Contract
Le présent Addendum Relatif au Traitement des Données (« ARTD ») d’Xxxxxx fait partie intégrante du Contrat de Licence Utilisateur Final (le « Contrat ») d’Xxxxxx, il entrera en vigueur au jour de la dernière date de signature figurant ci-dessous (la « Date d’Entrée en Vigueur ») entre le client identifié ci-dessous ou dans le Contrat (le « Responsable du Traitement ») et l’entité Ivanti concernée identifiée au présent ARTD (« Ivanti » ou le « Sous-Traitant ») (individuellement, une « Partie » et, ensemble, les « Parties »). Les termes commençant par une majuscule et non définis aux présentes s’entendent au sens qui leur est donné au Contrat.
PRÉAMBULE
Les Parties ont conclu le Contrat.
Dans le cadre de la fourniture des Services en faveur du Responsable du Traitement en application du Contrat, le Sous- Traitant pourra procéder au Traitement de Données à Caractère Personnel pour le compte du Responsable du Traitement ;
Afin de disposer des garanties adéquates aux fins du Traitement des Données à Caractère Personnel fournies par le Responsable du Traitement au Sous-Traitant, les Parties conviennent de respecter les stipulations suivantes relatives aux Données à Caractère Personnel, chacune agissant raisonnablement et de bonne foi.
CECI AYANT ÉTÉ EXPOSÉ, compte tenu du préambule ci-dessus et en contrepartie des promesses et engagements réciproque prévus ci-dessous, le Responsable du Traitement et le Sous-Traitant sont convenus de ce qui suit :
ACCORD
1. DÉFINITIONS
Tous les termes commençant par une majuscule qui ne sont pas définis aux présentes ont le sens qui leur est donné au Contrat.
« Affilié » désigne toute entité qui, directement ou indirectement, contrôle ou est contrôlée par l’entité considérée ou est placée sous un contrôle commun avec celle-ci. A l’effet de la présente définition, « Contrôle » désigne le fait de détenir ou de contrôler, directement ou indirectement, plus de 50% des titres avec droit de vote de l’entité considérée.
« Lois Applicables en Matière de Protection des Données » désigne l’ensemble des lois, réglementations, orientations ou exigences réglementaires applicables dans tout pays en matière de protection des données, de respect de la vie privée ou de confidentialité des Données à Caractère Personnel, en ce compris, notamment (a) le RGPD et toute législation de transposition, d’application de celui-ci ou venant le compléter, et (b) la CCPA.
« Affilié Autorisé » désigne tout Affilié du Responsable du Traitement (a) soumis à la législation et à la réglementation relative à la protection des données de l’Espace économique européen et/ou de ses États membres, le Royaume-Uni et la Suisse, (b) soumis à la législation et à la réglementation relative à la protection des données hors de l’Espace économique européen et/ou de ses États membres, du Royaume-Uni et de la Suisse (selon le cas), et (c) autorisé à recourir au Sous-Traitant aux fins du Traitement en application du Contrat.
« CCPA » désigne la Loi californienne relative au respect de la vie privée des consommateurs (California Consumer Privacy Act), Articles 1798.100 et suivants du Code civil de Californie, et la réglementation d’application de celle-ci.
« Responsable du Traitement » désigne l’entité qui détermine la finalité et les moyens du Traitement des Données à Caractère Personnel. Afin de lever toute ambiguïté, la Partie identifiée ci-dessus en qualité de « Responsable du Traitement » agit en qualité de Responsable du Traitement en application du présent ARTD.
« Violation des Données » désigne toute violation de sécurité donnant lieu à tout accès, toute destruction, altération ou divulgation ou autre traitement accidentels, non autorisés ou illicites des Données à Caractère Personnel transmises, conservées ou objet d’un Traitement de toute autre manière.
« Autorité Chargée de la Protection des Données » désigne tout représentant ou agent d’une administration ou d’un organisme public ayant la compétence de faire appliquer les Lois Applicables en Matière de Protection des Données.
« Personne Concernée » désigne toute personne physique concernée par les Données à Caractère Personnel.
« RGPD » désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
« Ivanti » désigne l’entité identifiée ci-dessous se trouvant dans la même région géographique que le Client :
- Ivanti, Inc., société de l’État du Delaware, aux Amériques, à l’exception du Brésil.
- Ivanti Comércio de Software Brasil Ltda, société de droit brésilien, au Brésil.
- Ivanti Software K.K., société de droit japonais, au Japon.
- Ivanti Software Technology (Beijing) Co., Ltd., société de droit chinois, en Chine.
- Ivanti International Limited, société de droit irlandais, s’agissant des produits et services de marque Wavelink et Naurtech, dans la région Europe – Moyen-Orient – Afrique et Asie-Pacifique.
- Ivanti UK Limited, société à responsabilité limitée soumise au droit de l’Angleterre et du Pays de xxxxxx, en tout autre lieu.
« Données à Caractère Personnel » désigne toute information qui, directement ou indirectement, identifie, décrit, se rapporte à une personne physique ou un foyer identifié(e) ou identifiable ou peut être associée ou reliée à celui/celle- ci ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
« Traitement » désigne toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction, et telles que définies par les Lois Applicables en Matière de Protection des Données.
« Sous-Traitant » désigne l’entité qui réalise le Traitement de Données à Caractère Personnel pour le compte du Responsable du Traitement. Afin de lever toute ambiguïté, la Partie identifiée en qualité de « Sous-Traitant » ci-dessus agira en qualité de Sous-Traitant à l’effet du présent ARTD.
« Services » désigne le Traitement de Données à Caractère Personnel par le Sous-Traitant dans le cadre et aux fins de l’exécution des services devant être fournis par le Sous-Traitant en application du Contrat.
« Prestataire de Services » désigne toute entreprise individuelle, société de personnes, société à responsabilité limitée, société anonyme, association ou autre entité juridique, constituée ou exploitée au profit ou au bénéfice financier de ses actionnaires ou associés, qui traite des informations pour le compte d’un Responsable du Traitement des Données et auquel le Responsable du Traitement des Données divulgue les Données à Caractère Personnel d’une Personne Concernée à des Fins Professionnelle en application d’un contrat écrit, sous réserve que ce contrat interdise au Prestataire de Services de conserver, d’utiliser et de divulguer les Données à Caractère Personnel, excepté aux fins spécifiques d’exécution des services visées dans le contrat et dans les cas prévus par la CCPA, en ce compris la conservation, l’utilisation et la divulgation des Données à Caractère Personnel à des Fins Commerciales, à l’exception de la fourniture des services prévus au contrat conclu avec le Responsable du Traitement des Données. Les termes
« Fins Professionnelles » et « Fins Commerciales » ont le sens qui leur est donné dans la CCPA. Afin de lever toute ambiguïté, le Sous-Traitant est un Prestataire de Services.
« Sous-Traitant Ultérieur » désigne toute entité qui effectue le Traitement de Données à Caractère Personnel pour le compte du Sous-Traitant.
2. TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL
2.1 Rôles des Parties. Les parties reconnaissent et conviennent que, s’agissant du Traitement des Données à Caractère Personnel, le Responsable du Traitement est le Responsable du Traitement, le Sous-Traitant est le Sous-Traitant ou le Prestataire de Services. L’objet, la durée, la finalité du Traitement et les types de Données à Caractère Personnel et les catégories de Personne Concernées objet du Traitement dans le cadre du présent ARTD sont plus amplement décrits à l’Annexe 1.
2.2 Obligations du Responsable du Traitement. Les instructions du Responsable du Traitement concernant le Traitement des Données à Caractère Personnel devront être conformes aux Lois et Réglementations Relatives à la Protection des Données. Le Responsable du Traitement est pleinement responsable de l’exactitude, de la qualité et de la licéité des Données à Caractère Personnel et des moyens par lesquels le Responsable du Traitement acquiert les Données à Caractère Personnel et les transmet au Sous-Traitant.
2.3 Obligations du Sous-Traitant. Toutes les Données à Caractère Personnel objet du Traitement effectué par le Sous-Traitant en application du Contrat constituent des Informations Confidentielles et le Sous-Traitant devra procéder au Traitement des Données à Caractère Personnel dans le strict respect des instructions documentées du Responsable du Traitement figurant en Annexe 1 ou fournies par écrit par le Responsable du Traitement par tout autre moyen. Le Sous-Traitant ne devra pas vendre de Données à Caractère Personnel Traitées dans le cadre du présent ARTD et ne devra pas conserver, utiliser ni divulguer de Données à Caractère Personnel en dehors de la relation commerciale directe entre le Sous-Traitant et le Responsable du Traitement. Le Sous-Traitant devra respecter l’ensemble des Lois Applicables en Matière de Protection des Données relatives au Traitement Données à Caractère Personnel. Si le Sous-Traitant estime que le respect des instructions du Responsable du Traitement serait susceptible d’entraîner une infraction au regard de toute Loi Applicable en Matière de Protection des Données, le Sous-Traitant devra sans délai en informer le Responsable du Traitement par écrit. Le Sous-Traitant devra mettre à la disposition du Responsable du Traitement toutes les informations nécessaires afin de démontrer le respect par le Sous-Traitant de ses obligations en application du présent ARTD.
2.3.1. Devoir d’assistance. Le Sous-Traitant devra apporter son assistance au Responsable du Traitement sur les points suivants : conformité au regard des Lois Applicables en Matière de Protection des Données, Violation des Données avérée ou suspectée, informations à fournir à l’Autorité Chargée de la Protection des Données et demandes d’informations de cette dernière, informations à fournir aux Personnes Concernées et demandes d’informations de celles-ci, obligation du Responsable du Traitement de réaliser des études d’impact sur la protection des données et des consultations préalables avec l’Autorité Chargée de la Protection des Données.
3. OBLIGATIONS D’INFORMATION
3.1 Obligations d’information du Sous-Traitant. Le Sous-Traitant devra informer sans délai le Responsable du Traitement, par écrit, de ce qui suit :
3.1.1 Toute demande d’exercice par une Personne Concernée de ses droits au respect de la vie privée, et notamment de son droit d’accès, de rectification, d’effacement, de portabilité, d’opposition ou de limitation du traitement de ses Données à Caractère Personnel ;
3.1.2 Toute demande ou réclamation reçue de la part des clients ou salariés du Responsable du Traitement ;
3.1.3 Toute question, réclamation, enquête ou autre demande de la part de l’Autorité Chargée de la Protection des Données ;
3.1.4 Toute de demande de divulgation de Données à Caractère Personnel ayant trait au Traitement des Données à Caractère Personnel effectué par le Sous-Traitant en application du présent ARTD ;
3.1.5 Toute Violation de Données en application des obligations d’information prévues à l’Article 7.1 ; et
3.1.6 Si des Données à Caractère Personnel font l’objet d’un mandat de perquisition ou d’une ordonnance de saisie, de confiscation dans le cadre d’une procédure de faillite ou d’insolvabilité, ou de toute autre acte ou mesure semblable de la part de tiers pendant leur Traitement.
Le Sous-Traitant devra aider le Responsable du Traitement aux fins de respect des obligations du Responsable du Traitement de répondre aux demandes visées aux Articles (3.1.1) à (3.1.6) ci-dessus et ne devra pas répondre à ces demandes sans l’accord préalable et écrit du Responsable du Traitement, sauf si le Sous-Traitant est tenu d’y répondre en vertu de la loi.
4. CONFIDENTIALITÉ
4.1 Informations Confidentielles. Toutes les Informations fournies au Sous-Traitant en application du Contrat constituent des Informations Confidentielles.
4.2 Personnel du Sous-Traitant. Le Sous-Traitant devra veiller à ce que les membres de son personnel participant au Traitement des Données à Caractère Personnel soient informés du caractère confidentiel des Données à Caractère Personnel, aient reçu une formation appropriée concernant leurs responsabilités et aient signé un accord de confidentialité écrit. Le Sous-Traitant devra veiller à ce que ces obligations de confidentialité demeurent en vigueur en cas de cessation de ses relations contractuelles avec ces personnes.
4.3 Limitation de l’accès. Le Sous-Traitant devra veiller à ce que l’accès du Sous-Traitant aux Données à Caractère Personnel soit limité aux salariés exécutant les Services en application du Contrat.
5. SOUS-TRAITANT ULTÉRIEURS
5.1 Désignation des Sous-Traitant Ultérieurs. Le Responsable du Traitement reconnaît et convient que le Sous- Traitant et les Affiliés du Sous-Traitant pourront faire appel à des Sous-Traitant Ultérieurs tiers dans le cadre de la fourniture des Services. Le Sous-Traitant ou l’Affilié du Sous-Traitant devra conclure un contrat écrit avec chaque Sous-Traitant Ultérieur, prévoyant des obligations de protection des données au moins aussi protectrices que celles figurant dans le présent ARTD, dans la mesure applicable au type de Services fournis par ce Sous-Traitant Ultérieur. Le Responsable du Traitement autorise par les présentes le Sous-Traitant à faire appel à sa liste actuelle de Sous- Traitant Ultérieurs figurant à l’adresse suivante : xxxxx://xxx.xxxxxx.xxx/xxxxxxx/xxxxx/xxxxxx-xxxxxxxxxxxxx afin de procéder au Traitement des Données à Caractère Personnel en application du présent ARTD. Le Responsable du Traitement ne devra pas communiquer directement avec les Sous-Traitant Ultérieurs du Sous-Traitant au sujet des Services, sauf accord donné par le Sous-Traitant à l’entière discrétion de ce dernier.
5.2 Notification des modifications des Sous-Traitant Ultérieurs. Le Sous-Traitant devra informer le Responsable du Traitement de toute modification envisagée concernant l’ajout ou la substitution de Sous-Traitants Ultérieurs en donnant au Responsable du Traitement le moyen de s’abonner aux notifications des nouveaux Sous-Traitants Ultérieurs à l’adresse suivante : xxxxx://xxx.xxxxxx.xxx/xxxxxxx/xxxxx/xxxxxx-xxxxxxxxxxxxx. Le Sous-Traitant devra informer le Responsable du Traitement de toute modification envisagée concernant l’ajout ou la substitution de Sous- Traitants Ultérieurs avant de faire appel à tout Sous-Traitant Ultérieur.
5.3 Droit d’opposition à la nomination de Sous-Traitant Ultérieurs. Le Responsable du Traitement pourra s’opposer pour un juste motif à ce que le Sous-Traitant ait recours à un nouveau Sous-Traitant Ultérieur par notification écrite adressée sans délai au Sous-Traitant dans les quinze (15) jours ouvrés suivant la réception de l’avis du Sous-Traitant. En cas d’objection de la part du Responsable du Traitement à la nomination d’un nouveau Sous- Traitant Ultérieur, Sous-Traitant devra employer tous ses efforts raisonnables afin de proposer au Responsable du Traitement une modification des Services permettant d’éviter tout Traitement des Données à Caractère Personnel par le nouveau Sous-Traitant Ultérieur objet de l’opposition. Si le Sous-Traitant n’est pas en mesure de proposer cette modification, le Responsable du Traitement pourra mettre fin au Contrat concerné relatif aux Services ne pouvant pas être fournis par le Sous-Traitant sans avoir recours au nouveau Sous-Traitant Ultérieur objet de l’opposition.
5.4 Responsabilité du fait des Sous-Traitant Ultérieurs. Le Sous-Traitant sera responsable du fait des actes et omissions de ses Sous-Traitant Ultérieurs de la même manière que dans le cas où le Sous-Traitant exécutait directement les services de chacun des Sous-Traitant Ultérieur en application du présent ARTD.
6. SÉCURITÉ
6.1 Protection des Données à Caractère Personnel. Le Sous-Traitant devra mettre en place les mesures techniques et organisationnelles appropriées afin de protéger la sécurité (et notamment contre tout traitement non autorisé ou illicite et contre toute destruction, perte, altération ou tout dommage, toute divulgation non autorisée des Données à Caractère Personnel ou tout accès non autorisé à celles-ci), la confidentialité et l’intégrité des Données à Caractère Personnel.
6.2 Droits d’audit. Le Responsable du Traitement convient que son droit d’auditer le Sous-Traitant sera valablement satisfait par la présentation par le Sous-Traitant d’attestations, de rapports ou d’extraits de la part d’organismes indépendants, et notamment de contrôleurs indépendants ou internes, du délégué à la protection des données du Sous- Traitant, du service de sécurité informatique, des contrôleurs de la qualité ou de la protection des données ou de tout autre tiers ou certification convenus par accord mutuel, dans le cadre d’un audit de la protection des données ou de la sécurité informatique. Dans le cas où il ne serait pas possible de satisfaire à l’obligation d’audit prévue par les Réglementations et Lois Applicables en Matière de Protection des Données par la remise de ces attestations, rapports ou extraits, le Responsable du Traitement ou toute personne désignée par le Responsable du Traitement sera en droit de réaliser un audit et d’inspecter, aux frais du Responsable du Traitement dans la mesure du raisonnable, les locaux, politiques, procédures et systèmes informatiques du Sous-Traitant, afin de vérifier que le Sous-Traitant respecte les exigences du présent ARTD. Le Responsable du Traitement ou toute personne désignée par le Responsable du Traitement devra donner un préavis d’au moins trente (30) jours avant la réalisation de l’audit, sauf si cet audit est rendu nécessaire du fait d’une Violation des Données impliquant le Sous-Traitant. Les audits réalisés par le Responsable du Traitement ou la personne désignée par le Responsable du Traitement ne devront pas enfreindre les obligations de confidentialité du Sous-Traitant vis-à-vis de ses autres clients. Tous les audits devront être réalisés durant les heures normales de bureau, au siège du Sous-Traitant ou sur tout(s) autre(s) site(s) du Sous-Traitant où les Données à Caractère Personnel sont accessibles, traitées ou administrées et ne devront pas causer de perturbation excessive des activités courantes du Sous-Traitant. Avant de commencer tout audit, le Sous-Traitant et le Responsable du Traitement devront convenir par accord mutuel du calendrier, de l’étendue et de la durée de cet audit. Le
Responsable du Traitement pourra, une fois par an maximum, demander un ou plusieurs rapport(s) d’audit ou auditer le Sous-Traitant.
7. VIOLATION DES DONNÉES
7.1 Notification des Violations de Données. Le Sous-Traitant devra informer le Responsable du Traitement par écrit sans délai, dès qu’il aura connaissance d’une Violation des Données présumée. Cette notification ne devra en aucun cas être effectuée plus de 72 heures après la découverte de la Violation des Données par le Sous-Traitant.
7.2 Gestion des Violations de Données. Le Sous-Traitant devra mettre en œuvre tous les moyens raisonnables afin d’identifier la cause de cette Violation des Données et prendre toutes les mesures que le Sous-Traitant estimera nécessaires et justifiées afin de résoudre la cause de ces Violations de Données dans la mesure où cette résolution relève raisonnablement du contrôle du Sous-Traitant.
8. CESSATION
8.1 Cessation. Le présent ARTD prendra fin de plein droit en cas (a) de résiliation ou d’expiration du Contrat ou (b) de suppression ou de restitution par le Sous-Traitant des Données à Caractère Personnel. Le Responsable du Traitement sera en outre en droit de résilier le présent ARTD pour un juste motif en cas de manquement grave ou persistant du présent ARTD commis, de l’avis discrétionnaire du Responsable du Traitement, par le Sous-Traitant et, si ce manquement est susceptible d’être corrigé, à défaut de correction de celui-ci dans les dix (10) jours suivant la date de réception par le Sous-Traitant de l’avis du Responsable du Traitement identifiant ce manquement et demandant qu’il y soit remédié.
8.2 Restitution ou suppression des Données. En cas de cessation du présent ARTD, le Sous-Traitant devra supprimer ou restituer toutes les copies existantes des Données à Caractère Personnel, à moins que la loi applicable n’exige la conservation des Données à Caractère Personnel. Sur demande du Responsable du Traitement, le Sous-Traitant devra confirmer par écrit s’être conformé à ces obligations et avoir supprimé toutes les copies existantes. Dans le cas où la loi locale exigerait que le Sous-Traitant conserve les Données à Caractère Personnel, le Sous-Traitant devra protéger la confidentialité, l’intégrité et l’accessibilité des Données à Caractère Personnel, il ne devra pas procéder activement au Traitement des Données à Caractère Personnel et devra continuer de respecter les stipulations du présent ARTD.
9. MÉCANISMES APPLICABLES AUX TRANSFERTS INTERNATIONAUX
9.1 Transferts en dehors de l’UE. Dans le cadre de la fourniture des Services en application du présent ARTD, le Responsable du Traitement pourrait devoir transférer des Données à Caractère Personnel à partir de l’Union européenne, de l’Espace économique européen et/ou de leurs États membres, de Suisse ou du Royaume-Uni vers le Sous-Traitant établi dans un pays ne bénéficiant pas d’une décision d’adéquation de la Commission européenne ou situé hors de l’Espace économique européenne.
9.1.1. S’agissant de Données à Caractère Personnel soumises au RGPD (i) le Sous-Traitant agira en qualité d’« importateur des données » et le Responsable du Traitement en qualité d’« exportateur des données », (ii) le Module Deux des clauses seront applicables dès lors que le Responsable du Traitement agira en qualité de Responsable du Traitement des Données et que le Sous-Traitant agira en qualité de Sous-Traitant des Données, (iii) à la Xxxxxx 0, xx xxxxxx x’xxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx, (xx) à la Clause 9 du Module Deux, l’Option 2 sera applicable, la liste des Sous-Traitants Ultérieurs et les délais de préavis des modifications étant ceux convenus à l’Article 5 du présent ARTD, (v) à la Clause 11, le texte de l’option sera supprimé, (vi) à la Clause 17, l’Option 1 sera applicable et les Clauses Contractuelles Types seront régies par [le droit] de l’État membre dans lequel le Responsable du Traitement est domicilié, (vii) à la Clause 18(b), tout litige sera tranché devant les juridictions de l’État membre dans lequel le Responsable du Traitement est domicilié, (viii) les Annexe I et II seront réputées complétées par les informations figurant à l’Annexe 1 du présent ARTD, respectivement, et (ix) dans le cas et dans la mesure où il existerait un conflit entre les Clauses Contractuelles Types et le Contrat (comprenant le présent ARTD), les Clauses Contractuelles Types prévaudront dans la mesure de ce conflit. Concernant le présent Article, les Clauses Contractuelles Types de la décision d’exécution (UE) 2021/914 de la Commission sont incorporées par référence et sont consultable à l’adresse suivante : xxxxx://xxx-xxx.xxxxxx.xx/xxxxx-xxxxxxx/XX/XXX/XXXX/?xxxxXXXXX:00000X0000&xxxxxXX#xxx0- L_2021199FR.01003701-E0003.
9.1.2. S’agissant de Données à Caractère Personnel soumises aux Lois Relatives à la Protection des Données du Royaume-Uni, l’Accord sur les Transferts de Données Internationaux (International Data Transfer Agreement –
« IDTA ») sera applicable, sous réserve des modifications suivantes : (i) les coordonnées des parties au Contrat sont les coordonnées applicables à l’IDTA, (ii) le Responsable du Traitement agit en qualité d’exportateur des données et le Sous-Traitant agit en qualité d’importateur des données, (iii) le droit applicable à l’IDTA est celui de l’Angleterre
et du Pays de Xxxxxx et le lieu où les demandes en justice peuvent être présentées est l’Angleterre et le Pays de Xxxxxx,
(iv) le RGPD du Royaume-Uni ne s’applique pas au Traitement de données transférées effectué par l’importateur des données, (v) les Parties n’auront pas recours aux clauses supplémentaires concernant la sécurité ou d’ordre commercial de l’IDTA et (vi) les information figurant au présent ARTD et à l’Annexe 1 [des présentes] pourront être reportées dans les Tableaux 1 à 4. Concernant le présent Article, les Clauses Contractuelles Types de du Bureau du Commissaire chargé de l’information (Information Commissioner’s Office) sont incorporées par référence et sont consultable à l’adresse suivante : xxxxx://xxx.xxx.xx/xxx-xxxxxxxxxxxxx/xxxxx-xx-xxxx-xxxxxxxxxx/xxxxx-xx-xxx-xxxxxxx-xxxx- protection-regulation-RGPD/international-data-transfer-agreement-and-guidance/.
9.1.3. S’agissant de Données à Caractère Personnel soumises à [la Loi sur la protection des données (LPD)] suisse, les Clauses Contractuelles Types visées à l’Article 9.1.1 seront applicables, sous réserve des modifications suivantes :
(i) toute mention du « Règlement (UE) 2016/679 » devra être interprétée comme faisant référence à l’ARTD suisse,
(ii) toute mention de l’« UE », de l’« Union » et du « droit des États membres » devra être interprétée comme faisant référence au droit suisse, et (iii) toute mention de l’« autorité de contrôle compétente » et des « juridictions compétentes » devra être remplacée», selon le cas, par le « préposé fédéral à la protection des données et à la transparence » (PFPDT) ou par « les juridictions suisses compétentes .
9.2. Autres mécanismes de transfert de Données. Les Parties reconnaissent que les lois, règles et réglementations relatives aux transferts internationaux de données évoluent rapidement. Dans le cas où le Responsable du Traitement adopterait un autre mécanisme autorisé par les lois, règles et réglementations applicables au transfert de Données à Caractère Personnel (individuellement, un « Mécanisme Alternatif de Transfert des Données »), les Parties conviennent de travailler ensemble de bonne foi afin de procéder à toute modification du présent [Accord] qui serait nécessaire à la mise en œuvre du Mécanisme Alternatif de Transfert des Données.
10. DIVERS
10.1. Avenants. Le présent ARTD ne pourra faire l’objet d’aucune modification ni d’aucun supplément et ses stipulations ne pourront faire l’objet d’aucune renonciation ou modification à défaut d’acte écrit dûment signé par les représentants habilités de chacune des parties.
10.2 Droit applicable. Le présent ARTD est soumis au droit applicable prévu au Contrat.
EN FOI DE QUOI, les parties aux présentes ont signé le présent [Accord] à la Date d’Entrée en Vigueur.
RESPONSABLE DU TRAITEMENT : XXXXXX
Signature : Signature :
Nom : Nom :
Fonction : Fonction :
Date : Date :
Liste des Annexes :
Annexe 1 : Description du Traitement
ANNEXE 1
Description du Traitement
Coordonnées de la société Ivanti :
Ivanti
00000 Xxxxx Xxxxxx Xxxxxxx Xxxxx 000
Xxxxx Xxxxxx, Xxxx 00000
Coordonnées du délégué à la protection des données : xxxxxxx@xxxxxx.xxx
Finalité
Finalité du Traitement :
Fourniture de services informatiques, concession de licences de logiciels, services support et d’exécution, sur site ou sous forme de solution logicielle par abonnement (SaaS) hébergée, pour l’administration et la facilitation des processus d’entreprise essentiels dans le(s) domaine(s) de la gestion des points d’accès, gestion des services informatiques, gestion, sécurité, information, analyse et chaîne d’approvisionnement des actifs informatiques.
Les services informatiques comprennent l’utilisation de logiciels sous forme d’installation sur site ou de solution SaaS, en ce compris l’installation de modules (en ce compris, notamment, les modules de gestion des incidents, des modifications, des actifs, de la configuration et des versions) ; catalogues des services et de libre-service ; services support et de maintenance, en ce compris, notamment, l’accès à distance ; les correctifs, le contrôle des applications, la gestion de la sécurité et des privilèges des points d’accès/mobiles.
Fréquence de Traitement :
Continu.
Durée
Durée du Traitement :
Telle que prévue au Contrat.
Étendue, nature et finalité du Traitement
L’étendue, la nature et la finalité du Traitement sont les suivantes :
Telles que prévues au Contrat.
Personnes Concernées
Le Traitement des Données à Caractère Personnel pourra concerner les catégories de Personnes Concernées suivantes : Clients, clients potentiels, salariés, fournisseurs, agents commerciaux, contacts, prestataires (en ce compris les travailleurs occasionnels), bénévoles, travailleurs temporaires et précaires, indépendants, mandataires, consultants et autres répondants professionnels, ainsi que leurs personnes à charges, bénéficiaires et personnes à contacter en cas d’urgence respectifs, candidats et salariés temporaires de clients, plaignants, correspondants et enquêteurs, conseillers, consultants et autres experts professionnels, salariés ou contacts des clients, clients potentiels, partenaires commerciaux et fournisseurs de l’exportateur de données (personnes physiques) et utilisateurs de l’exportateur de données autorisés par ce dernier à utiliser les logiciels et les services y afférents.
Catégories de Données
Les Données à Caractère Personnel objet du Traitement pourront relever des catégories de données suivantes : Les données clients téléchargées vers le Services dans le cadre des services et des comptes du Client.
Mesures techniques et organisationnelles
Les mesures de sécurité techniques et organisationnelles mises en œuvre par le Sous-Traitant sont décrites ci-dessous :
Formation de sensibilisation à la sécurité
Le Sous-Traitant a [mis en place] des formations de sensibilisation à la sécurité qui incluent une formation sécurité obligatoire concernant le traitement et la sécurisation des Informations Confidentielles et des informations sensibles, telles que les renseignements personnels, les informations bancaires et les informations de santé conformément à la loi applicable, ainsi que des communications de sensibilisation à la sécurité et des cours sur la sécurité concernant plus spécifiquement la sensibilisation de l’utilisateur final.
Politiques et procédures de sécurité
Le Sous-Traitant a [mis en pace] des politiques en matière de sécurité, d’utilisation et de gestion de l’information, édictant les mesures à prendre par les salariés et prestataires pour le bon usage et le stockage des informations confidentielles et sensibles et l’accès à celles-ci, limitant l’accès aux informations confidentielles et sensibles aux membres du personnel du Sous-Traitant justifiant de la nécessité d’y avoir accès, prévoyant l’interdiction pour les salariés quittant la société d’accéder aux informations du Sous-Traitant après leur départ, et imposant des mesures disciplinaires en cas de non-respect de ces politiques. L’accès aux ressources du Sous-Traitant est refusé par le système à défaut d’évaluation spécifique et d’accès autorisé. Le Sous-Traitant vérifie les antécédents de ses salariés à l’embauche, dans la mesure autorisée par la loi.
Contrôles d’accès physiques et environnementaux
Le Sous-Traitant limite l’accès physique à ses systèmes d’information et installations à l’aide de contrôle physiques (par ex., accès sécurisé par un passe crypté) offrant des garanties raisonnables de limitation de l’accès à ses centres de données aux personnes autorisées et utilisant des systèmes de surveillance par caméras ou vidéosurveillance aux principaux points d’entrée internes et externes. Le Sous-Traitant effectue des contrôles de la température et de l’hygrométrie de l’air dans ses centres de données et les protège contre les pertes dues aux pannes d’électricité.
Contrôles d’accès logiques
Le Sous-Traitant a recours à des technologie d’enregistrement et de suivi permettant la détection et la prévention des tentatives d’accès non autorisé à ses réseaux et systèmes de production. Le suivi mis en place par le Sous-Traitant comprend la vérification des changements affectant la gestion par le système des authentifications, autorisations et audits, les accès privilégiés aux systèmes de production du Sous-Traitant.
Contrôles cryptés
Le Sous-Traitant applique des contrôles cryptés adaptés à l’entreprise pour tous nos produits. Le Sous-Traitant évalue et applique le cryptage de données passives et en transit mettant en œuvre les meilleures pratiques de la profession pour les chiffrements. Les meilleurs pratiques sont employées pour la gestion du cycle de vie des clés de chiffrement, à savoir la production, le stockage, le contrôle d’accès et la rotation de celles-ci.
Gestion de la vulnérabilité
Le Sous-Traitant réalise régulièrement des analyses de vulnérabilité et traite les vulnérabilités détectées en fonction des risques qu’elles représentent. Les produits du Sous-Traitant font également périodiquement l’objet d’évaluations de la vulnérabilité et de tests de pénétration.
Récupération après sinistre et contrôles de sauvegarde
Le Sous-Traitant réalise des sauvegardes régulières des systèmes de fichiers de production et des bases de données selon un calendrier défini, et a mis en place un plan de récupération après sinistre pour le centre de données dans le cloud, qui implique des essais réguliers.
Plan d’intervention en cas d’incident cybernétiques
Le Sous-Traitant a mis en place un plan d’action en cas d’incident afin de gérer et de réduire les effets des événements cybernétiques imprévus qui comprend des procédures à suivre en cas de violation avérée ou potentielle de la sécurité, avec notamment : cellule de crise dotée d’un chef d’intervention d’urgence, cellule d’enquête chargée de réaliser une analyse des causes profondes et d’identifier les parties affectées, des procédures internes d’information et de notification, la documentation des interventions d’urgence et plans de remise en état, ainsi qu’une étude a posteriori des événements.
Sécurité du stockage et de la transmission
Le Sous-Traitant met en œuvre des mesures de sécurité techniques afin d’empêcher l’accès non autorisé aux données du Sous-Traitant pendant leur transmission via un réseau de communication électronique public ou leur conservation sous format électronique.
Élimination sécurisée
Le Sous-Traitant a mis en place des politiques et procédures relatives à l’élimination des biens corporels et incorporels contenant des données du Sous-Traitant de manière à rendre les données du Sous-Traitant illisibles et impossibles à reconstituer.
Identification et évaluation des risques
Le Sous-Traitant a mis en place un programme d’évaluation des risques afin de permettre l’identification raisonnable des risques internes et externes prévisibles pour les moyens informatiques du Sous-Traitant et de déterminer si les contrôles, politiques et procédures en place permettent de traiter de manière adéquate les risques identifiés.
Fournisseurs et prestataires
Les prestataires ou fournisseurs tiers (ensemble, les « Fournisseurs ») ayant accès aux Informations Confidentielles du Sous-Traitant font l’objet d’évaluation des risques afin de jauger de la sensibilité des informations du Sous-Traitant communiquées. Les Fournisseurs sont tenus de respecter l’ensemble des stipulations contractuelles pertinentes relatives à la sécurité des données du Sous-Traitant, ainsi que l’ensemble des politiques et procédures applicables du Sous-Traitant, et le Sous-Traitant peut demander à un Fournisseur de réévaluer sa position en matière de sécurité afin de se mettre en conformité.