ACCORD SUR LE TRAITEMENT DES DON- NÉES PERSONELLES (« ATDP ») DATA PROCESSING AGREEMENT (“DPA”)

ACCORD SUR LE TRAITEMENT DES DON- NÉES PERSONELLES (« ATDP »)

DATA PROCESSING AGREEMENT (“DPA”)

1. INTRODUCTION 1. INTRODUCTION

1.1 Le présent accord contient les obligations des deux parties en ce qui concerne les prescriptions de la loi suisse sur la protection des données (LPD) et du rè- glement de base de l'UE sur la protection des données (GDPR). Il complète à cet égard les accords contrac- tuels existants relatifs à la fourniture de prestations de maintenance ou de location ("Contrat") entre Xerox XX, XX-0000 Glattbrugg (ci-après dénommé "Xerox") et le client (ci-après dénommé "Client").

1.2 Le présent contrat ne s'applique que dans la mesure où les conditions suivantes sont remplies :

a) le client est soit responsable, soit sous-traitant dans le domaine d'application de la LPD et/ou du GDPR de l'UE et

b) le client fait appel à Xerox dans le cadre du contrat en tant que sous-traitant ou sous-traitant pour le traitement de données personnelles ou de données à caractère personnel relevant du champ d'applica- tion de la LPD et/ou du GDPR de l'UE ("Données ").

1.1 This agreement contains the obligations of both parties with regard to the requirements of the Swiss Data Protection Act (DSG) and the EU Data Protec- tion Regulation (EU-DSGVO). In this respect, it supplements the existing contractual agreements with regard to the provision of sales services or leasing of IT and printing systems, their delivery and installation, as well as the delivery of spare parts and consumables and also the provision of maintenance and other services ("Agreement") be- tween Xerox AG, CH-8152 Glattbrugg (hereinafter referred to as "Xerox") and the Customer (hereinaf- ter referred to as "Customer").

1.2 This Agreement shall apply only to the extent and to the extent that the following conditions are met:

a) the Customer is either a Controller or a Proces- sor within the scope of the DPA and/or the EU GDPR; and

b) the Customer involves Xerox under the Agree- ment as a processor or sub-processor for the processing of Personal Data or Personal Data covered by the scope of the DPA and/or the EU GDPR ("Data").

2. OBJET, DURÉE ET NATURE DU TRAITEMENT DES DONNÉES

2.1 L'objet, la durée ainsi que la nature et la finalité du traitement sont définis dans le contrat. Les catégories de données traitées et les catégories de personnes concernées sont indiquées soit dans le contrat, soit, en l'absence de telles dispositions, dans l'annexe 1.

2.2 Sauf accord explicite contraire, Xerox se conforme aux mesures techniques et organisationnelles ("TOM") dé- crites dans l'annexe 2.

2. SUBJECT, DURATION AND TYPE OF DATA PROCESSING

2.1 The subject matter, duration, nature and purpose of the processing are set out in the contract. The cate- gories of Data processed and the categories of Data Subjects are set out either in the Contract or, in the absence of such provisions, in Annex 1.

2.2 Unless otherwise explicitly agreed, Xerox shall com- ply with the technical and organisational measures ("TOM") set out in Annex 2.

3. APPLICATION ET RESPONSABILITÉS 3. APPLICABILITY AND RESPONSIBILITIES

3.1 Xerox traite les données exclusivement dans le but d'exécuter le contrat ou aux fins mentionnées dans le contrat. Le client est responsable de la légalité du trai- tement des données en soi, y compris de l'admissibilité du traitement des commandes/sous-commandes.

3.2 Les instructions du client sont documentées dans le présent accord et le contrat. Le client a le droit de don- ner à tout moment à Xerox, par écrit, des instructions supplémentaires concernant le traitement des don- nées. Xerox se conforme à ces instructions dans la mesure où elles peuvent être mises en œuvre par Xe- rox dans le cadre des prestations convenues par con- trat et qu'elles sont objectivement acceptables. Si de

3.1 Xerox processes the Data solely for the purpose of fulfilling the Contract or for the purposes specified in the Contract. The Customer is responsible for the lawfulness of the Data Processing itself, including the lawfulness of the order/sub-order processing.

3.2 The client's instructions are documented in this agreement and the contract. The Customer shall have the right at any time to give Xerox further in- structions in writing with respect to the Processing of the Data. Xerox shall comply with such instructions to the extent that they can be implemented by Xerox within the scope of the contractually agreed services and are objectively reasonable. If such instructions

telles instructions entraînent des coûts supplémen- taires pour Xerox ou une modification de l'étendue des prestations, les parties concluront au préalable un ac- cord contractuel à ce sujet. Les éventuels processus d'adaptation du contrat convenus dans le contrat s'ap- pliquent ici.

3.3 Xerox informe immédiatement le client si elle estime qu'une instruction enfreint la LPD ou le GDPR de l'UE. Dans ce cas, Xerox peut suspendre l'application de l'instruction jusqu'à ce qu'elle soit confirmée ou modi- fiée par le client. En cas d'instructions du client rela- tives à l'attribution de droits d'accès ou à la remise de données au client lui-même, ce qui précède ne s'ap- plique pas, et Xerox peut à tout moment partir du prin- cipe que ces instructions sont conformes à la loi. Elle est toutefois en droit d'exiger du client des confirma- tions écrites correspondantes.

lead to additional costs for Xerox or a changed scope of services, the parties shall reach a contractual agreement in advance. Any contractual adjustment processes agreed in the Contract shall apply here.

3.3 Xerox shall inform the Customer without delay if it is of the opinion that an instruction violates the DPA or the EU GDPR. In this case, Xerox may suspend the implementation of the instruction until it has been confirmed or amended by the Customer. The forego- ing shall not apply to instructions given by the Cus- tomer in connection with the granting of access au- thorisations or the release of Data to the Customer it- self, and Xerox may at any time assume that such in- structions are in compliance with the law. However, Xerox shall be entitled to request written confirmation from the Customer to that effect.

4. OBLIGATIONS ET DEVOIRS DE XEROX 4. OBLIGATIONS OF XEROX

4.1 Xerox adoptera les TOM définies dans le Contrat et les annexes au présent Accord pour protéger les données. Xerox peut à tout moment adapter les TOM convenu- es, pour autant que le niveau de protection convenu ne soit pas inférieur. En outre, Xerox vérifie en per- manence, mais n'a pas l'obligation explicite de le faire, que les TOM convenues correspondent à l'état actuel de la technique et propose au client, le cas échéant, la mise en œuvre de mesures supplémentaires, qui peu- vent être convenues dans le cadre d'un avenant au contrat.

4.2 Xerox veille à ce que les collaborateurs et autres auxi- liaires de Xerox chargés du traitement des données du client n'aient pas le droit de traiter les données à d'autres fins que celles mentionnées dans le contrat et en dérogation au présent accord. En outre, Xerox veille à ce que les personnes autorisées à traiter les données se soient engagées à respecter la confiden- tialité et/ou soient soumises à un devoir de discrétion légal approprié. L'obligation de confidentialité/de secret professionnel subsiste après la résiliation du Contrat, mais sous réserve de l'exigence d'une loi impérative applicable.

4.3 Xerox informera immédiatement le Client si elle a con- naissance d'une violation de la protection des données chez Xerox ou chez l'un de ses sous-traitants (Data Breach). Xerox informe le client par écrit (e-mail suffi- sant) de manière appropriée sur la nature et l'étendue de la violation ainsi que sur les mesures correctives prévues. Dans un tel cas, les parties prennent les mesures nécessaires pour assurer la protection des données et atténuer les éventuelles conséquences négatives pour les personnes concernées et les parties et se concertent immédiatement à ce sujet.

4.4 Xerox indique au client l'interlocuteur pour les ques- tions de protection des données qui se posent dans le cadre du contrat.

4.5 Xerox s'engage, sur demande et dans la mesure de ses possibilités, à assister le client dans l'exercice des droits des personnes concernées à l'égard du client conformément au chapitre 4 de la LPD ou au chapitre

4.1 Xerox will adopt the TOMs defined in the Contract and the Annexes to this Agreement to protect the Da- ta. Xerox may adjust the agreed XXX at any time, as long as the agreed level of protection is not undercut. In addition, Xerox shall review the agreed TOM on an ongoing basis, but has no explicit obligation to do so, to ensure that they are in line with the current state of the art and, if necessary, propose to the Customer the implementation of additional measures, which may be agreed as part of a contract amendment.

4.2 Xerox shall ensure that employees and other auxilia- ry persons of Xerox involved in the processing of the Customer's Data are prohibited from processing the Data for purposes other than those set out in the Contract and in derogation of this Agreement. Fur- thermore, Xerox will ensure that the persons author- ised to process the Data have committed themselves to confidentiality and/or are subject to an appropriate legal duty of confidentiality. The confidentiali- ty/confidentiality obligation shall survive termination of the Agreement, but subject to the requirement of any applicable mandatory law.

4.3 Xerox shall notify Customer immediately if it be- comes aware of any Data Breach at Xerox or any of its subcontractors. Xerox shall notify the Customer in writing (email is sufficient) in a reasonable manner of the nature and extent of the breach and of any reme- dial action it intends to take. In such a case, the par- ties shall take the necessary measures to ensure the protection of the data and to mitigate any possible adverse consequences for the persons concerned and the parties and shall consult each other on this without delay.

4.4 Xerox shall inform the Customer of the contact per- son for data protection issues arising under the Con- tract.

4.5 Xerox undertakes to support the Customer, upon request and within the scope of its possibilities, in the fulfilment of the rights of the Data Subjects vis-à-vis the Customer pursuant to Chapter 4 of the DPA or Chapter III of the EU GDPR to a suitable extent. In

III du GDPR de l'UE. En outre, Xerox peut, dans la mesure du possible, proposer au client, moyennant une rémunération séparée, une assistance plus éten- due, par exemple en rapport avec une évaluation de l'impact sur la protection des données, la consultation de l'autorité de surveillance, les notifications à celle-ci, etc.

4.6 Les données doivent être restituées ou effacées à la fin du contrat conformément aux dispositions contrac- tuelles. Xerox utilise des procédures établies dans le secteur informatique pour l'effacement des données.

addition, Xerox may offer the Customer further sup- port, e.g. in connection with a data protection impact assessment, consultation with the supervisory au- thority, notifications to the supervisory authority, etc., within the scope of its possibilities against separate remuneration.

4.6 3.6 The Data shall be surrendered or deleted after the end of the contract in accordance with the con- tractual provisions. Xerox uses established proce- dures in the IT industry for the deletion of data.

5. OBLIGATIONS ET DEVOIRS DU CLIENT 5. DUTIES AND OBLIGATIONS OF THE CLIENT

5.1 Le Client doit informer Xerox sans délai s'il constate des violations des dispositions légales relatives à la protection des données dans la fourniture des presta- tions de Xerox.

5.2 Le client indique à Xerox l'interlocuteur pour les ques- tions de protection des données qui se posent dans le cadre du contrat ainsi que, le cas échéant, les coor- données du responsable de la protection des données ou du conseiller interne en matière de protection des données du client.

5.1 The Customer shall inform Xerox without undue de- lay if it becomes aware of any violations of data pro- tection provisions in the performance of the Services by Xerox.

5.2 The Customer shall inform Xerox of the contact per- son for data protection issues arising under the Contract and, if applicable, the contact details of the Customer's data protection officer or internal data protection advisor.

6. DEMANDES DES PERSONNES CONCERNÉES 6. REQUESTS FROM AFFECTED PERSONS

6.1 Si une personne concernée s'adresse directement à Xerox pour demander la rectification, l'effacement, l'ac- cès ou d'autres droits relatifs aux données, Xerox ren- verra la personne concernée vers le client, dans la me- sure où l'attribution au client est possible selon les indi- cations de la personne concernée. L'assistance du cli- ent par Xerox en cas de demande de la personne con- cernée est régie par l'article 4.

6.1 If a data subject contacts Xerox directly with requests for correction, deletion, access or other data-related claims, Xerox will refer the data subject to the cus- tomer if the data subject indicates that the data can be attributed to the customer. Xxxxx'x assistance to the Customer with respect to data subject enquiries shall be governed by Section 4.

7. PREUVES, RAPPORTS ET AUDITS 7. EVIDENCE, REPORTS AND AUDITS

7.1 Xerox est tenu de mettre à la disposition du client, sur demande, des informations permettant de documenter le respect des obligations prévues par le présent con- trat.

7.2 Les droits d'audit éventuellement définis dans le con- trat ainsi que les droits d'audit légalement obligatoires du client ou de ses autorités de surveillance sont ré- servés. Dans tous les cas, le principe de proportionna- lité doit être respecté dans le cadre de tels audits et les intérêts dignes de protection de Xerox (notamment en matière de confidentialité) doivent être pris en compte de manière appropriée. Sauf disposition contraire, le client supporte tous les coûts de tels audits (y compris les coûts internes prouvés de Xerox résultant de la par- ticipation à l'audit).

7.3 Si, après la présentation de preuves ou de rapports ou dans le cadre d'un audit, des violations du présent con- trat ou des manquements dans l'exécution des obliga- tions de Xerox sont constatés, Xerox doit mettre en œuvre immédiatement et gratuitement des mesures correctives appropriées.

7.1 Xerox shall, upon request, provide Customer with information to document compliance with its obligati- ons under this Agreement.

7.2 Any audit rights defined in the Agreement and any mandatory statutory audit rights of the Customer or its regulatory authorities are reserved. In any event, such audits shall be conducted in accordance with the principle of proportionality and with due regard to the legitimate interests of Xerox (in particular con- fidentiality). Unless otherwise agreed, the Customer shall bear all costs of such audits (including proven internal costs incurred by Xerox in participating in the audit).

7.3 If, following the submission of evidence or reports or in the course of an audit, any breach of this Agree- ment or any deficiency in the implementation of Xer- ox's obligations is identified, Xerox shall promptly im- plement appropriate corrective measures free of charge.

8. UTILISATION DE SOUS-TRAITANTS 8. INVOLVEMENT OF SUB-DATA PROCESSORS

8.1 Dans la mesure où le contrat ne contient pas de dispo- sitions plus restrictives concernant le utilisations des tiers, Xerox a le droit de sous-traiter mais doit en in- former préalablement le client si Xerox fait appel à de nouveaux sous-traitants ou si Xerox remplace des sous-traitants existants après l'entrée en vigueur du présent contrat. Le client peut s'opposer par écrit, dans un délai de 30 jours, au recours à un nouveau sous- traitant ou au remplacement d'un sous-traitant existant pour des raisons importantes liées à la protection des données. En présence d'un motif important lié à la pro- tection des données, confirmé par les deux parties, et dans la mesure où une solution à l'amiable entre les parties n'est pas possible, même après des efforts sincères, le client se verra accorder un droit de résilia- tion en ce qui concerne la prestation concernée.

8.2 Xerox conclura des accords avec ses sous-traitants dans la mesure nécessaire pour garantir les obligations prévues par le présent contrat.

8.1 Unless the Agreement contains more restrictive pro- visions on the use of third parties, Xerox shall be en- titled to use sub-data processors, but shall inform the Customer in advance if it uses new sub-data proces- sors, or replaces existing sub-data processors after the entry into force of this Agreement. The Client may object in writing to the appointment of a new sub-data processors or the replacement of an existing sub- data processors on important data protection grounds within a period of 30 days. If there is an im- portant data protection reason confirmed by both par- ties and if a mutually agreeable solution cannot be found between the parties even after a sincere effort, the Customer shall be granted a right of termination with respect to the service affected thereby.

8.2 Xerox shall enter into agreements with its sub-data processors to the extent necessary to ensure com- pliance with its obligations under this Agreement.

9. COMMUNICATION À L'ÉTRANGER 9. DISCLOSURE ABROAD

9.1 Toute communication de données par Xerox de la Suisse à l'étranger ou à une organisation internationale n'est autorisée que si Xerox respecte les dispositions des articles 16 et suivants de la LPD, ainsi que les dis- positions respectives du droit étranger applicable en matière de protection des données.

9.1 Any disclosure of data by Xerox from Switzerland abroad or to an international organisation is only permitted if Xerox complies with the provisions of Art. 16 et seq. FADP as well as the respective provisions of the applicable foreign data protection law.

10. DISPOSITIONS FINALES 10. FINAL PROVISIONS

10.1 Les numéros d'articles de la LPD se réfèrent à la LPD révisée (AS 2022 491). Avant l'entrée en vigueur de cette dernière, les dispositions convenues dans le présent document s'appliquent par analogie. La durée du présent accord est déterminée par la durée de tous les contrats entre Xerox et le client en vertu desquels Xerox traite des données pour le client, à moins que des obligations de plus longue durée ne découlent des dispositions du présent accord.

10.2 Les obligations découlant du présent Accord s'ajoutent aux obligations stipulées dans le Contrat et ne limitent pas ces dernières. En ce qui concerne les TOM défini- es de manière générique dans une annexe au présent accord, les dispositions du contrat prévalent en cas de contradiction. Pour le reste, les dispositions du contrat restent applicables sans modification.

10.3 Les autres dispositions du contrat s'appliquent subsi- diairement aux dispositions du présent accord.

10.4 Le présent accord est soumis au droit matériel suisse, à l'exclusion de la Convention des Nations Unies sur les contrats de vente internationale de marchandises du 11 avril 1980.

10.1 The article numbers of the DPA refer to the revised DPA (AS 2022 491). Prior to its entry into force, the provisions agreed herein shall apply mutatis mutandis. The term of this Agreement shall be the term of all contracts between Xerox and the Customer under which Xerox processes Data for the Customer, unless longer term obligations arise from the provisions of this Agreement.

10.2 The obligations under this Agreement are in addi- tion to and do not limit the obligations set out in the Contract. With regard to the TOM generically defi- ned in an annex to this Agreement, the provisions of the Agreement shall prevail in the event of a con- flict. In all other respects, the provisions of the Ag- reement shall continue to apply unchanged.

10.3 The other provisions of the Agreement shall apply subsidiarily to the provisions of this Agreement.

10.4 This Agreement shall be governed by Swiss sub- stantive law, excluding the United Nations Conven- tion on Contracts for the International Sale of Goods of 11 April 1980.

11. PRECEDENCE 11. PRECEDENCE

En cas de doute, les dispositions de la présente convention rédigées en langue française prévalent toujours.

The provisions of this agreement drawn up in French shall always prevail in case of doubt.

Annexes :

Annexe 1 : Description du traitement

Annexe 2 : Mesures techniques et organisationnelles

Annexes

Annex 1: Description of the processing

Annex 2: Technical and organisational measures

Annex 1 - Description du traitement des données Annex 1 - DESCRIPTION OF THE PROCESSING

Brève description/objectif :

Xerox assistera le Client dans la fourniture des services suivants et, dans le cadre de la relation contractuelle con- venue séparément, Xerox recevra du Client les données.

Les services suivants seront fournis par Xerox :

- la fourniture de services de vente et de location de systèmes informatiques et d'impression, leur livrai- son et leur installation, ainsi que la fourniture de pièces de rechange et de consommables, et la fourniture de services de maintenance et d'autres services

Catégories de données :

- Prénoms et noms de famille

- adresses électroniques

- données d'adresse

- données de connexion

- données d'utilisation à caractère personnel

Catégories de personnes concernées :

- Employés du client

- client

- clients de client (etc.)

Catégories de traitements :

- Saisie

- Suppression

- Enregistrement

- ajustement

- Triage

Remarques :

aucune

Brief Description/Purpose:

Xerox will assist Customer in the provision of the following services and, as part of the separately agreed contractual relationship, Xerox will receive data from Customer.

The following Services will be provided by Xerox:

- Provision of sales services or rental of IT and printing systems, their delivery and installation, as well as the delivery of spare parts and consuma- bles and also the provision of maintenance and other services.

Categories of Data:

- First and last names

- Email Addresses

- Address data

- login data

- personal usage data

Categories of data subjects:

- Employees of customer

- customer

- Customers of customer (etc.)

Categories of processing operations:

- Recording

- Deletion

- Storage

- customisation

- Sorting

Remarks:

none

Annexe 2 – Mesures Techniques et Organisatrices de Xerox SA

Annex 2 - TECHNICAL AND ORGANISATIONAL MEASURES

1. BUT 1. PURPOSE

Dans le cadre de la garantie des exigences de la loi sur la protection des données en vigueur, les mesures techniques et organisationnelles ("TOM") mentionnées ci-après ont été élaborées par Xerox AG, XX-0000 Xxxxxxxxxx ("Xerox"), au sens de l'article 9 LPD en rela- tion avec l'article 3 OCPD. Ce document contient les TOM nécessaires qui doivent être appliquées dans l'exécution du traitement des données et selon les exi- gences du service fourni. Tous les services et sites de Xerox AG disposent des mesures techniques et opéra- tionnelles appropriées nécessaires, qui sont énumé- rées dans la liste ci-dessous sur la base de l'évaluation des exigences du droit de la protection des données.

L'objectif des mesures prises est de garantir ce qui suit:

- Protéger contre le traitement non autorisé, la perte, l'utilisation, la divulgation ou l'acquisition de don- nées à caractère personnel ou l'accès à celles-ci.

- assurer la protection de la sécurité et de la confi- dentialité des données à caractère personnel

- Se prémunir contre les menaces ou les risques pré- visibles pour la sécurité et l'intégrité des données à caractère personnel.

Les sous-traitants sont impliqués par Xerox dans le respect des dispositions relatives à la protection des données dans leurs activités respectives dans le cadre de ces TOM.

In the context of ensuring compliance with the re- quirements of the applicable data protection law, the following Technical and Organisational Measures ("TOM") have been drawn up by Xerox AG, CH-8152 Glattbrugg ("Xerox") in accordance with Article 9 of the Data Protection Act in conjunction with Article 3 of the Data Protection Ordinance. This document contains the required TOM, which are to be applied in the execution of the data processing and depend- ing on the requirements of the service provided. All Xerox services and sites have the necessary appro- priate technical and operational measures, which are listed below based on the assessment of the re- quirements of data protection law.

The aim of the measures taken is to ensure the fol- lowing:

- Protect against unauthorised processing, loss, use, disclosure or acquisition of, or access to, personal data.

- to ensure the protection of the security and confi- dentiality of personal data

- Protect against anticipated threats or hazards to the security and integrity of personal data.

Sub-data processors are bound by Xerox's compli- ance with the data protection provisions of their re- spective activities to the extent of these TOMs.

2. MESURES TECHNIQUES ET ORGANISATIONNEL- LES

2. TECHNICAL AND ORGANISATIONAL MEASURES

2.1 Concernant les collaborateurs et le HR 2.1 Regarding employees and HR

Chaque recrutement de collaborateurs se fait selon un processus d'évaluation uniforme et selon les principes de la réglementation Xerox, qui comprend également la consultation de l'extrait de casier judiciaire correspon- dant.

- Des dispositions relatives à l'accord de confidentiali- té sont incluses dans chaque contrat de collabora- teur.

- La formation de sensibilisation au code d'éthique de Xerox (y compris un test) est une obligation an- nuelle pour tous les employés et est assurée par un module d'apprentissage en ligne spécifique.

- Lors de cette formation annuelle, des thèmes tels que la protection des données, la préservation de la confidentialité, la garantie de la préservation de la confidentialité par la mise sous clé des dossiers et des supports de données, ainsi que l'utilisation ap- propriée du cryptage des supports de données et le respect des dispositions informatiques sont abordés de manière ciblée et expliqués de manière appro- fondie à l'aide d'études de cas.

Every employee is recruited according to a standard- ised screening process and the principles of Xerox regulations, which also includes access to the rele- vant extract from the criminal record.

- Confidentiality provisions are included in each employee's contract.

- Xerox Code of Ethics awareness training (includ- ing a test) is an annual requirement for all em- ployees and is delivered through a dedicated e- learning module.

- In this annual training, topics such as data protec- tion, maintaining confidentiality, ensuring that se- crecy is maintained by locking away files and data carriers, as well as the proper handling of encryp- tion of data carriers and compliance with IT regu- lations are specifically conveyed and also ex- plained and explained in depth by means of case studies.

2.2 Contrôle d'accès 2.2 Access control

Exigence : les personnes autorisées n'ont accès qu'aux données personnelles dont elles ont besoin pour accomplir leurs tâches.

Mesures à prendre :

- L'autorisation d'accès est accordée sur la base du "need-to-know" et du "need-to-access" et est basée soit sur les rôles, soit sur les noms.

- Les directives relatives aux mots de passe, y com- pris les exigences concrètes concernant la longueur des mots de passe et le changement régulier des mots de passe, sont prédéfinies et demandées automatiquement.

- Protection contre les accès internes et externes non autorisés par cryptage et pare-feu

- La politique de sécurité informatique du groupe Xe- rox est obligatoire pour tous les collaborateurs.

- Le cryptage du disque dur sur les ordinateurs por- tables et de bureau de l'entreprise est assuré.

- L'authentification à 2 facteurs (PKI/alternative) est assurée.

- La gestion centrale et la mise à jour régulière des logiciels et de la protection contre les virus et les lo- giciels malveillants, ainsi que le contrôle ainsi pos- sible de l'installation autorisée des logiciels, sont garantis.

- Des contrôles d'identifiant et de mot de passe sont mis en place pour l'accès à toutes les informations contenues dans les répertoires de Xerox.

- Un contrôle d'accès régulier est mis en place.

- Tous les e-mails sont automatiquement analysés par un logiciel antivirus et antispam.

Requirement: Authorised persons have access only to the personal data they need to fulfil their tasks.

Measures:

- Access authorisation is granted on a need-to- know and need-to-access basis and is either role- based or name-based.

- Password guidelines including concrete require- ments for password length and regular change of passwords are predefined and automatically re- quested in each case

- Protection against unauthorised internal and ex- ternal access through encryption and firewalls

- IT security policy of the Xerox Group is binding for all employees

- Hard disk encryption on company-owned laptops and desktops is ensured

- 2-factor authentication (PKI/alternative) is en- sured

- Central administration and regular updating of software and virus and malware protection, as well as the control of authorised software installa- tion, is ensured.

- Login ID and password controls are implemented for access to all information in the Xerox directo- ries.

- A regular access check is implemented

- All e-mails are automatically scanned by anti-virus and anti-spam software.

2.3 Contrôle d'accès 2.3 Access control (Zugang)

Exigence : seules les personnes autorisées ont accès aux locaux et aux installations dans lesquels des don- nées personnelles sont traitées.

Mesures à prendre :

- Un système de contrôle d'accès et de gestion des visiteurs pour tous les visiteurs/invités est mis en œuvre - Les visiteurs dans les locaux de Xerox sont reconnaissables à tout moment et ne se trouvent que dans les zones visiteurs des locaux de Xerox.

- Contrôle d'accès physique (protection contre l'accès non autorisé au traitement des données ou aux ins- tallations de stockage) : notamment par des cartes magnétiques ou à puce, des ouvre-portes élec- triques, un journal de bord sur l'utilisation des clés pour ouvrir les locaux au contenu sensible (tels que les locaux d'archivage et de stockage dans les bâ- timents externes).

- Contrôles d'accès physiques à intervalles définis

- Des processus de clean-desk, clean-screen et fol- low-me-printing sont mis en œuvre.

- Les informations, y compris les documents papier,

Requirement: Only authorised persons have access to the premises and facilities where personal data are processed.

Measures:

- An access control and visitor management sys- tem for all visitors/guests is implemented - Visitors to Xerox premises are identifiable at all times and only stay in visitor zones of Xerox premises.

- Physical access control (protection against unau- thorised access to data processing or storage fa- cilities): in particular by magnetic or smart cards, electric door openers, log book on the use of keys to open rooms with sensitive content (such as ar- chive and storage rooms in external buildings)

- Physical access checks at specified time intervals

- Clean desk, clean screen and follow-me printing processes are implemented

- Information, which includes paper documents, is classified, tagged, protected and handled appro- priately according to the Xerox Information Classi- fication Policy and shared accordingly

sont classées, étiquetées, protégées, traitées et partagées conformément à la politique de classifica- tion des informations de Xerox.

2.4 Contrôle des utilisateurs 2.4 User control

Exigence : les personnes non autorisées ne peuvent pas utiliser les systèmes de traitement automatisé des données au moyen d'installations de transmission de données.

Mesures à prendre :

- Un système de contrôle d'accès et de gestion des visiteurs pour tous les visiteurs/invités est mis en œuvre - Les visiteurs dans les locaux de Xerox sont reconnaissables à tout moment et ne se trouvent que dans les zones visiteurs des locaux de Xerox.

- L'accès aux systèmes est accordé sur une base "besoin-avoir" en tenant compte de la séparation des tâches.

- Pas de lecture, de copie, de modification ou de suppression non autorisées pendant la transmission électronique, notamment grâce au cryptage et aux réseaux privés virtuels (VPN)

Requirement: Unauthorised persons cannot use au- tomated data processing systems by means of devic- es for data transmission.

Measures:

- An access control and visitor management sys- tem for all visitors/guests is implemented - Visitors to the Xerox premises are always identifiable and only stay in the visitor zones of the Xerox premis- es.

- Access to systems is granted on a need-to-have basis, taking into account segregation of duties.

- No unauthorised reading, copying, modification or removal during electronic transmission, in particu- lar through encryption and Virtual Private Net- works (VPNs).

2.5 Contrôle des périphériques de données 2.5 Data carrier control

Exigence : les personnes non autorisées ne peuvent pas lire, copier, modifier, déplacer, effacer ou détruire les supports de données.

Mesures à prendre :

- Les collaborateurs ayant accès à des données per- sonnelles ne peuvent accéder qu'aux données né- cessaires à l'objectif des activités relevant de leur compétence. L'autorisation d'accès est accordée sur la base du "besoin de savoir" et du "besoin d'accès" et est basée soit sur le rôle, soit sur le nom. Des protocoles d'accès sont en place et la responsabilité du contrôle d'accès est attribuée.

- Les employés sont tenus de respecter les politiques de sécurité et de confidentialité de Xerox et des autorités locales.

- Contrôle d'accès électronique (protection contre l'utilisation non autorisée de systèmes de traitement ou de stockage de données) : notamment par des mots de passe (y compris la politique correspon- dante), des mécanismes de verrouillage automa- tique, une authentification à deux facteurs, le cryp- tage des supports de données, l'interdiction d'utili- ser des systèmes de stockage en nuage non autori- sés, ainsi que des systèmes de stockage de don- nées physiques non autorisés par Xerox.

- Contrôle d'accès interne (prévention de la lecture, de la copie, de la modification ou de la suppression non autorisées de données au sein de Xerox), par l'utilisation de profils d'autorisation standard sur la base du "besoin de savoir", d'un processus stan- dard d'attribution de droits d'utilisateur, d'une jour- nalisation des accès, d'une vérification régulière des

Requirement: Unauthorised persons cannot read, copy, modify, move, delete or destroy data media.

Measures:

- Employees with access to personal data can only access the data that is necessary for the purpose of the activities under their responsibility. Access authorisation is granted on a need-to-know and need-to-access basis and is either role-based or name-based. Access protocols are in place and responsibility for access control is assigned

- Employee commitment to comply with applicable Xerox and local security and privacy policies is mandatory.

- Electronic access control (preventing unauthor- ised use of data processing or storage systems): including, but not limited to, passwords (including the appropriate policy), automatic locking mecha- nisms, two-factor authentication, encryption of media, prohibition of the use of unauthorised cloud storage systems, as well as physical data storage not authorised by Xerox.

- Internal access control (preventing unauthorised reading, copying, modification or removal of data within Xerox) through the use of standard authori- sation profiles on a need-to-know basis, a stand- ard process for assigning user rights, access log- ging, regular review of assigned rights, especially for administrator accounts.

- Controlled destruction of data media, as well as procedures for checking compliance with proce- dures and work instructions are in place.

droits attribués, en particulier pour les comptes d'administrateur.

- Destruction contrôlée des supports de données, ainsi que des procédures de vérification du respect des procédures et des instructions de travail sont en place.

2.6 Contrôle de la mémorisation 2.6 Memory control

Exigence : les personnes non autorisées ne peuvent pas lire, copier, modifier, déplacer, effacer ou détruire des données personnelles dans la mémoire.

Mesures à prendre :

- L'accès aux systèmes est accordé sur une base de "besoin de savoir" en tenant compte de la sépara- tion des tâches.

- Protection contre la destruction ou la perte acciden- telle ou intentionnelle, par exemple stratégie de sauvegarde (en ligne/hors ligne ; sur site/hors site), alimentation électrique ininterrompue, antivirus, pare-feu, canaux d'alarme et plans d'urgence ; con- trôles de sécurité au niveau de l'infrastructure et des applications, plan de sécurité à plusieurs ni- veaux avec externalisation des sauvegardes, pro- cessus standard en cas de change- ment/licenciement de collaborateurs.

- Pas de lecture, de copie, de modification ou de suppression non autorisées pendant la transmission électronique, notamment grâce au cryptage et aux réseaux privés virtuels (VPN).

- Les données des clients (y compris les sauve- gardes, les archives, les fichiers journaux, etc.) ne sont conservées que pendant la durée nécessaire à la réalisation des objectifs pour lesquels elles ont été collectées, à moins qu'il n'existe une obligation légale ou contractuelle de conserver les données plus longtemps.

Requirement: Unauthorised persons cannot read, copy, modify, move, delete or destroy personal data in the memory.

Measures:

- Access to systems is granted on a need-to-know basis, taking into account segregation of duties.

- Protection against accidental or intentional de- struction or loss, such as backup strategy (online/offline; on-site/off-site), uninterruptible power supply, antivirus, firewall, alarm channels and contingency plans; infrastructure and applica- tion level security controls, multi-level security plan with outsourcing of backups, standard pro- cesses for employee turnover/dismissal

- No unauthorised reading, copying, modification or removal during electronic transmission, especially through encryption and Virtual Private Networks (VPN)

- Customer data (including backups, archives, log files, etc.) are stored only as long as it serves the purposes for which the data were collected, un- less there is a legal or contractual obligation to store the data longer

2.7 Contrôle du transport 2.7 Transport control

Exigence : les personnes non autorisées ne peuvent pas lire, copier, modifier, effacer ou détruire des données personnelles lors de la communication de données personnelles ou du transport de supports de données.

Mesures :

- Le choix des tiers se fait dans le respect des direc- tives Xerox en matière de sécurité des données et de fiabilité.

- Le tiers doit respecter les politiques Xerox en vi- gueur et est donc tenu de respecter les exigences de confidentialité, d'utilisation et d'accès au réseau Xerox, y compris les exigences de classification, de cryptage et de respect des règles de sécurité.

- Les prestations de tiers se font toujours sur la base d'un contrat écrit dans lequel les exigences en ma- tière de confidentialité, de protection des données et de respect des politiques de Xerox sont réglées de manière contraignante.

- Les droits d'accès des utilisateurs et des adminis- trateurs s'orientent vers les exigences liées aux tâches et à la protection des données.

- La technologie VPN est utilisée pour la communica- tion des données.

- Les collaborateurs sont régulièrement formés aux directives relatives à la transmission de données confidentielles, y compris dans le domaine de l'en- voi d'e-mails et de la garantie du cryptage et de la classification des documents, et ces directives sont contraignantes.

- L'accès au réseau Xerox via les appareils de saisie des collaborateurs (ordinateurs portables et télé- phones mobiles) est sécurisé par des directives contraignantes concernant l'utilisation de mots de passe et leur renouvellement. La demande de changement de mot de passe se fait automatique- ment et régulièrement et empêche également l'utili- sation de mots de passe déjà utilisés. Les smart- phones à usage professionnel sont mis à dispositi- on par les collaborateurs contre dédommagement dans le sens "Bring-Your-Own-Device", l'intégration de ces appareils dans le réseau Xerox n'a lieu qu'après vérification centrale par Xerox du respect des exigences fixées.

Requirement: Unauthorised persons cannot read, copy, modify, delete or destroy personal data when disclosing personal data or transporting data carriers.

Measures:

- Third parties shall be selected in compliance with Xerox policies on data security and reliability.

- The third party must comply with the applicable Xerox policies as a requirement and is thus also obliged in this respect to comply with the require- ments relating to confidentiality, use of and ac- cess to the Xerox network, including the require- ments for classification, encryption and compli- ance with the security provisions.

- Third-party services are always provided on the basis of a written contract in which the require- ments, also with regard to confidentiality, data protection and compliance with the Xerox policies, are bindingly regulated.

- The access rights of users and administrators are based on the task-related and data protection re- quirements.

- VPN technology is used for data communication

- Employees are regularly trained in the guidelines for the transmission of confidential data, also in the area of sending e-mails and ensuring the en- cryption and classification of documents, and these guidelines are binding.

- Access to the Xerox network via employees' input devices (laptops and mobiles) is secured by bind- ing guidelines on the use of passwords and their renewal. The requirement to change passwords is automatic and regular and also prevents the use of passwords that have already been used. Smartphones for professional use are provided by the employees against compensation in the sense of "bring-your-own-device"; the integration of the- se devices into the Xerox network only takes place after a central check of compliance with the specified requirements by Xerox.

2.8 Restauration 2.8 Recovery

Exigence : la disponibilité des données personnelles et l'accès à celles-ci peuvent être rapidement rétablis en cas d'incident physique ou technique.

Mesures à prendre :

- Toutes les données Xerox sont sauvegardées de manière appropriée au moyen d'un processus de back-up et peuvent être reconstituées en cas de perte ou d'effacement accidentel.

Requirement: The availability of and access to perso- nal data can be quickly restored in the event of a phy- sical or technical incident.

Measures:

- All Xerox data is backed up appropriately and is recoverable in the event of loss or accidental de- letion.

2.9 Disponibilité 2.9 Availability

Exigence : toutes les fonctions du système de traite- ment automatisé des données sont disponibles.

Mesures à prendre :

- Les systèmes de Xerox sont surveillés de manière centralisée par le service informatique de Xerox et la disponibilité est ainsi assurée ou une panne d'un système est réparée dans un délai raisonnable.

- Chaque collaborateur de Xerox a un accès direct à l'assistance informatique où chaque question con- cernant l'informatique peut être résolue rapidement et où les collaborateurs peuvent résoudre un ticket pour le traitement de la demande. La résolution des tickets est surveillée et un processus d'escalade adéquat est mis en place.

Requirement: All functions of the automated data processing system are available.

Measures:

- The Xerox systems are centrally monitored by Xerox IT and availability is thus ensured or a sys- tem failure is remedied within a reasonable time.

- Every Xerox employee has direct access to the IT support where every question concerning IT can be solved promptly and where the employees can solve a ticket for the completion of the request. The completion of the tickets is monitored and an adequate escalation process is in place.

2.10 Fiabilité 2.10 Reliability

Exigence : les dysfonctionnements du système de trai- tement automatisé des données sont signalés.

Mesures :

- Les cas d'escalade sont signalés de manière pro- cédurale (affichage des messages d'erreur et de dysfonctionnement dans les systèmes informa- tiques).

- Les dysfonctionnements d'un système automatisé de traitement des données constatés par les colla- borateurs peuvent être signalés directement à la hotline du support informatique et un ticket est établi pour la résolution du problème.

- Les procédures de test et de validation, par exemp- le lors de l'introduction de nouveaux logiciels ou matériels, existent et sont appliquées de manière uniforme et analogue dans tous les pays sur la base des directives du groupe.

- Les collaborateurs sont obligatoirement formés aux questions de protection et de sécurité des données, à la garantie de la confidentialité et à la classificati- on des données, ainsi qu'aux mesures à prendre en fonction de la classification effectuée, à l'occasion de la formation annuelle basée sur le web.

Requirement: Malfunctions of the automated data processing system are reported.

Measures:

- Escalation cases are reported procedurally (dis- play of error and fault messages in the IT sys- tems).

- Malfunctions of an automated data processing system detected by employees can be reported directly to the IT support hotline and a ticket is created for the completion of the problem.

- Test and release procedures, e.g. for the intro- duction of new software or hardware, exist and are rolled out uniformly and in the same way for all countries on the basis of Group guidelines.

- Employees receive mandatory training in data protection and data security, as well as in ensur- ing confidentiality and the classification of data, and in the measures to be taken on the basis of the classification made, during the annual web- based training.

2.11 Intégrité des données 2.11 Data Integrity

Exigence : les données personnelles enregistrées ne sont pas endommagées par des dysfonctionnements du système.

Mesures à prendre :

- Les systèmes sont conçus de manière à éviter tout dommage.

- Si un dommage devait toutefois se produire, les données endommagées peuvent être restaurées grâce aux fonctions de sauvegarde mises en place.

Requirement: Stored personal data is not damaged by system malfunctions.

Measures:

- The systems are designed in such a way that damage should be avoided.

- However, if damage should occur, then the dam- aged data can be restored via the back-up func- tions that have been set up.

2.12 Sécurité du système 2.12 Systemsicherheit

Exigence : les systèmes d'exploitation et les logiciels d'application sont toujours maintenus au niveau de sé- curité le plus récent et les lacunes critiques connues sont comblées.

Mesures à prendre :

- La gestion et la surveillance des logiciels pour le contrôle d'une installation autorisée des logiciels de tous les appareils autorisés au sein du groupe Xe- rox sont effectuées de manière centralisée par le support informatique du groupe Xerox, y compris les mises à jour automatiques et régulières des lo- giciels des systèmes d'exploitation et des logiciels anti-virus et anti-malware.

Requirement: Operating systems and application software are always kept up to the latest security standards and known critical gaps are closed.

Measures:

- Administration and monitoring of the software to control an authorised software installation of all devices authorised within the Xerox is carried out centrally by the IT support of the Xerox Group; this also includes the automatic and regular up- dates of the software of the operating systems and anti-virus and malware software.

2.13 Contrôle de la saisie 2.13 Input Control

Exigence : il est possible de contrôler quelles données personnelles sont saisies ou modifiées dans le sys- tème de traitement automatisé des données, à quel moment et par quelle personne.

Mesures à prendre :

- Un contrôle adéquat est disponible et les collabora- teurs sont formés à son utilisation.

Requirement: It is possible to check which personal data is entered or changed in the automated data processing system, at what time and by which per- son.

Measures:

- A suitable monitoring system is available and the employees are trained in its use.

2.14 Contrôle de la communication 2.14 Disclosure control

Exigence : il est possible de vérifier à qui les données personnelles sont communiquées à l'aide de dispositifs de transmission de données.

Mesures à prendre :

- Un contrôle adéquat est disponible et les collabora- teurs sont formés à son utilisation.

Requirement: It is possible to check to whom per- sonal data is disclosed using data transmission equipment.

Measures:

- A suitable monitoring system is available and staff are trained in its use.

2.15 Détection et élimination 2.15 Detection and elimination

Exigence : la violation de la sécurité des données est rapidement détectée et des mesures sont prises pour en atténuer ou en éliminer les conséquences.

Mesures à prendre :

- Un contrôle adéquat permettant de reconnaître de telles violations et de prendre des mesures rapides pour y remédier est disponible et les collaborateurs sont formés à leur utilisation

Requirement: The breach of data security is detected quickly and measures are taken to mitigate or elimi- nate the consequences.

Measures:

- A suitable process for detecting such breaches, as well as for taking prompt action to remedy such breaches, is available and staff are trained in its use.