Article I, Coordonnées Professionnelles

Article I, Coordonnées Professionnelles

Cet Article s'applique si le Fournisseur ou Kyndryl Traite les Coordonnées Professionnelles de l'autre.

1.1 1.1 Kyndryl et le Fournisseur peuvent Traiter les Coordonnées Professionnelles de l’autre partie, quel que soit l’endroit où ils exercent leurs activités, dans le cadre de la fourniture des Services et Livrables par le Fournisseur.

1.2 Chacune des parties s'engage :

a) à ne pas utiliser ou divulguer les Coordonnées Professionnelles de l'autre partie à d'autres fins (par souci de clarté, aucune partie ne pourra Vendre les Coordonnées Professionnelles de l'autre partie ou utiliser ou divulguer les Coordonnées Professionnelles de l'autre partie à des fins marketing sans l'accord préalable écrit de l'autre partie et, le cas échéant, l'accord préalable écrit des Personnes Concernées) et

b) dans les meilleurs délais sur demande écrite de l'autre partie, à supprimer, modifier, corriger et restituer les Coordonnées Professionnelles de l'autre partie, à fournir des informations relatives au Traitement des Coordonnées Professionnelles de l'autre partie, à restreindre le Traitement des Coordonnées Professionnelles de l'autre partie ou à prendre toute autre mesure raisonnablement demandée en lien avec les Coordonnées Professionnelles de l'autre partie.

1.3 Les parties n'établissent pas de relation à titre de Responsable de traitement conjoint en lien avec leurs Coordonnées Professionnelles et aucune disposition du Document de Transaction ne sera interprétée comme indiquant l'intention d'établir une relation à titre de Responsable de traitement conjoint.

1.4 La Déclaration de Confidentialité d'Kyndryl sur xxxxx://xxx.xxxxxxx.xxx/xxxxxxx contient des détails supplémentaires sur le Traitement par Kyndryl des Coordonnées Professionnelles.

1.5 Chacune des parties a mis en place et maintiendra des mesures de sécurité techniques et organisationnelles pour protéger les Coordonnées Professionnelles de l'autre partie contre la perte, la destruction, la modification, la divulgation accidentelle ou non autorisée, l'accès accidentel ou non autorisé, et le Traitement illégal.

1.6 Le Fournisseur s'engage à avertir Xxxxxxx dans les plus brefs délais (et en aucun cas au-delà de 48 heures) après avoir pris connaissance d'une Violation de la sécurité impliquant les BCI. Le Fournisseur fournira une telle notification à xxxxx.xxxxxxxxx@xxxxxxx.xxx. Le Fournisseur transmettra à Kyndryl les informations demandées de manière raisonnable sur ladite violation et sur l'état des activités de résolution et de restauration du Fournisseur. A titre d'exemple, les informations demandées de manière raisonnable peuvent inclure des logs démontrant l'accès privilégié, administratif et autre aux Périphériques, systèmes ou applications, aux images contextuelles des Périphériques, systèmes ou applications et autres éléments similaires, dans la mesure où ces informations sont en rapport avec la violation ou avec les activités de résolution et de restauration du Fournisseur.

1.7 Si le Fournisseur ne Traite que les Coordonnées Professionnelles d'Kyndryl et qu'il n'a accès à aucun autre élément ou donnée d'aucune sorte ou à aucun Système d'Entreprise Kyndryl, le présent Article et l'Article X (Coopération, Vérification et Résolution) sont les seuls Articles applicables audit Traitement.

Article II, Mesures Techniques et Organisationnelles, Sécurité des Données

Le présent Article s'applique si le Fournisseur Traite des Données Kyndryl autres que les Coordonnées Professionnelles d'Kyndryl. Le Fournisseur doit respecter les obligations du présent Article en fournissant tous les Services et Livrables et ainsi protéger les Données Kyndryl contre toute perte, destruction, modification, divulgation accidentelle ou non autorisée, accès accidentel ou non autorisé et toute autre forme illégale de Traitement. Les obligations énoncées dans le présent Article s'appliquent à toutes les applications, plateformes et infrastructures informatiques que le Fournisseur exploite ou gère lors de la fourniture des Livrables et Services, y compris tous les développements, tests, hébergements, supports, opérations et environnements de centre de données.

1. Utilisation de Données

1.1. Le Fournisseur n'est pas autorisé à ajouter aux Données Kyndryl, ou à inclure aux Données Kyndryl d’autres informations ou données, y compris des Données à caractère Personnel, sans l’accord préalable écrit d'Kyndryl. Le Fournisseur n'est pas autorisé à utiliser les Données Kyndryl sous toute forme, agrégée ou autre, à une autre fin que celle de livrer les Services et Livrables (par exemple, le Fournisseur n'est pas autorisé à utiliser ou réutiliser les Données Kyndryl pour évaluer l'efficacité des offres du Fournisseur ou le moyen de les améliorer, à des fins de recherche et de développement pour créer de nouvelles offres ou pour générer des rapports sur les offres du Fournisseur). A moins d'y être expressément autorisé dans le Document de Transaction, le Fournisseur s'interdit de Vendre les Données Kyndryl.

1.2. Le Fournisseur s'engage à ne pas intégrer de technologies de suivi Web aux Livrables ou dans le cadre des Services (ces technologies incluent HTML5, le stockage local, les balises ou jetons tiers et les pixels espions), à moins d'y être expressément autorisé dans le Document de Transaction.

2. Demandes émanant de Tiers et Confidentialité

2.1. Le Fournisseur s'engage à ne divulguer les Données Kyndryl à aucun tiers, sauf accord préalable écrit d'Kyndryl. Si un gouvernement, y compris une autorité de régulation, exige l'accès aux Données Kyndryl (par exemple, si le gouvernement des États-Unis signifie au Fournisseur une ordonnance de sécurité nationale pour obtenir les Données Kyndryl) ou si une divulgation des Données Kyndryl est exigée par la loi, le Fournisseur est tenu de notifier par écrit à Kyndryl ladite demande ou obligation de divulgation afin qu'Kyndryl ait la possibilité de la contester (lorsque la loi interdit la notification, le Fournisseur prendra les mesures qu’il estime raisonnablement appropriées pour contester la divulgation des Données Kyndryl par le biais d'une action judiciaire ou d'autres moyens).

2.2. Le Fournisseur garantit à Kyndryl que : (a) seuls les membres de son personnel qui ont besoin d'accéder aux Données Kyndryl pour fournir les Services ou Livrables obtiendront cet accès et uniquement dans les limites nécessaires pour fournir ces Services et Livrables ; et (b) qu'il a soumis ses employés à des obligations de confidentialité exigeant que ses employés utilisent et divulguent les Données Kyndryl uniquement dans les limites autorisées par les présentes Dispositions.

3. Restitution ou suppression des Données Kyndryl

3.1. Le Fournisseur supprimera ou restituera, au choix d'Kyndryl, les Données Kyndryl à la résiliation ou l'expiration du Document de Transaction ou à une date antérieure sur demande d'Kyndryl. Si Xxxxxxx demande la suppression, le Fournisseur s'engage, conformément aux Pratiques Exemplaires dans le Secteur d'Activité, à rendre les données illisibles et impossibles à réassembler ou à reconstituer et certifiera à Kyndryl la suppression. Si Xxxxxxx exige la restitution des Données Kyndryl, le Fournisseur les restituera dans les délais raisonnables prévus par Xxxxxxx et selon les instructions écrites raisonnables d'Xxxxxxx.

Article III, Confidentialité

Le présent Article s'applique si le Fournisseur Traite des Données à caractère Personnel d'Kyndryl.

1. Traitement

1.1 Kyndryl désigne le Fournisseur comme Sous-traitant chargé de Traiter les Données à caractère Personnel d'Kyndryl dans le seul but de fournir les Livrables et Services conformément aux instructions d'Xxxxxxx, y compris celles figurant dans les présentes Dispositions, le Document de Transaction et le contrat de base associé entre les parties. Si le Fournisseur ne se conforme pas à une instruction, Xxxxxxx peut résilier la partie affectée des Services en le notifiant par écrit. Si le Fournisseur estime qu'une instruction viole une loi sur la protection des données, le Fournisseur s'engage à en informer Xxxxxxx rapidement et dans les délais requis par la loi.

1.2 Le Fournisseur s'engage à respecter toutes les lois sur la protection de données applicables aux Services et Livrables.

1.3 1.3 Une Annexe au Document de Transaction, ou le Document de Transaction lui-même, indique les points suivants en ce qui concerne les Données d’Kyndryl :

(a) les catégories de Personnes Concernées ;

(b) les types de Données à caractère Personnel d'Kyndryl ;

(c) les actions sur les données et activités de Traitement ;

(d) la durée et la fréquence du Traitement ; et

(e) la liste des Sous-traitants ultérieurs.

2. Mesures Techniques et Organisationnelles

2.1 2.1 Le Fournisseur s'engage à mettre en place et à maintenir les mesures techniques et organisationnelles décrites à l'Article II (Mesures Techniques et Organisationnelles, Sécurité des Données) et à l'Article VIII (Mesures Techniques et Organisationnelles, Sécurité Générale) et, ce faisant, à assurer un niveau de sécurité adapté au risque présenté par ses Services et Livrables. Le Fournisseur certifie et comprend les restrictions énoncées à l'Article II, au présent Article III et à l'Article VIII et devra s'y conformer.

3. Droits et Demandes des Personnes Concernées

3.1 Le Fournisseur s'engagera à informer Xxxxxxx rapidement (dans un délai permettant à Xxxxxxx et aux Autres Responsables de traitement de respecter leurs obligations légales) de toute demande émanant d'une Personne Concernée en vue d'exercer ses droits (tels que son droit à rectification, suppression ou blocage de données) concernant les Données à caractère Personnel d'Kyndryl. Le Fournisseur pourra également orienter, dans les meilleurs délais, une Personne Concernée qui soumet une telle demande à Xxxxxxx. Le Fournisseur ne répondra pas aux demandes émanant des Personnes Concernées, sauf en vertu d'une obligation légale ou sur instruction écrite d'Kyndryl.

3.2 3.2 Si Kyndryl est tenue de fournir des informations relatives aux Données à caractère Personnel d’Kyndryl à d'Autres Responsables de traitement ou à des tiers (par exemple, les Personnes Concernées ou les autorités compétentes), le Fournisseur assistera Xxxxxxx en fournissant les informations et en prenant d'autres mesures raisonnables demandées par Xxxxxxx, selon un planning permettant à Kyndryl de répondre dans les délais auxdits tiers ou Autres Responsables de traitement.

4. Sous-traitants ultérieurs

4.1 Le Fournisseur transmettra à Kyndryl un préavis écrit avant d'ajouter un nouveau Sous-traitant ultérieur ou d'élargir le périmètre de Traitement d'un Sous-traitant ultérieur existant. Ledit préavis écrit identifiera

le nom du Sous-traitant ultérieur et décrira le périmètre nouveau ou élargi du Traitement. Xxxxxxx pourra à tout moment s’opposer à l’ajout d’un nouveau Sous-traitant ultérieur ou à l’élargissement du périmètre de Traitement pour des motifs raisonnables et, dans ce cas, les parties travailleront ensemble de bonne foi pour traiter l’opposition d'Kyndryl. Sans préjudice du droit d'Kyndryl de s’y opposer à tout moment, le Fournisseur est autorisé à faire appel au nouveau Sous-traitant ultérieur ou à élargir le périmètre de Traitement du Sous-traitant ultérieur existant si Xxxxxxx n'a pas soulevé d'objection dans les 30 Jours suivant la date du préavis écrit du Fournisseur.

4.2 Le Fournisseur imposera les obligations de protection de données, de sécurité et de certification énoncées dans les présentes Dispositions à chaque Sous-traitant ultérieur agréé, avant qu'un Sous- traitant Traite des Données Kyndryl. Le Fournisseur demeure entièrement responsable vis-à-vis d'Kyndryl du respect des obligations de chaque Sous-traitant ultérieur.

5. Traitement transfrontalier de Données

Définition des termes utilisés ci-dessous :

Pays Adéquat signifie pays fournissant un niveau de protection de données adéquat en lien avec le transfert concerné et en vertu des lois applicables sur la protection des données ou des décisions des autorités compétentes.

Importateur de Données signifie Sous-traitant ou Sous-traitant ultérieur non établi dans un Pays Adéquat.

Clauses Contractuelles Types de l'UE (« CCT UE ») : Clauses Contractuelles Types de l'UE (Décision de la Commission 2021/914) avec application des clauses facultatives, à l'exception de l'option 1 de la Clause 9(a) et de l'option 2 de la Clause 17, telles que publiées officiellement à l'adresse xxxxx://xx.xxxxxx.xx/xxxx/xxx/xxx- topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en.

Clauses Contractuelles Types serbes (« CCT serbes ») : Clauses Contractuelles Types serbes, telles qu'adoptées par le « Commissaire serbe à l'Information d'Importance Publique et à la Protection des Données à caractère Personnel », publiées sur xxxxx://xxx.xxxxxxxxx.xx/xxxxxx/xxxxxxx/xxxxxxxxxxxxx-xxxx/xxxxxxxxxxx- akti/Klauzulelat.docx.

Clauses Contractuelles Types (« CCT ») signifie Clauses Contractuelles requises par les lois applicables sur la protection des données pour le transfert des Données à caractère Personnel aux Sous-traitants non établis dans des Pays Adéquats.

L'addenda du Royaume-Uni relatif au transfert international de données aux clauses contractuelles types de la Commission européenne (« addenda britannique ») désigne l'addenda du Royaume-Uni relatif au transfert international de données aux clauses contractuelles types de la Commission européenne, tel que publié officiellement à l'adresse xxxxx://xxx.xxx.xx/xxx-xxxxxxxxxxxxx/xxxxx-xx-xxxx-xxxxxxxxxx/xxxxx-xx-xxx-xxxxxxx- data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/.

5.1 Le Fournisseur s'engage à ne pas transférer ou divulguer (y compris au moyen d'un accès à distance) les Données à caractère Personnel d'Kyndryl au-delà des frontières sans l'accord préalable écrit d'Kyndryl. Si Xxxxxxx donne cet accord, les parties collaboreront pour veiller au respect des lois applicables sur la protection des données. Si les CCT sont requises par ces lois, le Fournisseur conclura les CCT dans les meilleurs délais sur demande d'Kyndryl.

5.2 Concernant les CCT UE :

(a) Si le Fournisseur n'est pas établi dans un Pays Adéquat : le Fournisseur conclut par les présentes les CCT UE en tant qu'Importateur de données avec Xxxxxxx, et le Fournisseur conclura des contrats écrits avec

chaque Sous-traitant ultérieur agréé, conformément à la Clause 9 des CCT UE et fournira à Kyndryl, sur demande, des exemplaires de ces contrats.

(i) Le Module 1 des CCT UE ne s'applique pas, sauf s'il en a été convenu autrement par écrit par les

parties.

(ii) Le Module 2 des CCT UE s'applique si Kyndryl est un Responsable de traitement et le Module 3 s'applique si Kyndryl est un Sous-traitant. Conformément à la Clause 13 des CCT UE, lorsque les Modules 2 ou 3 s'appliquent, les parties acceptent que (1) les CCT UE seront régies par la législation de l'état membre de l'UE dans lequel est située l'autorité de contrôle compétente et que (2) tout différend découlant des CCT UE sera résolu par les tribunaux de l'état membre de l'UE dans lequel est située l'autorité de contrôle compétente. Si ladite législation énoncée au point (1) n'autorise pas des droits de tiers bénéficiaire, les CCT UE seront régies par la législation des Pays-Bas et tout différend découlant des CCT UE au titre du point (2) sera résolu par le tribunal d'Amsterdam aux Pays-Bas.

(b) Si le Fournisseur est établi dans l'Espace économique européen et qu'Kyndryl est un Responsable de traitement non soumis au Règlement Général sur la Protection des Données 2016/679, le Module 4 des CCT UE s'applique et le Fournisseur conclut par les présentes les CCT UE en tant qu'exportateur de données avec Kyndryl. Si le Module 4 des CCT UE s'applique, les parties acceptent que les CCT UE seront régies par la législation des Pays-Bas et que tout différend découlant des CCT UE sera résolu par le tribunal d'Amsterdam aux Pays-Bas.

(c) Si d'Autres Responsables de traitement, tels que les Clients ou les sociétés affiliées, demandent à devenir partie aux CCT UE conformément à la « clause d'intégration » de la Clause 7, le Fournisseur accepte par les présentes cette demande.

(d) Les Mesures Techniques et Organisationnelles requises pour remplir l'Annexe II des CCT UE sont disponibles dans les présentes Dispositions, le Document de Transaction proprement dit et le contrat de base associé entre les parties.

(e) En cas de contradiction entre les CCT UE et les présentes Dispositions, les CCT UE prévaudront.

5.3 Concernant les CCT RU :

(a) Si le Fournisseur n'est pas établi dans un Pays Adéquat : (i) le Fournisseur conclut par les présentes les CCT RU avec Xxxxxxx au nom du Fournisseur en tant qu'Importateur de données ; et (ii) le Fournisseur conclura des contrats écrits avec chaque Sous-traitant ultérieur agréé qui est un Importateur de données, conformément à la Clause 11 des CCT, selon les faits RU et fournira à Kyndryl, sur demande, des exemplaires de ces contrats.

(b) Si le Fournisseur est établi dans un Pays Adéquat, le Fournisseur conclut par les présentes les CCT RU avec Kyndryl au nom de chaque Sous-traitant ultérieur qui est un Importateur de Données. Si le Fournisseur n'est pas en mesure de le faire pour un tel Sous-traitant ultérieur, le Fournisseur transmettra à Kyndryl les CCT RU signées par ce Sous-traitant ultérieur pour contresignature par Xxxxxxx avant d'autoriser le Sous-traitant ultérieur à Traiter les Données à caractère Personnel d'Kyndryl.

(c) Le cas échéant, les CCT RU entre Xxxxxxx et le Fournisseur serviront soit de CCT RU entre un Responsable de traitement et un Sous-traitant soit de contrat miroir (back-to-back) entre un « importateur de données » et un « sous-traitant ultérieur » conformément à la Clause 11 des CCT, selon les faits RU. En cas de contradiction entre les CCT RU et les présentes Dispositions, les CCT RU prévaudront.

(d) D'Autres Responsables de traitement, tels que les Clients ou les sociétés affiliées, peuvent demander à devenir des « exportateurs de données » additionnels. Le Fournisseur accepte par les présentes, en son propre

nom et au nom de ses Sous-traitants ultérieurs, cette demande. Kyndryl notifiera au Fournisseur tout « exportateur de données » additionnel et, à son tour, le Fournisseur notifiera ces « exportateurs de données » additionnels à ses Sous-traitants ultérieurs qui sont des Importateurs de données.

5.4 S'agissant du/des addenda britannique(s) :

a) Si le fournisseur n'est pas établi dans un pays répondant aux conditions requises : (i) le fournisseur conclut par les présentes un ou plusieurs addenda britannique(s) avec Xxxxxxx en tant qu'importateur afin de compléter les clauses contractuelles types de l'UE énoncées ci-dessus (selon le cas, en fonction des circonstances des activités de traitement) ; et (ii) le fournisseur conclura des accords écrits avec chaque sous-traitant approuvé, et fournira à Kyndryl des copies desdits accords sur demande.

b) Sous réserve que le fournisseur soit établi dans un pays répondant aux conditions requises, et que Xxxxxxx soit un responsable du traitement non soumis au Règlement général sur la protection des données du Royaume-Uni (tel qu'incorporé au droit britannique en vertu de l'European Union (Withdrawal) Act 2018), le fournisseur conclut par la présente un/des addenda britannique(s) avec Kyndryl en tant qu'exportateur afin de compléter les clauses contractuelles types de l'UE énoncées à l'article 5.2 paragraphe (b) ci-dessus.

c) Si d'autres contrôleurs de données, tels que des clients ou des sociétés affiliées, demandent à devenir partie à/aux addenda britannique(s), le fournisseur accepte par la présente une demande similaire.

d) Les informations relatives aux annexes (telles que définies dans le tableau 3) du/des addenda britannique(s) sont disponibles dans les clauses contractuelles types de l'UE applicables, dans les présentes, dans le document transactionnel lui-même, ainsi que dans l'accord de base connexe entre les parties. Ni Kyndryl ni le fournisseur ne peuvent mettre fin à/aux addenda britannique(s) lorsque ce(s) dernier(s) fait/font l'objet d'une modification.

e) En cas de conflit entre le(s) addenda britannique(s) et les présentes conditions, le(s) addenda britannique(s) prévaudra/prévaudront.

5.5 Concernant les CCT serbes :

(a) Si le Fournisseur n'est pas établi dans un Pays Adéquat : (i) le Fournisseur conclut par les présentes les CCT serbes avec Xxxxxxx au nom du Fournisseur en tant que Sous-traitant ; et (ii) le Fournisseur conclura des contrats écrits avec chaque Sous-traitant ultérieur agréé, conformément à l'Article 8 des CCT serbes et fournira à Kyndryl, sur demande, des exemplaires de ces contrats.

(b) Si le Fournisseur est établi dans un Pays Adéquat, le Fournisseur conclut par les présentes les CCT serbes avec Kyndryl au nom de chaque Sous-traitant ultérieur situé dans un Pays non adéquat. Si le Fournisseur n'est pas en mesure de le faire pour un tel Sous-traitant ultérieur, le Fournisseur transmettra à Kyndryl les CCT serbes signées par ce Sous-traitant ultérieur pour contresignature par Xxxxxxx avant d'autoriser le Sous-traitant ultérieur à Traiter les Données à caractère Personnel d'Kyndryl.

(c) Le cas échéant, les CCT serbes entre Kyndryl et le Fournisseur serviront soit de CCT serbes entre un Responsable de traitement et un Sous-traitant soit de contrat miroir (back-to-back) entre un « sous-traitant » et un « sous-traitant ultérieur ». En cas de contradiction entre les CCT serbes et les présentes Dispositions, les CCT serbes prévaudront.

(d) Les informations requises pour remplir les Annexes 1 à 8 des CCT serbes afin de régir le transfert de Données à caractère Personnel vers un Pays Non Adéquat se trouvent dans les présentes Dispositions et dans l'Annexe au Document de Transaction ou dans le Document de Transaction proprement dit.

6. Assistance et Enregistrements

6.1 Compte tenu de la nature du Traitement, le Fournisseur s'engage à assister Xxxxxxx en mettant en place des mesures techniques et organisationnelles appropriées pour respecter les obligations associées aux demandes et droits des Personnes Concernées. Le Fournisseur assistera également Xxxxxxx pour s'assurer de la conformité aux obligations relatives à la sécurité du Traitement, à la notification et à la communication d'une Violation de Sécurité et la création d'évaluations d'impact sur la protection des données, notamment la consultation préalable de l’autorité compétente, si nécessaire, en prenant en considération les informations à la disposition du Fournisseur.

6.2 Le Fournisseur s'engage à conserver un registre à jour du nom et des coordonnées de chaque Sous- traitant ultérieur, notamment de chaque représentant et délégué à la protection des données de chaque Sous-traitant ultérieur. Sur demande, le Fournisseur transmettra ce registre à Kyndryl dans un délai permettant à Xxxxxxx de répondre rapidement à toute demande émanant d'un Client ou d'un tiers.

Article IV, Mesures Techniques et Organisationnelles, Sécurité du Code

Cet Article s'applique si le Fournisseur a accès au Code Source d'Kyndryl. Le Fournisseur doit respecter les obligations du présent Article et ainsi protéger le Code Source d'Kyndryl contre toute perte, destruction, modification, divulgation accidentelle ou non autorisée, accès accidentel ou non autorisé et toute autre forme illégale de Gestion. Les obligations énoncées dans le présent Article s'appliquent à toutes les applications, plateformes et infrastructures informatiques que le Fournisseur exploite ou gère lors de la fourniture des Livrables et Services et de la Gestion de la Technologie Kyndryl, y compris tous les développements, tests, hébergements, supports, opérations et environnements de centre de données.

1. Obligations de Sécurité

Définition des termes utilisés ci-dessous :

Pays Prohibé signifie tout pays (a) désigné par le gouvernement des Etats-Unis comme étant un adversaire d'origine étrangère en vertu du décret du 15 mai 2019 relatif à la Sécurisation des Technologies de l'Information et de la Communication et de la Chaîne Logistique des Services, (b) répertorié conformément à l'article 1654 de la Loi U.S. National Defense Authorization Act de 2019, ou (c) désigné par « Pays Prohibé » dans le Document de Transaction.

1.1. Le Fournisseur ne distribuera ou ne mettra sous séquestre aucun Code Source d'Kyndryl au profit d'un tiers quel qu'il soit.

1.2. 1.2. Le Fournisseur ne laissera aucun Code Source d'Kyndryl sur des serveurs situés dans un Pays Prohibé. Le Fournisseur ne permettra à quiconque, y compris son Personnel, se trouvant dans un Pays Prohibé ou visitant un Pays Prohibé (dans la mesure où cette visite a lieu), pour quelque raison que ce soit, d'accéder à ou d'utiliser un Code Source d'Kyndryl, quel que soit l'emplacement de ce Code Source d'Kyndryl dans le monde, et le Fournisseur n'autorisera aucun développement, test ou autre prestation nécessitant un tel accès ou une telle utilisation dans un Pays Prohibé.

1.3. Le Fournisseur ne placera ou ne distribuera le Code Source d'Kyndryl dans aucune juridiction dont la législation ou l'interprétation de la législation exige la divulgation du Code Source à un tiers. Si un changement de législation ou d'interprétation de législation dans une juridiction où se situe le Code Source d'Kyndryl impose au Fournisseur la divulgation dudit Code Source à un tiers, le Fournisseur s'engage à détruire ou retirer immédiatement ce Code Source d'Kyndryl de ladite juridiction et à ne placer aucun autre Code Source d'Kyndryl dans cette juridiction si ladite législation ou interprétation de la législation demeure en vigueur.

1.4. Le Fournisseur ne devra pas, directement ou indirectement, prendre une mesure, notamment la conclusion d'un ou plusieurs contrats, qui conduirait le Fournisseur, Kyndryl ou un tiers à subir une obligation de divulgation au titre des articles 1654 ou 1655 de la Loi U.S. National Defense Authorization Act de 2019. Par souci de clarté, sauf autorisation expresse dans le Document de Transaction ou dans le contrat de base associé entre les parties, le Fournisseur n'est autorisé à divulguer le Code Source d'Kyndryl à aucun tiers, en aucune circonstance, sans l'accord préalable écrit d'Kyndryl.

1.5. Si Kyndryl notifie au Fournisseur ou un tiers notifie à l'une des parties que : (a) le Fournisseur a autorisé l'introduction du Code Source d'Kyndryl dans un Pays Prohibé ou dans toute juridiction assujettie à l'alinéa 1.3 ci-dessus ; (b) le Fournisseur a diffusé, accédé au ou utilisé le Code Source d'Kyndryl d'une manière non autorisée par le Document de Transaction ou le contrat de base associé ou tout autre accord entre les parties ou (c) le Fournisseur est en violation avec l'alinéa 1.4 ci-dessus. Alors, et sans limiter les droits dont dispose Xxxxxxx pour remédier à ce non-respect en vertu de la législation ou des règles d'équité ou au titre du Document de Transaction ou du contrat de base associé ou de tout autre accord entre les parties : (i) si ladite notification est destinée au Fournisseur, ce dernier partagera la notification avec Xxxxxxx dans les meilleurs délais ; et (ii) le Fournisseur, selon les instructions raisonnables d'Kyndryl, étudiera et remédiera au problème dans un délai raisonnablement déterminé par Xxxxxxx (après consultation du Fournisseur).

1.6. 1.6. Si Xxxxxxx estime raisonnablement que des changements de stratégies, procédures, contrôles ou pratiques du Fournisseur en ce qui concerne l'accès au Code Source peuvent être nécessaires pour traiter

les risques en matière de Sécurité, d'infraction aux droits de propriété intellectuelle ou des risques similaires ou associés (notamment le risque que, sans ces changements, Kyndryl ne soit pas autorisée à vendre à certains Clients ou sur certains marchés ou qu'elle ne soit pas en mesure de satisfaire les exigences du Client en matière de Sécurité ou de chaîne logistique), alors Kyndryl pourra contacter le Fournisseur pour discuter des mesures nécessaires permettant de répondre à ces risques, y compris des modifications à apporter à ces stratégies, procédures, contrôles ou pratiques. Sur demande d'Xxxxxxx, le Fournisseur collaborera avec Kyndryl pour évaluer si de telles modifications sont nécessaires et pour mettre en œuvre les modifications appropriées convenues d'un commun accord.

Article V, Développement Sécurisé

Cet Article s'applique si le Fournisseur fournira à Kyndryl son propre Code Source ou Logiciel sur Site ou celui d'un tiers ou si les Livrables ou Services du Fournisseur seront fournis à un Client d'Kyndryl dans le cadre d'un produit ou service Kyndryl.

1. Etat de préparation de la sécurité

Le Fournisseur coopérera aux processus internes d'Kyndryl qui évaluent le niveau de sécurité des produits et service d’Kyndryl qui reposent sur l'un des Livrables du Fournisseur, notamment en répondant dans les délais et en intégralité aux demandes d'informations, que ce soit par le biais de documents, d'autres registres, d'entretiens avec le Personnel concerné du Fournisseur, etc.

2. Développement Sécurisé

2.1 La présente Section 2 ne s'applique que si le Fournisseur fournit un Logiciel sur Site à Kyndryl.

2.2 Le Fournisseur a mis en place et maintiendra tout au long de la durée du Document de Transaction, conformément aux Pratiques Exemplaires dans le Secteur d'Activité, les politiques, procédures et contrôles de sécurité axés sur les réseaux, plateformes, systèmes, applications, périphériques, infrastructures physiques, interventions en cas d'incident et membres du Personnel, qui sont nécessaires pour protéger : (a) les environnements et systèmes de développement, de construction, de test et d'opérations que le Fournisseur ou un tiers engagé par le Fournisseur exploite, gère, utilise ou sur lesquels il s'appuie pour ou en lien avec les Livrables et (b) tous les codes source des Livrables contre toute perte, toute forme illégale de traitement et tout accès, divulgation ou modification non autorisé.

3. Certification ISO 20243

3.1 La présente Section 3 ne s'applique que si les Livrables ou Services du Fournisseur seront fournis à un Client d'Kyndryl dans le cadre d'un produit ou service Kyndryl.

3.2 Le Fournisseur se procurera une certification de conformité à la norme ISO 20243, Technologies de l'Information - Norme de Fournisseur de Technologie de Confiance Ouverte (O-TTPS), Atténuation des produits contrefaits et malicieusement contaminés (soit une certification par auto-évaluation, soit une certification basée sur l'évaluation d'un auditeur indépendant réputé). Alternativement, sous réserve de la demande écrite du Fournisseur et de l'accord écrit d'Kyndryl, le Fournisseur obtiendra une certification de conformité à une norme substantiellement équivalente applicable en matière de développement sécurisé et de pratiques de gestion de la chaîne logistique (soit une certification par auto-évaluation, soit une certification basée sur l'évaluation d'un auditeur indépendant réputé, si et dans la mesure où Xxxxxxx donne son accord).

3.3 Le Fournisseur se procurera la certification de conformité à xx xxxxx XXX 00000 ou à une norme du secteur d'activité substantiellement équivalente (si Kyndryl approuve par écrit) sous 180 jours à partir de la Date d'Entrée en Vigueur du Document de Transaction et veillera à son renouvellement tous les 12 mois (conformément à la version la plus récente de la norme applicable, c'est-à-dire la norme ISO 20243 ou, en cas d'accord écrit d'Kyndryl, toute norme substantiellement équivalente applicable au secteur en matière de développement sécurisé et de pratiques de gestion de la chaîne logistique).

3.4 Le Fournisseur transmettra à Kyndryl, sur demande, un exemplaire des certifications que le Fournisseur est tenu de se procurer, conformément aux alinéas 2.1 et 2.2 ci-dessus.

4. Vulnérabilités en matière de Sécurité

Définition des termes utilisés ci-dessous :

Rectification d'Erreur signifie correctifs de bogues et révisions visant à corriger des erreurs ou des déficiences, y compris des Vulnérabilités en matière de Sécurité, relevés dans les Livrables.

Atténuation signifie tout moyen connu permettant d'atténuer ou d'éviter les risques d'une Vulnérabilité en matière de Sécurité.

Vulnérabilité en matière de Sécurité signifie état de la conception, du codage, du développement, de l'implémentation, des tests, des opérations, de l'assistance, de la maintenance ou de la gestion d'un Livrable qui permet une attaque par quiconque et qui pourrait donner lieu à un accès ou une exploitation non autorisée, notamment : (a) l'accès, le contrôle ou l'interruption d'une opération d'un système, (b) l'accès aux, la suppression, la modification ou l'extraction des données ou (c) des modifications de l'identité, des autorisations ou des droits d'accès des utilisateurs ou administrateurs. Une Vulnérabilité en matière de Sécurité peut exister indépendamment du fait qu'un identifiant CVE (Common Vulnerabilities or Exposures) ou toute évaluation ou classification officielle lui soit attribuée ou non.

4.1 Le Fournisseur se porte garant et s'engage à : (a) mettre en œuvre les Pratiques Exemplaires applicables au secteur visant à identifier des Vulnérabilités en matière de Sécurité, y compris au moyen d'analyses de sécurité portant sur l'application du code source statique et dynamique, d'analyses de sécurité open- source et de scannages de vulnérabilités du système, et (b) se conformer aux présentes Dispositions afin de prévenir, détecter et corriger les Vulnérabilités en matière de Sécurité relevées dans les Livrables et dans toutes les applications, plateformes et infrastructures informatiques par le biais desquelles le Fournisseur procède à la création et à la livraison des Services et Livrables.

4.2 3.2 Si le Fournisseur relève une Vulnérabilité en matière de Sécurité affectant l'un de ses Livrables ou l'une des applications, plateformes ou infrastructures informatiques, il procurera à Kyndryl une Rectification d'Erreur et des mesures d'Atténuation pour toutes les versions et éditions des Livrables, conformément aux Niveaux de gravité et aux délais définis dans les tableaux ci-dessous :

Xxxxxx xx Xxxxxxx*

Urgence - Vulnérabilité en matière de Sécurité constituant une menace grave et potentiellement mondiale. Kyndryl désigne les Vulnérabilités en matière de Sécurité d'Urgence à son entière discrétion, quel que soit le

Score de Base CVSS.

Critique - Vulnérabilité en matière de Sécurité dont le Score de Base CVSS est compris entre 9 et 10,0

Elevée - Vulnérabilité en matière de Sécurité dont le Score de Base CVSS est compris entre 7,0 et 8,9

Moyenne - Vulnérabilité en matière de Sécurité dont le Score de Base CVSS est compris entre 4,0 et 6,9

Faible - Vulnérabilité en matière de Sécurité dont le Score de Base CVSS est compris entre 0,0 et 3,9

Délais
Urgence	Critique	Elevée	Moyenne	Faible
4 Jours ou moins, comme déterminé par le Bureau de la sécurité des systèmes d'information d'Kyndryl	30 Jours	30 Jours	90 Jours	Selon les Pratiques Exemplaires dans le Secteur d'Activité

* Lorsque le Score de Base CVSS n'a pas été défini pour une Vulnérabilité en matière de Sécurité, le Fournisseur appliquera un niveau de gravité adapté à la nature et aux circonstances de ladite vulnérabilité.

4.3 Pour une Vulnérabilité en matière de Sécurité qui a été communiquée publiquement et pour laquelle le Fournisseur n'a pas encore fourni de Rectification d'Erreur ou d'Atténuation à Kyndryl, le Fournisseur mettra en œuvre autant de contrôles supplémentaires de sécurité que possible visant à atténuer les risques liés à la vulnérabilité.

4.4 Si Kyndryl n'est pas satisfaite de la réponse du Fournisseur à une Vulnérabilité en matière de Sécurité d'un Livrable ou de toute application, plateforme ou infrastructure susmentionnée, sans préjudice de

tout autre droit d'Xxxxxxx, le Fournisseur prendra rapidement les mesures nécessaires permettant à Xxxxxxx de discuter de ses préoccupations directement avec un Vice-Président ou un dirigeant équivalent responsable de la livraison de la Rectification d'Erreur.

4.5 3.5 Les exemples de Vulnérabilités en matière de Sécurité comprennent le code tiers ou code open- source en fin de service (end-of-service, EOS) lorsque ces types de code ne bénéficient plus de correctifs de sécurité.

Article VI, Accès aux Systèmes d'Entreprise

Le présent Article s'applique si les employés du Fournisseur vont avoir accès à un Système d'Entreprise.

1. Dispositions Générales

1.1 Kyndryl déterminera si les employés du Fournisseur seront autorisés à accéder aux Systèmes d'Entreprise. Si Xxxxxxx accorde cette autorisation, le Fournisseur devra se conformer et demander à ses employés disposant dudit accès de se conformer aux exigences du présent Article.

1.2 Kyndryl déterminera les moyens permettant aux employés du Fournisseur d'accéder aux Systèmes d'Entreprise, notamment si ces employés auront accès aux Systèmes d'Entreprise par le biais de Périphériques fournis par Xxxxxxx ou par le Fournisseur.

1.3 1.3 Les employés du Fournisseur sont autorisés uniquement à accéder aux Systèmes d'Entreprise et à ne pourront utiliser que les Périphériques pour lesquels Xxxxxxx autorise cet accès uniquement afin de fournir les Services. Les employés du Fournisseur s'engagent à ne pas utiliser les Périphériques ainsi autorisés par Xxxxxxx pour fournir des services à toute autre personne physique ou morale ou pour accéder, en lien avec les Services, aux systèmes informatiques, réseaux, applications, sites Web, outils de messagerie, outils de collaboration, ou autres du Fournisseur ou d'un tiers.

1.4 Par souci de clarté, les employés du Fournisseur s'engagent à ne pas utiliser les Périphériques ainsi autorisés par Xxxxxxx pour accéder aux Systèmes d'Entreprise pour des raisons personnelles (par exemple, les employés du Fournisseur ne sont pas autorisés à stocker des fichiers personnels tels que musique, vidéos, images ou autres éléments similaires sur lesdits Périphériques et ne peuvent pas utiliser l'Internet à partir de ces Périphériques pour des raisons personnelles).

1.5 Les employés du Fournisseur ne copieront pas les Eléments Kyndryl accessibles par le biais d'un Système d'Entreprise, sans l'accord préalable écrit d'Kyndryl (et ne copieront jamais les Eléments Kyndryl sur un périphérique de stockage portable tel qu'une clé USB, un disque dur externe ou autres éléments similaires).

1.6 1.6 Sur demande, le Fournisseur confirmera, par le nom de l’employé, les Systèmes d'Entreprise spécifiques auxquels ses employés sont autorisés à accéder et auxquels ils ont accédé sur une période de temps identifiée par Xxxxxxx.

1.7 Le Fournisseur notifiera à Kyndryl dans les vingt-quatre (24) heures après qu'un employé du Fournisseur ayant accès à un Système d'Entreprise : (a) n'est plus employé par le Fournisseur, (b) n'exerce plus les activités nécessitant ledit accès. Le Fournisseur collaborera avec Xxxxxxx pour veiller à ce que l'accès accordé à ces anciens ou actuels employés soit immédiatement révoqué.

1.8 Le Fournisseur signalera immédiatement à Kyndryl tous les incidents de sécurité réels ou présumés (par exemple, perte d'un Périphérique d'Kyndryl ou du Fournisseur ou accès non autorisé à un Périphérique ou aux données, éléments ou autres informations de quelque nature que ce soit) et coopérera avec Kyndryl à l'enquête sur de tels incidents.

1.9 1.9 Le Fournisseur ne doit autoriser aucun employé d’une agent, entrepreneur indépendant ou sous- traitant à accéder aux Systèmes d'Entreprise sans l'accord préalable écrit d'Kyndryl ; si Xxxxxxx donne cet accord, le Fournisseur engagera contractuellement ces personnes et leurs employeurs à respecter les exigences du présent Article comme si ces personnes étaient des employés du Fournisseur, et sera responsable vis-à-vis d'Kyndryl de toutes les actions et omissions de ces personnes ou employeurs en lien avec ledit accès aux Systèmes d'Entreprise.

2. Logiciel de Périphérique

2.1 Le Fournisseur demandera à ses employés d'installer rapidement tous les logiciels de Périphérique nécessaires permettant à Kyndryl de faciliter l'accès sécurisé aux Systèmes d'Entreprise. Ni le Fournisseur, ni ses employés n'interféreront dans les opérations de ce logiciel ou les dispositifs de sécurité activés par le logiciel.

2.2 Le Fournisseur et ses employés respecteront les règles de configuration de Périphérique définies par Xxxxxxx et collaboreront avec Kyndryl pour garantir le fonctionnement du logiciel comme prévu par

Kyndryl. Par exemple, le Fournisseur n'est pas autorisé à contourner les fonctions de blocage de site Web ou d'application automatisée de correctifs.

2.3 Les employés du Fournisseur ne sont pas autorisés à partager avec toute autre personne les Périphériques qu'ils utilisent pour accéder aux Systèmes d'Entreprise, ni leurs noms d'utilisateur, mots de passe, etc. associés aux Périphériques.

2.4 Si Kyndryl autorise les employés du Fournisseur à accéder aux Systèmes d'Entreprise à l'aide des Périphériques du Fournisseur, ce dernier installera et exécutera sur ces Périphériques un système d'exploitation approuvé par Kyndryl et mis à niveau vers une nouvelle version de ce système d'exploitation ou d'un nouveau système d'exploitation dans un délai raisonnable suivant les instructions correspondantes d'Kyndryl.

3. Supervision et Coopération

3.1 Kyndryl a le droit absolu de surveiller et résoudre les intrusions potentielles et d'autres menaces de cybersécurité émanant par tous les moyens possibles, quelle qu'en soit l'origine et à l'aide de toutes méthodes jugées nécessaires ou appropriées par Xxxxxxx, sans notification préalable au Fournisseur ou à tout employé ou autre agent du Fournisseur. Exemples de ces droits : Xxxxxxx pourra à tout moment

(a) mener un test de sécurité sur n'importe quel Périphérique, (b) surveiller, restaurer par des moyens techniques ou autres et passer en revue les communications (notamment les e-mails provenant de n'importe quel compte de messagerie), enregistrements, fichiers et autres éléments stockés dans un Périphérique ou transmis par le biais d'un Système d'Entreprise et (c) se procurer une image contextuelle complète de tout Périphérique. Si Xxxxxxx a besoin de la coopération du Fournisseur pour exercer ses droits, le Fournisseur répondra entièrement et dans les délais convenus aux demandes de coopération d'Kyndryl (par exemple, les demandes pour la configuration sécurisée d'un Périphérique, l'installation d'un logiciel de surveillance ou autre sur un Périphérique, le partage des détails de connexion de niveau système, la mise en œuvre de mesures d'intervention en cas d'incident sur un Périphérique et l'octroi de l'accès physique ou autre à un Périphérique afin qu'Xxxxxxx puisse obtenir une image contextuelle complète, ainsi que des demandes similaires et connexes).

3.2 Kyndryl pourra à tout moment révoquer l'accès physique aux Systèmes d'Entreprise pour l'un quelconque ou la totalité des employés du Fournisseur, sans notification préalable au Fournisseur ou à tout employé ou autre agent du Fournisseur, si Xxxxxxx estime que cela est nécessaire pour protéger Xxxxxxx.

3.3 Les droits d'Kyndryl ne sont bloqués, diminués ou restreints en aucune façon par aucune disposition du Document de Transaction, du contrat de base associé entre les parties ou de tout autre accord entre les parties, notamment aucune disposition pouvant exiger que des données, éléments ou autres informations de quelque nature que ce soit résident uniquement dans un ou plusieurs sites sélectionnés ou pouvant exiger que seules les personnes d'un ou plusieurs sites sélectionnés accèdent à ces données, éléments ou autres informations.

4. Périphériques Kyndryl

4.1 Xxxxxxx conservera la propriété de tous les Périphériques Kyndryl dont le risque de perte, notamment par suite de vol, vandalisme ou négligence, sera assumé par le Fournisseur. Le Fournisseur n'apportera ou ne permettra aucune modification des Périphériques Kyndryl sans l'accord préalable écrit d'Kyndryl, à savoir aucune modification d'un Périphérique, y compris des logiciels, applications, conceptions de sécurité, configurations de paramètres de sécurité ou conceptions physiques, mécaniques ou électriques d'un Périphérique.

4.2 Le Fournisseur restituera tous les Périphériques Kyndryl dans les cinq (5) jours ouvrables après que ces Périphériques ne soient plus nécessaires pour la fourniture des Services et détruira en même temps, à la demande d'Kyndryl, l'ensemble des données, éléments ou autres informations de quelque nature que ce soit sur ces Périphériques, sans en conserver de copie, conformément aux Pratiques Exemplaires dans le Secteur d'Activité relatives à la suppression définitive de tous ces éléments, données ou autres

informations. Le Fournisseur devra, à ses propres frais, emballer les Périphériques Xxxxxxx et les retourner dans le même état que celui dans lequel ils ont été livrés au Fournisseur, exception faite de l'usure normale, au site identifié par Xxxxxxx. Le manquement du Fournisseur à toute obligation du présent alinéa 4.2 constitue une violation substantielle du Document de Transaction et du contrat de base associé et de tout contrat connexe entre les parties, étant entendu qu'un contrat est « connexe » si l'accès à un Système d'Entreprise facilite les tâches ou autres activités du Fournisseur au titre de ce contrat.

4.3 Kyndryl fournira un service de support pour les Périphériques Kyndryl (notamment l'inspection et la maintenance préventive et corrective des Périphériques). Le Fournisseur avisera Kyndryl sans délai de la nécessité d'un service de maintenance corrective.

4.4 Pour les logiciels dont Xxxxxxx est propriétaire ou qu'elle a le droit de concéder sous licence, Kyndryl confère au Fournisseur un droit temporaire permettant de les utiliser, de les stocker et d'en faire suffisamment de copies à l'appui de l'utilisation autorisée des Périphériques Kyndryl. Le Fournisseur n'est pas autorisé à transférer les logiciels à quiconque, à faire des copies des informations de licence logicielle, ni à désassembler, décompiler, traduire de quelque façon que ce soit un logiciel ou avoir recours à l'ingénierie inverse, à moins d'y être expressément autorisé par une disposition légale d'ordre public.

5. Mises à Jour

5.1 Nonobstant toute disposition contraire dans le Document de Transaction ou le contrat de base associé entre les parties, Kyndryl pourra, sans notification écrite au Fournisseur et sans avoir besoin de l'accord du Fournisseur, mettre à jour, compléter ou modifier le présent Article pour satisfaire à toute exigence d'une loi applicable ou une obligation du Client, afin de prendre en considération l'éventuelle évolution des Pratiques Exemplaires en matière de sécurité ou autre exigence jugée nécessaire par Xxxxxxx pour protéger Xxxxxxx ou les Systèmes d'Entreprise.

Article VII, Renforcement du Personnel

Le présent Article s'applique si les employés du Fournisseur vont consacrer la totalité de leur temps de travail à fournir des Services pour Kyndryl, à réaliser tous ces Services dans les locaux d'Kyndryl, les locaux du Client ou à partir de leur domicile et à fournir les Services uniquement en utilisant les Périphériques Kyndryl pour accéder aux Systèmes d'Entreprise.

1. Accès aux Systèmes d'Entreprise - Environnements d'Kyndryl

1.1 Le Fournisseur n'est autorisé à fournir les Services qu'en accédant aux Systèmes d'Entreprise à l'aide des Périphériques fournis par Xxxxxxx.

1.2 Le Fournisseur respectera les dispositions de l'Article VI (Accès aux Systèmes d'Entreprise) pour tous les accès aux Systèmes d'Entreprise.

1.3 Les Périphériques fournis par Xxxxxxx sont les seuls Périphériques que le Fournisseur et ses employés sont autorisés à utiliser pour fournir les Services et ne peuvent être utilisés par le Fournisseur et ses employés que pour fournir les Services. Par souci de clarté, le Fournisseur ou ses employés ne sont en aucun cas autorisés à utiliser d'autres périphériques pour fournir les Services ou à utiliser les Périphériques Kyndryl pour tout autre client du Fournisseur ou à des fins autres que la fourniture des Services à Kyndryl.

1.4 Les employés du Fournisseur utilisant les Périphériques Kyndryl peuvent partager, les uns avec les autres, les Eléments Kyndryl et stocker ces derniers sur les Périphériques Kyndryl, mais uniquement dans les limites de partage et stockage nécessaires pour la réalisation en bonne et due forme des Services.

1.5 Sauf en ce qui concerne un tel stockage sur les Périphériques Kyndryl, le Fournisseur ou ses employés ne sont en aucun cas autorisés à retirer les Eléments Kyndryl des référentiels, environnements, outils ou infrastructures Kyndryl dans lesquels ils sont conservés par Kyndryl.

1.6 Par souci de clarté, le Fournisseur et ses employés ne sont autorisés à transférer les Eléments Kyndryl vers aucun référentiel, environnement, outil ou infrastructure du Fournisseur ou vers aucun autre système, plateforme, réseau, etc. du Fournisseur, sans l'accord préalable écrit d'Kyndryl.

1.7 L'Article VIII (Mesures Techniques et Organisationnelles, Sécurité Générale) ne s'applique pas aux Services du Fournisseur si les employés du Fournisseur vont consacrer la totalité de leur temps de travail à la fourniture de Services pour Kyndryl, réaliser tous ces Services dans les locaux d'Kyndryl, les locaux du Client ou à partir de leur domicile et fournir les Services uniquement en utilisant des Périphériques Kyndryl pour accéder aux Systèmes d'Entreprise. Sinon, l'Article VIII s'applique aux Services du Fournisseur.

Article VIII, Mesures Techniques et Organisationnelles, Sécurité des Données

Le présent Article s'applique si le Fournisseur fournit des Services ou Livrables à Kyndryl, à moins que le Fournisseur n'ait accès qu’aux Coordonnées Professionnelles d'Kyndryl lors de la fourniture de ces Services et Livrables (c'est-à-dire que le Fournisseur ne Traitera aucune autre Donnée Kyndryl ou n'aura accès à aucun autre Elément Kyndryl ou Système d'Entreprise), que seuls les Services et Livrables du Fournisseur doivent fournir un Logiciel sur Site à Kyndryl ou que le Fournisseur fournit tous ses Services et Livrables dans le cadre d'un modèle d'augmentation du personnel conformément à l'Article VII, y compris l'alinéa 1.7 dudit Article.

Le Fournisseur doit respecter les obligations du présent Article et ainsi protéger : (a) les Eléments Kyndryl contre toute perte, destruction, modification, divulgation accidentelle ou non autorisée, accès accidentel ou non autorisé,

(b) les Données Kyndryl contre toute autre forme illégale de Traitement et (c) la Technologie Kyndryl contre toute forme illégale de Gestion. Les obligations énoncées dans le présent Article s'appliquent à toutes les applications, plateformes et infrastructures informatiques que le Fournisseur exploite ou gère lors de la fourniture des Livrables et Services et de la Gestion de la Technologie Kyndryl, y compris tous les développements, tests, hébergements, supports, opérations et environnements de centre de données.

1. Politiques de Sécurité

1.1. Le Fournisseur gérera et respectera les politiques et pratiques en matière de Sécurité informatique qui font partie intégrante des activités du Fournisseur, qui sont obligatoires pour tout le Personnel du Fournisseur et qui sont conformes aux Pratiques Exemplaires dans le Secteur d'Activité.

1.2. Le Fournisseur passera en revue ses politiques et pratiques en matière de Sécurité informatique au moins une fois par an et leur apportera les modifications qu'il jugera nécessaires pour la protection des Eléments Kyndryl.

1.3. Le Fournisseur gérera et respectera ses obligations d'attestation d'emploi standard pour tous les nouveaux employés et appliquera lesdites obligations à tout son Personnel et à ses filiales détenues à 100 %. Ces obligations comprennent notamment des vérifications de casier judiciaire dans les limites autorisées par la législation locale, ainsi que la validation de l'identité et d'autres contrôles jugés nécessaires par le Fournisseur. Le Fournisseur répétera et revalidera périodiquement ces obligations, s'il le juge nécessaire.

1.4. Le Fournisseur dispensera annuellement à ses employés une formation dans les domaines de la sécurité et de la confidentialité et demandera à tous ces employés de certifier chaque année qu'ils respecteront les politiques du Fournisseur en matière d'éthique professionnelle, de Confidentialité et de Sécurité, telles qu'elles sont exposées dans le code de conduite ou des documents similaires du Fournisseur. Le Fournisseur dispensera aux personnes ayant un accès administrateur aux composants des Services une formation supplémentaire sur les politiques et processus spécifique à leur rôle et la prise en charge des Services, Livrables et Éléments Kyndryl, et selon les besoins pour maintenir la conformité et les certifications nécessaires.

1.5. 1.5. Le Fournisseur doit concevoir des mesures de sécurité et de confidentialité pour protéger et maintenir la disponibilité des Éléments Kyndryl, notamment en implémentant, gérant et respectant des politiques et procédures qui exigent la sécurité et la confidentialité dès la conception (« Security and Privacy by design »), l'ingénierie sécurisée et des opérations sécurisées, pour tous les Services et Livrables et pour toutes les Gestions de la Technologie Kyndryl.

2. Incidents de Sécurité

2.1. Le Fournisseur mettra en place et respectera les politiques de résolution d'incident documentées, conformément aux Pratiques Exemplaires dans le Secteur d'Activité relatives au traitement des incidents de sécurité informatique.

2.2. Le Fournisseur enquêtera sur les accès non autorisés ou l'utilisation non autorisée des Eléments Xxxxxxx et définira et exécutera un plan d'intervention approprié.

2.3. Le Fournisseur s'engage à avertir Xxxxxxx dans les plus brefs délais (et en aucun cas au-delà de 48 heures) après avoir pris connaissance de toute Violation de sécurité. Le Fournisseur fournira une telle notification à xxxxx.xxxxxxxxx@xxxxxxx.xxx. Le Fournisseur transmettra à Kyndryl les informations demandées de manière raisonnable sur ladite violation et sur l'état des activités de résolution et de restauration du Fournisseur. A titre d'exemple, les informations demandées de manière raisonnable peuvent inclure des logs démontrant l'accès privilégié, administratif et autre aux Périphériques, systèmes

ou applications, aux images contextuelles des Périphériques, systèmes ou applications et autres éléments similaires, dans la mesure où ces informations sont en rapport avec la violation ou avec les activités de résolution et de restauration du Fournisseur.

2.4. Le Fournisseur assistera Kyndryl de manière raisonnable pour satisfaire les obligations légales (y compris les obligations de notification des Personnes Concernées ou des responsables de la réglementation) d'Kyndryl, des sociétés affiliées d'Kyndryl et des Clients (ainsi que leurs clients et sociétés affiliées) en lien avec une Violation de Sécurité.

2.5. Le Fournisseur n'est pas autorisé à informer un tiers qu'une Violation de Sécurité concerne directement ou indirectement Kyndryl ou des Eléments Kyndryl, sauf si Xxxxxxx l'y autorise par écrit ou si la loi l'exige. Le Fournisseur en avisera Xxxxxxx par écrit avant d'envoyer à un tiers toute notification légalement requise si celle-ci révèle directement ou indirectement l'identité d'Xxxxxxx.

2.6. Dans le cas d'une Violation de Sécurité découlant du manquement du Fournisseur à une obligation au titre des présentes Dispositions :

(a) (a) le Fournisseur prendra en charge tous les coûts qu'il engage ainsi que les frais réels encourus par Xxxxxxx pour l'envoi d'une notification de Violation de Sécurité aux autorités compétentes concernées ou à tout autre organisme gouvernemental ou instance d'autorégulation du secteur d'activité concerné, aux médias (si la loi applicable l'exige), ainsi qu'aux Personnes Concernées, Clients et autres

;

(b) à la demande d'Kyndryl, le Fournisseur mettra en place et maintiendra, à ses propres frais, un centre d'appels pour répondre aux questions des Personnes Concernées sur la Violation de Sécurité et ses conséquences, pendant le délai garantissant la meilleure protection, à savoir soit une période d'un an suivant la date à laquelle la Violation de Sécurité a été notifiée auxdites Personnes Concernées, soit conformément aux exigences de la loi applicable sur la protection des données. Kyndryl et le Fournisseur collaboreront pour créer les scripts et autres éléments à utiliser par le personnel du centre d'appels lorsqu'il répond aux demandes. Alternativement, moyennant un préavis écrit adressé au Fournisseur, Xxxxxxx pourra mettre en place et gérer son propre centre d'appels au lieu de demander au Fournisseur de mettre en place un centre d'appels et le Fournisseur remboursera à Kyndryl les coûts réels engagés par Kyndryl lors de la mise en place et de la gestion dudit centre d'appels ; et

(c) le Fournisseur remboursera à Kyndryl les coûts réels de prestation de services de suivi de crédit et de rétablissement de crédit engagés par Xxxxxxx, pendant le délai garantissant la meilleure protection, à savoir soit une période d'un an suivant la date de notification de la Violation de Sécurité à tous les individus concernés par la violation qui choisissent de souscrire à ces services, soit conformément aux exigences d'une loi applicable sur la protection des données.

3. Contrôle de sécurité et d'Entrée Physique (le terme « Installation », tel qu'il est utilisé ci-dessous, signifie un emplacement physique dans lequel le Fournisseur héberge ou traite les Eléments Kyndryl ou y accède).

3.1. Le Fournisseur mettra en place des dispositifs de contrôle d'Entrée Physique appropriés, tels que les barrières, les points d'entrée contrôlés par carte, les caméras de surveillance et les bureaux de réception surveillés, afin d'empêcher toute entrée non autorisée dans les Installations.

3.2. Le Fournisseur exigera une autorisation d'accès aux Installations et aux zones contrôlées des Installations, y compris tout accès temporaire, et limitera les accès par rôle professionnel et en fonction des besoins professionnels. Si le Fournisseur accorde un accès temporaire, son employé habilité accompagnera tout visiteur se trouvant dans l'Installation et dans les zones contrôlées.

3.3. Le Fournisseur mettra en place des contrôles d'accès, y compris les contrôles d'accès multi-facteur conformes aux Pratiques Exemplaires dans le Secteur d'Activité, afin de restreindre de manière appropriée l'entrée dans les zones contrôlées des Installations, consignera dans des logs toutes les tentatives d'entrée et conservera ces logs pendant au moins un an.

3.4. Le Fournisseur révoquera l'accès aux Installations et aux zones contrôlées des Installations (a) dès la rupture du contrat de travail d'un employé habilité du Fournisseur ou (b) lorsque l'employé habilité du Fournisseur n'a plus de motif professionnel valable pour y accéder. Le Fournisseur se conformera aux procédures formelles de rupture de contrat de travail qui comprennent le retrait de l'employé, dans les plus brefs délais, des listes de contrôle d'accès et la restitution des badges d'accès physique.

3.5. Le Fournisseur prendra les précautions nécessaires pour protéger toutes les infrastructures physiques utilisées à l'appui des Services et Livrables et de la Gestion de la Technologie Kyndryl contre les menaces environnementales, tant d'origine naturelle qu'humaine, par exemple température ambiante excessive, incendie, inondation, humidité, vol et vandalisme.

4. Contrôle d'accès, d'intervention, de transfert et de séparation

4.1. Le Fournisseur maintiendra l'architecture de sécurité documentée des réseaux qu'il gère lorsqu'il utilise les Services, fournit des Livrables et Gère la Technologie Kyndryl. Le Fournisseur passera en revue séparément ladite architecture de réseau et prendra les mesures permettant d'empêcher les connexions réseau non autorisées aux systèmes, applications et périphériques réseau, afin de garantie la conformité aux normes en matière de segmentation sécurisée, d'isolement et de protection complète. Le Fournisseur n'est pas autorisé à utiliser la technologie sans fil dans le cadre de l'hébergement et des opérations des Services Hébergés ; cependant, le Fournisseur peut utiliser la technologie réseau sans fil pour la livraison des Services et Livrables et pour la Gestion de la Technologie Kyndryl, mais il devra appliquer un chiffrement et exiger une authentification sécurisée pour ces réseaux sans fil.

4.2. Le Fournisseur mettra en place des mesures destinées à séparer logiquement les Eléments Xxxxxxx et à empêcher que ces derniers soient exposés ou accessibles aux personnes non autorisées. En outre, le Fournisseur mettra en place une isolation appropriée de ses environnements de production et hors production et de tout autre environnement et, si des Eléments Kyndryl sont déjà présents dans ou sont transférés vers un environnement hors production (par exemple pour reproduire une erreur), le Fournisseur veillera à ce que les protections en termes de sécurité et de protection de données dans l'environnement hors production soient équivalentes à celles de l'environnement de production.

4.3. Le Fournisseur chiffrera les Eléments Kyndryl en transit et stockés (sauf si le Fournisseur démontre, à la satisfaction raisonnable d'Kyndryl que le chiffrement des Eléments Kyndryl stockés est techniquement irréalisable). Le Fournisseur chiffrera également tous les supports physiques, le cas échéant, tels que les supports contenant des fichiers de sauvegarde. Le Fournisseur gérera des procédures documentées pour la génération, l'émission, la distribution, le stockage, la rotation, la révocation, la restauration, la sauvegarde, la destruction, l'accès et l'utilisation sécurisés des clés en association avec le chiffrement de données. Le Fournisseur veillera à ce que les méthodes cryptographiques spécifiques utilisées pour ces chiffrements soient conformes aux Pratiques Exemplaires dans le Secteur d'Activité (telles que NIST SP 800-131a).

4.4. Si le Fournisseur requiert l'accès aux Eléments Kyndryl, le Fournisseur restreindra et limitera cet accès au niveau minimum requis pour la fourniture et la prise en charge des Services et Livrables. Le Fournisseur exigera que ledit accès, y compris l'accès administrateur aux composants sous-jacents (c'est-à-dire l'accès privilégié) soit individuel, basé sur les rôles et soumis à l'accord et la validation régulière des employés habilités du Fournisseur conformément aux principes de séparation des tâches. Le Fournisseur mettra en place des mesures permettant d'identifier et de supprimer les comptes redondants et inactifs. Le Fournisseur révoquera également les comptes dotés de l'accès privilégié, dans les vingt-quatre (24) heures suivant la rupture du contrat de travail du propriétaire de compte ou la demande d'Kyndryl ou des employés habilités du Fournisseur, par exemple le manager du propriétaire de compte.

4.5. Conformément aux Pratiques Exemplaires dans le Secteur d'Activité, le Fournisseur mettra en place des mesures techniques imposant un délai d'expiration pour les sessions inactives, le verrouillage des comptes après plusieurs échecs de tentative de connexion successifs, l'authentification à l'aide d'un mot de passe ou d'une phrase passe fiable, ainsi que des mesures nécessitant le transfert et le stockage sécurisés desdits mots de passe et phrases passe. En outre, le Fournisseur utilisera l'authentification multi-facteur pour tous les accès privilégiés hors console aux Eléments Kyndryl.

4.6. Le Fournisseur surveillera l'utilisation des accès privilégiés et tiendra à jour les informations de sécurité et les mesures de gestion d'événement destinées : (a) à identifier les accès et activités non autorisés, (b) à faciliter une réponse rapide et appropriée auxdits accès et activités et (c) à permettre des audits par le Fournisseur, Kyndryl (conformément à ses droits de vérification dans les présentes Dispositions et à ses droits d'audit dans le Document de Transaction ou le contrat de base associé ou tout autre accord connexe entre les parties) et des tiers de la conformité aux politiques documentées du Fournisseur.

4.7. Le Fournisseur conservera des logs dans lesquels il enregistre, conformément aux Pratiques Exemplaires dans le Secteur d'Activité, tous les accès ou activités administrateur, utilisateur ou autres relatifs aux systèmes utilisés dans le cadre de la fourniture de Services ou Livrables et de la Gestion de la Technologie Kyndryl (et fournira ces logs à Kyndryl sur demande). Le Fournisseur mettra en place des mesures de protection contre l'accès non autorisé, la modification et la destruction accidentelle ou délibérée desdits logs.

4.8. Le Fournisseur gérera des dispositifs de protection informatique pour les systèmes dont il est propriétaire ou qu'il gère, y compris les systèmes d'utilisateur final, et qu'il utilise dans le cadre de la fourniture de Services ou Livrables ou de la Gestion de la Technologie Kyndryl, comprenant notamment des pare-feux terminaux, le chiffrement de disque complet, les technologies de détection de terminaux et d'intervention basées sur la signature et la non-signature pour éliminer les programmes malveillants et les menaces persistantes sophistiquées, les verrouillages d'écran temporels et les solutions de gestion de terminaux imposant des obligations d'application de correctif et de configuration des paramètres de sécurité. En outre, le Fournisseur mettra en place des dispositifs de contrôles techniques et opérationnels assurant que seuls les systèmes d'utilisateur final connus et sécurisés sont autorisés à utiliser les réseaux du Fournisseur.

4.9. Conformément aux Pratiques Exemplaires dans le Secteur d'Activité, le Fournisseur mettra en place des dispositifs de protection pour les environnements de centre de données où des Eléments Kyndryl sont présents ou traités, notamment des mesures de détection et de prévention des intrusions et des mesures correctives et d'atténuation des attaques par saturation.

5. Contrôle d'intégrité et de disponibilité des services et des systèmes

5.1. Le Fournisseur s'engage : (a) à réaliser des évaluations des risques liés à la sécurité et la protection des données à caractère personnel, au moins une fois par an, (b) à réaliser des tests de sécurité et à évaluer les vulnérabilités, notamment l'analyse automatisée de la sécurité des systèmes et applications ainsi que le piratage éthique manuel, avant la mise en production et tous les ans par la suite en ce qui concerne les Services et Livrables et tous les ans en lien avec sa Gestion de la Technologie Kyndryl,

(c) à faire appel à un tiers indépendant agréé pour réaliser une fois par an, conformément aux Pratiques Exemplaires dans le Secteur d'Activité, des tests d'intrusion comprenant des tests automatisés et manuels, (d) à assurer la gestion automatisée et la vérification de routine de la conformité de chaque composant des Services et Livrables aux exigences de configuration des paramètres de sécurité et en lien avec sa Gestion de la Technologie Kyndryl et (e) à résoudre les vulnérabilités détectées ou la non- conformité à ses exigences en matière de configuration des paramètres de sécurité en fonction des risques associés, de l'exploitabilité et des impacts. Le Fournisseur prendra des mesures raisonnables pour éviter l'interruption des Services lorsqu'il réalise ses tests, évaluations, analyses et activités de résolution. A la demande d'Xxxxxxx, le Fournisseur transmettra à Kyndryl un rapport récapitulatif écrit sur les activités de test d'intrusion les plus récentes, contenant au minimum le nom des offres couvertes par les tests, le nombre de systèmes ou d'applications admissibles pour les tests, les dates des tests, la méthodologie utilisée dans les tests et un résumé détaillé des résultats.

5.2. Le Fournisseur mettra en place des politiques et procédures destinées à gérer les risques associés à l'application d'éventuelles modifications aux Services ou Livrables ou à la Gestion de la Technologie Kyndryl. Avant d'implémenter une telle modification, y compris dans les systèmes, réseaux et composants sous-jacents affectés, le Fournisseur consignera dans une demande de modification enregistrée : (a) la description et le motif de la modification, (b) les détails et le planning de l'implémentation, (c) une déclaration de risque abordant l'impact sur les Services et Livrables, les clients des Services ou les Eléments Kyndryl, (d) les résultats attendus, (e) le plan d'annulation et (f) l'accord des employés habilités du Fournisseur.

5.3. Le Fournisseur gérera un inventaire de tous les actifs informatiques qu'il utilise lors de l'utilisation des Services, la fourniture des Livrables et la Gestion de la Technologie Kyndryl. Le Fournisseur surveillera et gérera en continu l'état (y compris la capacité) et la disponibilité desdits actifs informatiques, Services, Livrables et Technologies Kyndryl, notamment des composants sous-jacents desdits actifs, Services, Livrables et Technologies Kyndryl.

5.4. Le Fournisseur générera tous les systèmes qu'il utilise dans le cadre du développement ou de l'utilisation des Services et Livrables et lorsqu'il Gère la Technologie Kyndryl, à partir de références

ou d'images de sécurité système prédéfinies conformes aux Pratiques Exemplaires dans le Secteur d'Activité, par exemple les tests de performances CICS (Center for Internet Security).

5.5. Sans limiter les obligations du Fournisseur ou les droits d'Kyndryl au titre du Document de Transaction ou du contrat de base associé entre les parties en lien avec la continuité des opérations, le Fournisseur évaluera séparément chaque Service et Livrable et chaque système informatique utilisé lors de la Gestion de la Technologie Kyndryl quant aux exigences en matière de continuité des opérations et des systèmes informatiques et aux exigences de reprise après incident conformément aux directives de gestion des risques documentées. Le Fournisseur veillera à ce que chaque Service, Livrable et système informatique comporte, dans les limites garanties par ladite évaluation des risques, des plans de continuité des opérations et des systèmes informatiques et de reprise après incident séparément définis, documentés, gérés et annuellement validés, conformément aux Pratiques Exemplaires en vigueur dans le Secteur d'Activité. Le Fournisseur s'assurera que lesdits plans sont destinés à fournir les temps de reprise énoncés dans l'alinéa 5.6 ci-dessous.

5.6. Les objectifs de point de reprise (« RPO ») et les objectifs de temps de reprise (« RTO ») en ce qui concerne tout Service Hébergé sont : 24 heures pour les RPO et 24 heures pour les RTO ; cependant, le Fournisseur s'engage à respecter les RPO ou RTO de durée inférieure auxquels Xxxxxxx s'est engagée vis-à-vis d'un Client, immédiatement après la notification écrite envoyée par Kyndryl au Fournisseur l'informant de la durée inférieure des RPO ou des RTO (un e-mail constitue une notification écrite). A l'instar de tous les autres Services que le Fournisseur fournit à Xxxxxxx, le Fournisseur veillera à ce que des plans relatifs à la continuité des opérations et de reprise après incident soient en place afin d'assurer des RPO et RTO permettant au Fournisseur de respecter toutes ses obligations vis-à-vis d'Kyndryl au titre du Document de Transaction, du contrat de base associé entre les parties et des présentes Dispositions, y compris ses obligations de fournir en bonne et due forme les tests, le support et la maintenance.

5.7. Le Fournisseur mettra en place des mesures destinées à évaluer, tester et appliquer des correctifs de recommandation de sécurité aux Services et Livrables et aux systèmes, réseaux, applications et composants sous-jacents associés dans le périmètre de ces Services et Livrables, ainsi que des systèmes, réseaux, applications et composants sous-jacents utilisés pour Gérer la Technologie Kyndryl. Une fois que le Fournisseur détermine qu'un correctif de recommandation de sécurité est applicable et approprié, il l'appliquera conformément aux directives d'évaluation des risques et gravités. L'application des correctifs de recommandation de sécurité par le Fournisseur sera soumise à ses politiques en matière de gestion des modifications.

5.8. Si Kyndryl dispose d'arguments raisonnables permettant de considérer que le matériel ou les logiciels fournis à Kyndryl par le Fournisseur peuvent contenir des éléments intrusifs, tels qu'un logiciel espion, un logiciel malveillant ou un code malveillant, le Fournisseur collaborera avec Xxxxxxx dans les meilleurs délais pour étudier les préoccupations d'Kyndryl et les résoudre.

6. Mise à disposition des Services

6.1 Le Fournisseur prendra en charge les méthodes courantes d'authentification fédérée pour les comptes Client ou utilisateur Kyndryl, en respectant les Pratiques Exemplaires dans le Secteur d'Activité lors de l'authentification de ces comptes Client et utilisateur Kyndryl (par exemple à l'aide de la connexion unique multi-facteur gérée centralement par Kyndryl, en utilisant OpenID Connect ou Security Assertion Markup Language).

7. Sous-traitants. Sans limiter les obligations du Fournisseur ou les droits d'Kyndryl au titre du Document de Transaction ou du contrat de base associé>entre les parties en lien avec le maintien des sous-traitants, le Fournisseur veillera à ce que tout Sous-traitant effectuant des prestations pour le Fournisseur ait mis en place des contrôles de gouvernance en vue de satisfaire les exigences et obligations imposées au Fournisseur par les présentes Dispositions.

8. Supports physiques. Le Fournisseur assurera en toute sécurité l'expurgation des supports physiques destinés à être réutilisés avant toute réutilisation et détruira les supports physiques non destinés à être réutilisés, conformément aux Pratiques Exemplaires dans le Secteur d'Activité relatives à l'expurgation des supports.

Article IX, Certifications et Rapports des Services Hébergés

Le présent Article s'applique si le Fournisseur fournit à Xxxxxxx un Service Hébergé.

1.1 Le Fournisseur se procurera les certifications ou les rapports suivants dans les délais énoncés ci- dessous :

Certifications/Rapports

Délais

En ce qui concerne les Services Hébergés du Fournisseur : Certification de conformité ISO 27001, Technologie de l'Information, Techniques de Sécurité, systèmes de gestion de la sécurité de l'information ; cette certification est fondée sur l'évaluation d'un auditeur indépendant réputé. ou Norme SOC 2 de Type 2 : un rapport émanant d'un auditeur indépendant réputé faisant état du passage en revue des systèmes, contrôles et opérations du Fournisseur conformément à la norme SOC 2 de Type 2 (y compris au minimum en matière de Sécurité, confidentialité et disponibilité).

Le Fournisseur se procurera une certification ISO 27001 sous 120 jours à partir de la Date d'Entrée en Vigueur du Document de Transaction* ou de sa Date d'Entrée en Vigueur Présumée** et veillera à son renouvellement tous les 12 mois sur la base de l'évaluation d'un auditeur indépendant réputé (conformément à la version la plus récente de la norme). Le Fournisseur se procurera le rapport de conformité SOC 2 de Type 2 sous 240 jours suivant la Date d'Entrée en Vigueur du Document de Transaction* ou de sa Date d'Entrée en Vigueur Présumée**, puis se procurera un nouveau rapport émanant d'un auditeur indépendant réputé tous les 12 mois, faisant état du passage en revue des systèmes, contrôles et opérations du Fournisseur conformément à la norme SOC 2 de Type 2 (y compris au minimum en matière de Sécurité, confidentialité et disponibilité). * Si, à ladite Date d'Entrée en Vigueur, le Fournisseur fournit un Service Hébergé ** Date à laquelle le Fournisseur présume qu'il assume une obligation de fournir un Service Hébergé

1.2 Sous réserve de la demande écrite du Fournisseur et de l'accord écrit d'Kyndryl, le Fournisseur est autorisé à se procurer une certification ou un rapport substantiellement équivalent à ceux indiqués ci- dessus, étant entendu que les délais indiqués dans le tableau ci-dessus s'appliqueraient sans modification en ce qui concerne la certification ou le rapport substantiellement équivalent.

1.3 Le Fournisseur sera tenu : (a) à la demande d'Kyndryl, de fournir rapidement une copie de chaque certification et rapport qu'il est tenu de se procurer ; (b) de résoudre dans les meilleurs délais toute faiblesse de contrôle interne relevée lors des examens relatifs à la norme SOC 2 ou toute norme substantiellement équivalent (sous réserve de l'approbation d'Kyndryl).

Article X, Coopération, Vérification et Résolution

Le présent Article s'applique si le Fournisseur fournit à Kyndryl des Services ou Livrables.

1. Coopération du Fournisseur

1.1. 1.1. Si Xxxxxxx a des raisons de se demander si des Services ou Livrables ont contribué, contribuent ou contribueront à un problème de cybersécurité, le Fournisseur coopérera raisonnablement à toute demande d'Xxxxxxx en lien avec ledit problème, notamment en répondant dans les délais et en intégralité aux demandes d'informations, par le biais de documents, d'autres registres, d'entretiens avec le Personnel concerné du Fournisseur, etc.

1.2. Les parties acceptent : (a) de se fournir mutuellement toute autre information demandée par l'une d'elles,

(b) de signer et remettre l'une à l'autre tout autre document et (c) de prendre toute autre mesure raisonnable demandée par l'autre partie en vue de l'application des présentes Dispositions et des documents mentionnés dans ces Dispositions. Par exemple, à la demande d'Xxxxxxx, le Fournisseur transmettra, dans les meilleurs délais, les dispositions de confidentialité et de sécurité de ses contrats écrits avec des Sous-traitants ultérieurs et sous-traitants, notamment, si le Fournisseur a le droit de le faire, en donnant accès aux contrats proprement dits.

1.3. Sur demande d'Xxxxxxx, le Fournisseur transmettra, dans les meilleurs délais, des informations sur les pays dans lesquels ses Livrables et les composants de ces Livrables ont été fabriqués, développés ou acquis d'une autre manière.

2. Vérification (le terme « Installation », tel qu'il est utilisé ci-dessous, signifie un emplacement physique dans lequel le Fournisseur héberge ou traite les Eléments Kyndryl ou y accède).

2.1. 2.1. Le Fournisseur tiendra à jour un registre pouvant faire l’objet d’un audit et démontrant la conformité aux présentes Dispositions.

2.2. Kyndryl, seule ou avec un auditeur externe, est autorisée, dans les trente (30) Jours suivant un préavis écrit adressé au Fournisseur, à vérifier la conformité du Fournisseur aux présentes Dispositions, notamment en accédant à une ou plusieurs Installations à de telles fins. Kyndryl n'accédera à aucun centre de données dans lequel le Fournisseur Traite les Données Kyndryl, sauf si elle estime de bonne foi que cela fournirait des informations pertinentes. Le Fournisseur coopérera à la vérification d'Xxxxxxx, notamment en répondant dans les délais et en intégralité aux demandes d'informations, par le biais de documents, d'autres registres, d'entretiens avec le Personnel concerné du Fournisseur, etc. Le Fournisseur peut apporter la preuve de son adhésion à un code de conduite approuvé ou à une certification agréée dans le Secteur d'Activité, ou fournir à Kyndryl toute autre information démontrant le respect des présentes Dispositions, aux fins d'examen par Xxxxxxx.

2.3. 2.3. Une vérification ne peut avoir lieu plus d’une fois par période de douze (12) mois, sauf si (a) la vérification a pour objet la validation d’une rectification par le Fournisseur des problèmes constatés lors d'une précédente vérification pendant la période de douze (12) mois ou si (b) une Violation de Sécurité est survenue et Kyndryl souhaite vérifier la conformité aux obligations relatives à la violation. Dans les deux cas, Xxxxxxx adressera le même préavis écrit de trente (30) Jours indiqué dans l'alinéa 2.2 ci- dessus, mais le caractère urgent de la résolution d'une Violation de Sécurité peut nécessiter une vérification par Kyndryl moyennant un préavis écrit inférieur à trente (30) Jours.

2.4. 2.4. Une autorité compétente ou tout Autre Responsable de traitement peut exercer les mêmes droits qu'Kyndryl dans les alinéas 2.2 et 2.3, étant entendu qu'une autorité compétente est autorisée à exercer tout autre droit supplémentaire dont elle dispose en vertu de la loi.

2.5. 2.5. Si Xxxxxxx dispose d'arguments raisonnables permettant de conclure que le Fournisseur ne respecte pas l’une des présentes Dispositions (que ces arguments proviennent d'une vérification effectuée au titre des présentes Dispositions ou d'une autre façon), le Fournisseur devra rapidement remédier à cette non- conformité.

3. Programme de lutte contre la Contrefaçon

3.1. 3.1. Si les Livrables du Fournisseur contiennent des composants électroniques (par exemple, disques durs, unités SSD, mémoire, unités centrales, dispositifs logiques ou câbles), le Fournisseur mettra en place et suivra un programme documenté de prévention de la contrefaçon afin, en premier lieu, d’empêcher le Fournisseur de fournir à Kyndryl des composants contrefaits et, en second lieu, de détecter et résoudre rapidement toute situation où le Fournisseur fournit par erreur à Kyndryl des composants contrefaits. Le Fournisseur imposera cette même obligation de mise en place et de suivi d'un programme documenté de prévention de la contrefaçon à tous ses fournisseurs qui fournissent à Kyndryl des composants électroniques inclus dans les Livrables du Fournisseur.

4. Résolution

4.1. En cas de manquement du Fournisseur à l'une quelconque de ses obligations stipulées dans les présentes Dispositions et si ce manquement occasionne une Violation de Sécurité, le Fournisseur devra remédier à ce manquement et résoudre les effets préjudiciables de la Violation de Sécurité selon les instructions et les délais raisonnables d'Kyndryl. Si, toutefois, la Violation de Sécurité est consécutive à la fourniture par le Fournisseur d'un Service Hébergé partagé et qui, par conséquence, a un impact sur de nombreux clients du Fournisseur, y compris Kyndryl, le Fournisseur devra, étant donné la nature de la Violation de Sécurité, remédier à ce manquement dans les meilleurs délais et en bonne et due forme et résoudre les effets préjudiciables de la Violation de sécurité, tout en tenant dûment compte des informations d'Kyndryl relatives auxdites corrections et résolutions.

4.2. Kyndryl aura le droit de participer à la résolution de toute Violation de Sécurité référencée dans la Section 4.1, telle qu'elle jugera appropriée ou nécessaire, et le Fournisseur prendra en charge les coûts et dépenses relatifs à la résolution du manquement, ainsi que les frais et dépenses de résolution engagés par les parties en lien avec ladite Violation de Sécurité.

4.3. 4.2. A titre d'exemple, les coûts et dépenses de résolution associés à une Violation de Sécurité peuvent inclure ceux permettant de détecter et d'étudier une Violation de Sécurité, de déterminer les responsabilités au titre des lois et réglementations applicables, de fournir des notifications de violation, d'établir et de gérer des centres d'appels, de fournir des services de suivi de crédit et de rétablissement de crédit, de recharger les données, de corriger les défauts de produit (y compris par le biais du développement de code source ou autre), de faire appel à des tiers pour faciliter les activités susmentionnées ou autres activités pertinentes, ainsi que les autres coûts et dépenses nécessaires pour remédier aux effets préjudiciables de la Violation de Sécurité. Par souci de clarté, les coûts et dépenses de résolution n'incluent pas les pertes de bénéfices, d'activité commerciale, de valeur, de revenu, de clientèle ou d'économies escomptées d'Kyndryl.