CODE CONTREPARTIE CNA HARDY (Version Sous-traitant du traitement)

Dûment signé à titre de contrat valide et contraignant par un représentant autorisé de :

« Contrepartie » :

Signature :

Nom

Date :

« Groupe CNA Hardy », agissant par l’intermédiaire de

CNA Services (UK) Limited (et qui comprend les entités

opérationnelles visées à l’Article 4)

Date :

PRÉAMBULE

Le groupe de sociétés CNA Hardy conduit ses activités en totale conformité à l’ensemble des lois et réglementations en vigueur s’appliquant à ses activités.

Pour garantir la conformité continue du groupe CNA Hardy aux lois et réglementations applicables (en particulier, à la lumière de la mise en œuvre imminente de nouvelles lois et réglementations relatives à la protection des données), il est nécessaire de s’assurer que l’ensemble des contreparties, fournisseurs et partenaires commerciaux (fournissant des biens, services ou négociant des services d’assurance) du groupe CNA Hardy reconnaissent et attestent qu’ils satisfont aux normes du groupe CNA Hardy et se conforment, et continueront de se conformer, à l’ensemble des lois, réglementations, politiques réglementaires, orientations ou codes et normes de l’industrie applicables.

Le présent Code Contrepartie (ci-après le « Code ») énonce les attentes et exigences du groupe CNA Hardy vis- à-vis de ses Contreparties eu égard à la conformité aux normes suivantes :

- Lois relatives à la lutte contre l’esclavage et le travail forcé

- Lois relatives à la lutte contre le trafic d’influence et la corruption

- Exigences de gouvernance financière de l’UE qui s’étendent aux parties fournissant certains services à des sociétés de services financiers réglementées comme les compagnies d’assurance [Système de Gouvernance Solvabilité II AEAPP]

- Le retrait du Royaume-Uni de l’UE (« Brexit ») et la réorganisation des activités du groupe CNA Hardy pour garantir la continuité des services offerts à ses clients.

- Xxxx relatives à la confidentialité et la protection des données

ARTICLE 3 : EXIGENCES DE GOUVERNANCE ET RÉGLEMENTAIRES APPLICABLES S’ÉTENDANT AUX PARTIES FOURNISSANT CERTAINS SERVICES À DES

SOCIÉTÉS DE SERVICES FINANCIERS RÉGLEMENTÉES COMME LES COMPAGNIES D’ASSURANCE

(a) La Contrepartie reconnaît qu’en vertu des lois, réglementations, politiques réglementaires, orientations ou codes et normes de l’industrie en vigueur s’appliquant à l’exploitation et aux activités du groupe CNA Hardy (y compris mais sans y être limités la Directive Solvabilité II, les orientations de l’Autorité européenne des assurances et des pensions professionnelles sur le système de gouvernance en vertu de la Solvabilité II et les Règlements et orientations apparentées de la Prudential Regulation Authority (« PRA ») et la Financial Conduct Authority (« FCA »), le groupe CNA Hardy a l’obligation de s’assurer que l’ensemble des employés et autres membres du personnel de la Contrepartie (« Membres du Personnel de la Contrepartie ») qui exécutent des services pour le groupe CNA Hardy répondent aux exigences de compétence et d’honorabilité.

(b) La Contrepartie s’assurera et obtiendra que les Membres de son Personnel à tout moment :

(i) bénéficient des qualifications, des compétences, des connaissances et de l’expérience professionnelles adéquates ;

(ii) soient de bonne réputation et intègres ;

(iii) agissent avec la compétence, le soin et la diligence raisonnables ; et

(iv) aient suivi ou suivent l’ensemble de la formation

qui s’impose pour leur permettre de s’acquitter de leurs fonctions et responsabilités et conformément aux lois, réglementations, politiques réglementaires, orientations ou codes et normes de l’industrie applicables.

(i) La Contrepartie fournit des services en vertu d’un contrat qui a été notifié à la PRA au titre de la Règle 7.3 de la Partie Conditions PRA régissant les activités du Règlement PRA et/ou à la FCA en tant qu’externalisation substantielle conformément à la SUP 15.3.8G(i)(e) du Règlement FCA (« Externalisation substantielle ») ; ou

(ii) (tout Membre du Personnel de la Contrepartie : est agréé pour exercer des « fonctions contrôlées » (ainsi qu’il est défini en vertu de l’article 59 de la Loi de 2000 relative aux services et marchés financiers (« FSMA ») ; est nommé pour exercer des « fonctions clés » (ainsi que lesdits termes sont définis dans le Règlement PRA) ; ou fait l’objet d’un certificat en relation avec des « fonctions spécifiées » conformément aux articles 63E et 63F de la FSMA

pour une entité au sein du groupe CNA Hardy, les dispositions de l’Annexe 2 s’appliqueront eu égard aux Membres du Personnel de la Contrepartie fournissant des services dans le cadre de l’Externalisation substantielle ou, dans le cas de l’alinéa (c)(ii) ci-dessus, à la personne (« Personnes réglementées ») nommée pour exercer lesdites fonctions.

(d) La Contrepartie reconnaît que les exigences visées aux Articles 3(b) et (c), selon le cas, seront les

« Exigences de compétence et d’honorabilité » s’appliquant à la Contrepartie.

(e) La Contrepartie :

(i) tiendra des dossiers du personnel à jour sur les Membres du Personnel de la Contrepartie et, sur demande, fournira des informations raisonnables au groupe CNA Hardy en relation avec lesdits Membres du Personnel de la Contrepartie y compris, mais sans y être limitées, les informations exigées par le groupe CNA Hardy pour attester de la conformité aux Exigences de compétence et d’honorabilité applicables ; et

(ii) s’assurera à tout moment d’avoir le droit de fournir lesdites informations en vertu des lois, réglementations, politiques réglementaires, orientations ou codes et normes de l’industrie en vigueur s’appliquant à son exploitation et ses activités.

ARTICLE 4 : LE RETRAIT DU ROYAUME-UNI DE L’UE (« BREXIT ») ET LA RÉORGANISATION DES ACTIVITÉS DU GROUPE CNA HARDY POUR

GARANTIR LA CONTINUITÉ DES SERVICES OFFERTS À SES CLIENTS.

Le Groupe CNA Hardy se compose de six (qui deviendront sept en 2018) entités opérationnelles principales ainsi qu’il est décrit et défini ci-dessous. Il existe d’autres sociétés du Groupe CNA qui font office d’entité holding ou de société détentrice du capital mais ne sont pas des entités contractantes ou opérationnelles de première ligne.

CNA Services (UK) Limited (« CNASL »)	Cette entité fait office de société de services principale, passant des marchés au nom et pour le compte d’autres entités du groupe qu’elle détient majoritairement pour des services et contrats centralisés pour le compte des autres entités, elle emploie également la majorité du personnel du Groupe.
CNA Insurance Company Limited (« CICL »)	Il s’agit d’une compagnie d’assurance basée au Royaume-Uni mais qui conduit actuellement ses activités par le biais de succursales légales à travers l’Europe.
Xxxxx (Underwriting Agencies) Limited (« HUAL »)	Il s’agit d’une compagnie d’assurance basée au Royaume-Uni qui conduit ses activités par l’intermédiaire de Lloyds of London, Syndicate 382.
Xxxxx Underwriting Asia Pte Limited (« HAP »)	Il s’agit d’une société de services d’assurance, qui conduit ses activités sous l’autorité déléguée de HUAL.
Xxxxx Underwriting Labuan Limited (« HUL »)	Il s’agit d’une société de services d’assurance, qui conduit ses activités sous l’autorité déléguée de HUAL.
CNA Hardy International Services Limited (« CHISL »)	Il s’agit d’une société de services d’assurance appelée Représentant désigné, qui conduit ses activités sous l’autorisation de CICL.
CNA Insurance Company (Europe) SA (« CICE »)	Cette entité deviendra la compagnie d’assurance pour l’assurance européenne hors Royaume-Uni ; les succursales européennes actuelles de CICL seront transférées à CICE.

Nonobstant toute disposition contraire, la Contrepartie reconnaît et convient que :

(a) Le bénéfice de tout service fourni à CNASL peut être librement attribué et utilisé au profit de CICL, HUAL, HAP, HUL, CHISL et/ou de CICE selon les besoins sans préavis ;

(b) Si une restructuration du groupe CNA Hardy suite à la sortie proposée du Royaume-Uni de l’Union européenne exige que tout accord entre la Contrepartie et tout membre du groupe CNA Hardy (y compris mais sans y être limité le présent Accord) soit modifié pour permettre l’attribution du bénéfice de tout service ou autre bénéfice contractuel, la Contrepartie accepte ladite attribution sans préavis ;

(c) Si une restructuration du groupe CNA Hardy suite à la sortie proposée du Royaume-Uni de l’Union européenne exige que tout accord entre la Contrepartie et tout membre du groupe CNA Hardy (y compris mais sans y être limité le présent Accord) fasse l’objet d’une novation au profit d’une filiale ou société holding dudit membre du groupe CNA Hardy de temps à autre, et de toute filiale de temps à autre d’une société holding du groupe CNA Hardy, la Contrepartie convient :

(i) de donner son consentement à la conclusion de ladite novation, qui ne sera pas déraisonnablement refusé ;

(ii) d’apporter la coopération raisonnable pouvant être raisonnablement demandée par le groupe XXX Xxxxx ; et

(iii) de conclure les accords nécessaires pour donner effet à la novation énoncée à la présente clause (c).

(d) Si une restructuration du groupe CNA Hardy suite à la sortie proposée du Royaume-Uni de l’Union européenne exige que tout accord entre la Contrepartie et tout membre du groupe CNA Hardy (y compris mais sans y être limité le présent Accord) soit modifié de manière à créer un nouvel accord autonome entre la Contrepartie et ledit membre du groupe XXX Xxxxx (ou tout autre membre, selon le cas), la Contrepartie convient de conclure de bonne foi ledit accord selon des conditions générales substantiellement identiques à celles dudit accord existant avec le groupe CNA Hardy et ne facturera pas deux fois tout frais existant entre tout accord nouveau et existant à cet effet.

ARTICLE 5 : LOIS RELATIVES À LA CONFIDENTIALITÉ ET LA PROTECTION DES

DONNÉES

Le Groupe CNA Hardy et la Contrepartie reconnaissent que :

(a) L’Accord en place entre le groupe CNA Hardy et la Contrepartie peut exiger le traitement de données à caractère personnel par la Contrepartie pour le compte du groupe CNA Hardy ;

(b) Le groupe CNA Hardy seul déterminera les finalités pour lesquelles et la manière dont les données à caractère personnel seront traitées par la Contrepartie pour le compte du groupe CNA Hardy en vertu de l’Accord ; et

(c) Le groupe CNA Xxxxx sera le responsable du traitement et la Contrepartie sera le sous-traitant du traitement eu égard à l’ensemble desdites données à caractère personnel.

Lorsque, en relation avec la prestation de tout service ou l’Accord, la Contrepartie traite des données à caractère personnel pour le compte du groupe CNA Hardy, la Contrepartie se conforme aux exigences de l’Annexe 1 à tout moment.

ARTICLE 6 : EXEMPLAIRES ET SIGNATURES ÉLECTRONIQUES

Le présent Code peut être signé en un ou plusieurs exemplaires, chacun d’entre eux étant réputé constituer un original du présent Code et l’ensemble d’entre eux, pris tous ensemble, étant réputé constituer un seul et même accord. Les signatures des parties délivrées par télécopie, e-mail ou autre voie électronique seront réputées constituer des signatures originales, et les copies par télécopie ou électroniques des présentes seront réputées constituer des doubles originaux.

ARTICLE 7 : MODIFICATION

Aucune modification du présent Code ne prendra effet à moins d’être formulée par écrit et signée par les parties (ou leurs représentants autorisés), toute modification du présent Code censée être effectuée en vertu de tout Accord initial prendra effet uniquement lorsqu’il est fait référence au présent Code et aux modifications du présent Code qu’il est proposé d’effectuer et qui sont effectuées par écrit et signées par les parties.

ARTICLE 8 : PRIMAUTÉ ET EFFET

Nonobstant toute disposition contraire dans tout Accord, usage commercial ou engagement conclu par la Contrepartie ou le groupe CNA Hardy, il est convenu par la Contrepartie et le groupe CNA Hardy que le présent Code aura la préséance et la primauté sur tout(e) accord, condition contractuelle ou usage commercial existant(e), indépendamment de toute déclaration contraire contenue dans celui-ci/celle-ci. Il est convenu par la Contrepartie et le groupe CNA Hardy que le présent Code constitue un avenant et une modification valides à/de tout Accord existant, nonobstant toute formalité stipulée dans ledit Accord pour donner effet à celui-ci/celle-ci.

Il est convenu par la Contrepartie et le groupe CNA Hardy que, dans le cas où la Contrepartie n’a pas accusé réception du, et signé le, présent Code par voie électronique ou au moyen d’une signature manuscrite ou soulevé tout problème éventuel pour accepter ce dernier, alors, suite à un premier rappel de la part du groupe XXX Xxxxx à cet effet, la poursuite des transactions ou de la marche des affaires entre la Contrepartie et le groupe CNA Hardy sera considérée comme preuve et reconnaissance par la Contrepartie de son acceptation du Code et que le Code aura l’effet énoncé ci-dessus au présent article.

ARTICLE 9 : CONFORMITÉ AUX LOIS

La Contrepartie se conformera à l’ensemble des lois, réglementations, politiques réglementaires, orientations ou codes et normes de l’industrie en vigueur s’appliquant à son exploitation et ses activités, dont le non-respect, individuellement ou globalement, affecterait de manière substantielle ou porterait préjudice à (ou les deux) la capacité de la Contrepartie à s’acquitter de ses obligations en vertu du présent Code ou de tout Accord, ou exposerait de quelque manière que ce soit le groupe CNA Hardy à tout(e) atteinte à la réputation, effet préjudiciable ou responsabilité, y compris découlant des dispositions de la Criminal Finance Xxx 0000 (loi de 2017 relative à la criminalité financière).

ARTICLE 10 : DROIT APPLICABLE ET COMPÉTENCE

L’interprétation, la validité et l’exécution du présent Accord seront régies exclusivement par la législation d’Angleterre et du Pays de Xxxxxx et les parties se soumettent irrévocablement par les présentes à la compétence exclusive des tribunaux anglais pour résoudre tout litige entre elles.

ANNEXE 1 : ANNEXE SOUS-TRAITANT DU TRAITEMENT DES DONNÉES

Société affiliée désigne un membre du groupe de sociétés d’une Partie, ou un sous-traitant ultérieur du traitement, un sous-traitant, une société affiliée ou un agent de ladite Partie.

Directives sur la protection des données désigne la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, ainsi que la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) ;

Législation relative à la protection des données désigne l’ensemble des lois et réglementations applicables relatives à la protection des données et au respect de la vie privée, y compris sans limitation, celles qui se rapportent à la collecte, à l’utilisation, au stockage, à la divulgation ou au transfert d’informations à caractère personnel en vertu du présent Accord et en relation avec ce dernier, y compris, sans limitation, les directives sur la protection des données, la loi française Informatique et Libertés n°78-17 du 6 janvier 1978 telle qu’amendée ou au Royaume-Uni la loi de 1998 relative à la protection des données, et la directive (CE) concernant la vie privée et les communications électroniques de 2003, ainsi que, lorsqu’elle est applicable, toute autre loi nationale transposant les directives sur la protection des données, y compris le règlement (UE) 2016/679 à compter de son entrée en vigueur, dans chaque cas tel(le) qu’il/elle a été modifié(e) ou remplacé(e), et en tenant compte des lois et réglementations applicables relatives à la protection des données et au respect de la vie privée qui sont adoptées au Royaume-Uni et en France à tout moment à la date ou après la date du présent Accord, ainsi que l’ensemble des règlements, directives, ordonnances, codes de pratique, notes d’orientation, instructions et conseils officiels écrits applicables émis à tout moment par ou pour le compte de toute autorité de surveillance chargée de la protection des données pertinente pour les données à caractère personnel traitées en vertu du présent Accord (ci-après l’« ICO » pour « Information Commissioner’s Office » au UK ou lorsqu’applicable, la Commission Nationale de l’Informatique et des Libertés ou « CNIL » en France) ;

Mesures de sécurité désigne les mesures de sécurité techniques et organisationnelles adaptées aux risques que présente le traitement des données à caractère personnel en vertu du présent Accord et qui suffisent à protéger contre toute destruction accidentelle ou illicite, toute perte accidentelle, toute altération, toute divulgation non autorisée ou tout accès non autorisé des/aux Données à caractère personnel transmises, stockées ou autrement traitées en vertu du présent Accord, ainsi que contre toutes les autres formes illégales de traitement, y compris sans limitation, les exigences minimales énoncées à l’Annexe B ci-jointe et avec prise d’effet à compter du 25 mai 2018 ainsi que sur la page Web xxx.xxxxxxxx.xxx\privacy, y compris telles que modifiées ou remplacées ;

Clauses contractuelles types désigne les Clauses contractuelles types qui s’appliquent aux Sous-traitants du traitement des données établis dans des pays tiers conformément à la décision (2010/87/UE) de la Commission du 5 février 2010 en vertu de la directive européenne 95/46/CE ou à toute autre décision de la Commission pouvant remplacer ladite décision de la Commission à tout moment.

Aux fins de la présente Annexe Sous-traitant du traitement des données, les termes suivants auront la signification qui leur est conférée dans la Législation relative à la protection des données : responsable du traitement des données, personne concernée, données à caractère personnel, traitement et sous-traitant du traitement des données.

Présentation du traitement des données

1. Dans le cadre de la réalisation des prestations, la Contrepartie pourra avoir accès, en qualité de sous- traitant, à des données à caractère personnel au sens de la Législation relative à la protection des données. La Contrepartie pourra ainsi être amenée à procéder à des traitements de telles données ou y avoir accès pour le compte de XXX Xxxxx, responsable de traitement, aux seules fins de réalisation des prestations et pour la durée de l’Accord.

2. La Contrepartie reconnaît que l’ensemble des engagements contractuels et des mesures définis dans la présent Annexe Sous-traitant constituent des conditions essentielles et déterminantes du consentement de XXX Xxxxx à conclure le présent Accord avec la Contrepartie.

3. L’objet du traitement, la durée du traitement, la ou les finalité(s) du traitement ainsi que les catégories de Données à Caractère Personnel et les catégories de personnes concernées faisant l’objet d’un traitement en vertu du présent Accord sont précisés en Annexe A.

Obligations relatives au Traitement des Données

4. La Contrepartie ne recrute pas un autre sous-traitant (le « Sous-traitant ultérieur ») sans l’autorisation écrite, préalable et spécifique de XXX Xxxxx.

5. Lorsque, conformément aux conditions prévues au présent Article, la Contrepartie recrute un Sous- traitant ultérieur pour mener des activités de traitements spécifiques pour le compte de CNA Hardy, la Contrepartie impose les mêmes obligations en matière de protection des données que celles fixées dans le présent Accord sur les Sous-traitants ultérieurs au moyen d’un contrat, en particulier pour ce qui est de présenter des garanties suffisantes quant à la mise en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences de la Législation relative à la protection des données. Lorsque le Sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, la Contrepartie demeure pleinement responsable auprès de XXX Xxxxx du traitement de l’exécution par le Sous-traitant ultérieur de ses obligations. La Contrepartie fournit sur demande de XXX Xxxxx une copie du contrat au moyen duquel les engagements de la Contrepartie sont répercutés sur le Sous-traitant ultérieur.

6. La Contrepartie s’engage à, et obtiendra que l’ensemble des Sous-traitants ultérieurs du traitement des données de la Société affiliée s’engagent à :

(a) se conformer à la Législation relative à la protection des données et ne pas conduire, par son/leur acte ou omission, le groupe CNA Hardy à enfreindre la Législation relative à la protection des données ;

(b) préserver la confidentialité des données à caractère personnel conformément à la/aux clause(s) de confidentialité du présent Accord, et mettre à jour, ainsi que demandé, l’ensemble des informations relatives à la conformité de la Contrepartie à la présente Annexe Sous-traitant du traitement des données sur le système informatique conseillé par le groupe CNA Hardy ;

(c) traiter les données à caractère personnel uniquement sur les instructions écrites et documentées du groupe CNA Hardy et uniquement dans la mesure nécessaire au respect de ses/leurs obligations en vertu du présent Accord (ou, dans le cas de sous-traitants ultérieurs du traitement, en vertu du contrat de sous-traitance ou autre contrat écrit pertinent) et informer dans les plus brefs délais le groupe CNA Hardy si, à son avis, une instruction n’est pas conforme à la Législation relative à la protection des données ;

Restrictions sur la Divulgation et le Transfert en Dehors de l’EEE

7. La Contrepartie s’engage à ne pas, et obtiendra que l’ensemble des Sous-traitants ultérieurs du traitement des données de la Société affiliée s’engagent à ne pas :

(a) divulguer les données à caractère personnel à tout tiers ou toute personne (autre qu’à des Sociétés affiliées et son/leur propre personnel ayant besoin d’en connaître en vue de l’acquittement de leurs obligations en vertu du présent Accord strictement selon le principe de besoin de connaître) à moins d’avoir obtenu l’autorisation spécifique du groupe CNA Hardy (ladite autorisation ne devant pas être déraisonnablement refusée), et sous réserve que la Contrepartie :

(i) notifie au groupe CNA Hardy par écrit chaque tiers ou personne (Sociétés affiliées comprises) auquel/à laquelle elle divulgue les données à caractère personnel et le(s) lieu(x) où le traitement sera effectué ;

(ii) mette en place des conditions écrites avec le tiers ou les personnes (Sociétés affiliées comprises) qui sont équivalentes à celles énoncées à la présente Annexe Sous-traitant du traitement des données ;

(iii) obtienne que les tiers ou les personnes (Sociétés affiliées comprises) se conforment aux obligations énoncées à la présente Annexe Sous-traitant du traitement des données ;

(iv) demeure pleinement responsable de l’ensemble des actes ou omissions desdits tiers et personnes (Sociétés affiliées comprises) eu égard aux données à caractère personnel traitées par ces derniers ;

(b) transférer de données à caractère personnel en dehors de l’Espace économique européen, ou permettre un accès aux données à caractère personnel en dehors de l’EEE (à l’exception des Sociétés

affiliées pour l’acquittement de leurs obligations en vertu du présent Accord , et à condition que ledit transfert soit conforme au paragraphe (b)(ii) ci-dessous) :

(i) à moins d’avoir obtenu l’autorisation spécifique du groupe CNA Hardy (ladite autorisation ne devant pas être déraisonnablement refusée) ; toutefois, le groupe CNA Hardy autorise, par les présentes, la Contrepartie à transférer les données à caractère personnel aux Sous-traitants ultérieurs du traitement, y compris sans limitation, ceux qui se trouvent au sein de son propre groupe de sociétés et qui sont susceptibles de changer de temps à autre, sous réserve que la Contrepartie notifie au groupe CNA Hardy par écrit chaque Sous-traitant ultérieur du traitement et le(s) lieu(x) où ces derniers traitent les données à caractère personnel ; et

(ii) alors uniquement lorsque ledit transfert est effectué conformément aux Clauses contractuelles types sans modification apportée auxdites Clauses et qualifiant le groupe CNA Hardy d’exportateur de données et signant les Clauses contractuelles types (y compris au moyen de contrats d’agence pouvant être en place avec la Contrepartie à cette fin), ou autre motif légitime de transfert ainsi qu’il est permis en vertu de la Législation relative à la protection des données ;

(c) lorsque la situation l’exige ou que cela est approprié, y compris sans limitation, sur demande à tout moment du groupe CNA Hardy, informer les personnes concernées de la politique de traitement des données de CNA Hardy, disponible à l’adresse xxx.xxxxxxxx.xxx\privacy ; et

(d) lorsque le consentement explicite de la personne concernée à la politique de traitement des données de XXX Xxxxx ou pour l’utilisation de données à caractère personnel sensibles est exigé pour le traitement, obtenir et conserver une trace écrite dudit consentement explicite et mettre ledit consentement à la disposition de XXX Xxxxx sur demande pendant une période de sept ans minimum à compter de la date de collecte.

Sécurité des Données et Violations de Données

8. La Contrepartie s’engage à, et obtiendra que l’ensemble des Sous-traitants ultérieurs du traitement des données de la Société affiliée s’engagent à :

(a) assurer la sécurité des données à caractère personnel conformément à la Législation relative à la protection des données, y compris sans limitation, en mettant en place et préservant les Mesures de sécurité ;

(b) garantir la fiabilité des membres de son/leur personnel qui ont accès aux données à caractère personnel et s’assurer qu’ils :

(i) les traitent uniquement lorsque cela est strictement nécessaire à l’acquittement des obligations en vertu du présent Accord ;

(ii) connaissent pleinement les mesures à mettre en place et les étapes à suivre lors du traitement des données à caractère personnel au regard de la Législation relative à la protection des données et de la présente Annexe Sous-traitant du traitement des données ;

(iii) se soient engagés à protéger la confidentialité des données à caractère personnel y compris au moyen d’une obligation de confidentialité appropriée (que ce soit au moyen d’un contrat écrit ou autre) eu égard aux données à caractère personnel ; et

(iv) aient reçu et continuent de recevoir à des intervalles réguliers appropriés une formation suffisante pour aborder les risques de cybersécurité pertinents et que tout membre du personnel de cybersécurité clé prenne des mesures pour garantir une connaissance à jour de l’évolution des menaces et contre-mesures de cybersécurité ;

(c) notifier dans les plus brefs délais (et dans tous les cas dans les 24 heures après en avoir pris connaissance) au groupe CNA Hardy au moyen d’un courriel à xxxxxxxxxxxxxxxxxxxxx@xxxxxxxx.xxx et xxxxxxxxxxxx@xxxxxxxx.xxx tout incident effectif ou suspecté de destruction, perte ou altération accidentelle ou illégale, tout(e) divulgation ou accès non autorisé(e) ou accidentel(le) des/aux données à caractère personnel ou autre violation de la Clause 8(a) (« Violation de la Sécurité ») ;

(d) fournir dans les plus brefs délais au groupe CNA Hardy :

(i) l’ensemble des informations en sa/leur possession ou sous son/leur contrôle concernant toute Violation de la Sécurité, y compris sans limitation :

• une description de la nature de la Violation de la Sécurité ;

• les catégories et le nombre approximatif de personnes concernées touchées et les fichiers de données à caractère personnel affectés ;

• le nom et les coordonnées de son/leur responsable de la protection des données ou autre interlocuteur auprès duquel des informations complémentaires peuvent être obtenues ;

• une description des conséquences probables de la Violation de la Sécurité ;

• et une description des mesures prises ou proposées par celle-ci/ceux-ci pour répondre à la Violation de la Sécurité) ; et

(ii) toute l’assistance et toute la coopération nécessaires afin de permettre au groupe CNA Hardy de chercher à atténuer les effets de la Violation de la Sécurité et de se conformer à ses propres obligations en vertu de la Législation relative à la protection des données eu égard à la Violation de la Sécurité (y compris sans limitation son obligation de notifier cette dernière à l’ICO (ou la CNIL, si applicable) à tout moment et de communiquer les détails de cette dernière aux personnes concernées touchées, lorsque cela est nécessaire en vertu de la Législation relative à la protection des données) ;

(e) ne pas annoncer, ne pas publier ni autoriser autrement la diffusion d’un avis ou d’informations concernant une Violation de la Sécurité (une « Notification de Violation de la Sécurité »), ni autoriser ou permettre cette dernière sans le consentement préalable par écrit du groupe XXX Xxxxx, et l’approbation explicite par le groupe CNA Hardy du contenu, des supports et du calendrier de la Notification de Xxxxxxxxx de la Sécurité ;

(f) à l’expiration ou la résiliation du présent Accord :

(i) dans la mesure du raisonnable, et en permettant la conservation des fichiers requis par la loi ou règlementation, en vertu de la clause (9) « Conservation des documents » ci-dessous, et des sauvegardes automatisées lorsqu’il n’est pas spécifiquement tenté de rétablir lesdites données à CNA Hardy (et lorsque cela est tenté pour d’autres raisons, les données CNA Hardy ne sont pas conservées) ou à des fins de conservation pour fraude ou assurance, supprimer de manière permanente et sécurisée de ses/leurs systèmes et de l’ensemble des ordinateurs et autres appareils en sa/leur possession ou sous son/leur contrôle l’ensemble des copies électroniques des données à caractère personnel ; et

(ii) retourner de manière sécurisée au groupe CNA Hardy l’ensemble des copies papier des données à caractère personnel qui sont en sa/leur possession ou sous son/leur contrôle, ou, au gré du groupe CNA Hardy, détruire de manière sécurisée et permanente l’ensemble desdites copies papier de ces dernières ; et

(iii) attester par écrit au groupe CNA Hardy dans les 30 jours suivant l’expiration ou la résiliation que la présente Clause 8(f) a été pleinement respectée ;

Conservation des documents, Audit et Assistance

9. La Contrepartie s’engage à, et obtiendra que l’ensemble des sous-traitants ultérieurs du traitement des données de la Société affiliée s’engagent à, sans frais supplémentaires pour le groupe CNA Hardy :

(a) fournir dans les plus brefs délais au groupe CNA Hardy, sur demande, toutes les informations en sa/leur possession ou sous son/leur contrôle qui ont trait au traitement de données à caractère personnel en vertu du présent Accord, ainsi que l’ensemble de l’assistance et de la coopération, des supports et/ou des documents techniques pouvant être nécessaires pour permettre au groupe CNA Hardy de :

(i) vérifier que la Contrepartie se conforme à la présente Annexe Sous-traitant du traitement des données ;

(ii) se conformer à ses obligations en vertu de la Législation relative à la protection des données, y compris prouver ladite conformité à l’ICO (ou, si applicable, la CNIL) ;

(iii) effectuer, avant le traitement, une analyse de l’impact des opérations de traitements envisagés sur la protection des données se rapportant au traitement de données à caractère personnel en vertu du présent Accord, le cas échéant ; et

(iv) coopérer avec l’ICO (ou si applicable, la CNIL) et la consulter pour toute question en lien avec le traitement des données à caractère personnel et dans le respect des délais fixés par l’ICO et/ou la CNIL et/ou dans la Législation relative à la protection des données (notamment par rapport aux obligations d’audit et de déclaration, à la tenue d’un registre des activités de traitement (et à la fourniture d’informations, au besoin, à l’ICO et/ou la CNIL s’agissant desdites activités) ;

(b) informer le groupe CNA Hardy, y compris en lui transmettant des copies et des informations complètes, si elle/s’ils reçoi(ven)t :

(i) une communication, une correspondance ou une demande d’informations (qu’elle soit écrite ou verbale) émanant de l’ICO (ou la CNIL si applicable) et concernant directement ou indirectement les données à caractère personnel traitées en vertu du présent Accord, y compris sans limitation en relation avec toute mesure d’application de la loi ou enquête en vertu de la Législation relative à la protection des données (« Demande de l’Autorité de protection »), et/ou

(ii) une communication, une correspondance, une réclamation, une demande (qu’elle soit écrite ou verbale) émanant de toute personne concernée portant directement ou indirectement sur les données à caractère personnel traitées en vertu du présent Accord, y compris sans limitation toute demande d’accès d’une personne concernée, toute demande d’opposition au traitement des données à caractère personnel, ou toute autre demande d’une personne concernée d’exercer ses droits en vertu de la Législation relative à la protection des données (« Demande d’une personne concernée ») ; et

(c) coopérer et prêter assistance au groupe CNA Hardy pour traiter la Demande de l’Autorité de protection ou la Demande d’une personne concernée dans les délais prévus dans la Législation relative à la protection des données;

(d) répondre à la Demande d’une personne concernée directement uniquement après avoir obtenu l’autorisation écrite préalable du groupe CNA Hardy à cet effet, et dans tous les cas en stricte conformité aux instructions documentées du groupe CNA Hardy ;

(e) préparer et conserver un registre, y compris sous forme électronique, de toutes les catégories d’activités de traitement menées pour le compte du groupe CNA Hardy ayant trait au traitement des données à caractère personnel par la Contrepartie (et ses Sociétés affiliées) en relation avec le présent Accord, y compris au minimum :

(i) les fins du traitement ;

(ii) une description des catégories de personnes concernées et des catégories de données à caractère personnel ;

(iii) les catégories des destinataires auxquels les données à caractère personnel ont été ou seront divulguées, y compris les destinataires en dehors de l’EEE et leur localisation physique ;

(iv) les délais pour effacer les différentes catégories de données à caractère personnel ; et

(v) une description générale des mesures de sécurité techniques et organisationnelles visées à la Clause 8(a) (le « Fichier de Données »),

et, dans les plus brefs délais, sur demande, elle fournira/ils fourniront de manière sécurisée une copie du Fichier de Données au groupe CNA Hardy ; et

(f) tenir des dossiers complets et précis se rapportant à l’ensemble des activités de traitement de données à caractère personnel en relation avec l’Accord, et donner au groupe CNA Hardy, à ses auditeurs externes, ou autres représentants désignés par le groupe CNA Hardy, pendant les heures d’ouverture habituelles et sous réserve de la prise d’engagements de confidentialité raisonnables, un droit raisonnable d’accéder auxdits dossiers et de réaliser des copies de ces derniers, et fournir au groupe

CNA Hardy l’ensemble de l’assistance raisonnable dans l’exercice des droits d’audit. Les obligations de la Contrepartie en vertu de la présente section subsisteront pendant toute la durée de l’Accord et pendant une période de sept (7) ans par la suite ou toute autre période que le groupe CNA Hardy peut exiger ou pouvant être exigée en vertu de toute loi ou réglementation applicable.

Délégué à la protection des données

10. Au plus tard au 25 mai 2018, et dans la mesure applicable à la Contrepartie, la Contrepartie communiquera à CNA Hardy le nom et les coordonnées de son délégué à la protection des données en application de la Législation relative à la protection des données.

Modifications supplémentaires

11. Dans la mesure requise par le règlement (UE) 2016/679 et/ou par les lois et réglementations applicables relatives à la protection des données et au respect de la vie privée adoptées dans les Etats Membres, notamment en France et au Royaume-Uni, à tout moment à la date ou après la date du présent Accord, la Contrepartie, sur demande du groupe CNA Hardy, conclura une version modifiée de la présente Annexe Sous-traitant du traitement des données selon les conditions pouvant être exigées par le groupe CNA Hardy dans la mesure où le groupe CNA Hardy, agissant raisonnablement, considère que ladite modification est nécessaire pour garantir sa conformité au règlement (UE) 2016/679 ainsi qu’auxdites lois et réglementations applicables relatives à la protection des données et au respect de la vie privée dans les Etats Membres.

Responsabilité

12. Nonobstant toute disposition contraire dans le présent Accord ou dans tout(e) condition ou accord antérieur(e), les limitations de responsabilité dans le présent Accord ou dans tout(e) condition ou accord antérieur(e) (le cas échéant) ne s’appliqueront pas aux obligations respectives des Parties en vertu du présent Avenant dans le cas où l’une ou l’autre des Parties, ou l’un(e) quelconque de ses Sociétés affiliées ou sous-traitants du traitement des données auquel/à laquelle elle divulgue des données, ne respecte pas la Législation relative à la protection des données ou la présente Annexe Sous-traitant du traitement des données. La responsabilité cumulée totale de chaque Partie envers l’autre Partie en vertu de la présente Annexe Sous-traitant du traitement des données sera limitée à cinq millions de Livres (5 millions £ GBP).

13. Sous réserve des limites de responsabilité énoncées à la Clause 12, chaque Partie (la « Partie indemnisante ») indemnisera l’autre Partie (y compris ses Sociétés affiliées et leurs administrateurs, membres du bureau, employés et agents respectifs) (les « Parties indemnisées ») contre toute perte ou responsabilité que les Parties indemnisées encourent ou subissent suite au non-respect par la Partie indemnisante de la Législation relative à la protection des données ou de la présente Annexe Sous- traitant du traitement des données, y compris sans limitation sanctions pécuniaires, amendes (amendes réglementaires comprises), réclamations et coûts. Dans le cas où il est prévu de verser une indemnisation pour une amende ou une sanction couverte en vertu des présentes, ladite indemnisation sera remplacée par un engagement d’une dette contractuelle du même montant que ladite amende ou sanction.

ANNEXE A :

DESCRIPTION DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL SUSCEPTIBLE (SOUS RÉSERVE SANS EXCEPTION DE LA LÉGISLATION RELATIVE À LA PROTECTION DES DONNÉES ET EN FONCTION DE LA NATURE DES SERVICES) D’ÊTRE RÉALISÉ EN VERTU DU PRÉSENT ACCORD

Durée du traitement

Les données à caractère personnel traitées par la Contrepartie en vertu du présent Accord peuvent uniquement être traitées pendant la durée du présent Accord et seront, par la suite, supprimées de manière sécurisée et les copies papier seront détruites ou renvoyées conformément aux dispositions pertinentes du présent Accord.

Catégories de personnes concernées

Les données à caractère personnel traitées par la Contrepartie en vertu du présent Accord peuvent se rapporter à l’une ou l’ensemble des catégories suivantes de personnes concernées :

Aux fins de l’administration des assurances :

• Courtiers et employés d’organismes de courtage (ou courtiers si indépendants)

• Clients et employés de sociétés clientes

• Personnes assurées (les « assurés ») et leurs employés

• Demandeurs d’indemnisation

• Plaignants, correspondants et demandeurs de renseignements

• Sujets de ces réclamations, correspondances et demandes de renseignements

• Personnel incluant les employés, sous-traitants, consultants et bénévoles

• Agents, travailleurs intérimaires et occasionnels

• Proches, tuteurs et associés des plaignants ou des sujets des réclamations (au besoin et en fonction de la nature de la police souscrite par les plaignants)

• Toute autre personne concernée avec laquelle le responsable du traitement des données traite ou a conclu un contrat, un contrat de licence ou tout autre arrangement juridique, et ses employés (le cas échéant)

Aux fins de la gestion informatique et de l’administration de la base de données :

• Clients existants ou potentiels, assurés, clients et leurs employés

• Plaignants, correspondants et demandeurs de renseignements ainsi que leurs employés

• Sujets de ces réclamations, correspondances et demandes de renseignements

• Personnel incluant les employés, sous-traitants, consultants et bénévoles

• Agents, travailleurs intérimaires et occasionnels

• Proches, tuteurs et associés de la personne concernée, y compris les personnes à la charge des employés

• Employés des prestataires et potentiels prestataires (ou les prestataires eux-mêmes s’ils sont indépendants)

• Toute autre personne concernée utilisant de quelque façon que ce soit l’infrastructure informatique du responsable du traitement des données (et/ou du sous-traitant du traitement des données, le cas échéant) ou accédant de quelque façon que ce soit à cette dernière.

À des fins de conformité et dans la mesure permise par la législation applicable :

• Personnel incluant les employés, membres du bureau, administrateurs, sous-traitants, consultants et bénévoles

• Agents, travailleurs intérimaires et occasionnels

• Toute personne concernée impliquée ou visée de quelque manière que ce soit dans une affaire se rapportant à des fins de conformité, y compris les employés, membres de la famille, amis ou autres

connaissances de l’une quelconque des personnes concernées, conformément à la législation applicable.

Objet, nature et finalités du traitement

Les données à caractère personnel peuvent être traitées par la Contrepartie en vertu du présent Accord à l’une ou l’ensemble des finalités suivantes :

• Administration des assurances, y compris l’approbation et l’examen des décisions dans les relations avec les clients du responsable du traitement des données, les assurés et les plaignants ; et la prise de décision quant à l’acceptation de toute personne en tant que client ou, dans le cas d’un indépendant, en tant que courtier, y compris, dans chaque cas, l’administration des assurances vie, maladie, retraite, biens, automobile et autres activités d’assurance du responsable du traitement des données ainsi que toute autre question commerciale à laquelle le responsable du traitement des données prend part

• Gestion informatique et administration de la base de données assurées par le sous-traitant du traitement des données

• Conformité afin de garantir la conformité du responsable du traitement des données à la législation applicable, ou de répondre aux exigences des autorités, dans la mesure permise par la législation applicable

Catégories/types de données à caractère personnel

Les données à caractère personnel traitées par la Contrepartie en vertu du présent Accord peuvent se rapporter à l’une ou l’ensemble des catégories suivantes de données :

Aux fins de l’administration des assurances :

• Identité

• Coordonnées

• Éducation (pour certains employés des organismes de courtage et, dans certains cas, pour les plaignants)

• Coordonnées bancaires (pour le paiement des courtiers s’ils sont indépendants, ou le paiement des plaignants)

• État de santé physique et mentale

• Infractions (y compris les infractions présumées) (dans la mesure permise en vertu de la loi applicable)

• Poursuites pénales, issues et peines (dans la mesure permise en vertu de la loi applicable)

Aux fins de la gestion informatique et de l’administration de la base de données :

• Nom

• Date et lieu de naissance (pour les employés du responsable du traitement des données uniquement)

• Pays de résidence

• NationalitéIStatut du visaIMobilité (pour les employés du responsable du traitement des données uniquement)

• Sexe

• Situation de famille

• Adresse postale et de courrier électronique

• Numéro de téléphone et autres numéros de contact (professionnels et personnels)

• Statut militaire (le cas échéant)

• Employeur

• Statut d’employé

• Expérience professionnelle (pour les employés du responsable du traitement des données uniquement ; par exemple, informations sur l’embauche, la cessation d’activité, la carrière, les perspectives de carrière et d’évolution, la date de retraite prévue, et le départ)

• Intitulé du poste, échelon et missions

• Performances professionnelles (y compris les observations formulées par l’employé et son directeur), notations et examens de projets, objectifs professionnels de l’employé pour l’année (pour les employés du responsable du traitement des données uniquement)

• Informations sur les absences : date de début/fin, type d’absence (par ex., maladie ou congé parental), raisons médicales (uniquement si et dans la mesure nécessaire pour satisfaire aux obligations du responsable du traitement des données en sa qualité d’employeur)

• Informations et coordonnées des personnes à contacter en cas d’urgence (par exemple, nom du contact, numéro de téléphone du contact, lien avec le contact uniquement si pertinent et coordonnées du contact ; pour les employés du responsable du traitement des données uniquement. Ces informations sont facultatives et peuvent être saisies/mises à jour par les employés du responsable du traitement des données)

• Congé parental : nom/adresse de la personne à charge de l’employé, lien de la personne à charge avec l’employé

• Détails sur l’éducation et la formation, y compris les projets de développement de l’employé (pour les employés du responsable du traitement des données uniquement)

• Avis de sanctions disciplinaires et informations (pour les employés du responsable du traitement des données uniquement)

• Informations sur les avantages (pour les employés du responsable du traitement des données uniquement)

• Langue(s) parlée(s)

• Numéro de pièce d’identité nationale

• Identification nationale personnelle (code fiscal)

• Origine raciale et ethnique, croyances religieuses, philosophiques ou de toute autre nature, opinions politiques

• Enquêtes complètes sur les antécédents (pour les plaignants) dans la mesure permise par la législation applicable (par ex., données sensibles)

• Coordonnées bancaires (pour le paiement des courtiers s’ils sont indépendants, le paiement des plaignants, ou pour le paiement des salaires des employés du responsable du traitement des données)

• Informations sur les biens de la société affectés au personnel (pour les employés du responsable du traitement des données uniquement ; par exemple, cartes de crédit professionnelles et autres avantages)

• Enquêtes complètes sur les antécédents conformément à la loi applicable (pour les employés du responsable du traitement des données uniquement et, dans certains cas, pour les plaignants)

• Informations financières et sur les salaires (pour les employés du responsable du traitement des données uniquement et, dans certains cas, pour les plaignants ; par exemple, classe de salaire, rémunération et rémunération annuelle, grille de salaires, informations sur la participation à et la gestion des programmes d’avantages du responsable du traitement des données).

À des fins de conformité :

• toute information nécessaire pour se conformer aux lois applicables ou aux demandes des autorités, dans la mesure permise par la législation applicable ; ceci comprend, mais sans y être limité, l’ensemble des catégories de données énumérées ci-dessus et ci-dessous à la section

« catégories de données » de la présente 1ère partie de l’Annexe B.

Destinataires

Sous réserve des dispositions du présent Accord qui régissent la divulgation ultérieure de données à caractère personnel par la Contrepartie à des tiers, les données à caractère personnel traitées par la Contrepartie en vertu du présent Accord peuvent être divulguées à l’une ou l’ensemble des catégories suivantes de destinataires :

Aux fins de l’administration des assurances :

• Dirigeants au sein du responsable du traitement des données et/ou du sous-traitant du traitement des données, qui ont pour mission d’approuver et d’examiner les décisions prises par le

responsable du traitement des données concernant des souscriptions et des demandes d’indemnisation

• Consultants commerciaux et prestataires de services externes (par exemple, conseillers juridiques, financiers et comptables, conseillers en informatique et ressources humaines et/ou consultants et conseillers similaires) du responsable du traitement des données et/ou du sous- traitant du traitement des données selon le principe de besoin d’en connaître pour servir les fins pertinentes.

Aux fins de la gestion informatique et de l’administration de la base de données :

• Personnel désigné du service informatique et des ressources humaines du responsable du traitement des données et/ou du sous-traitant du traitement des données selon le principe de besoin de connaître, comme les administrateurs informatiques et le personnel d’assistance technique RH

• Consultants commerciaux et prestataires de services externes (par exemple, conseillers

juridiques, financiers et comptables, conseillers en informatique et ressources humaines et/ou consultants et conseillers similaires) du responsable du traitement des données et/ou du sous- traitant du traitement des données selon le principe de besoin de connaître pour servir les fins pertinentes.

À des fins de conformité :

• Personnel désigné du service informatique et des ressources humaines du responsable du traitement des données selon le principe de besoin de connaître, comme les administrateurs informatiques et le personnel d’assistance technique RH

• Autorités d’application de la loi, sous réserve des exigences juridiques applicables

• Consultants commerciaux et prestataires de services externes (par exemple, conseillers juridiques, financiers et comptables, conseillers en informatique et ressources humaines et/ou consultants et conseillers similaires) du responsable du traitement des données selon le principe de besoin de connaître pour servir les fins pertinentes

Catégories spécifiques de données à caractère personnel et données à caractère personnel portant sur des condamnations et infractions criminelles

Les données à caractère personnel traitées par la Contrepartie en vertu du présent Accord peuvent se rapporter à l’une ou l’ensemble des catégories suivantes de catégories spécifiques de données à caractère personnel et/ou données à caractère personnel portant sur des condamnations et infractions criminelles et avoir trait aux personnes concernées décrites ci-dessus (le cas échéant) :

• Perpétration ou perpétration présumée de toute infraction

• Poursuites criminelles

• État de santé physique et mentale

• Informations sur les absences des employés : date de début/fin, type d’absence (par ex., maladie ou congé parental), raisons médicales (uniquement si et dans la mesure nécessaire pour satisfaire aux obligations de l’employeur)

• Informations sur la santé du plaignant dans le but d’évaluer les dommages et d’administrer la demande d’indemnisation

• Informations sur la santé physique ou mentale du demandeur ou de l’assuré dans le but d’approuver et d’examiner les décisions prises par le responsable du traitement des données concernant des souscriptions et des demandes d’indemnisation

• Informations judiciaires des plaignants et des employés dans la mesure permise par la loi applicable et nécessaire à des fins de gestion des demandes d’indemnisation et des procédures judiciaires, y compris la protection des intérêts des plaignants et de la direction du responsable du traitement des données qui sont parties à un litige

• Informations judiciaires non identificatoires concernant les assurés et les demandeurs, dans la mesure permise par la loi applicable

• Origine raciale ou ethnique des personnes concernées identifiées ci-dessus, uniquement lorsque cela est strictement nécessaire pour servir les fins des transferts susmentionnés et conformément à la loi applicable

• Croyances religieuses, philosophiques ou de toute autre nature, opinions politiques, adhésions à des partis, syndicats, associations ou organisations à caractère religieux, philosophique, politique ou syndical des personnes concernées identifiées ci-dessus uniquement lorsque cela est strictement nécessaire pour servir les fins des transferts susmentionnés et conformément à la loi applicable

• Données à caractère personnel divulguant des informations sur la santé des personnes concernées identifiées ci-dessus, uniquement lorsque cela est strictement nécessaire pour servir les fins des transferts susmentionnés et conformément à la loi applicable.

ANNEXE B

En vertu de la clause (h), la Contrepartie convient par les présentes de respecter les Mesures de Sécurité spécifiques supplémentaires suivantes :

Programme de sécurité. La Contrepartie déploiera tous les efforts commerciaux raisonnables pour mettre en œuvre et préserver des normes complètes de sécurité de l’information et un programme écrit de ces dernières (« Programme de Sécurité ») qui (i) soit conforme à l’ensemble des lois et réglementations applicables, y compris l’ensemble de la Législation relative à la protection des données, et (ii) contienne des protections, politiques et procédures administratives, organisationnelles et physiques raisonnables et appropriées pour préserver et protéger la sécurité, l’intégrité, la disponibilité et la confidentialité de l’ensemble des données à caractère personnel et sensibles sur le plan commercial qui sont traitées pour le compte du groupe CNA Hardy.

Lesdites protections et procédures comprendront, au minimum, le déploiement de tous les efforts commerciaux raisonnables pour observer les normes suivantes :

Contrôles d’ordre général

(i) Conduire régulièrement des évaluations des risques, des tests de pénétration, des analyses des vulnérabilités et des exercices de simulation de reprise après sinistre.

(ii) L’ensemble des systèmes d’exploitation et des applications doivent bénéficier d’un support en cours de validité. Les correctifs de sécurité des systèmes d’exploitation et applications doivent être installés sur tous les appareils informatiques et être tenus à jour (par ex., ordinateurs de bureau, ordinateurs portables, tablettes, téléphones portables, serveurs, pare-feux, commutateurs).

(iii) Un logiciel antivirus/anti-logiciel malveillant doit être installé et activé pour détecter les programmes malveillants (par ex., les virus, les chevaux de Troie).

Sécurité réseau

(i) Déployer le chiffrement et le cloisonnement du réseau à la fois en interne et en relation avec la connectivité avec des entités externes, telles que des tiers, et à Internet afin de limiter l’exposition des données sensibles. Surveiller le trafic réseau afin de détecter toute intrusion sur le réseau et de réagir à celle-ci. Utiliser des pare-feux et des systèmes de détection des intrusions, des logiciels antivirus et de détection des logiciels malveillants, tout en veillant à ce que ces derniers soient installés et maintenus par un personnel qualifié.

(ii) Sécuriser les appareils sans fil sur des réseaux sans fil fiables, en recourant là encore à un cloisonnement du réseau et à des pratiques de chiffrement pertinentes.

(iii) Déployer la sécurité (et, dans la mesure du possible, le chiffrement des flux de données) dans le cadre de la connectivité avec le groupe CNA Hardy (ainsi que les sociétés et succursales de son groupe) et avec l’ensemble des tiers susceptibles d’accéder au réseau de la Contrepartie ;

(iv) Permettre une administration sécurisée, en utilisant des contrôles de l’accès des utilisateurs ainsi qu’en procédant régulièrement à des examens de l’accès des utilisateurs (UAR) et des examens périodiques de l’accès des utilisateurs (PUAR).

Contrôles de l’accès des utilisateurs

(i) L’accès de tous les utilisateurs, et en particulier l’accès des utilisateurs privilégiés, doit être dûment approuvé et régulièrement examiné

(ii) L’accès des utilisateurs doit être contrôlé au moyen de programmes de protection actualisés, y compris une solution d’authentification multi-facteurs et des contrôles de l’accès au sein des supports, applications, systèmes d’exploitation et équipements ;

(iii) Des systèmes d’exploitation ou des applications en mesure de capturer par voie électronique et de stocker l’accès des utilisateurs doivent être installé(e)s et activé(e)s. Les informations pertinentes concernant l’accès des utilisateurs doivent être conservées pendant 14 jours au minimum.

(iv) Les identifiants et mots de passe des utilisateurs doivent être uniques et ne doivent en aucun cas être partagés.

(v) Une protection par mot de passe robuste doit être activée (par ex., caractères alphanumériques, longueur minimum, complexité, limitations de toute réutilisation).

Données à caractère personnel

(i) Les données à caractère personnel doivent être traitées, stockées, et transmises de manière sécurisée y compris, sans limitation, au moyen d’un chiffrement.

(ii) Les membres du personnel ayant accès à des données à caractère personnel doivent recevoir une formation appropriée.

(iii) Les systèmes internes ou les applications qui stockent des données à caractère personnel doivent limiter les droits et privilèges à ceux exigés pour satisfaire les exigences afférentes au poste.

Sauvegardes

(i) Des procédures appropriées de sauvegarde et de restauration des données doivent être exécutées à intervalles réguliers pour les applications et les systèmes informatiques stockant des données à caractère personnel.

(ii) Les supports de sauvegarde doivent être sécurisés contre tout accès physique non autorisé. S’ils sont stockés à l’extérieur du site, les supports de sauvegarde doivent être chiffrés.

Sécurité physique

(i) Les systèmes doivent être physiquement sécurisés dans des zones à accès restreint ;

(ii) Les ordinateurs portables ou les périphériques de stockage doivent être sécurisés physiquement (par ex., au moyen d’un câble et d’un cadenas) s’ils sont laissés sans surveillance pendant une période prolongée.

Schéma du réseau. La Contrepartie, à tout moment, sur demande, fournira au groupe CNA Hardy un schéma du réseau qui décrit l’infrastructure du réseau informatique de la Contrepartie ainsi que l’ensemble des équipements qu’elle utilise pour s’acquitter de ses obligations en vertu du présent Accord, y compris, sans limitation : (i) une connectivité avec le groupe CNA Hardy (ainsi que les sociétés et succursales de son groupe) et avec l’ensemble des tiers susceptibles d’accéder au réseau de la Contrepartie ; (ii) toutes les connexions réseau, y compris les services d’accès à distance et la connectivité sans fil ; (iii) toutes les mesures de contrôle de l’accès (par exemple, pare-feux, filtres de paquet, services de détection et de prévention des intrusions, et routeurs contrôlés selon une liste d’accès) ; (iv) tous les serveurs de sauvegarde ou redondants ; et (v) un accès autorisé via chaque connexion réseau. La Contrepartie fournira dans les plus brefs délais au groupe CNA Hardy un schéma actualisé du réseau dans le cas où la Contrepartie apporte des modifications substantielles à son infrastructure et/ou à son équipement.

Droit d’audit

En sus de tous les droits d’audit conférés en vertu du texte principal du présent Accord, la Contrepartie fournira au groupe CNA Hardy et à l’un quelconque de ses auditeurs tiers désignés un accès aux sites de maintenance et au Programme de Sécurité, ainsi qu’une assistance et des informations sur ces derniers, selon les besoins, pour confirmer le respect des conditions de la présente Annexe. Au cours de tout dit audit, la Contrepartie apportera l’ensemble de l’assistance raisonnablement requise pour vérifier l’adéquation et garantir la maintenance continue du Programme de Sécurité de la Contrepartie. En outre, le groupe CNA Hardy et l’un quelconque de ses auditeurs tiers désignés peuvent lancer des attaques par intrusion autorisées sur le système de la Contrepartie, à condition que : (i) la Contrepartie soit préalablement informée de ladite attaque ; et que (ii) les parties conviennent mutuellement du projet de test par intrusion. Tout audit en vertu de la présente disposition sera conduit aux intervalles jugés raisonnablement nécessaires par le groupe CNA Hardy, à sa discrétion exclusive.

« Authentification multi-facteurs » désigne une authentification réalisée en vérifiant au moins deux des types de facteurs d’authentification suivants :

(1) Facteurs de connaissance, tels qu’un mot de passe ; ou

(2) Facteurs de possession, tels qu’un code de vérification ou message texte sur un téléphone portable ; ou

(3) Facteurs d’inhérence, tels qu’une caractéristique biométrique.

ANNEXE C

Sociétés immatriculées au Royaume-Uni

	Nom de la société	Numéro de la société	Siège social
1	Xxxxx (Underwriting Agencies) Limited	1264271	00 Xxxxxxxxx Xxxxxx, Xxxxxxx, XX0X 0XX, Xxxxxxx-Xxx
2	Hardy IC Limited	07809131	00 Xxxxxxxxx Xxxxxx, Xxxxxxx, XX0X 0XX, Xxxxxxx-Xxx
3	Hardy Insurance Services Limited	03075206	00 Xxxxxxxxx Xxxxxx, Xxxxxxx, XX0X 0XX, Xxxxxxx-Xxx
4	Hardy Names Limited	03227930	00 Xxxxxxxxx Xxxxxx, Xxxxxxx, XX0X 0XX, Xxxxxxx-Xxx
5	Hardy Underwriting Group plc	03217501	00 Xxxxxxxxx Xxxxxx, Xxxxxxx, XX0X 0XX, Xxxxxxx-Xxx
6	Hardy Underwriting Limited	02981735	00 Xxxxxxxxx Xxxxxx, Xxxxxxx, XX0X 0XX, Xxxxxxx-Xxx
7	CNA Insurance Company Limited	950	00 Xxxxxxxxx Xxxxxx, Xxxxxxx, XX0X 0XX, Xxxxxxx-Xxx
8	CNA Europe Holdings Limited	3526047	00 Xxxxxxxxx Xxxxxx, Xxxxxxx, XX0X 0XX, Xxxxxxx-Xxx
9	CNA Services (UK) Limited	8836589	00 Xxxxxxxxx Xxxxxx, Xxxxxxx, XX0X 0XX, Xxxxxxx-Xxx
10	Maritime Insurance Company Limited	4000324	00 Xxxxxxxxx Xxxxxx, Xxxxxxx, XX0X 0XX, Xxxxxxx-Xxx
11	CNA Hardy International Services Limited	09849484	00 Xxxxxxxxx Xxxxxx, Xxxxxxx, XX0X 0XX, Xxxxxxx-Xxx

Succursales européennes/société

	Nom de la société	Numéro de la société	Succursale
1	Succursale belge de CNA Hardy	CNA België (Verzekeringsonderneming toegelaten onder het nr. 1075) van CNA Insurance Company Limited (handelsregistratienummer 950)	Succursale belge, Xxxxxx Xxxxxxx-Xxxxx 000, 0000 Xxxxxxxxx
2	Succursale danoise de CNA Hardy	CNA Insurance Company Limited (virksomhedsregistreringsnummer 950),	Xxxxxxxxxxxxx 0, 0 xxx, 0000 Xxxxxxxxxx X, Xxxxxxxx
3	Succursale française de CNA Hardy	CNA Insurance Company Limited est une société enregistrée en Angleterre sous le numéro 000	0xxx xxxxx, 00-00 xxx xx xx Xxxxxxxx, 00000 Xxxxx, Xxxxxx
4	Succursale allemande de CNA Hardy	CNA Insurance Company Limited Enspricht dem deutschen Registericht: Registernr 950	Xx Xxxxxxxxx 0, X-00000 Xxxxxxx, Xxxxxxxxx, HRB 63197
5	Succursale italienne de CNA Hardy	CNA Insurance Company Limited societa registrata con numero 950	Xxx Xxxxxxxx 0, 00000, Xxxxx, Xxxxxx
6	Succursale néerlandaise de CNA Hardy	CNA Insurance Company Limited (handelsregistratienummer 950)	World Trade Centre, Strawinskylaan 703, 1077 XX Amsterdam
7	Succursale suisse de CNA Hardy	CNA Insurance Company Limited est une société enregistrée en Angleterre sous le numéro 950	Succursale di Lugano, enregistrée à Xxx Xxxxxx 0 X, 0000, Xxxxxx
8	CNA Hardy Luxembourg	CNA Insurance Company (Europe) S.A., immatriculée au registre du commerce et des sociétés de Luxembourg sous le numéro B222697	0, xxx Xxxxxx Xxxxxxx, 0000 Xxxxxxxxxx, Xxxxx- Xxxxx xx Xxxxxxxxxx

Sociétés immatriculées à l’international

	Nom de la société	Numéro de la société	Siège social
1	Hardy Underwriting Asia PTE Limited	Immatriculée sous le numéro 201018369K, une société de services de Lloyd’s Asia conduisant ses activités pour le compte de Hardy Syndicate 382.	000 Xxxxxx Xxxxxx, Xxxxxx Xxxxx, #00-00, Xxxxxxxxx 000000
2	Hardy Bermuda Limited	43005	Xxxxxxxx Xxxxx, 00 Xxxxx Xxxxxx, Xxxxxxxx, XX00, Xxxxxxxx
3	Hardy Underwriting Bermuda Limited	40834	Xxxxxxxx Xxxxx, 00 Xxxxx Xxxxxx, Xxxxxxxx, XX00, Xxxxxxxx
4	Hardy Underwriting Labuan Limited	LL14346	Xxxxxxxxxx Xxxxxxx, Xx. X0000, Xxx 0000, Xxxxx Xxxxxxx Xxxxxx, 00000 Labuan F.T., Malaisie

ANNEXE D

Sociétés du groupe situées aux États-Unis avec lesquelles des données à caractère personnel sont partagées en vertu d’un Accord de transfert de clauses types

	Nom de la société	Numéro de la société	Siège social
1	Continental Casualty Company	00-0000000	000 Xxxxx Xxxxxx Xxxxxx. Xxxxxxx, Xxxxxxxx, 00000 Xxxxx-Xxxx
2	CNA Financial Corporation	00-0000000	000 Xxxxx Xxxxxx Xxxxxx. Xxxxxxx, Xxxxxxxx, 00000 Xxxxx-Xxxx

ANNEXE 2 : DISPOSITIONS RELATIVES AU PERSONNEL

1. La Contrepartie s’engage à, et obtiendra que tout Membre du Personnel de la Contrepartie qui est une Personne réglementée s’engage à, se conformer aux normes et/ou règles de conduite pertinentes spécifiées par la PRA et la FCA eu égard aux Personnes réglementées.

2. La Contrepartie s’engage à, et obtiendra que tout Membre du Personnel de la Contrepartie fournissant des services dans le cadre d’une Externalisation substantielle et/ou qui est une Personne réglementée s’engage à :

a. se conformer à toute norme, politique ou orientation raisonnable que le groupe CNA Hardy stipule concernant les Exigences de compétence et d’honorabilité ;

b. faire preuve de franchise et de coopération avec la PRA et la FCA ;

c. dans la mesure raisonnable du possible, prendre dûment en considération les intérêts des clients du groupe CNA Hardy et la nécessité de les traiter équitablement ; et

d. se conformer aux autres exigences que le groupe CNA Hardy juge nécessaires pour permettre une gestion solide et prudente de ses activités.

3. La Contrepartie notifiera dans les plus brefs délais au groupe CNA Hardy tout(e) information, événement, ou circonstance qui a une incidence sur le respect par tout Membre du Personnel de la Contrepartie fournissant des Services au titre d’une Externalisation substantielle ou toute Personne réglementée des Exigences de compétence et d’honorabilité (y compris toute violation par lesdites Personnes réglementées des normes/règles de conduite de la PRA et la FCA), lois, réglementations, politiques réglementaires, orientations ou codes et normes de l’industrie applicables, dès qu’elle en prend connaissance. Pour permettre à la Contrepartie de se conformer à la présente Annexe, elle adoptera une surveillance appropriée et convenable desdits Membres du Personnel de la Contrepartie.

4. La Contrepartie désignera une ou plusieurs personnes dénommées comme assumant la responsabilité globale des services fournis au groupe CNA Hardy. La Contrepartie notifiera le nom et les coordonnées de toute dite personne au groupe XXX Xxxxx sur demande.

5. La Contrepartie :

a. conservera des informations sur les postes et fonctions des Personnes réglementées, ainsi que toute autre information requise pour confirmer le respect par lesdites Personnes réglementées de la Clause 1 de la présente Xxxxxx ;

b. ne remplacera pas ou ne réaffectera pas une Personne réglementée sans le consentement préalable par écrit du groupe CNA Hardy ; et

c. notifiera dans les plus brefs délais le groupe CNA Xxxxx si toute Personne réglementée donne sa démission.

6. Si une quelconque Personne réglementée doit être remplacée ou réaffectée ou a donné sa démission, la Contrepartie devra, dans les plus brefs délais :

a. notifier au groupe XXX Xxxxx par écrit la démission, le remplacement, ou la réaffectation proposé(e) (selon le cas) ;

b. fournir au groupe CNA Hardy les informations au sujet du remplacement proposé et/ou de la date du remplacement proposé que le groupe CNA Hardy peut raisonnablement exiger ; et

c. obtenir le consentement par écrit du groupe XXX Xxxxx avant de mettre en œuvre tout(e) remplacement ou réaffectation.

7. Le groupe CNA Xxxxx peut refuser d’accepter toute personne présentée ou proposée par la Contrepartie pour remplacer une Personne réglementée si, de l’avis raisonnable du groupe CNA Hardy, ladite/lesdites personne(s) ne satisfait/satisfont pas les Exigences de compétence et d’honorabilité. Dans lesdites

circonstances, la Contrepartie proposera dans les plus brefs délais un autre/d’autres remplaçant(s) et les Clauses (6) et (7) de la présente Xxxxxx s’appliqueront à la nomination dudit remplaçant.

Document Metadata

Table of Contents

CODE CONTREPARTIE CNA HARDY (Version Sous-traitant du traitement)

Document Metadata