue Xxxx X. Xxxxxxx, Luxembourg | Union Européenne (Allemagne et Irlande) | Infrastructure du centre de données | |
Amazon Web Services, Inc. 000 Xxxxx Xxx X, Xxxxxxx, XX, Xxxxx-Xxx | Xxxxx-Xxxx (Clauses Contractuelles Standard) | Infrastructure du centre de données [Uniquement pour Mapp Empower] | |
Google Cloud EMEA Ltd 00 Xxx Xxxx Xxxxxxxx’x Xxxx, Xxxxxx, Xxxxxxx | Union Européenne (Belgique et Irlande) | Infrastructure du centre de données [Uniquement pour Mapp Acquire] | |
Google Cloud EMEA Ltd 00 Xxx Xxxx Xxxxxxxx’x Xxxx, Xxxxxx, Xxxxxxx | Union Européenne (Belgique et Irlande) États-Unis (Clauses Contractuelles Standard) Singapour (Clauses Contractuelles Standard) | Infrastructure du centre de données [Uniquement pour Mapp Acquire, ne s’applique pas qu’est sélectionnée l’option concernant uniquement le traitement des données au sein de l’UE] | |
Sinch Sweden AP (précédemment CLX Networks AB) Xxxxxxxxxxxxxxx 00, | Xxxxx Européenne | Messagerie SMS [Uniquement Mapp Engage, service optionnel] |
Stockholm, Suède | |||
R&D Communication Srl Xxx xxx Xxxxxxxx 0, Xxxxxxxx X.xx , Xxxxxx | Union Européenne | Messagerie SMS [Uniquement Mapp Engage, service optionnel] | |
Mitto XX Xxxxxxxxxxxxxx 00 · 0000 Xxx, Xxxxxx | Union Européenne et Suisse (Décision d’Adéquation) | Messagerie SMS [Uniquement Mapp Engage, service optionnel] | |
Pure Bros Mobile Srl Xxx Xxxxxxxx 00, Xxxx, Xxxxxx | Union Européenne | Messagerie SMS [Uniquement Mapp Engage, service optionnel] | |
Kenscio Digital Marketing Pvt Ltd 0-0X Xxxxxxxx Xxxxx, 000 Xxxxx Xxxxxx Xxxx, Xxxxxxx XX0 0XX, Royaume-Uni | Inde (Clauses Contractuelles Standard) | Services Professionnels [service optionnel] | |
Gerniks doo 0/00, Xxxxxxxx, Xxxxxx | Xxxxxx (Clauses Contractuelles Standard) | Rercherche et Développement [Uniquement Mapp Empower] | |
Pythian Group Inc 000 XxXxx Xxx, Xxxxx 000 Xxxxxx, Xxxxxxx, Xxxxxx, Xxxxxx | Xxxxxx (Décision d’Adéquation) | Recherche et Développement [Uniquement Mapp Empower] |
DES FOURNISSEURS SUPPLÉMENTAIRES PEUVENT ÊTRE NÉCESSAIRES POUR CERTAINS SERVICES OU POUR LES CLIENTS DONT LA DEMANDE D’ASSISTANCE EST ÉLEVÉE. CES FOURNISSEURS DOIVENT ÊTRE DÉSIGNÉS DANS L’EDT APPLICABLE POUR CES SERVICES.
ANNEXE 4 : DESCRIPTION DES SERVICES MAPP
Mapp Cloud inclut les services suivants, qui peuvent être achetés séparément :
Mapp Engage
Mapp Engage est une solution basée sur le Cloud permettant la création, la planification et la distribution de campagnes publicitaires et d’autres communications avec les clients et les prospects via Internet, les réseaux sociaux, des applications et les e-mails. Les capacités de segmentation globales du groupe ciblé sont basées sur les attributs et interactions utilisateurs capturés au sein des canaux pris en charge. Pour un style de travail axé sur les données, des tableaux de bords graphiques sont également disponibles pour évaluer la progression et optimiser les activités de communication.
Mapp Intelligence
Mapp Intelligence est une solution Cloud permettant de collecter, d’analyser et d’activer des données de première partie. Les données sont collectées sur les sites Web, applications et autres canaux numériques de l’entreprise à l’aide de bibliothèques de suivi (SDK) développées en interne. Divers outils d’analyse permettent d’évaluer ces données, permettant ainsi d’identifier des anomalies, des tendances et d’autres résultats à long terme. Les données et informations obtenues peuvent être mises à disposition d’autres produits au sein de Mapp Cloud, mais également de systèmes externes, à des fins de communication et de marketing.
Mapp Acquire
La solution Cloud Mapp Acquire permet la collecte des données de première partie sur les sites Webs et les applications mobiles. La collecte des données peut être configurée selon les besoins et inclut les attributs utilisateur, les interactions avec le site Web ou l’application et les transactions. Les données servent à personnaliser les communications client et sont mises à disposition des autres produits dans Mapp Cloud à cette fin. Vous pouvez également utiliser les données dans les canaux tiers, par exemple, pour recibler les besoins dans les réseaux publicitaires de Google et Facebook.
Mapp Empower
Mapp Empower est une solution de marketing par e-mail servant à envoyer des communications par e-mail aux clients et prospects. Les adresses e-mail et d’autres attributs d’utilisateur facultatifs tels que le nom et le sexe sont stockés à cette fin. Ces données servent à personnaliser les approches des clients et des prospects.
LIEUX DU TRAITEMENT DE DES DONNÉES DE PRODUIT (les données restent accessibles depuis d’autres emplacements conformément au DPA) | |
PRODUIT | EMPLACEMENT DE L’HÉBERGEMENT DES DONNÉES |
Mapp Engage | Allemagne |
Mapp Acquire | Belgique |
Mapp Intelligence | Allemagne |
Mapp Empower | États-Unis |