CONTRAT DE TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL POUR LES SERVICES SAP CLOUD

1. CONTEXTE

1.1 Objectif et application. Le présent document (« DPA ») est intégré au Contrat et fait partie d'un contrat écrit (y compris au format électronique) conclu entre SAP et le Client. Le présent DPA s'applique aux Données à caractère personnel traitées par SAP et ses Sous-traitants ultérieurs en lien avec sa fourniture du Service Cloud. Le présent DPA ne s'applique pas aux environnements non productifs du Service Cloud si lesdits environnements sont mis à disposition par SAP, et le Client ne doit pas stocker de Données à caractère personnel dans lesdits environnements.

1.2 Structure. Les Appendices 1 et 2 sont intégrés au présent DPA et en font partie. Ils définissent l'objet convenu, la nature et l'objectif du traitement, le type de Données à caractère personnel, les catégories de personnes concernées et les mesures organisationnelles et techniques applicables.

1.3 RGPD. SAP et le Client conviennent qu'il incombe à chaque partie d'examiner et d'adopter les exigences imposées aux Responsables du traitement et Sous-traitants ultérieurs par le Règlement général sur la protection des données 2016/679 (« RGPD »), en particulier en ce qui concerne les Articles 28, 32 et 36 du RGPD, si et dans la mesure applicable aux Données à caractère personnel du Client/des Responsables du traitement qui sont traitées dans le cadre du DPA. À titre d'exemple, l'Appendice 3 répertorie les exigences applicables du RGPD et les Sections correspondantes du présent DPA.

1.4 Gouvernance. SAP agit en qualité de Sous-traitant et Client, et les entités auxquelles il autorise l'utilisation du Service Cloud agissent en qualité de Responsables du traitement dans le cadre du DPA. Le Client sert de point de contact unique et c'est à lui qu'incombe exclusivement l'obtention des autorisations et consentements nécessaires pour le traitement des Données à caractère personnel conformément au présent DPA, y compris, le cas échéant, l'approbation des Responsables du traitement pour avoir recours à SAP comme Sous-traitant. Lorsque les autorisations, instructions ou consentements sont fournis par le Client, ils sont fournis non seulement pour le compte du Client mais aussi pour le compte de tout autre Responsable du traitement qui utilise le Service Cloud. Lorsque SAP informe ou notifie le Client, lesdits renseignements ou notifications sont réputés reçus par les Responsables du traitement autorisés par le Client à utiliser le Service Cloud. Il incombe au Client de transmettre lesdits renseignements et notifications aux Responsables du traitement concernés.

2. SECURITÉ DU TRAITEMENT

2.1 Mesures techniques et organisationnelles appropriées. SAP a implémenté et appliquera les mesures organisationnelles et techniques définies dans l'Appendice 2. Le Client a examiné lesdites mesures et convient qu'en ce qui concerne le Service Cloud sélectionné par le Client dans le Formulaire de commande, les mesures sont appropriées et tiennent compte de la technologie, des coûts de l'implémentation, de la nature, du périmètre, du contexte et des objectifs du traitement des Données à caractère personnel.

2.2 Modifications. SAP applique les mesures techniques et organisationnelles définies dans l'Appendice 2 à l'ensemble des clients SAP hébergés sur le même Centre de données et bénéficiant du même Service Cloud. SAP peut modifier les mesures définies dans l'Appendice 2 à tout moment sans préavis, tant qu’elles conservent un niveau de sécurité comparable ou renforcé. Les mesures individuelles peuvent être remplacées par de nouvelles mesures ayant la même finalité, sans diminuer le niveau de sécurité assurant la protection des Données à caractère personnel.

3. OBLIGATIONS DE SAP

3.1 Instructions du Client. SAP traitera les Données à caractère personnel exclusivement selon les instructions fournies par le Client. Le Contrat (comprenant le présent DPA), constitue lesdites instructions initiales fournies et chaque utilisation du Service Cloud constitue alors des instructions supplémentaires. SAP mettra en œuvre des efforts raisonnables pour suivre les instructions du Client, du moment qu'elles sont requises par la Loi en matière de protection des données, qu'elles sont techniquement faisables et qu'elles ne nécessitent pas que des modifications soient apportées au Service Cloud. Si l'une des exceptions mentionnées précédemment s'applique, ou si SAP n'est pas en mesure de respecter une instruction ou estime qu'une instruction enfreint la Loi en matière de protection des données, SAP informera immédiatement le Client (courriel autorisé).

3.2 Traitement conforme aux obligations légales. SAP peut également traiter les Données à caractère personnel lorsque la loi applicable l'exige. Dans un tel cas, SAP informera le Client des obligations légales préalablement au traitement, sauf si ladite loi interdit de tels renseignements pour des raisons d'intérêt public.

3.3 Personnel. Pour traiter les Données à caractère personnel, SAP et ses Sous-traitants ultérieurs doivent uniquement accorder un accès au personnel autorisé qui s'est engagé à respecter la confidentialité. SAP et ses Sous-traitants ultérieurs formeront régulièrement le personnel ayant accès aux Données à caractère personnel aux mesures applicables liées à la sécurité et à la confidentialité des données.

3.4 Coopération. À la demande du Client, SAP coopérera raisonnablement avec le Client et les Responsables du traitement pour répondre aux requêtes émanant de Personnes concernées ou d'une autorité de réglementation à l'égard du traitement des Données à caractère personnel par SAP ou de toute Violation des Données à caractère personnel. SAP est tenu d'informer le Client dès que raisonnablement possible des demandes reçues de la part d'une Personne concernée en rapport avec le traitement des Données à caractère personnel, sans répondre lui-même à ladite demande avant d'avoir obtenu des instructions supplémentaire du Client, le cas échéant. SAP est tenu de fournir une fonctionnalité permettant au Client de corriger ou supprimer les Données à caractère personnel du Service Cloud, ou de limiter leur traitement, conformément à la Loi en matière de protection des données. Si ladite fonctionnalité n'est pas fournie, SAP corrigera ou supprimera les Données à caractère personnel, ou limitera leur traitement, conformément à l'instruction du Client et à la Loi en matière de protection des données.

3.5 Notification d'une Violation des Données à caractère personnel. À compter de la découverte d'une Violation des Données à caractère personnel, SAP en informera le Client dans les meilleurs délais et fournira les renseignements raisonnables en sa possession pour aider le Client à respecter son obligation de signaler une Violation des Données à caractère personnel, conformément à la Loi en matière de protection des données. SAP peut fournir lesdits renseignements en plusieurs phases, au fur et à mesure qu'ils sont mis à disposition. Une telle notification ne saurait être interprétée ou considérée comme une admission de faute ou de responsabilité par SAP.

3.6 Analyse d'impact relative à la protection des données. Si, conformément à la Loi en matière de protection des données, le Client (ou ses Responsables du traitement) est tenu d'effectuer une analyse d'impact relative à la protection des données ou une consultation préalable avec un régulateur, SAP fournira, à la demande du Client, les documents qui sont généralement disponibles pour le Service Cloud (par exemple, le présent DPA, le Contrat, les rapports de vérification ou les certifications). Une assistance supplémentaire doit être convenue d'un commun accord entre les Parties.

4. EXPORTATION ET SUPPRESSION DES DONNÉES

4.1 Exportation et extraction par le Client. Pendant la Durée d'abonnement et conformément au Contrat, le Client peut accéder à ses Données à caractère personnel à tout moment. Le Client peut exporter et extraire ses Données à caractère personnel dans un format standard. L'exportation et l'extraction peuvent être sujettes à des limitations techniques. Dans ce cas, SAP et le Client rechercheront une méthode raisonnable permettant au Client d'accéder à ses Données à caractère personnel.

4.2 Suppression. Avant l'expiration de la Durée d'abonnement, le Client est autorisé à utiliser les outils d'exportation en libre-service de SAP (s’ils sont disponibles) pour effectuer une exportation finale des Données à caractère personnel depuis le Service Cloud (qui constitue un

« renvoi » des Données à caractère personnel). À la fin de la Durée d'abonnement, le Client donne l'ordre à SAP par les présentes de supprimer les Données à caractère personnel restantes sur les serveurs qui hébergent le Service Cloud dans un délai raisonnable, conformément à la Loi en matière de protection des données (sans dépasser six mois), à moins que la loi applicable n'exige de les conserver.

5. CERTIFICATIONS ET VÉRIFICATIONS

5.1 Vérification client. Le Client ou son vérificateur tiers indépendant convenant à SAP (qui ne doit pas inclure de vérificateur tiers qui soit un concurrent de SAP, qui ne dispose pas des qualifications nécessaires, ou dont le statut d'indépendant n'a pas été dûment reconnu) peut effectuer une vérification de l'environnement de contrôle et des pratiques de sécurité de SAP relativement aux Données à caractère personnel traitées par SAP, seulement si:

(a) SAP n'a pas présenté de justificatifs suffisants attestant de sa conformité aux mesures techniques et organisationnelles qui protègent les systèmes de production du Service Cloud en fournissant: (i) une certification de conformité à la norme ISO 27001 et à d’autres normes (périmètre défini dans le certificat); ou (ii) un rapport d’attestation valide ISAE3402 et/ou ISAE3000, ou bien SOC1-3. Sur demande du Client, le vérificateur tiers ou SAP devra fournir les rapports de vérification et les certifications ISO.

(b) Une Violation des Données à caractère personnel s'est produite.

(c) Une vérification est requise par l'autorité de protection des données du Client.

(d) La Loi obligatoire en matière de protection des données accorde au Client un droit de vérification direct à condition que le Client effectue une seule vérification sur une période de douze mois, sauf si la Loi obligatoire en matière de protection des données exige des vérifications plus fréquentes.

5.2 Vérification d'un autre Responsable du traitement. Un autre Responsable du traitement peut effectuer des vérifications de l'environnement de contrôle et des pratiques de sécurité de SAP relativement aux Données à caractère personnel traitées par SAP, conformément à la Section 5.1 seulement si l'un des cas définis à la Section 5.1 s'applique à un autre Responsable du traitement. Ladite vérification doit être effectuée par le Client tel que défini dans la Section 5.1, sauf si la vérification doit être effectuée par l'autre Responsable du traitement lui- même conformément à la Loi en matière de protection des données. Si plusieurs Responsables du traitement dont les Données à caractères personnel sont traitées par SAP conformément au Contrat requièrent une vérification, le Client doit utiliser tous les moyens raisonnables pour combiner les vérifications et éviter d'en effectuer plusieurs.

5.3 Portée de la vérification. Le Client doit fournir un préavis d'au moins soixante jours pour les vérifications, sauf si la Loi obligatoire en matière de protection des données ou une autorité de protection des données compétente exige un préavis plus court. La fréquence et le périmètre des vérifications doivent être convenus d'un commun accord entre les parties qui agissent de manière raisonnable et de bonne foi. Les vérifications des Clients ont une durée maximale limitée à trois jours ouvrables. Au-delà desdites restrictions, les parties utiliseront les

certifications actuelles ou les rapports d'autres de vérification pour éviter ou minimiser la répétition des vérifications. Le Client doit fournir les résultats des vérifications à SAP.

5.4 Coût des vérifications. Le Client doit assumer les frais de la vérification, sauf si ladite vérification révèle un manquement substantiel de SAP au présent DPA. Dans ce cas, SAP devra assumer ses propres frais relatifs à la vérification. S'il est établi, suite à une vérification, que SAP a manqué à ses obligations en vertu du présent DPA, SAP corrigera le manquement immédiatement et à ses propres frais.

6. SOUS-TRAITANTS ULTÉRIEURS

6.1 Utilisation autorisée. Une autorisation générale est accordée à SAP pour sous-traiter le traitement des Données à caractère personnel auprès des Sous-traitants ultérieurs, à condition que:

(a) SAP ou SAP SE pour son compte engage les Sous-traitants ultérieurs dans le cadre d'un contrat écrit (y compris au format électronique), conformément aux conditions du présent DPA en rapport avec le traitement des Données à caractère personnel par le Sous-traitant ultérieur. SAP sera tenu responsable des violations par le Sous-traitant ultérieur, conformément aux conditions du présent Contrat.

(b) SAP évalue les pratiques de sécurité, de protection et de confidentialité d'un Sous-traitant ultérieur préalablement à la sélection afin d'établir sa capacité à offrir le niveau de protection des Données à caractère personnel requis par le présent DPA.

(c) La liste des Sous-traitants ultérieurs établie par SAP en place à la date d'entrée en vigueur du Contrat soit publiée par SAP ou que SAP la mette à disposition du Client à la demande, y compris le nom, l'adresse et le rôle de chaque Sous-traitant ultérieur auquel SAP a recours pour fournir le Service Cloud.

6.2 Nouveaux Sous-traitants ultérieurs. XXX décide à son entière discrétion de recourir à des Sous-traitants ultérieurs, à condition que:

(a) SAP informe le Client à l'avance (par xxxxxxxx ou par message sur le Portail de support disponible via le Support SAP) des ajouts ou remplacements souhaités sur la liste des Sous-traitants ultérieurs, y compris le nom, l'adresse et le rôle du nouveau Sous-traitant ultérieur.

(b) Le Client puisse s'opposer à de telles modifications, tel que défini dans la Section 6.3.

6.3 Oppositions aux nouveaux Sous-traitants ultérieurs.

(a) Si le Client a un motif valable en vertu de la Loi en matière de protection des données de s'opposer au traitement par le nouveau Sous-traitant ultérieur des Données à caractère personnel, le Client peut résilier le Contrat (limité au Service Cloud pour lequel le nouveau Sous-traitant ultérieur est destiné à être utilisé) en informant SAP par écrit. Ladite résiliation prend effet au moment défini par le Client, au plus tard trente jours après la date à laquelle SAP informe le Client du nouveau Sous-traitant ultérieur. Si le Client n'effectue pas de résiliation au cours de ladite période de trente jours, il est réputé avoir accepté le nouveau Sous-traitant ultérieur.

(b) Au cours de ladite période de trente jours à compter de la date à laquelle SAP informe le Client du nouveau Sous-traitant ultérieur, le Client peut demander à ce que les parties se réunissent de bonne foi pour négocier une résolution à l'opposition. Lesdites négociations ne prolongent pas la période de résiliation et n'affectent pas le droit de SAP d'utiliser le nouveau Sous-traitant ultérieur après la période de trente jours.

(c) Toute résiliation en vertu de la présente Section 6.3 ne doit pas être considérée comme étant une faute de l'une ou l'autre des parties et doit être soumise aux conditions du Contrat.

6.4 Remplacement d'urgence. SAP peut remplacer un Sous-traitant ultérieur sans préavis lorsque le motif du changement échappe au contrôle raisonnable de SAP et que le remplacement rapide est requis pour des raisons de sécurité ou d'urgence. Dans un tel cas, SAP informera le Client du remplacement du Sous-traitant ultérieur le plus rapidement possible suite à sa nomination. La Section 6.3 s'applique en conséquence.

7. TRAITEMENT INTERNATIONAL

7.1 Conditions pour le traitement international. SAP est autorisé à traiter les Données à caractère personnel, y compris en ayant recours à des Sous-traitants ultérieurs, conformément au présent DPA, en dehors du pays dans lequel le Client est situé tel qu'autorisé par la Loi en matière de protection des données.

7.2 Clauses contractuelles types. Lorsque (i) les Données à caractère personnel d'un Responsable du traitement situé dans l’EEE ou en Suisse sont traitées dans un pays en dehors de l'EEE, de la Suisse et d'un pays, organisation ou territoire reconnu par l'Union européenne comme un pays qui assure un niveau adéquat de protection des données en vertu de l'Art. 45 du RGPD, ou lorsque (ii) les Données à caractère personnel d'un autre Responsable du traitement sont traitées à l'échelle internationale, et que ledit traitement international nécessite des moyens adéquats en vertu des lois du pays du Responsable du traitement et que les moyen adéquats peuvent être satisfaits en signant les Clauses contractuelles types, alors:‌

(a) SAP et le Client concluent les Clauses contractuelles types.

(b) Le Client signe les Clauses contractuelle types avec chaque Sous-traitant ultérieur concerné, comme suit: soit (i) le Client adhère aux Clauses contractuelles types signées par SAP ou SAP SE et le Sous-traitant ultérieur en tant titulaire indépendant de droits et d'obligations (« Modèle d'adhésion »), soit (ii) le Sous-traitant ultérieur (représenté par SAP) signe les Clauses contractuelles types avec le Client (« Modèle de procuration »). Le modèle de procuration s'applique uniquement si et lorsque SAP a confirmé qu'un Sous- traitant ultérieur y est éligible via la liste des Sous-traitants ultérieurs fournie conformément à la Section 6.1(c) ou en informant le Client.

(c) Et/Ou les autres Responsables du traitement dont l'utilisation des Services Cloud a été autorisée par le Client en vertu du Contrat peuvent également signer des Clauses contractuelles types avec SAP et/ou les Sous-traitants ultérieurs concernés de la même manière que le Client conformément aux Sections 7.2 (a) et (b) ci-dessus. Dans un tel cas, le Client signera les Clauses contractuelles types pour le compte des autres Responsables du traitement.

7.3 Lien entre les Clauses contractuelles types et le Contrat Rien dans le présent Contrat ne saurait être interprété comme prévalant sur une clause divergente des Clauses contractuelles types. Pour ne laisser subsister aucun doute, lorsque le présent DPA apporte davantage de spécifications sur les règles liées aux vérifications et Sous-traitants ultérieurs dans les Sections 5 et 6, lesdites spécifications s'appliquent en relation aux Clauses contractuelles types.

7.4 Droit applicable des Clauses contractuelles types. Les Clauses contractuelles types sont régies par la loi du pays dans lequel le Responsable du traitement concerné est établi.

8. DOCUMENTATION; ENREGISTREMENTS DU TRAITEMENT

Chaque partie est tenue de se conformer aux exigences en matière de documentation qui lui sont propres, notamment la gestion des enregistrements du traitement lorsque la Loi en matière de protection des données l'exige. Chaque partie doit apporter une assistance raisonnable à l'autre partie concernant ses exigences en matière de documentation, y compris fournir les renseignements dont elle a besoin et de la façon dont elle a raisonnablement fait la demande (via un système électronique par exemple) afin que l'autre partie soit en mesure de respecter toute obligation relative à la gestion des enregistrements du traitement.

9. ACCÈS UE

9.1 Services facultatifs. L'Accès UE est un service facultatif qui peut être proposé par SAP. SAP fournira le Service Cloud éligible à l’Accès UE seulement pour les instances de production, conformément à la Section 9. Lorsque l'Accès UE n'est pas spécifié et convenu dans le Formulaire de commande, ladite Section 9 ne s'applique pas.

9.2 Accès UE. SAP recourra à des Sous-traitants ultérieurs européens pour tout support nécessitant l’accès aux Données à caractère personnel dans le Service Cloud, et SAP n'exportera pas les Données à caractère personnel en dehors de l'EEE ou de la Suisse, sauf autorisation expresse du Client par écrit (courriel autorisé) au cas par cas, ou tel qu'exclus à la Section 9.4.

9.3 Site du centre de données. À la Date d’entrée en vigueur du Contrat, les Centres de données utilisés pour héberger des Données à caractère personnel dans le Service Cloud sont situés dans l’EEE ou en Suisse. SAP ne migrera pas l'instance Client vers un Centre de données en dehors de l'EEE ou de la Suisse sans l'accord écrit préalable du Client (courriel autorisé). Si SAP prévoit de migrer l'instance Client vers un Centre de données au sein de l'EEE ou en Suisse, SAP en informera le Client par écrit (courriel autorisé) au plus tard trente jours avant la migration planifiée.

9.4 Exclusions. Les Données à caractère personnel suivantes ne sont pas soumises aux Sections 9.2 et 9.3:

(a) Coordonnées de l'auteur d’une demande de support; et

(b) Toutes autres Données à caractère personnel envoyées par le Client lors du dépôt d'une demande de support. Le Client peut choisir de ne pas transmettre les Données à caractère personnel lors du dépôt d'une demande de support. Si lesdites données sont nécessaires pour le processus de gestion des incidents, le Client devra rendre anonymes lesdites Données à caractère personnel préalablement à toute transmission du message d'incident à SAP.

10. DÉFINITIONS

Les termes débutant par une majuscule non définis dans les présentes ont la signification qui leur est affectée dans le Contrat.

10.1 Le terme « Responsable du traitement » désigne une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui, seul(e) ou associé(e) à d'autres personnes, détermine les finalités et les méthodes de traitement des Données à caractère personnel; aux fins du présent DPA, lorsque le Client agit en qualité de sous-traitant pour un autre responsable du traitement, il doit, en relation avec SAP, être considéré comme un Responsable du traitement supplémentaire et indépendant qui dispose des droits et obligations relatifs aux responsables du traitement en vertu du présent DPA.

10.2 Le terme « Centre de données » désigne le lieu où l'instance de production du Service Cloud est hébergée pour le Client dans sa région, tel que publié sur la page: xxxx://xxx.xxx.xxx/xxxxxxxxx-xx/xxxxx/xxx-xxxxxxx/xxxxxxxx/xxxx-xxxxxxx-xxx- security/location-of-data-center.html ou notifié au Client ou convenu par ailleurs dans un Formulaire de commande.

10.3 Le terme « Loi en matière de protection des données » désigne la législation applicable protégeant les droits et libertés fondamentaux des personnes et leur droit à la vie privée concernant le traitement des Données à caractère personnel en vertu du Contrat (et comprend, en ce qui concerne la relation entre les parties à l'égard du traitement des Données à caractère personnel par SAP pour le compte du Client, le RGPD comme norme minimale, que les Données à caractère personnel y soient soumises ou non).

10.4 Le terme « Personne concernée » désigne une personne physique identifiée ou identifiable, tel que défini par la Loi en matière de protection des données.

10.5 Le terme « EEE » désigne l'Espace économique européen, à savoir les États membres de

l’Union européenne avec également l’Islande, le Liechtenstein et la Norvège.

10.6 Le terme « Sous-traitant ultérieur européen » désigne un Sous-traitant ultérieur qui traite physiquement des Données à caractère personnel dans l'EEE ou en Suisse.

10.7 Le terme « Données à caractère personnel » désigne les renseignements relatifs à une Personne concernée qui sont protégés par la Loi en matière de protection des données. Aux fins du présent DPA, elles comprennent uniquement les données à caractère personnel qui sont (i) saisies par le Client et ses Utilisateurs autorisés dans le Service Cloud ou obtenues via leur utilisation du Service, ou (ii) fournies à ou obtenues par SAP ou ses Sous-traitants ultérieurs en vue de fournir des services de support conformément au Contrat. Les Données à caractère personnel constituent un sous-ensemble de Données client (tel que défini dans le Contrat).

10.8 Le terme « Violation des Données à caractère personnel » désigne (1) la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès d'un tiers non autorisé, de façon accidentelle ou illégale, aux Données à caractère personnel, ou (2) un incident similaire impliquant des Données à caractère personnel pour lequel le Responsable du traitement est tenu d'informer les autorités de protection des données compétentes ou les Personnes concernées en vertu de la Loi en matière de protection des données.

10.9 Le terme « Sous-traitant » désigne une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui traite les Données à caractère personnel pour le compte du responsable du traitement, que ce soit de façon directe en tant que sous-traitant d'un responsable du traitement ou de façon indirecte en tant que sous-traitant ultérieur d'un sous-traitant qui traite les Données à caractère personnel pour le compte du responsable du traitement.

10.10 Le terme « Clauses contractuelles types », parfois également appelé « Clauses du modèle UE », désigne les (Clauses contractuelles types (sous-traitants)) ou toute version ultérieure qui en est publiée par la Commission européenne (laquelle s'appliquera automatiquement).

10.11 Le terme « Sous-traitant ultérieur » désigne les Sociétés Affiliées de SAP, SAP SE, les Sociétés Affiliées de SAP SE et les tiers engagés par SAP, SAP SE ou les Sociétés Affiliées de SAP SE en relation avec le Service Cloud et qui traitent les Données à caractère personnel conformément au présent DPA.

Appendice 1 au présent DPA et, si applicable, aux Clauses contractuelles types

Exportateur de données

L'Exportateur de données est le Client qui s'est abonné à un Service Cloud qui confère à ses Utilisateurs autorisés le droit de saisir, modifier, utiliser, supprimer ou traiter selon d'autres modalités des Données à caractère personnel. Lorsque le Client autorise les autres Responsables du traitement à utiliser également le Service Cloud, lesdits autres Responsables du traitement sont aussi des Exportateurs de données.

Importateur de données

SAP et ses Sous-traitants ultérieurs fournissent le Service Cloud, ce qui inclut le support suivant:

Les Sociétés affiliées de SAP SE apportent leur soutien aux centres de données du Service Cloud à distance depuis des sites de SAP (à St. Leon-Rot (Allemagne), en Inde ou depuis d'autres sites où SAP emploie du personnel pour la fonction Opérations/Services Cloud). Les services de support incluent:

• le suivi du Service Cloud;

• la sauvegarde et la restauration des Données client conservées dans le Service Cloud;

• le lancement et le développement de correctifs et de mises à niveau du Service Cloud;

• le suivi, la correction et l’administration de la base de données et de l'infrastructure sous-jacentes du Service Cloud;

• la gestion de la sécurité, l'aide à la détection des intrusions réseau, les tests de pénétration.

Les Sociétés affiliées de SAP SE fournissent également un support lorsqu'un Client soumet une demande de support car le Service Cloud n'est pas disponible ou ne fonctionne pas comme prévu pour plusieurs ou pour tous les Utilisateurs autorisés. SAP fournit une réponse par téléphone, apporte des corrections basiques aux erreurs et gère les demandes de support dans un système de suivi distinct de l'instance de production du Service Cloud.

Personnes concernées

Sauf décision contraire de l'Exportateur de données, les Données à caractère personnel transférées s'appliquent aux catégories de Personnes concernées suivantes: employés, contractuels, partenaires d'affaires ou autres individus ayant des Données à caractère personnel conservées dans le cadre du Service Cloud.

Catégories de données

Les Données à caractère personnel concernent les catégories suivantes de données:

Le Client détermine les catégories de données par Service Cloud souscrit. Le Client peut configurer les champs de données lors de l’implémentation du Service Cloud ou selon d'autres modalités prévues par le Service Cloud. Les Données à caractère personnel transférées concernent généralement les catégories suivantes de données: nom, numéro de téléphone, adresse courriel, fuseau horaire, données liées à l'adresse, données concernant l'accès aux systèmes, les utilisations et autorisations correspondantes, le nom de la société, données contractuelles, données de facturation et données spécifiques à l'application saisies par les Utilisateurs autorisés dans le Service Cloud qui peuvent inclure des données liées à des comptes bancaires et cartes de crédit ou de débit.

Catégories spéciales de données (le cas échéant)

Les Données à caractère personnel transférées concernent les catégories spécifiques de données suivantes, telles que définies dans le Contrat (y compris le Formulaire de commande), le cas échéant.

Objectifs/Opérations de traitement

Les Données à caractère personnel transférées sont soumises aux activités de traitement de base suivantes:

• utilisation des Données à caractère personnel pour installer, exploiter, suivre et fournir le Service Cloud (y compris le support technique et opérationnel);

• prestation des Services-conseils;

• communication avec les Utilisateurs autorisés;

• stockage de Données à caractère personnel dans des Centres de données dédiés (architecture partagée);

• chargement de correctifs ou de mises à niveau du Service Cloud;

• sauvegarde de Données à caractère personnel;

• traitement informatique de Données à caractère personnel, notamment la transmission de données, la récupération de données et l'accès aux données;

• accès via un réseau pour permettre le transfert de Données à caractère personnel;

• exécution des instructions du Client conformément au présent Contrat.

Appendice 2 au présent DPA et, si applicable, aux Clauses contractuelles types – Mesures techniques et organisationnelles

Le présent Appendice 2 comprend deux séries de mesures techniques et organisationnelles (« MTOs ») :

• MTOs Série 1 (dernière mise à jour Avril 2018, inchangé) : applicable à tous les Services

Cloud, à l’exception des Services MTOs Série 2 définis ci-dessous.

• MTOs Série 2 : s’applique aux seuls Services MTOs Série 2. A partir du 4 mai 2020,

« Services MTOs Série 2 » désigne les Services Cloud suivants : SAP Analytics Cloud, SAP SuccessFactors, et SAP Cloud Platform. SAP peut retirer un Service Cloud de la liste des Services MTOs Série 2 de temps à autre, auquel cas le Service Cloud concerné relèvera des MTOs Série 1.

MTOs SERIE 1

Dernière mise à jour : Avril 2018

1. MESURES TECHNIQUES ET ORGANISATIONNELLES

Les sections suivantes définissent les mesures techniques et organisationnelles actuelles de SAP. SAP peut les modifier à tout moment sans préavis, tant qu’elles conservent un niveau de sécurité comparable ou renforcé. Les mesures individuelles peuvent être remplacées par de nouvelles mesures ayant la même finalité, sans diminuer le niveau de sécurité assurant la protection des Données à caractère personnel.

1.1 Contrôle des accès physiques. Les personnes non autorisées ne doivent pas être en mesure d'accéder physiquement aux bâtiments, locaux ou pièces où sont situés les systèmes de traitement de données qui traitent et/ou utilisent les Données à caractère personnel.

Mesures:

• SAP protège ses biens et ses installations en recourant aux moyens adaptés, conformément à la Politique de sécurité de SAP.

• En règle générale, les bâtiments sont sécurisés par des systèmes de contrôle des accès (par exemple, système d'accès par carte à puce).

• Une exigence minimale impose que les points d’entrée externes du bâtiment soient équipés

d'un système certifié de clés incluant une gestion moderne et active des clés.

• En fonction de la classification de la sécurité, certains bâtiments, certaines zones précises et leurs environs peuvent être protégés par des mesures supplémentaires. Il peut s'agir notamment de profils d'accès spécifiques, de vidéo-surveillance, de systèmes d'alarme en cas d'intrusion et de systèmes de contrôle d'accès biométriques.

• Des droits d'accès sont conférés aux collaborateurs autorisés, au cas par cas, selon le Système et les Mesures de contrôle des accès aux données (voir Sections 1.2 et 1.3 ci-dessous). Cela vaut également pour l'accès des visiteurs. Les invités et visiteurs qui pénètrent dans des locaux de SAP doivent enregistrer leur nom à l'accueil et doivent être accompagnés d'un membre du personnel SAP autorisé.

• Les employés SAP et le personnel extérieur doivent porter leur badge d'identification dans tous les locaux SAP.

Mesures supplémentaires pour les Centres de données:

• Tous les Centres de données mettent en œuvre des procédures de sécurité strictes, et disposent de gardiens, caméras de surveillance, capteurs de mouvement, mécanismes de contrôle des accès et autres mesures visant à prévenir les intrusions dans les équipements et installations du Centre de données. Seuls des représentants autorisés ont accès aux systèmes et à l'infrastructure présents dans les installations du Centre de données. Pour assurer son bon fonctionnement, l'équipement de sécurité physique (par exemple, les capteurs de mouvement, caméras, etc.) fait l'objet d'un entretien régulier.

• SAP et tous les prestataires tiers de Centres de données consignent les noms et temps de présence du personnel autorisé qui pénètre dans les zones privées de SAP au sein des Centres de données.

1.2 Contrôle des accès au système. Les systèmes de traitement des données utilisés pour fournir le Service Cloud ne doivent pas pouvoir être utilisés sans autorisation.

Mesures:

• Des niveaux d'autorisation multiples sont utilisés lors de la concession de l'accès aux systèmes sensibles, notamment ceux utilisés pour stocker et traiter les Données à caractère personnel. Les autorisations sont gérées par le biais de processus définis conformément à la Politique de sécurité de SAP.

• L'ensemble du personnel accède au système SAP par le biais d'un identifiant propre (identifiant d'utilisateur).

• SAP a mis en place des procédures afin que les changements d'autorisation demandés soient mis en œuvre uniquement en accord avec la Politique de sécurité de SAP (par exemple, aucun droit n'est conféré sans autorisation). Si un membre du personnel quitte la société, ses droits d'accès sont révoqués.

• SAP a établi une politique en matière de mots de passe qui interdit le partage de mots de passe, impose les mesures à prendre en cas de divulgation d'un mot de passe, et exige que les mots de passe soient modifiés périodiquement et les mots de passe par défaut remplacés. Des identifiants d'utilisateur personnalisés sont assignés à des fins d'authentification. Tous les mots de passe doivent être conformes à des exigences minimales définies et sont stockés sous forme chiffrée. Dans le cas des mots de passe de domaine, le système impose un changement tous xxx xxx mois et le choix de mots de passe complexes. Chaque ordinateur dispose d'un économiseur d'écran protégé par mot de passe.

• Le réseau de l'entreprise est protégé du réseau public par des pare-feux.

• SAP utilise un logiciel antivirus actualisé aux points d'accès au réseau de la société (pour les comptes de courriel) ainsi que sur l'ensemble des serveurs de fichiers et des postes de travail.

• La gestion des correctifs de sécurité est mise en œuvre pour assurer le déploiement régulier et périodique des mises à jour de sécurité pertinentes. L'accès à distance à l'intégralité du réseau interne de SAP et à son infrastructure critique est protégé par un système d'authentification robuste.

1.3 Contrôle des accès aux données. Les personnes autorisées à utiliser des systèmes de traitement de données peuvent accéder uniquement aux Données à caractère personnel auxquelles elles ont le droit d'accéder. Les Données à caractère personnel ne doivent pas être consultées, copiées, modifiées ou supprimées sans autorisation dans le cadre de leur traitement, utilisation ou stockage.

Mesures:

• Dans le cadre de la Politique de sécurité de SAP, les Données à caractère personnel doivent faire l'objet d'un niveau de protection au moins égal à celui des renseignements

« confidentiels », conformément à la norme de classification des renseignements de SAP.

• L'accès aux Données à caractère personnel est accordé s'il existe un besoin d'accéder auxdites données. Le personnel a accès aux renseignements dont il a besoin pour pouvoir remplir ses obligations. XXX utilise des concepts d'autorisation qui documentent les processus d'autorisation et les rôles affectés par compte (identifiant d'utilisateur). L'ensemble des Données client sont protégées conformément à la Politique de sécurité de SAP.

• Tous les serveurs de production sont exploités dans les Centres de données ou des salles de serveurs sécurisées. Les mesures de sécurité qui protègent les applications utilisées pour traiter les Données à caractère personnel sont régulièrement contrôlées. À cette fin, XXX réalise des contrôles de sécurité internes et externes ainsi que des tests de pénétration sur ses systèmes informatiques.

• SAP n'autorise pas l'installation de logiciels qui n’ont pas été approuvés par SAP.

• Une norme de sécurité SAP régit les modalités de suppression ou de destruction des données et

des supports de données dès lors qu’ils ne sont plus requis.

1.4 Contrôle des transmissions de données. Excepté en cas de nécessité pour la prestation des Services Cloud conformément au Contrat, les Données à caractère personnel ne doivent pas être consultées, copiées, modifiées ou supprimées sans autorisation pendant leur transfert. Lorsque des supports de données sont transportés physiquement, des mesures adaptées sont mises en œuvre chez SAP pour garantir les niveaux de service convenus (par exemple, chiffrement et conteneurs doublés de plomb).

Mesures:

• Les transferts de Données à caractère personnel via les réseaux internes de SAP sont protégés conformément à la Politique de sécurité de SAP.

• Lorsque des données sont transférées entre SAP et ses clients, les mesures de protection à appliquer aux Données à caractère personnel transférées sont convenues par les parties et intégrées au contrat applicable. Cela vaut autant pour un transfert physique que pour un transfert de données via un réseau. Dans tous les cas, le Client assume la responsabilité de tout transfert de données dès lors qu’il sort du cadre des systèmes contrôlés par SAP (par exemple, données transmises au-delà du pare-feu du Centre de données SAP).

1.5 Contrôle des saisies de données. Il sera possible d'examiner et établir rétrospectivement si des Données à caractère personnel ont été saisies, modifiées ou supprimées dans les systèmes de traitement de données SAP et qui sont les personnes ayant effectué lesdites actions.

Mesures:

• L'accès aux Données à caractère personnel est concédé par SAP uniquement au personnel autorisé, en fonction des besoins pour accomplir ses obligations.

• SAP a mis en œuvre un système de journalisation des saisies, modifications, suppressions et blocages de Données à caractère personnel par SAP ou ses Sous-traitants ultérieurs dans le Service Cloud dans la mesure où cela est techniquement possible.

1.6 Contrôle des tâches. Les Données à caractère personnel traitées sur mandat (c'est-à-dire, les Données à caractère personnel traitées pour le compte du client) sont traitées conformément au Contrat et aux instructions associées du Client uniquement.

Mesures:

• XXX utilise des contrôles et des procédures pour assurer le respect des contrats conclus entre SAP et ses clients, sous-traitants ultérieurs ou autres prestataires de services.

• Dans le cadre de la Politique de sécurité de SAP, les Données à caractère personnel doivent faire l'objet d'un niveau de protection au moins égal à celui des renseignements

« confidentiels », conformément à la norme de classification des renseignements de SAP.

• Tous les employés et les sous-traitants ultérieurs contractuels ou autres prestataires de services sont tenus par contrat à respecter la confidentialité de l'ensemble des renseignements sensibles, notamment les secrets commerciaux de clients et partenaires de SAP.

1.7 Contrôle de la disponibilité. Les Données à caractère personnel seront protégées contre les destructions accidentelles ou non autorisées et contre les risques de perte.

Mesures:

• SAP emploie des procédures de sauvegarde régulières visant à assurer une restauration des systèmes essentiels aux activités en cas de besoin.

• SAP utilise des systèmes d'alimentation sans coupure (par exemple UPS, batteries, générateurs, etc.) pour garantir l'alimentation continue des Centres de données.

• SAP a défini des plans d'intervention d'urgence pour les processus de gestion critiques et peut proposer des stratégies de restauration après sinistre pour les Services critiques, tels que définis plus en détail dans la Documentation ou intégrés au Formulaire de commande du Service Cloud applicable.

• Les procédures et systèmes d'urgence sont régulièrement mis à l'essai.

1.8 Contrôle de la séparation des données. Les Données à caractère personnel recueillies à des fins différentes peuvent être traitées séparément.

Mesures:

• SAP utilise les capacités techniques des progiciels déployés (par exemple, architecture mutualisée ou environnements système séparés) pour assurer une séparation des données entre les Données à caractère personnel provenant de différents clients.

• Le Client (et ses Responsables du traitement) ont accès uniquement à leurs propres données.

• Si des Données à caractère personnel sont requises pour la gestion d’un incident de support émanant du Client, les données sont affectées audit message afin de traiter ledit message. Il est impossible d'y accéder afin de traiter un autre message. Lesdites données sont stockées dans des systèmes d'aide dédiés.

1.9 Contrôle de l'intégrité des données. Les Données à caractère personnel demeurent intactes, complètes et actualisées dans le cadre des activités de traitement.

Mesures:

SAP a mis en place une stratégie de défense sur plusieurs niveaux pour garantir une protection contre les modifications non autorisées.

Notamment, SAP utilise les éléments suivants pour mettre en œuvre les Sections relatives aux

contrôles et aux mesures décrits précédemment :

• Pare-feu

• Centre de contrôle de la sécurité

• Logiciel antivirus

• Sauvegarde et récupération

• Tests d'intrusion externe et interne

• Vérifications externes régulières pour démontrer la mise en œuvre des mesures de sécurité

MTOs SERIE 2

(applicable aux Services MTOs Série 2 tels que définis ci-dessus)

Dernière mise à jour : 4 mai 2020

1. MESURES TECHNIQUES ET ORGANISATIONNELLES

1.1 Contrôle des accès physiques.

• SAP protège ses biens et ses installations en recourant aux moyens adaptés, conformément à la Politique de sécurité de SAP.

• En règle générale, les bâtiments sont sécurisés par des systèmes de contrôle des accès (par exemple, système d'accès par carte à puce).

• Une exigence minimale impose que les points d’entrée externes du bâtiment soient équipés

d'un système certifié de clés incluant une gestion moderne et active des clés.

• Les employés SAP et le personnel extérieur doivent porter leur badge d'identification dans tous les locaux SAP.

Mesures supplémentaires pour les Centres de données:

1.2 Contrôle des accès au système.

• L'ensemble du personnel accède au système SAP par le biais d'un identifiant propre (identifiant d'utilisateur).

• SAP a des politiques conçues pour permettre que des droits ne soient pas accordés sans autorisation et que, si un membre du personnel quitte la société, ses droits d'accès sont révoqués.

• Le réseau de l'entreprise est protégé du réseau public par des pare-feux.

• Processus de gestion des correctifs de sécurité pour le déploiement régulier et périodique des mises à jour de sécurité pertinentes.

• L'accès à distance à l'intégralité du réseau interne de SAP et à son infrastructure critique est protégé par un système d'authentification.

1.3 Contrôle des accès aux données.

• Dans le cadre de la Politique de sécurité de SAP, les Données à caractère personnel doivent faire l'objet d'un niveau de protection au moins égal à celui des renseignements

« confidentiels », conformément à la norme de classification des renseignements de SAP.

• Processus et politiques pour détecter l'installation de logiciels qui n’ont pas été approuvés par

SAP sur des systèmes en production.

• Une norme de sécurité SAP régit les modalités de suppression ou de destruction des données et des supports de données dès lors qu’ils ne sont plus requis.

1.4 Contrôle des transmissions de données.

• Les transferts de Données à caractère personnel via les réseaux internes de SAP sont protégés conformément à la Politique de sécurité de SAP.

1.5 Contrôle des saisies de données.

• L'accès aux Données à caractère personnel est concédé par SAP uniquement au personnel autorisé, en fonction des besoins pour accomplir ses obligations.

• SAP a dans la plupart des cas mis en œuvre un système de journalisation des saisies, modifications, suppressions et blocages de Données à caractère personnel par SAP ou ses Sous-traitants ultérieurs dans le Service Cloud dans la mesure où cela est techniquement possible.

1.6 Contrôle des tâches.

• XXX utilise des contrôles et des procédures pour assurer le respect des contrats conclus entre SAP et ses clients, sous-traitants ultérieurs ou autres prestataires de services.

• Dans le cadre de la Politique de sécurité de SAP, les Données à caractère personnel doivent faire l'objet d'un niveau de protection au moins égal à celui des renseignements

« confidentiels », conformément à la norme de classification des renseignements de SAP.

1.7 Contrôle de la disponibilité.

• SAP emploie des procédures de sauvegarde régulières visant à assurer une restauration des systèmes essentiels aux activités en cas de besoin.

• SAP utilise des systèmes d'alimentation sans coupure (par exemple UPS, batteries, générateurs, etc.) pour garantir l'alimentation continue des Centres de données.

• Les procédures et systèmes d'urgence sont régulièrement mis à l'essai.

1.8 Contrôle de la séparation des données.

• Le Client (et ses Responsables du traitement) ont accès uniquement à leurs propres données.

1.9 Contrôle de l'intégrité des données.

SAP a mis en place une stratégie de défense sur plusieurs niveaux pour garantir une protection contre les modifications non autorisées.

Notamment, SAP utilise les éléments suivants pour mettre en œuvre les Sections relatives aux

contrôles et aux mesures décrits précédemment :

• Pare-feu

• Centre de contrôle de la sécurité

• Logiciel antivirus

• Sauvegarde et récupération

• Tests d'intrusion externe et interne et/ou audits externes réguliers pour démontrer la mise en

œuvre des mesures de sécurité

Appendice 3 au présent DPA et, si applicable, aux Clauses contractuelles types

Le tableau suivant définit les Articles applicables du RGPD et les termes correspondants au DPA, à titre d'exemple uniquement.

Article du RGPD	Section du DPA	Cliquez sur le lien pour accéder à la Section

28(1)	2 et Appendice 2	SécuritÉ du traitement et Appendice 2, Mesures techniques et organisationnelles.
28(2), 28(3) (d) et 28 (4)	6	SOUS-TRAITANTS ULTÉRIEURS
28 (3), première phrase	1.1 et Appendice 1, 1.2	Objectif et application. Structure.
28(3) (a) et 29	3.1 et 3.2	Instructions du Client. Traitement conforme aux obligations légales .
28(3) (b)	3.3	Personnel.
28(3) (c) et 32	2 et Appendice 2	SécuritÉ du traitement et Appendice 2, Mesures techniques et organisationnelles.
28(3) (e)	3.4	Coopération.
28(3) (f) et 32-36	2 et Appendice 2, 3.5, 3.6	SécuritÉ du traitement et Appendice 2, Mesures techniques et organisationnelles. Notification d'une Violation des Données à caractère personnel. Analyse d'impact relative à la protection des données.
28(3) (g)	4	Exportation et suppression des donnÉes
28(3) (h)	5	CERTIFICATIONS ET VÉRIFICATIONS
28 (4)	6	SOUS-TRAITANTS ULTÉRIEURS
30	8	Documentation; enregistrements du traitement
46(2) (c)	7.2	Clauses contractuelles types

Document Metadata

Table of Contents

CONTRAT DE TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL POUR LES SERVICES SAP CLOUD

Document Metadata